ComputerBase Menü
Aktuelles

Nextcloud selbst hosten

Don-DCH

Don-DCH

Captain
Registriert
Aug. 2009
Beiträge
3.235
Guten Nachmittag zusammen,

gerne würde ich bei mir eine Nexcloud instanz zuhause hosten und für Familie und mich freigeben.

Ich habe mir diverse Optionen durchgelesen auf der Nextcloudseite.

Dort wird ja von Nextcloud selbst das AIO Docker Image empfohlen, welches vom Hersteller selbst gepflegt wird.

NextcloudPi hatte bei mir als ich es für einigen Monaten getestet hatte nciht so gut funktioniert.
Da meine DynDNS anbieter auch nicht dabei waren half es mir eh nicht so viel weiter.

Ich denke der beste weg dürfte über ein Linux sein, in Vebrindung mit Docker und dem AIO.
Leider kenne ich mcih selbst nur mit Windows aus und daher ist die Frage ob man das ganze sicher betreiben kann?

Ich wäre jetzt so vorgegangen, dass ich mir Ubuntu Desktop und Server mal in einer VM Bereitgestellt hätte, dort Docker installiert hätte und dann das Nextcloud AIO. Um das ganze nach extern zu Publishen würde ich über den Nxginx Proxy manager gehen.

Reicht das an sicherheit oder benötigt man noch Firewalls, wie diese auch bei Nextcloudpi mitkommen?

Würdet Ihr sagen das wäre die Beste Variante oder hat man durch die Verwendung des Snappakets vorteile?

Ich denke das die Lösung des Anbieters selbst was durch diesen gepflegt wird das beste ist.

Lediglich den Webserver bzw. das Linux Ubuntu müsste man gut absichern.

Wobei ich nach außen ja nur highports freigeben würde die dann auf interne SSL ports gehen für Dateisynchronisierung und Nextcloud Talk hätte ich gerne.

Für weitere empfehlungen bin ich offen.

Was ich nicht möchte ist die Nextcloud bei einem Anbieter zu hosten.

Viele Grüße
 
Wärst du so lieb und sagst du uns, was du für einen Anbieter hast (Telekom etc.) und was du für einen Router einsetzt?!

An sich wäre das relativ einfach.

Server bereit stellen, Dienst darauf laufen lassen, Port im Router frei geben und dann wäre die halbe Miete erledigt. Eine Firewall bringt dein heimischer Router ebenfalls schon mal mit :)

Gruß, Dominik
 
  • Gefällt mir
Reaktionen: Don-DCH und madmax2010
Überlege ob du das ganze nur per WireGuard zugänglich machst.

Wieso willst du SSH freigegeben? Du brauchst nur HTTPS, mehr nicht.
 
  • Gefällt mir
Reaktionen: redjack1000, konkretor, Don-DCH und eine weitere Person
Don-DCH schrieb:
Da meine DynDNS anbieter auch nicht dabei waren half es mir eh nicht so viel weiter.
Zum Vergrößern anklicken....
Wo waren sie nicht bei und warum nutzt du nicht einen der "dabei" ist?

JumpingCat schrieb:
Überlege ob du das ganze nur per WireGuard zugänglich machst.
Zum Vergrößern anklicken....
Yep. Ist aus Sicherheitssicht die halbe Miete. Was nicht für jeden aus dem Internet erreichbar ist, bietet gleich viel weniger Angriffsfläche
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Don-DCH
abgesehen von Deiner Arbeitsumgebung, nach der hier bereits gefragt wurde,
vielleicht hier zwei YouTube Videos zu dem Thema:
  1. YouTube

    An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

    Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
  2. YouTube

    An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

    Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
einfach zum anschauen, da Du selber schreibst, dass Deine Linux Vorkenntnisse recht überschaubar sind

Grüße und viel Erfolg T.N.
 
  • Gefällt mir
Reaktionen: Don-DCH
Domi83 schrieb:
Wärst du so lieb und sagst du uns, was du für einen Anbieter hast (Telekom etc.) und was du für einen Router einsetzt?!
Zum Vergrößern anklicken....
Gerne :)

bin bei Vodafone ehemals Unitymedia Kabelanschluss.
IPV4 Adresse.

Als Router habe ich die Unifi Dream Machine Pro

Domi83 schrieb:
Server bereit stellen, Dienst darauf laufen lassen, Port im Router frei geben und dann wäre die halbe Miete erledigt. Eine Firewall bringt dein heimischer Router ebenfalls schon mal mit
Zum Vergrößern anklicken....
So dachte ich auch, wenn ich nur den einen Port freigebe für Datensynchronisierung brauche ich keien Angst haben das jemand irgendwie anders auf das System kommt, weil ja alles andere vom Router verworfen wird an Paketen oder?

Sprich ich kann einfach Ubuntu Desktop nehmen als einsteiger und nach der Ofiziellen anleitung den AIO und Reverse Proxy installieren und fertig?

JumpingCat schrieb:
Überlege ob du das ganze nur per WireGuard zugänglich machst.
Zum Vergrößern anklicken....
Das würde für mich alleine gehen, alles andere wäre nicht prabtikabel.

JumpingCat schrieb:
Wieso willst du SSH freigegeben? Du brauchst nur HTTPS, mehr nicht.
Zum Vergrößern anklicken....
Wie meisnt du ich möchte nur HTTPS nutzen SSL kein SSH :)

madmax2010 schrieb:
Wo waren sie nicht bei und warum nutzt du nicht einen der "dabei" ist?
Zum Vergrößern anklicken....
Bei NextcloudPi war mein Hoster, bei dem ich eine Domain gekauft habe nicht dabei.

Ich würde gerne meine gekaufte Domain in Verbindung mit DNS Lets Encrypt benutzen, dann muss ich auch keine Ports freigeben für das Lets enrcypt zertifikat.


madmax2010 schrieb:
Yep. Ist aus Sicherheitssicht die halbe Miete.
Zum Vergrößern anklicken....
Das stimmt schon besser bzw. am besten wärs schon, leider unpraktisch und schwierig das bei allen einzurichten.

Bisher habe ich seit Jahren Home Assistant laufen in einer VM, da gab es nie probleme, das ist per Highport freigegeben und ich habe sehr sehr lange passwörter und eine zwei Faktor authenifizierung und halte alles stets aktuell.


Topinambur schrieb:
vielleicht hier zwei YouTube Videos zu dem Thema:
Zum Vergrößern anklicken....
Danke dir, das erste hatte ich auch überflogen aber es wird leider alles manuell gemacht und nicht das Nextcloud AIO Image genommen und auch SSL nicht über NPM realisiert.
 
Sorry hatte da aus dem ssl ein ssh gemacht.

Highports und 2 Faktor nützen auch nichts wenn der Angreifer direkt den Webserver angreift.
 
Don-DCH schrieb:
Ich wäre jetzt so vorgegangen, dass ich mir Ubuntu Desktop und Server mal in einer VM Bereitgestellt hätte, dort Docker installiert hätte und dann das Nextcloud AIO.
Zum Vergrößern anklicken....
Ich halte das für keine gute Idee - gegenüber Docker direkt auf einem Host kommen nur jede Menge Abstraktionen und Fehlermöglchkeiten hinzu.
 
JumpingCat schrieb:
Highports und 2 Faktor nützen auch nichts wenn der Angreifer direkt den Webserver angreift.
Zum Vergrößern anklicken....
Hmm, wie würde das gehen, der angreifer geht über den Port und macht DDOS gegen den Webserver oder was genau meinst du?

Wenn man die Software aktuell hält reicht das nicht?
Benötige ich weitere Komponenten?

madmax2010 schrieb:
Dann trag bei deinem Hoster die Hurricane Electric DNS Server ein und verwalte die domain von dort aus.
Hier findest du ein kleines Sckript, was den "Dyn" Teil erledigt https://dns.he.net/
Zum Vergrößern anklicken....
Schaue ich mir mal an, danke dir!
Also würdest du in jedem Falle NextcloudPi empfehlen und nciht das Docker AIO Image von Nextcloud auf einer Ubuntu maschine?

ropf schrieb:
Ich halte das für keine gute Idee - gegenüber Docker direkt auf einem Host kommen nur jede Menge Abstraktionen und Fehlermöglchkeiten hinzu.
Zum Vergrößern anklicken....
Ich dachte nur wegen der Flexibilität aber ich kann auch einen kleinen mini PC nehmen wollte ich eh erstmal testen.

Ich denke ich werde Ubuntu Desktop mal installieren und dann Docker mit dem AIO Image von Nextcloud
 
Generell würde ich davon abraten eine selbst gehostete Nextcloud Instanz über Internet freizugeben.

(Angemerkt: Das obwohl ich Debian Server (Software+Hardware) selbst zusammengestellt habe und rein über SSH eingerichtet habe.)

Ich betreibe eine Nextcloud im lokalen Netz für die Familie und nutzte Nextcloud hauptsächlich als Backup...
Der Nextcloud Ordner wird auch regelmäßig auf mehrere Datenträger gespiegelt.
 
Ich werfe mal fail2ban in die Diskussion rein. Ich meine Nextcloud empfiehlt das sogar selbst in deren Dokus, wenn das Ganze öffentlich erreichbar sein soll
 
Don-DCH schrieb:
Hmm, wie würde das gehen, der angreifer geht über den Port und macht DDOS gegen den Webserver oder was genau meinst du?
Zum Vergrößern anklicken....
Nein, Wenn SSH, Dein Webserver, PHP oder sonst was Angreifbar ist, ist Authentifizierung im Zweifelsfall nur Deko.

Don-DCH schrieb:
Wenn man die Software aktuell hält reicht das nicht?
Zum Vergrößern anklicken....
Gegen bekannte Lücken reicht das überraschend oft. Zwischen "Exploit ist bekannt und wird genutzt" zu "Du wirst angegriffen" liegt heutzutage gern weniger als eine Stunde
 
@Don-DCH, wärst du so lieb und könntest uns mal sagen, wie die Anforderungen sind?

Wohnt ihr alle unter einem Dach, habt alle Zugriff auf das Netz (z.B. via WLAN) und ihr möchtet einfach wenn ihr zuhause seid, eure Daten mit der Nextcloud Synchronisieren oder soll die Nextcloud unbedingt von Unterwegs erreichbar sein, damit die Daten immer "on-demand" Synchronisiert werden?
 
oiisamiio schrieb:
Generell würde ich davon abraten eine selbst gehostete Nextcloud Instanz über Internet freizugeben.
Zum Vergrößern anklicken....
Hmm, wo genau siehst du die Bedenken/Risiken?

prayhe schrieb:
Ich werfe mal fail2ban in die Diskussion rein. Ich meine Nextcloud empfiehlt das sogar selbst in deren Dokus, wenn das Ganze öffentlich erreichbar sein soll
Zum Vergrößern anklicken....
Danke dir, das klingt gut, soweit ich das sehe hat NextcloudPi das auch onboard dabei.

Hmm über Truenas Scale gibt es eine ofizielle App, klingt auch nicht schlecht ist bestimmt ein solides System drunter was auf Hostung ausgelegt ist im Vergleich zu Ubuntu oder was meint Ihr?

Weiß nur nicht ob da die App besser ist oder das AIO Docker image

madmax2010 schrieb:
Gegen bekannte Lücken reicht das überraschend oft. Zwischen "Exploit ist bekannt und wird genutzt" zu "Du wirst angegriffen" liegt heutzutage gern weniger als eine Stunde
Zum Vergrößern anklicken....
Hmm ok verstehe bei Sicherheitslücken braucht man keine Authentifizierung.
Im gegensatz zu VPN ist eine Portfreigabe immer ein Risiko das stimmt.

Die Frage ist, ob man als Privatperson oft das Ziel ist. Bisher habe ich glaube sehr wenig Angriffe zu verzeichnen auf meine Dream Machine.

Geoblocking etc. könnte auch einiges bringen.

Domi83 schrieb:
wärst du so lieb und könntest uns mal sagen, wie die Anforderungen sind?
Zum Vergrößern anklicken....
Ah entschuldige, jetzt weiß ich auf was du hinaus möchtest. Gerne zähle ich meine Wünsche mal auf :)


  • Selbstgehostet - Flexibel was den Speicherbedarf angeht
  • Dateien Synchronisation zwischen mehreren Endgeräten (PC, iOS/iPad OS und Android)
  • Nextcloud Talk als Messenger Ersatz. - Schreiben am PC
  • Vielleicht teilen von Dateien
  • Eventuell Office und Mail aber das muss ich mir mal anschauen was es da alles für Möglichkeiten gibt.


Wir wohnen nicht alle unter einem Dach und durch nextcloud Talk denke ich, kommt keine VPN Lösung infrage da es sehr umständlich und nicht praktikabel ist meiner Meinung nach.

Ich möchte die Daten gerne bei mir haben und nich bei irgendwelchen Hostern.

Vielen Dank euch für eure Meinungen und Hilfe bei meinem Projekt :)
Ich hoffe ich habe alles notwendige aufgezählt.
Was ich noch sagen kann ist das ich leider nicht allzuviel Upload habe nur 50 Mbit, ich hoffe seit Jahren das man mal mehrbekommen kann, da ich sehr schnelle 1000 Mbit im Download habe und das alles immer ankommt, aber die 50Mbit Uplaod sind etwas mau aber gut, vielelicht tut sich da irgendwann mal was :)
 
Don-DCH schrieb:
Die Frage ist, ob man als Privatperson oft das Ziel ist.
Zum Vergrößern anklicken....
den kompletten IPv4 raum nach Zielen abzusuchen dauert ca 10 Minuten.

Don-DCH schrieb:
Wir wohnen nicht alle unter einem Dach und durch nextcloud Talk denke ich, kommt keine VPN Lösung infrage da es sehr umständlich und nicht praktikabel ist meiner Meinung nach.
Zum Vergrößern anklicken....
Wieso? Beim Wireguard auf dem Handy einrichten ist die Suche nach der App das was am längsten dauert.
 
Don-DCH schrieb:
Ah entschuldige, jetzt weiß ich auf was du hinaus möchtest.
Zum Vergrößern anklicken....
Alles cool, kein Problem. Ich halte mich auch immer gerne zurück, da viele Informationen den Zweig der Möglichkeiten immer mehr vergrößern. Es entstehen dadurch immer mehr Fragen, neue Ideen etc.

Aber die Information, dass ihr nicht alle unter einem Dach wohnt, erklärt schon mal einiges ;)

Deine Bandbreite (1000/50 Mbit/s) sollte generell erst einmal kein großes Problem sein, außer man hat es eilig und keine Geduld. Im Bezug auf "Talk" oder "Office" kann ich die benötigte Bandbreite gerade schlecht abschätzen, hier hängt es davon ab ob man nur Audio übertragen möchte oder auch Video und dann die Qualität ;)

Installiere dir erst einmal deine Nextcloud so, dass du von zuhause aus (im LAN / WLAN) darauf zugreifen kannst. Auf deinen Endgeräten kannst du dann auch die Software / App installieren um Daten auszutauschen und zu experimentieren.

Die Erreichbarkeit aus dem Netz ist mit mehreren Varianten möglich.

  • Im Router die IP mit Port direkt freigeben
  • Nginx Proxy Manager davor schalten
  • VPN vor das ganze schalten

Je nach Router, kannst du ja die IP deiner Nextcloud und einen gewünschten Port auf machen und gucken, ob das geht. Am besten ein Gerät vom LAN / WLAN trennen und dann schauen ob das geht.

Wenn das geht, kannst du schauen, wie du den Spaß besser erreichbar machst (z.B. DynDNS). Und wenn du DynDNS hast, gibt es mit Sicherheit auch Möglichkeiten, ein SSL Zertifikat auszustellen.

Sobald die Verbindung zwischen Handy / Smartphone und deiner Nextcloud von extern möglich ist und das ganze sogar über "https://" abläuft, hättest du schon die halbe Miete.

Fail2ban ist auf jeden Fall eine gute Sache, Nextcloud bietet (wenn ich mich nicht irre) auch andere Audit Tools. Alternativ müsstest du die Log Files deiner Nextcloud nach Ungereimtheiten beobachten.

Was die VPN Idee angeht... so umständlich ist es nicht. Aber was hier bisher nicht erwähnt wurde und man dir auch mitteilen könnte unter dem Aspekt "Sicherheit", egal was du machst. Irgend etwas ist von extern immer erreichbar. Ob es nun deine Nextcloud direkt ist, ein Reverse Proxy oder der VPN Dienst.
 
Die Nextcloud richtig konfigurieren. Gibt einen Check von denen ... sollte A+ (zusätzliche Härtungen) anzeigen.

Dann TOTP und Suspicious LogIns aktivieren!!!

Und ein moderner Reverse Proxy wie Traefik und da alle Labels aktivieren!

Dann geht das problemlos. OAuth2 geht nur, wenn auf WebDAV verzichtet wird ;).
 
Und was ich hier im Thread noch gar nicht gelesen habe ist die Sache, dass es bei Nextcloud Updates auch oft mal irgendwas schief geht und man anschließend irgendwas manuell reparieren muss.

Hätte ich schon kein Bock drauf. Als Bastelspielwiese für sich alleine, alles cool, aber nicht wenn dann einem die Family in den Ohren liegt, dass da was nicht klappt.
 
Art Vandelay schrieb:
dass es bei Nextcloud Updates auch oft mal irgendwas schief geht
Zum Vergrößern anklicken....
Lese ich auch oft, betreibe aber selbst eine Nextcloud auf einem meiner Server im Rechenzentrum seit diversen Jahren. Ja, zu Anfang gab es oft mal etwas was keinen Sinn ergab. Mag auch durch mich selbst produziert worden sein, aber seit ein paar Jahren (vielleicht zwei Jahre) ist Nextcloud schon sehr robust geworden und macht wenig Probleme mit Updates.

Und ich bin einer, der sieht das Popup "hier sind Updates", also schieße ich mal los. Backups werden sowieso nachts gefahren.

Gruß, Domi

p.s. Die Nextcloud nutze ich nicht alleine, auch IT Kunden von mir liegen da drauf. Falls man jetzt ankommt mit "bist ja nur du darauf!" ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

h00bi
Nextcloud Files direkt public zugänglich machen?
Antworten
7
Aufrufe
322
Rickmer
Rickmer
U
Anfängerfrage zu einem Nextcloud-Account
Antworten
6
Aufrufe
557
Arboster
Arboster
CoMo
Nextcloud CSP Error nach Update
Antworten
5
Aufrufe
501
CoMo
CoMo
M
Joplin müllt Hosted Nextcloud zu
  • Mickey Cohen
  • Online
Antworten
9
Aufrufe
1.638
Mickey Cohen
M
Engaged
Google Drive ordner Synct nicht mehr, Nextcloud auch nicht.
Antworten
6
Aufrufe
472
Engaged
Engaged
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz