ODROID-C2: Deb8+Apache+ownCloud => Deb9+nginx+Nextcloud?

Hi zusammen,

kurze Frage... ich nutze derzeit meinen ODROID-C2 als ownCloud-Server im WAN über Port 443 und als AdBlocker mit Pi-hole intern über Port 80 (WebUI).

Da PHP5.6 (Debian 8 Jessie) nicht sehr performant ist und ownCloud des Öfteren in der Kritik steht, würde ich gerne auf Nextcloud wechseln. Vom Funktionsumfang sollte es ja mindestens ebenbürtig und dank AGPL open source Lizenz die Weiterentwicklung gegeben sein.

Folgende Probleme sehe ich bei dem Umzug:

• Public shared Links gehen verloren
  https:// mydomain.org/owncloud/index.php/s/ABcDeFGhijklMnO
  Nextcloud sagt zwar
  

  Nearly all ownCloud settings will be migrated to Nextcloud during the upgrade procedure. That means that internal and public (link) shares keep working, users keep their settings and you will retain app configuration, LDAP and external storage settings and more.

  Zum Vergrößern anklicken....

  aber wie wird das mit der URI geregelt?
• Großer Konfigurationsaufwand
  1. Migration ownCloud -> Nextcloud
  2. Upgrade Debian 8 -> Debian 9
  3. Migration Apache -> Nginx
  4. ggf. SSL-Zertifikate neu aufsetzen
• never change a running system
  Upgrade Debian 8 -> Debian 9

Wie seht ihr den Aufwand im Vergleich zum Vorteil der neuen Konfiguration? Lohnt sich das?


Danke und Grüße

PoD

Du kannst ja trotzdem von OC auf NC wechseln aber die Domain kann gleich bleiben, sprich du erreichst es weiterhin über https://deine-domain.tld/owncloud auch wenn als Software Nextcloud läuft. Die URL ist ja nur ein Verweis vom Webserver auf den Server-internen Pfad wo die Anwendung liegt.

Ich würde zuerst von Deb 8 auf Deb 9 migrieren, dann von OC auf NC migrieren (je nach Version ist fließende Migration möglich, quasi NC als "Update" für OC") und im letzten Schritt kannst dann von Apache auf Nginx wechseln. Zertifikate musst afaik nicht anfassen, da diese ja die Domain validieren und nicht den Webserver. Du musst Sie nur eben korrekt auf dem Nginx dann auch einbinden.

Danke für Deinen Kommentar. Klingt plausibel, ist nur etwas doof eine ownCloud URL weiterzugeben, obwohl Nextcloud verwendet wird, aber gut - anders geht's nicht, ohne die URL zu ändern.

Muss nur beachten, dass ich mit dem Debian Upgrade, nicht auch gleich ownCloud update, denn Versionen >10.0.2 können noch nicht auf Nextcloud 12 upgraded werden...

Note that ownCloud 9.1.6 breaks easy upgrading to Nextcloud 10.0.5. We will fix this in 10.0.6! Similar, ownCloud 10.0.2 and 10.0.3 can't yet be upgraded to Nextcloud 12, which will be fixed with Nextcloud 12.0.1. We want to make sure we properly test the upgrade paths!

Zum Vergrößern anklicken....

Aber hey - klingt nach nem Plan!

Was meinst Du denn, von der Performance her müsste das nen ordentlichen Schub geben oder? Erfahrungen gemacht damit?

Wenn du OC/NC aus den Debian-Repos nutzt musst du aufpassen, ja. Tue ich nicht, daher kann ich OS und Applikation getrennt voneinander aktualisieren. Bei mir hat die Migration von OC auf NC per Update reibungslos geklappt aber ich hatte OC damals auch nur auf 9.irgendwas.

Performance zwischen OC/NC keinen großen Unterschied gemerkt aber der Wechsel auf PHP 7 brachte ordentlich etwas. Zu Apache vs Nginx kann ich nix sagen, da ich bisher keine Erfahrung mit Nginx habe. Läuft auch bei mir auf nem Webhosting Paket, da ich weder Zeit noch Lust habe mich konsequent forever and ever um Patche, Security Hardening und Backups zu kümmern, da ich weiß, was das für ein Aufwand ist, wenn man es selbst machen will/darf/muss/kann.

Ich habe gerade einmal auf Debian 9 upgraded. Nun funktioniert mein root-Login nicht mehr... weder mit Standardpasswort root/root, root/password, root/"", ...

Auch falls das Tastaturlayout auf englisch gestellt sein sollte, funktioniert die Eingabe mit entsprechender Schreibweise nicht... ich krieg zu viel...

Any hints pls?

Login lokal oder per SSH? Ich vermute mal letzteres... Beim Upgrade kamen irgendwann Abfragen wenn sich Config-Files geändert haben sollten. So garantiert auch bei der Config File für den SSH Server. Du wirst dann vermutlich die neue Version gewählt haben und standardmäßig ist (völlig zu Recht) der Root-Login per SSH per Kennwort deaktiviert.

Sofern du noch einen anderen User hast: Mit dem per SSH anmelden und SSH mit root und Passwort wieder erlauben (sehr unsicher) oder Anmeldung für root mit public key erlauben (weniger unsicher aber weiterhin nicht optimal). Musst natürlich vorher ein Schlüsselpaar erzeugen, Anleitungen und Erklärungen dazu wie das z.B. mit Putty geht, stehen zuhauf im Internet.

Falls du keinen anderen Account hast: Monitor & Tastatur an Odroid anschließen und lokal anmelden um danach die o.g. Schritte durchzuführen.

Oh dear, ein Glück bist Du noch online! Vielen Dank für die Erläuterung.
Welche der gefühlt 20 Konfigs enthält den SSH-Zugriff?
Was ist denn die sinnvollste Methode per SSH zuzugreifen? Mit einem nicht-root User, der aber trotzdem in der sudoers Liste ist?

Grundlegendes zur Config: https://wiki.ubuntuusers.de/SSH/#Der-SSH-Server

https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
Wobei der Punkt mit "SSH Server auf anderen Port" umstritten ist aber schaden tut es nicht.

Ich kann dir übrigens nur dringendst raten, dass du es dir noch ein paar mal überlegen solltest ob du wirklich einen öffentlich aus dem Internet erreichbaren Dienst selbst anbieten und hosten willst. Deine Linux-Kenntnisse scheinen nicht existent zu sein und darauf basierend scheint dein System auch in keiner Art und Weise abgesichert zu sein. Ja, du hast nur Port 443 auf den Server zugelassen, wie sieht es mit IPv6 aus? Nur so als Gedankenanstoß.
Aufsetzen lässt sich ein Server immer schnell. Langfristig und sicher zu betreiben leider etwas ganz anderes.

snaxilian schrieb:

[...] Deine Linux-Kenntnisse scheinen nicht existent zu sein [...]

Zum Vergrößern anklicken....

Hahaha, das trifft es ganz gut

Ich dachte, wenn ich bei SSL Labs ne A+ erreiche, dann wird das schon passen!?

Ist immerhin ein guter Anfang und mehr was vermutlich die meisten machen aber nur ein Bruchteil. Das A+ bedeutet nur folgendes: Die Verschlüsselung der Kommunikation zwischen dir/Endgerät und dem Zielwebserver ist sehr gut und schwer angreifbar bzw belauschbar und das der Webserver recht gut konfiguriert ist.

Dies sagt aber absolut gar nichts über Qualität der Absicherung folgender Dinge aus:
- Betriebssystems https://cisofy.com/lynis/
- Sonstiger laufender Serverdienste wie z.B. SSH https://github.com/arthepsy/ssh-audit etc
- der eigentlichen Applikation https://docs.nextcloud.com/server/12/admin_manual/configuration_server/harden_server.html
- der Application Firewall für die Anwendungen https://www.modsecurity.org/
-Der Host Firewall (idR IPtables) für IPv4 und auch für IPv6

Die genannten Links sind alles nur Beispiele und keine einmal-starten-fertig-Lösung sondern diese liefern dir nur Hinweise was ggf wo angepasst werden muss. Naja mod_security ist bisschen fieser da man hier gut ein oder zwei Tage mit den Logs des Webservers zubringt, bis die passenden Ausnahmen alle gesetzt sind.

Dazu kommt noch ein vernünftiges Rechte-Management (jeder Dienst unter eigenem unprivilegierten User), Beschränkung der Dateirechte auf ein Minimum, Absicherung per SELinux/AppArmor.

Ein Backup des Servers hast du natürlich, sowohl für den Verlust einzelner Daten als auch für ein Full Recovery bei Ausfall des Datenträgers und natürlich das auch mal getestet ob der Restore funktioniert?

Vielen Dank Dir, snaxilian, für die hilfreichen Stichworte und Links. Hardening hatte ich auch bereits ein wenig betrieben (ownCloud), aber der Rest klingt nach #Neuland für mich. Ich werde mich derer annehmen, wenn es die Zeit erlaubt. Derzeit habe ich meine private Cloud erst einmal offline genommen (Port Forwarding im Router deaktiviert). Vielleicht hast Du Recht und es sinnvoller in einen Anbieter mit solchen Services zu investieren als lokales Hosting zu betreiben. Vor allem auch auf meine momentane Internetgeschwindigkeit bezogen (32/1 Mbit/s).

moin,

auch wenn das hier fuer ein raspberry pi ist, finde ich das doch ausgereift und sehr gut umgesetzt.

https://ownyourbits.com/2017/02/13/nextcloud-ready-raspberry-pi-image/

ich habe es seit mehreren monaten am laufen.

gruss nase765