Nextcloud Hub je funkčný, ale s najväčšou pravdepodobnosťou ho musíme nastaviť z hľadiska bezpečnosti. Kto ešte nemá Nextcloud nainštalovaný, tak nech prejde na predošlý článok. Nextcloud by mal byť nastavený v jazyku v ktorom sme ho inštalovali. Po inštalácii odporúčam zmeniť jazyk na Angličtinu, pretože upozornenia, ktoré bude generovať systém je lepšie mať v angličtine. Jednoduchšie sa vyhľadávajú informácie o probléme a skôr ich vyriešime.
Všetky články seriálu
- Nasadzujeme Nextcloud
- Systémové požiadavky pre Nextcloud
- LXC pre Nextcloud
- Pripravujeme Debian 10 pre Nextcloud
- Vytvárame doménu pre Nextcloud
- LAMP stack pre Nextcloud
- Konfigurácia serverov pre Nextcloud
- Inštalácia Nextcloud Hub
- Poinštalačné nastavenia v Nextcloud Hub
- Kancelária pre Nextcloud
Hneď na začiatku môžeme nastaviť niektoré osobné informácie. Klik na ikonu v pravom hornom rohu a vyberieme Nastavenia. Okrem základných informácii o nás, nastavíme jazyk na English (US). Tak isto je potrebné nastaviť aj platnú emailovú adresu
Keď už máme nastavenú angličtinu, tak v ľavej časti stránky prejdeme v menu Administration na Basic settings a tam nastavíme Email server. Hneď môžeme kliknúť na Send email a mali by sme do niekoľkých sekúnd obdržať testovací email.
To bolo úplné základné nastavenie. v rámci administrácie Nextcloud Hub sa teraz presunieme na prehľad, resp. Overview. Tam uvidíme niečo podobné tomuto. Každý to môže mať trocha odlišné v závislosti od toho, či inštaloval nejaké php moduly navyše, alebo či už poupravil webové konfigurácie. Ak ste však postupovali podľa tohto seriálu, tak by ste to mali mať rovnaké ako ja. v odrážkach vidíme nejakých 7 upozornení. Poďme sa pustiť do riešenia.
Riešenia
The PHP memory limit is below the recommended value of 512MB.
Takže najprv zvýšime PHP limit z defaultných 128 na 512MB. Súbor budeme upravovať klasickým sedom. Upozorňujem, že tieto zmeny vykonávame na servery, kde beží PHP (čiže 192.168.1.108). Ak nám beží PHP-CGI, tak zmenu vykonáme následovne:
sudo sed -i 's/memory_limit = 128M/memory_limit = 512M/' /etc/php/7.4/apache2/php.ini
sudo systemctl reload apache2
Ak nám beží PHP-FPM:
sudo sed -i 's/memory_limit = 128M/memory_limit = 512M/' /etc/php/7.4/fpm/php.ini
sudo systemctl reload php7.4-fpm
The „Strict-Transport-Security“ HTTP header is not set to at least „15552000“ seconds. For enhanced security, it is recommended to enable HSTS as described in the security tips
HSTS (HTTP Strict Transport Security) je v skratke vynútené používanie https. Toto sa nastavuje na webovom servery, alebo na reverznom proxy servery. My si to nastavíme na reverznom proxy Nginx. Upozorňujem, že tieto zmeny vykonávame na reverznom proxy servery (čiže 192.168.1.10). Do konfiguračného súbory pre nextcloud, do sekcie server pridáme túto smernicu.
sudo nano /etc/nginx/sites-available/www.nextcloud.ddns.info
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Your web server is not properly set up to resolve „/.well-known/caldav“. Further information can be found in the documentation.
Your web server is not properly set up to resolve „/.well-known/carddav“. Further information can be found in the documentation.
V dokumentácii sa uvádza, že ak chceme využívať klientov caldav a cardav, tak to musíme správne nastaviť. Znova budeme nastavovať konfigurák na reverznom proxy servery. Do sekcie server pridáme tieto smernice
location /.well-known/carddav {
return 301 $scheme://$host/remote.php/dav;
}
location /.well-known/caldav {
return 301 $scheme://$host/remote.php/dav;
}
Your installation has no default phone region set. This is required to validate phone numbers in the profile settings without a country code. To allow numbers without a country code, please add „default_phone_region“ with the respective ISO 3166-1 code ↗ of the region to your config file.
Na servery, kde je Nextcloud 192.168.1.108 pridáme do konfiguráku tento kód
sudo nano /var/www/html/www.nextcloud.ddns.info/config/config.php
'default_phone_region' => 'SK',
No memory cache has been configured. To enhance performance, please configure a memcache, if available. Further information can be found in the documentation.
Pre zvýšenie výkonnosti servera použijeme vyrovnávaciu pamäť redis odkiaľ sa dáta načítajú oveľa rýchlejšie. Viac o vyrovnávacej pamäti je v dokumentácii. Čiže znova budeme všetko robiť na servery 192.168.1.108.
sudo apt install redis-server
redis-server -v
systemctl status redis
sudo systemctl enable redis-server
sudo apt install php7.4-redis
php --ri redis
sudo systemctl reload apache2
sudo nano /var/www/html/www.nextcloud.ddns.info/config/config.php
do konfiguračného súboru vložíme
'memcache.distributed' => '\OC\Memcache\Redis',
'memcache.local' => '\OC\Memcache\Redis',
'memcache.locking' => '\OC\Memcache\Redis',
'redis' => array(
'host' => 'localhost',
'port' => 6379,
),
This instance is missing some recommended PHP modules. For improved performance and better compatibility it is highly recommended to install them.
- bcmath
- gmp
- imagick
Ešte nám ostáva doinštalovať niektorá PHP moduly. Pozor, nainštaluje sa toho celkom dosť (57 balíkov)
sudo apt install php7.4-bcmath php7.4-gmp php7.4-imagick libmagickcore-6.q16-6-extra
fontconfig fonts-droid-fallback fonts-noto-mono ghostscript gsfonts imagemagick-6-common libavahi-client3 libavahi-common-data libavahi-common3 libcairo2 libcups2 libcupsfilters1 libcupsimage2 libdatrie1 libde265-0 libdjvulibre-text libdjvulibre21 libfftw3-double3 libfribidi0 libgomp1 libgraphite2-3 libgs9 libgs9-common libharfbuzz0b libheif1 libijs-0.35 libilmbase23 libjbig2dec0 libjxr-tools libjxr0 liblcms2-2 liblqr-1-0 libltdl7 libmagickcore-6.q16-6 libmagickcore-6.q16-6-extra libmagickwand-6.q16-6 libnuma1 libopenexr23 libopenjp2-7 libpango-1.0-0 libpangocairo-1.0-0 libpangoft2-1.0-0 libpaper-utils libpaper1 libpixman-1-0 libthai-data libthai0 libwebpmux3 libwmf0.2-7 libx265-165 libxcb-render0 libxcb-shm0 php7.4-bcmath php7.4-gmp php7.4-imagick poppler-data ttf-dejavu-core
Teraz by sme mali mať všetko úspešné nastavené a po refreshi prehľadu bu to mohlo vyzerať následovne.
Ešte si môžeme web prekontrolovať cez bezpečnostný nextcloud scaner a to tak, že do poľa zadáme názov nášho webu z ktorého nám beží Nextcloud Hub. Ak je všetko v poriadku, tak dostaneme výsledok A+
Ak by sme v časti Headerings videli problém s _Host-Prefix
The __Host prefix mitigates cookie injection vulnerabilities within potential third-party software sharing the same second level domain. It is an additional hardening on top of ‚normal‘ same-site cookies.
tak môžeme pridať do konfiguračného súboru
sudo nano /var/www/html/www.nextcloud.ddns.info/config/config.php
'overwriteprotocol' => 'https',
Potom môžeme znova spustiť button Trigger re-scan a po chvíli preveríme výsledok. Teraz by mal byť výsledok A+. Ak stále nie je A+, tak nemáme niečo v poriadku a a mali by sme to začať riešiť.
Úspešne sme vyriešili základne bezpečnostné upozornenia a teraz môžeme plnohodnotne využívať služby nášho osobného, resp. firemného cloudu. Nie sme závislý od žiadneho iného plateného, alebo voľne dostupného cloudu, kde sme povinný zdieľať dáta aj s treťou stranou. Nad Nextcloud Hub máme plnú kontrolu. Keď sme prešli celým seriálom, tak vieme, že cloud je dostupný na verejnej doméne a máme k nemu prístup odkiaľkoľvek z internetu. To predstavuje určité bezpečnostne riziko, pretože všetko čo je verejne dostupné je napadnuteľné. Ak používame silné heslá na prístup do cloudu a máme funkčný https, tak by sme mali byť dostatočne chránený. z hľadiska bezpečnosti odporúčam pravidelne aktualizovať nie len Nextcloud, ale aj samotný Debian 10. Samozrejme, že ak by to bolo možné, tak moje odporúčanie je používanie cloudu cez VPN (OpenVPN) službu.