Nextcloud update 13 auf 14 Debian 9 Updater funktioniert nicht

freak1051

Ensign
Registriert
Dez. 2012
Beiträge
197
Hallo Community,

ich bin langsam am verzweifeln.

Ich betreibe auf einem vServer auf dem Debian 9 läuft eine Nextcloud. Ich selbst bin absoluter Linux-analphabet. Ich habe mittels einiger (guter) Anleitungen die Cloud ans laufen bekommen und auf meine Domain gelegt bekommen. Das Ding leistet mir und meiner Technikerklasse eigentlich recht gute Dienste.

Nun haben wir eingie Apps drauf laufen, die nicht mehr Funktionieren, da der Support eingestellt wurde. Somit werd ich wohl in den sauren Apfel beißen müssen und die Cloud auf 14 Updaten.

Nun schreit mich die CLoud regelmäßig an, dass ich via online-Updater das ja machen kann. Klick darauf... und nichts passiert. Er lädt mir eine weiße Seite.
Nach recherche hiß es, deaktiviere alle Apps... ändert nichts an der Sache.

In der Offiziellen Anleitung steht, dass man das Update auch über die Console machen kann.. mit irgendwelchen occ Befehlen/Skripten. Leider tut das auch nicht. er sagt mir immer command not found.

Nun bleibt als letztes nur noch das Manuelle Update. Und das trau ich mich ehrlich gesagt nicht so ganz. Zumindest nicht ohne helfende Hand. Irgendwo Backups machen, okee.. wenns nicht klappt wüsste ich nicht mal wie man die Backups wieder her stellt.

Zudem habe ich etwas bammel, dass es mir irgendwas in meiner Domain-einstellung zerschießt, sodass ich nicht mehr über die Internetseite darauf zugreifen kann. Aber (da anleitung und DAUS) weiß ich dann nicht mehr wohin fassen, damit ich es wieder richten kann.

Könnte mir denn jemand vernünftigen support geben, damit ich das hinbekomme... Wäre euch wirklich super dankbar

vielen dank schon mal im Vorraus

Daniel
 
Zuerst nimmst ein Blatt Papier und schreibst 100 mal auf:
Ich werde als ahnungsloser Vollhonk Anwender nie wieder einen öffentlich erreichbaren Server betreiben wenn ich weder Ahnung von der Konfiguration habe, keine Backups habe und auch nicht weiß, wie ich diese restoren sollte. Ebenso bin ich blind auf beiden Augen und stelle eine Gefahr für andere da, da ich nicht weiß, ob mein Server bereits als Spamschleuder o.ä. missbraucht wird.

Das scannst dann ein und wenn du es dir hoffentlich langfristig gemerkt hast und auch verstanden hast, dass du als Mieter/Betreiber für alles verantwortlich und haftbar bist, was mit dem Server passiert, dann sehen wir weiter.

Zum Thema manuelles Update:
- Sind alle Pakete auf dem Debian 9 sonst aktuell?
- In welchem Verzeichnis befindest du dich, wenn du den occ Befehl absetzt?
- Als welcher User bist du angemeldet?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Elcrian und Helge01
snaxilian schrieb:
Zuerst nimmst ein Blatt Papier und schreibst 100 mal auf:
Ich werde als ahnungsloser Vollhonk nie wieder einen öffentlich erreichbaren Server betreiben wenn ich weder Ahnung von der Konfiguration habe, keine Backups habe und auch nicht weiß, wie ich diese restoren sollte. Ebenso bin ich blind auf beiden Augen und stelle eine Gefahr für andere da, da ich nicht weiß, ob mein Server bereits als Spamschleuder o.ä. missbraucht wird.

Das scannst dann ein und wenn du es dir hoffentlich langfristig gemerkt hast und auch verstanden hast, dass du als Mieter/Betreiber für alles verantwortlich und haftbar bist, was mit dem Server passiert, dann sehen wir weiter.

Zum Thema manuelles Update:
- Sind alle Pakete auf dem Debian 9 sonst aktuell?
- In welchem Verzeichnis befindest du dich, wenn du den occ Befehl absetzt?
- Als welcher User bist du angemeldet?


Zu 1. kann ich gerne machen :) wobei ich versucht habe, alles so sicher wie möglich zu machen. Zumindest was ich in der Bucht gefunden habe. Die Cloud läuft mittels ssl Zertifikat (https). es läuft fail2ban, mit dem ich auch schon einige Attacken abgewehrt habe und mein root-PW ändere ich alle 4 mittels PW generator mit 64 Zeichen... Hoffe dass des mal dann nur blind auf einem Auge ist. und mein Backup BISHER war den NC order per Filezilla und sftp zu sichern :)

Debian-Pakete: Ich gehe davon aus. Regelmäßig apt-get udpate && upgrade (denke auch so alle 4 wochen)
Verzeichnis: Ich denke mal im obersten Verzeichnis. Gebe ich "ls" ein zeigt er mit die System Ordner (usr, var, home, etc...) habe aber auch schon im www verzeichnis getestet, da ich öfters gelesen habe dass man "
sudo -u www-data php occ " davor eingeben muss. Was ich aber nicht verstanden habe (mit mienem Raspberry pi wssen) bin ich nicht als root angemeldet brauch ich sudo, da ich als root angemeldet bin brauch ics doch eigentlich nicht

User: bin als root angemeldet
 
snaxilian schrieb:
Zuerst nimmst ein Blatt Papier und schreibst 100 mal auf:
Ich werde als ahnungsloser Vollhonk nie wieder einen öffentlich erreichbaren Server betreiben wenn ich weder Ahnung von der Konfiguration habe, keine Backups habe und auch nicht weiß, wie ich diese restoren sollte. Ebenso bin ich blind auf beiden Augen und stelle eine Gefahr für andere da, da ich nicht weiß, ob mein Server bereits als Spamschleuder o.ä. missbraucht wird.

Ich habe da mal nen Wort gestrichen *G*. Aber ansonsten gebe ich snaxilian da schon recht.

snaxilian schrieb:
Zum Thema manuelles Update:
- Sind alle Pakete auf dem Debian 9 sonst aktuell?
- In welchem Verzeichnis befindest du dich, wenn du den occ Befehl absetzt?
- Als welcher User bist du angemeldet?

Das sind genau die richtigen Fragen.

Aber wegen deiner sorgen etwas kaputt zu machen... Du hast ja scheinbar einen virtuellen Server. Erstell bevor du loslegst einen Snapshot und wenn es in die Hose gegangen ist kannst du zu diesen Stand zurückspringen.
 
@rocketworm das stimmt allerdings. Wäre mal nen Anfang. nicht daran gedacht.

Und he leutz.. jeder fängt klein an. Vor nen paar Jahren hätte das keiner Interessiert :) Nee Spaß zur Seite. Ich habe ja kein Problem das ding Sicher zu machen, wenn man einem sagt wie... nach dem Update :)
 
freak1051 schrieb:
Ich selbst bin absoluter Linux-analphabet.
...
mit dem ich auch schon einige Attacken abgewehrt
...
da ich öfters gelesen habe dass man "sudo -u www-data php occ " davor eingeben muss
....
User: bin als root angemeldet
Uff. Nichts fuer ungut, jeder faengt irgendwo an, aber ein oeffentlicher Server ohne Ahnung, das ist ein Desaster mit Zuendschnur.

Wenn du root, UID 0, bist brauchst du kein sudo. sudo -u aendert den user auf www-data fuer den Befehl, welcher vermutlich der Besitzer deines Webroots ist.

Das occ file ist ein Script was im root Verzeichnis von own/nextCloud lebt. Dort navigierst du hin und fuehrst das occ script als www-data aus. Gibst du einfach "occ" ein ohne das das in deinem $PATH ist passiert nichts. Keine Ahnung ob NextCloud das mittlerweile automatisch macht.

Das heisst, angenommen owncloud lebt in /var/www/, du machst folgendes -
Bash:
if [ $EUID -eq 0 ] ; then exit ; fi
cd /var/www/
sudo -u www-data php occ upgrade -h
(Ich war mal so frei das nicht copy-paste faehig zu machen - keine Ahnung ob dein User www-data ist, das war frueher bei Apache so)
 
Klar ich verstehe euch ja, aber
1. sagt einem KEINER was und wie man machen muss.
2. Wie gesagt, noch keiner hat von Anfang an Goldäpfel geschissen
3. Ich denke es gibt genug Server da draußen, wenn ich nur an die ganzen öffentlichen Minecraft server der 13-Jährigen Jungs denke, denen ein fertiger Server zu teuer ist, und sie es mich (wie ich) mit Anleitungen selbst einrichten OHNE irgendwelche Schutzeinrichtungen. Ich hab ja nach besten wissen und gewissen getan, was man so gefunden hat...

und 4. Sry wenn ichs so sag, jeder "meckert" okay gibt ja auch Grund dazu, aber keiner würde mal sagen schau mal nach Stichwort ... oder schau mal, mit dem Paket bist schon mal gut unterwegs... etc...Nicht böse gemeint Jungs... aber so (ausser Elcrian) bekomme ich weder das Update hin noch den Server Sicher...:)
 
Zuletzt bearbeitet:
Du, mir ist das herzlich egal ob dir da jemand drin rumwuehlt und du dann irgendwann die Abmahnungen kriegst. Ich meine es nur gut wenn ich dir sage, dass das leichtsinnig ist.

Es gibt so einige Grundregeln die man beachten sollte (kein Anspruch auf Vollstaendigkeit).
  • Nichts installieren was man nicht versteht und/oder braucht
  • Nichts als root laufen lassen was nicht als root laufen muss
  • Kein SSH login als root
  • Kein SSH login ohne SSH keys
  • Keine Scripte ausfuehren die man nicht gelesen hat
  • Zertifizierte TLS Verbindungen
  • Standard-Konfigurationen fuer Webserver updaten - such mal nach SSL Labs oder Mozilla Observatory
  • Bei oeffentlichen Services, Firewall (iptables)
  • Logs und FHS Verstehen
  • Und das wichtigste... Keine Commands copy-pasten die man nicht versteht (richtig - keine!!)
Deswegen rate ich jedem mit einem RasPi oder VM anzufangen.

Auch hilft es up-to-date zu bleiben. Die Blogs von Brian Krebs und fefe kann ich da empfehlen (und Ferdinand Thommes Beitraege hier).
 
  • Gefällt mir
Reaktionen: freak1051
@Elcrian

Endlich bekomm ich info. Danke. Ich bin ja gewillt. Ich gebe ja zu, dass ich das nicht wusste. Aber Wonach suchen, wenn man nicht weiß nach was.

Das SSL-Labs ergebnis sieht schon mal ned sooo schlecht aus.. ist ziemlich grün.

das mit nichts als root laufen lassen habe ich auch befolgt. Allerdings gehe ich per root mit ssh rein. Aber das zu ändern ist kein Problem.

SSH keys habe ich erstellt.

Das mit den Scripten ist ned so einfach :) manches versteh ich aber s meiste nicht... komm aus ner Anderen Code-Welt.
 
freak1051 schrieb:
3. Ich denke es gibt genug Server da draußen, wenn ich nur an die ganzen öffentlichen Minecraft server der 13-Jährigen Jungs denke, denen ein fertiger Server zu teuer ist, und sie es mich (wie ich) mit Anleitungen selbst einrichten OHNE irgendwelche Schutzeinrichtungen. Ich hab ja nach besten wissen und gewissen getan, was man so gefunden hat...

Deswegen sollte man sehr darauf achten, dass nicht noch so ein schlecht gewarteter Server im Netz rumschwirrt.

Schau dir vielleicht mal Uberspace an. Dort kannst du auch deine Nextcloud betreiben, musst dich aber nicht um die Absicherung des Servers kümmern, nur um deine Anwendung. Und das alles noch zu einem sehr fairen Preis.
 
Wenn du Hilfe möchtest, wäre es sinnvoll damit anzufangen die von mir o.g. Fragen zu beantworten.

Bei Hilfe zur Absicherung ist z.B. Lynis ein guter Anfang, das prüft dir viele Standardeinstellungen von Programmen und Einstellungen.
Ansonsten natürlich nur minimal das installieren, was man benötigt und alles andere runter schmeißen.
Bei Webservern entsprechend die bereits genannten Tools verwenden für eine saubere Config, zusätzlich Header Sanitizing betreiben (https://geekflare.com/http-header-implementation/, https://geekflare.com/apache-web-server-hardening-security/)
SSH Zugriff nur per Public Key und auch dann nur mit einem sicheren Key und nicht dem Key mit default settings (https://latacora.micro.blog/2018/08/03/the-default-openssh.html).
 
Zurück
Oben