„Die selbst gehostete Produktivitätsplattform, mit der Sie die Kontrolle behalten.“ So steht es auf der offiziellen Website und es stimmt. Nextcloud lässt sich leicht Installieren und Konfigurieren und ermöglicht jedem die Hoheit über seine Daten zu behalten. Die Hardwareanforderungen sind sehr überschaubar, weshalb sich der kleine Einplatinenrechner Raspberry Pi hervorragend als Server im privaten Umfeld eignet. Die Anschaffungs- und auch die laufenden Kosten sind gering was den kleinen PC sehr attraktiv macht.
Da vor kurzem einer meiner älteren Raspberry Pis freigeworden ist, habe ich darauf die aktuellste Nextcloud installiert und die Chance ergriffen, den ganzen Installationsprozess neu zu beschreiben.
Die Installation einer Nextcloud und deren Konfiguration habe ich hier im Blog bereits in einer Vielzahl von Artikeln hier im Blog beschrieben.
Der ➡ Hauptartikel der die Installation auf einem Raspberry Pi beschreibt wurde im April 2018 erstellt und von mir bereits ein paar mal überarbeitet. Das letzte mal im Januar 2021. In der Zwischenzeit sind ➡ viele Artikel dazugekommen.
Die Nextcloud läuft nach der erfolgreichen Installation auf einem Raspberry Pi 2 Model B Rev 1.1.
Es werden keine neuen SSH-Schlüssel für die Verbindung verwendet, sondern es wird eine YubiKey-Hardwaretoken verwendet. Eine ausführliche Anleitung zum einrichten findet sich auf ➡ https://strobelstefan.de/yubikey/
# Bekannte Keys entfernen
ssh-keygen -R ip-addresse
# SSH-Verbindung herstellen
ssh pi@ip-adresse
# OpenSSH Server auf dem neuen Server installieren
sudo apt install openssh-server
Die Installation des openssh-server ist nicht notwendig, wenn nach dem Flashen des Betriebssystems auf die SD-Karte die Datei ssh angelegt wurde oder der SSH-Dienst über das Menü raspi-config bereits aktiviert wurde.
# .ssh-Verzeichnis anlegen und Rechte anpassen
mkdir .ssh
chmod 0711 ~/.ssh
# Datei für die SSH-Schlüssel anlegen
nano ~/.ssh/authorized_keys
# Den privaten Schlüssel in die Datei authorized_keys kopieren
# Key 1 - Description
ssh-rsa keykeykeykeykeykeykeykeykey
# Key 2 - Description
ssh-rsa keykeykeykeykeykeykeykeykey
# Key 3 - Description
...
Mehrere Schlüssel können einfach fortlaufend in die Datei eingefügt werden. Kommentare können eingefügt werden und sind mit # am Zeilenanfang zu kommentieren.
Funktionstest, falls der Webserver läuft wird die index.html im Webbrowser angezeigt. Die Datei liegt im Root-Verzeichnis des Webserver /var/www/html.
http://ip-addresse
MariaDB-Server
MariaDB Server absichern
sudo mysql_secure_installation
MariaDB – Datenbank für Nextcloud anlegen
sudo mariadb
CREATE DATABASE nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
Datenbankname: nextcloud
MariaDB – Benutzer anlegen
Achtung!!! Das Passwort ist NUR für die Nextcloud-Datenbank und wird später noch benötigt.
sudo mariadb
CREATE USER nextcloud@localhost identified by "password";
GRANT ALL PRIVILEGES on nextcloud.* to nextcloud@localhost;
# Optional when you face any errors
grant all privileges on nextcloud.* to "nextcloud"@"localhost" with grant option;
FLUSH privileges;
quit;
Benutzername: nextcloud
Passwort: durch-benutzer-neu-vergeben
sudo mariadb
# Alle existierenden Datenbanken auflisten
SHOW DATABASES;
# Alle Benutzer des Datenbankservers anzeigen
SELECT User FROM mysql.user;
# Benutzer löschen
DROP USER IF EXISTS nextcloud;
# Datenbank "nextcloud " löschen
DROP DATABASE IF EXISTS nextcloud;
Nextcloud Installation starten
Mit Prüfung der md5sum
Die heruntergeladene Datei wird anhand der md5sum überprüft.
# Wechsel in das Home-Verzeichnis
cd
# Download der aktuellsten Nextcloud-Version
curl https://download.nextcloud.com/server/releases/latest.tar.bz2 > latest.tar.bz2
# Download der md5-Prüfsumme
curl https://download.nextcloud.com/server/releases/latest.tar.bz2.md5 > latest.tar.bz2.md5
# Vergleich der beiden md5sums
md5sum latest.tar.bz2
cat latest.tar.bz2.md5
# tar.bz2-Archiv in das Verzeichnis kopieren
sudo cp latest.tar.bz2 /var/www/html/
# Wechsle in das Verzeichnis
cd /var/www/html/
# tar.bz2-Archiv entpacken
sudo tar xfvj latest.tar.bz2
sudo nano /var/www/html/nextcloud/config/config.php
# Am Ende der Datei, aber vor ); die Zeile eintragen
"htaccess.RewriteBase" => "/nextcloud",
sudo systemctl restart apache2
Der Eintrag kann auch mit Hilfe des occ-Befehls erstellt werden.
sudo nano /var/www/html/nextcloud/config/config.php
# Am Ende der Datei, aber vor ); die Zeile eintragen
"memcache.local" => "\\OC\\Memcache\\APCu",
sudo systemctl restart apache2
Anpassung der php.ini
sudo cp /etc/php/7.3/apache2/php.ini /etc/php/7.3/apache2/php.ini-bak
sudo nano /etc/php/7.3/apache2/php.ini
# Am Ende der Datei vor "; Local Variables:" ist einzutragen
opcache.enable=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1
sudo systemctl restart apache2
# Mount Point erstellen
sudo mkdir /mnt/data
# Eintrag in der /etc/fstab
sudo nano /etc/fstab
# Am Ende der Datei die Zeile mit der UUID des USB-Sticks eintragen
# Data-Verzeichnis der Nextcloud
UUID=xcxcxcxcxcxcxc /mnt/data ntfs-3g utf8,dmask=007,fmask=007,umask=007,uid=www-data,gid=www-data 0
# Laufwerk einhängen in das Verzeichnis /mnt/data
sudo mount -a
Daten-Verzeichnis
Der alte Eintrag "datadirectory" => "/var/www/html/nextcloud/data", in der Konfigurationsdatei ist zu ersetzen
Nextcloud legt jedem neuen Benutzer standardmäßig Dateien in seinen Dateiordner. Es können eigene Dateien und Ordner definiert werden.
cd /var/www/html/nextcloud/core/skeleton
ls
Documents "Nextcloud Manual.pdf" Photos Templates
"Nextcloud intro.mp4" Nextcloud.png "Reasons to use Nextcloud.pdf"
Neues Skeleton-Verzeichnisses anlegen und Vorlagen erstellen:
sudo mkdir /mnt/data/nc-data/data/skeleton-neu
# Im neuen Verzeichnis sind alle Vorlagen zu hinterlegen
Das Ziel auf dem die Backups landen sollen, sollte ein sparates Speichermedium (Festplatte, USB-Stick, NAS, etc.)sein.
# Einbindung des Speichermediums wie in Abschnitt beschrieben "Datenverzeichnis und temporäres Upload-Verzeichnis auf externen USB-Stick verschieben"
sudo blkid
sudo nano /etc/fstab
# Data-Verzeichnis der Nextcloud
UUID=xcxcxcxcxcxcxc /mnt/nextcloud-backup ntfs-3g utf8,dmask=007,fmask=007,umask=007,uid=www-data,gid=www-data,noatime 0
# Mount Point setzen für Speichermedium
sudo mkdir /mnt/nextcloud-backup
# Bash Skript anlegen und Berechtigungen vergeben
sudo mkdir /etc/skripte
sudo nano /etc/skripte/backup-nextcloud.sh
Inhalt der Datei backup-nextcloud.sh. Das Passwort für die Datenbanksicherung ist anzupassen.
#!/usr/bin/env bash
# Creates backups of Nextcloud instance
# 1. config directory
# 2. data directory
# 3. data base dump
#
# Copyright by Stefan Strobel
# https://www.strobelstefan.org
# Wechsel in das Nexcloud-Verzeichnis
cd /var/www/html/nextcloud
# Aktiviere den Maintenance Mode für Nextcloud - Keine User Anmeldung mehr möglich!
sudo -u www-data php occ maintenance:mode --on
# Sichere die Config-Datei
sudo tar -cpzf /mnt/nextcloud-backup/Nextcloud_Config_`date +"%Y%m%d%H"`.tar.gz -C /var/www/html/nextcloud/config .
# Sichere das gesamte Verzeichnis /data
sudo tar -cpzf /mnt/nextcloud-backup/Nextcloud_Data_`date +"%Y%m%d%H"`.tar.gz -C /var/www/html/nextcloud/data/ .
# Erstelle ein Datenbanksicherung
mysqldump --default-character-set=utf8mb4 --single-transaction -h localhost -u nextcloud -passwort nextcloud > /mnt/nextcloud-backup/nextcloud-sqlbkp_`date +"%Y%m%d"`.bak
# Entferne den Maintenance Mode für Nextcloud - User Anmeldungen sind wieder möglich!
sudo -u www-data php occ maintenance:mode --off
Die Rechte für das Skript sind auf die folgenden Werte zu setzen:
sudo rm /var/www/html.index.html
sudo nano /var/www/html/index.html
# Option 1: Inhalt der index.html
<html>
<head>
<title>Are you looking for something?</title>
</head>
<body>
Are you looking for something?<br>
Maybe it is not here.<br>
Please contact your administrator for assistance.
</body>
</html>
# Option 2: Inhalt der index.html
<html>
<head>
<title>Redirect</title>
<meta http-equiv="refresh" content="0; URL=https://meineurl.de/nextcloud">
<meta name="keywords" content="automatic redirection">
</head>
<body>
If your browser doesn"t automatically go there within a few seconds,
you may want to go to the destination manually.
</body>
</html>
Let“s Encrypt
Der Port 80 muss für den Server erreichbar sein. Let“s Encrypt verwendet für die Zertifikatserstellung den Port 80. Ist dieser nicht erreichbar, dann schlägt die Zertifikatserstellung und -erneuerung fehlt.
meineurl.de ist durch die jeweilige Domain zu ersetzen.
cd /etc/apache2/sites-available/
sudo cp 000-default-le-ssl.conf 000-default-le-ssl.conf-bak
sudo rm etc/apache2/sites-available/000-default-le-ssl.conf
sudo nano etc/apache2/sites-available/000-default-le-ssl.conf
# Inhalt der Datei 000-default-le-ssl.conf
<IfModule mod_ssl.c>
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ServerName meine-url.de
</VirtualHost>
<VirtualHost *:443>
# The ServerName directive sets the request scheme, hostname and port that
# the server uses to identify itself. This is used when creating
# redirection URLs. In the context of virtual hosts, the ServerName
# specifies what hostname must appear in the request"s Host: header to
# match this virtual host. For the default virtual host (this file) this
# value is not decisive as it is used as a last resort host regardless.
# However, you must set it for any further virtual host explicitly.
#ServerName www.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; strict-origin; preload"
Redirect 301 /.well-known/carddav /nextcloud/remote.php/dav
Redirect 301 /.well-known/caldav /nextcloud/remote.php/dav
Redirect 301 /.well-known/webfinger /nextcloud/index.php/.well-known/webfinger
Redirect 301 /.well-known/nodeinfo /nextcloud/index.php/.well-known/nodeinfo
</IfModule>
# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
#LogLevel info ssl:warn
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
# For most configuration files from conf-available/, which are
# enabled or disabled at a global level, it is possible to
# include a line for only one particular virtual host. For example the
# following line enables the CGI configuration for this host only
# after it has been globally disabled with "a2disconf".
#Include conf-available/serve-cgi-bin.conf
ServerName meine-url.de
SSLCertificateFile /etc/letsencrypt/live/meine-url.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/meine-url.de/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>
sudo systemctl restart apache2
Die Ordnerberechtigungen sind nicht korrekt gesetzt und der Webserver-Benutzer www-data erhält keinen Schreibzugriff auf die Nextcloud-Verzeichnisse.
Dieser Fehler hat für den Betrieb der Nextclou keine Auswirkuingen. Steht jedoch eine Update an, müssen in die aufgelisteten Ordner neue Dateien geschrieben oder bestehende Dateien geändert werden.
Check for write permissions
The following places can not be written to:
/var/www/html/nextcloud/updater/../version.php
/var/www/html/nextcloud/updater/../public.php
/var/www/html/nextcloud/updater/../cron.php
/var/www/html/nextcloud/updater/../occ
/var/www/html/nextcloud/updater/../.htaccess
/var/www/html/nextcloud/updater/../remote.php
/var/www/html/nextcloud/updater/../.user.ini
/var/www/html/nextcloud/updater/../status.php
/var/www/html/nextcloud/updater/../robots.txt
/var/www/html/nextcloud/updater/../console.php
/var/www/html/nextcloud/updater/../index.php
/var/www/html/nextcloud/updater/../COPYING
/var/www/html/nextcloud/updater/../AUTHORS
/var/www/html/nextcloud/updater/../index.html
Abhilfe schafft das Setzen der richtigen Zugriffsreche
Einige App-Ordner haben einen anderen Besitzer als der Benutzer des Webservers. Dies kann der Fall sein, wenn Apps manuell installiert wurden. Prüfe die Berechtigungen der folgenden App-Ordner:
...
Dieser Installation fehlen einige empfohlene PHP-Module. Für bessere Leistung und bessere Kompatibilität wird dringend empfohlen, diese zu installieren.
bcmath
gmp
Für Deine Installation ist keine Standard-Telefonregion festgelegt
Lösung:
sudo nano /var/www/html/nextcloud/config/config.php
# Am Ende der Datei, aber vor ); die Zeile eintragen
"default_phone_region" => "DE",
sudo systemctl restart apache2
Dein Webserver ist nicht richtig konfiguriert, um "/.well-known/webfinger" aufzulösen.
Dein Webserver ist nicht richtig konfiguriert, um "/.well-known/nodeinfo" aufzulösen.
Dein Webserver ist nicht richtig konfiguriert, um "/.well-known/caldav" aufzulösen.
Dein Webserver ist nicht richtig konfiguriert, um "/.well-known/carddav" aufzulösen.
An unhandled exception has been thrown:
OC\HintException: [0]: Memcache \OC\Memcache\APCu not available for local cache (Is the matching PHP module installed and enabled?)
Die Installation und Konfiguration wurde mit dem Standardbenutzer pi durchgeführt. Es wird empfohlen den Standardbenutzer zu deaktivieren bzw. zu löschen und einen neuen Benutzer anzulegen mit dem die Administration des Servers durchgeführt wird.
Diese Anleitung stellt nur einen Auszug der Möglichkeiten der Benutzerverwaltung dar. Bitte zwingend auf die eigenen Anforderungen abstimmen.
Neuen Benutzer anlegen
sudo adduser <benutzer>
sudo usermod -aG sudo <benutzer>
sudo usermod -aG users <benutzer>
# Wird eine eigene Gruppe für die SSH-Anmeldung verwendet ist der neue Benutzer dort zwingend hinzuzufügen.
# Benutzer wechseln
su - <benutzer>
# Passwort vergeben
passwd
Verwendet man die gleichen Schlüssel auch unter dem neuen Benutzer, kann die Datei des Benutzers pi einfach in das Benutzerverzeichnis des neuen Benutzers kopiert werden. Am einfachsten funktioniert der Kopiervorgang, wenn man den als Benutzer pi ausführt.
su - <benutzer>
mkdir .ssh
chmod 0711 ~/.ssh
exit
# Benutzer wechseln
whoami
# Es sollte der Benutzer pi ausgegeben werden
pi
cd ~/.ssh
ls
authorized_keys
sudo cp authorized_keys /home/<benutzer>/.ssh/
# Benutzer wechseln
su - <benutzer>
# Rechte neu setzten
sudo chown root:root ~/.ssh/authorized_keys
sudo chmod 644 ~/.ssh/authorized_keys
sudo systemctl restart sshd
Benutzer pi deaktivieren bzw. löschen
Bevor der Benutzer pi deaktiviert oder gelöscht wird, unbedingt prüfen, ob
SSH-Zugriff möglich ist
der neue Benutzer Mitglied der Gruppe sudo ist und auch wirklich sudo-Befehle ausführen kann.
Ist beides möglich, kann der Benutzer pi deaktiviert bzw. gelöscht werden.
# Anzeige der Benutzerdaten
chage -l pi
# Bevorzugete Option
chsh -s /usr/sbin/nologin pi
# Lock Account
sudo passwd -l pi
# Unlock Account
sudo passwd -u pi
# Benutzeranmeldung sperren
sudo usermod -L pi
# Benutzer
sudo deluser pi
# Benutzer inkl. Home-Verzeichnis löschen
sudo deluser --remove-home pi
fail2ban
sudo apt install fail2ban
# Konfigurationsdatei für fail2ban
# dort Anpassungen entsprechend den Anforderungen vornehmen
sudo nano /etc/fail2ban/jail.conf
Die Konfiguration wird im Abschnitt „fail2ban“ beschrieben und ist Voraussetzung für den Versand der Benachrichtigungen.
fail2ban kann auch E-Mail mit Nachrichten zu bestimmten Ereignissen an eine definierte E-Mail-Adresse senden. Im Abschnitt
➡ Raspberry Pi – E-Mail-Versand einrichten
# Backup der Datei anlegen
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak
# Datei bearbeiten
sudo nano /etc/fail2ban/jail.conf
# Die Zeilen in der Datei sind anzupassen
...
destemail =
...
sender =
...
mta = mail
...
# action = %(action_)s
action = %(action_mwl)s
...
sudo systemctl restart fail2ban.service
E-Mail-Versand beim Neustarten des Raspbery Pis ausschalten.
ACHTUNG Werden Ports über die Firewall geschlossen, ist ggf. eine SSH-Anmeldung am Server nicht mehr möglich. Der Port 22 sollte deshalb unbedingt geöffnet bleiben!
Ist der Server über SSH nicht mehr erreichbar, kann der Raspberry Pi an einen Monitor angeschlossen werden und eine normale Benutzeranmeldung durchgeführt werden. Es sollte hier unbedingt das Tastaturlayout über sudo raspi-config auf „Deutsch“ gesetzt werden, um die Anmeldeinformationen ohne Probleme eingeben zu können.
sudo apt install ufw
IPV6 deaktivieren (optional)
sudo nano /etc/default/ufw
# Zeile alt
IPV6=yes
# Zeile neu
IPV6=no
Zwei Profile sind in /etc/ufw/applications.d/ anzulegen.
Profil 1: Port 80 – nextcloud_80
sudo nano /etc/ufw/applications.d/nextcloud_80
[nextcloud_80]
title=Nextcloud - Port 80
description=Nextcloud - Port 80 for http
ports=80/tcp
Profil 2: Port 443 – nextcloud_443
sudo nano /etc/ufw/applications.d/nextcloud_443
[nextcloud_443]
title=Nextcloud - Port 443
description=Nextcloud - Port 443 for https
ports=443/tcp
Werden am Raspberry Pi externe Festplatten angeschlossen, dann werden diese u.U. nicht während des Boot-Vorgangs eingebunden. Der Pi gewährt 2 Sekunden, dann wird das Betriebssystem gestartet.
sudo nano /boot/config.txt
# Am Ende der Datei eintragen
program_usb_timeout=1
# Weiterer Eintrag in der Datei
# The command instructs to wait for a given number of seconds in start.elf
# before loading the kernel.
boot_delay=30
RTC-Modul DS3231
RTC steht für Real Time Clock und hilft dem Raspberry Pi nach einem Neustart die eingestellte Zeit nicht zu verlieren, da der kleine Einplatinenrechner über keine Batterie verfügt.
ist absolut technik-begeistert und großer Fan von Linux und Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey, Synology und openmediavault und anderen spannenden IT-Themen. Nutzt Markdown und LaTeX zum Dokumentieren seiner Projekte und Gitea zum Versionieren. Sitzt vor einem 49“ Monitor, nutzt Windows und MacOS zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und MP3s und Radio-Streams über seinen RadioPi.
Trinkt gerne fairen Kaffee und freut sich deshalb sehr über jede Spende.
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
• 
