Nextcloud mit Raspberry Pi unter Verwendung von NginX - Smarthome DIY

Mithilfe der Nextcloud kannst du einen Freunden und Familien eine Cloud mit Web-Interface zur Verfügung stellen.

Um Nextcloud auf deinem Raspberry Pi zu installieren, kannst du folgende Schritte verwenden:

Inhaltsverzeichnis

DynDNS

Deine IP zuhause ändert sich täglich. Aber irgendwie musst du auch permanent von außen an dein Pi drankommen. Dafür gibt es DynDNS-Dienste. Hier wird einem Server regelmäßig gesagt, welche IP dein Gerät gerade hat und ein fester Name kann dann darauf verweisen.

Es gibt sehr viele verschiedene DynDNS-Anbieter.

Für mich waren in der Entscheidung ausschlaggebend der Preis und die Kompatibilität zu Certbot.

Da ich gelegentlich Schwierigkeiten mit einem davon haben, habe ich mich für zwei entschieden, die redundant zueinander sind.

Für die meisten DynDNS-Anbieter kann deine Fritzbox die Aktualisierung übernehmen. Aber normalerweise kann das auch mit einem einfachen Webaufruf passieren. Zum Beispiel über einen Cronjob, der diesen mit „wget“ ausführt. Auf diese Weise hast du mehr Kontrolle über das Aktualisierungsintervall und manchmal auch anderer Parameter.

Certbot

Für deine Freunde und sonstigen Besucher ist es blöd, wenn sie auf deine Cloud zugreifen und dann erstmal in eine Fehlermeldung laufen.

HTTPS ist toll, wenn du deine Verbindung Ende-zu-Ende verschlüsseln willst. Und zeitgemäß. Eine HTTP-Verbindung hingegen ist immer ein starkes Sicherheitsrisiko. Allerdings ein Browser auch Fehlermedlungen ausgeben, wenn du ein selbstsigniertes Zertifikat verwendest.

Certbot stellt dir allgemein anerkannte Zertifikate aus, auch für deine DynDNS-Domains. Einige DynDNS-Anbieter bieten dir auch ein passenden SSL-Zertifikat mit an. Aber das verursacht höhere Kosten.

NGINX installieren

NginX ist ein Webserver. Nextcloud ist insbesondere deshalb mein Favorit, da es sich ausschließlich um deine Cloudfunktionalitäten kümmert und seine Erreichbarkeit nicht von einem bestimmten Webservertypen abhängt.

sudo apt install nginx

Darüber hinaus schlage ich vor, deine NginX-Server-Parameter in eine zusätzliche Datei auszulagern. Das macht eine Eintragung in mehrere Server komfortabel. Mehrere Server brauchst du dann, wenn du zum Beispiel mehrere Dyn-DNS-Dienste redundant nutzen willst. Mir ist ab und zu schon mal einer ausgefallen. In meiner server_params.conf werden bereits eine Menge best practices verwendet.


	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	ssl_protocols TLSv1.2 TLSv1.3;
	#ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

	server_tokens off;

	location ~ ^/(?:files)/ {
		root /var/www/html;
		allow all;
		index index.php;
		location ~ \.php$ {
			fastcgi_split_path_info ^(.+?\.php)(/.*)$;
			include fastcgi_params;
			fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
			fastcgi_param PATH_INFO $fastcgi_path_info;
			fastcgi_param HTTPS on;
			fastcgi_pass php-handler;
			fastcgi_index index.php;
		}
	}

	root /var/www/nextcloud;
	
	add_header X-Content-Type-Options nosniff;
	add_header X-XSS-Protection "1; mode=block";
	add_header X-Robots-Tag none;
	add_header X-Download-Options noopen;
	add_header X-Permitted-Cross-Domain-Policies none;
	add_header X-Frame-Options sameorigin;
	add_header Referrer-Policy no-referrer;
	add_header Strict-Transport-Security "max-age=15768000" always;
	
	
	location = /robots.txt {
		allow all;
		log_not_found off;
		access_log off;
	}
	location ^~ /.well-known			{ return 301 /index.php$uri; }
	
	# The following 2 rules are only needed for the user_webfinger app.
	# Uncomment it if you're planning to use this app.
	#rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
	#rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json
	# last;

	location = /.well-known/carddav {
	  return 301 $scheme://$host/remote.php/dav;
	}
	location = /.well-known/caldav {
	  return 301 $scheme://$host/remote.php/dav;
	}	# set max upload size
	client_max_body_size 512M;
	fastcgi_buffers 64 4K;

	# Enable gzip but do not remove ETag headers
	gzip on;
	gzip_vary on;
	gzip_comp_level 4;
	gzip_min_length 256;
	gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
	gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;
	
	
	# Uncomment if your server is build with the ngx_pagespeed module
	# This module is currently not supported.
	#pagespeed off;

	location / {
		rewrite ^ /index.php$request_uri;
	}

	location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)/ {
		deny all;
	}
	location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) {
		deny all;
	}

	location ~ ^/(?:setup-nextcloud|index|remote|public|cron|core/ajax/update|status|ocs/v[12]|updater/.+|ocs-provider/.+)\.php(?:$|/) {
		fastcgi_split_path_info ^(.+?\.php)(/.*)$;
		include fastcgi_params;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		fastcgi_param PATH_INFO $fastcgi_path_info;
		fastcgi_param HTTPS on;
		#Avoid sending the security headers twice
		fastcgi_param modHeadersAvailable true;
		fastcgi_param front_controller_active true;
		fastcgi_pass php-handler;
		fastcgi_intercept_errors on;
		fastcgi_request_buffering off;
	}

	location ~ ^/(?:updater|ocs-provider)(?:$|/) {
		try_files $uri/ =404;
		index index.php;
	}

	# Adding the cache control header for js and css files
	# Make sure it is BELOW the PHP block
	location ~ \.(?:css|js|woff|svg|gif)$ {
		try_files $uri /index.php$request_uri;
		add_header Cache-Control "public, max-age=15778463";
		# Add headers to serve security related headers (It is intended to
		# have those duplicated to the ones above)
		# Before enabling Strict-Transport-Security headers please read into
		# this topic first.
		# add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
		#
		# WARNING: Only add the preload option once you read about
		# the consequences in https://hstspreload.org/. This option
		# will add the domain to a hardcoded list that is shipped
		# in all major browsers and getting removed from this list
		# could take several months.
		add_header X-Content-Type-Options nosniff;
		add_header X-XSS-Protection "1; mode=block";
		add_header X-Robots-Tag none;
		add_header X-Download-Options noopen;
		add_header X-Permitted-Cross-Domain-Policies none;
		# Optional: Don't log access to assets
		access_log off;
	}

	location ~ \.(?:png|html|ttf|ico|jpg|jpeg)$ {
		try_files $uri /index.php$request_uri;
		# Optional: Don't log access to other assets
		access_log off;
	}

Nachfolgend steht nun die Konfiguration der Domains an, die bearbeitet werden sollen.

Die ersten beiden Server-Einträge stellen den Webserver jeweils mit eigenen Certbot-Zertifikaten zur Verfügung.

Der dritte Server-Eintrag stellt einen Webserver mit selbstsignierten Zertifikat zur Verfügung (für Verwendungen im eigenen Netz, wenn z.B. die IP angewählt wird).

Der letzte Server-Eintrag leitet lediglich von HTTP auf HTTPS weiter.

upstream php-handler {
    #server 127.0.0.1:9000;
    server unix:/var/run/php/php8.0-fpm.sock;
}

# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
    "" "";
    default "immutable";
}

server {
	listen 443 ssl;
	#listen [::]:443 ssl ipv6only=on;
	
	server_name mydomain.selfhost.eu;
	ssl_certificate /etc/letsencrypt/live/mydomain.selfhost.eu/fullchain.pem; # managed by Certbot
	ssl_certificate_key /etc/letsencrypt/live/mydomain.selfhost.eu/privkey.pem; # managed by Certbot
	
	include server_params.conf;
}

server {
	listen 443 ssl;
	#listen [::]:443 ssl ipv6only=on;
	
	server_name mydomain.dd-dns.de;
	ssl_certificate /etc/letsencrypt/live/mydomain.dd-dns.de/fullchain.pem; # managed by Certbot
	ssl_certificate_key /etc/letsencrypt/live/mydomain.dd-dns.de/privkey.pem; # managed by Certbot
	
	include server_params.conf;
}

server {
	# SSL configuration
	listen 443 ssl default_server;
	listen [::]:443 ssl default_server ipv6only=on;
	
	server_name _;
	ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; # managed by Certbot
	ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; # managed by Certbot
	
	include server_params.conf;
}

server {
    if ($host = mydomain.selfhost.eu) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    if ($host = mydomain.dd-dns.de) {
        return 301 https://$host$request_uri;
    } # managed by Certbot




	listen 80 default_server;
	listen [::]:80 default_server ipv6only=on;

	server_name mydomain.selfhost.eu mydomain.dd-dns.de;
	return 404; # managed by Certbot

}

Konfiguration aktivieren, auf Syntaxfehler prüfen und neu starten

sudo ln -s /etc/nginx/sites-available/nextcloud /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

Nextcloud

noch mehr Vorbereitungen

PHP8 samt Zusatzmodulen und MariaDB/MySQL installieren und die Datenbank einrichten. Achte darauf dein Passwort anzupassen.

phpVer=8.0
sudo apt -yf install mariadb-server php$phpVer php$phpVer-{fpm,mysql,intl,xml,zip,gd,apcu,gmp,bcmath,curl,mbstring,imagick} libmagickcore-6.q16-6-extra

sudo mysql -e "CREATE USER 'nextcloud'@'localhost' IDENTIFIED BY 'meinpasswort';"
sudo mysql -e "GRANT ALL PRIVILEGES ON * . * TO 'nextcloud'@'localhost' WITH GRANT OPTION;"
sudo mysql -e "FLUSH PRIVILEGES;"
sudo mysql -e "CREATE DATABASE nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci"

Darüber hinaus kannst du gleich noch eine Reihe an Optimierungen in PHP für Nextcloud einstellen

sudo sed -i 's/^pm\.max_children.*$/pm\.max_children = 120/g' /etc/php/$phpVer/fpm/pool.d/www.conf
sudo sed -i 's/^pm\.start_servers.*$/pm.\start_servers = 12/g' /etc/php/$phpVer/fpm/pool.d/www.conf
sudo sed -i 's/^pm\.min_spare_servers.*$/pm\.min_spare_servers = 6/g' /etc/php/$phpVer/fpm/pool.d/www.conf
sudo sed -i 's/^pm\.max_spare_servers.*$/pm\.max_spare_servers = 18/g' /etc/php/$phpVer/fpm/pool.d/www.conf

sudo sed -i 's/^;env\[HOSTNAME\].*$/env\[HOSTNAME\] = $HOSTNAME/g' /etc/php/$phpVer/fpm/pool.d/www.conf
sudo sed -i 's/^;env\[PATH\].*$/env\[PATH\] = \/usr\/local\/sbin:\/usr\/local\/bin:\/usr\/sbin:\/usr\/bin:\/sbin:\/bin:\/usr\/local\/games:\/usr\/games/g' /etc/php/$phpVer/fpm/pool.d/www.conf

sudo sed -i 's/^;opcache\.enable=.*$/opcache\.enable=1/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;opcache\.enable_cli.*$/opcache\.enable_cli=1/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;opcache\.interned_strings_buffer.*$/opcache\.interned_strings_buffer=8/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;opcache\.max_accelerated_files.*$/opcache\.max_accelerated_files=10000/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;opcache\.memory_consumption.*$/opcache\.memory_consumption=128/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;opcache\.save_comments.*$/opcache\.save_comments=1/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;opcache\.revalidate_freq.*$/opcache\.revalidate_freq=1/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^max_execution_time = 30/max_execution_time = 300/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^;apc\.enable_cli=.*$/apc\.enable_cli=1/g' /etc/php/$phpVer/fpm/php.ini
sudo sed -i 's/^memory_limit.*$/memory_limit = 512M/g' /etc/php/$phpVer/fpm/php.ini

Und Neu starten

sudo systemctl restart mysql.service
sudo systemctl restart php$phpVer-fpm.service
sudo systemctl restart nginx.service

Installation

Um die Installation auszuführen, brauchst du einen Ordner unter /var/www/, lädst dort das aktuelle Installationsscript hin, führst es aus und folgst den Anweisungen

sudo -uwww-data mkdir /var/www/nextcloud
sudo wget https://download.nextcloud.com/server/installer/setup-nextcloud.php -O /var/www/nextcloud/setup-nextcloud.php
sudo find /var/www -type d -exec chmod g+s {} +

Das wars auch schon.

2 Kommentare zu „Nextcloud mit Raspberry Pi unter Verwendung von NginX“

Pingback: Raspberry Pi als Cloud oder Datenserver verwenden - Smarthome DIY - Heimautomatisierung selbst gemacht
Pingback: Smarthome weltweit steuern mit VPN - Smarthome DIY - Heimautomatisierung selbst gemacht

Kommentar verfassen Kommentieren abbrechen

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.