• PHP scheint zur Abfrage von Systemumgebungsvariablen nicht richtig eingerichtet zu sein. Der Test mit getenv („PATH“) liefert nur eine leere Antwort zurück.
  Bitte die Installationsdokumentation auf Hinweise zur PHP-Konfiguration durchlesen, sowie die PHP-Konfiguration Ihres Servers überprüfen, insbesondere dann, wenn PHP-FPM eingesetzt wird.

In unserem Beispiel setzen wir PHP7 als FPM Modul ein. Daher müssen wir in der Datei /etc/php/7.0/fpm/pool.d/www.conf folgende Zeilen auskommentieren (den Strichpunkt am Zeilenanfang entfernen)

env[HOSTNAME] = $HOSTNAME
env[PATH] = /usr/local/bin:/usr/bin:/bin
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp

Abschließend starten wir PHP7-FPM neu

/etc/init.d/php7.0-fpm reload

• Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Beheben lässt sich das sehr leicht. Verwendet man nginx muss man lediglich in die nginx v-host Konfiguration ein paar Zeilen ergänzen. Die Datei findet man im Normalfall unter /etc/nginx/sites-enabled/default

Hinzugefügt werden muss innerhalb des Serverblocks folgendes

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
add_header X-Download-Options "noopen";
add_header X-Permitted-Cross-Domain-Policies none;
add_header Referrer-Policy no-referrer;

Abschließend den Server neustarten

/etc/init.d/nginx restart

In dieser Anleitung beschreibe ich wie nextCloud (der moderne nachfolger von Owncloud) auf einem frischen Debian Stretch (Debian 9) oder auch Debian Jessie (Debian 8) installiert wird. Dazu verwende ich nginx als Webserver, MySQL und php7. Warum nginx und php7? Dies Software Pakete sind auf hohe Performance ausgelegt und werden auch aktiv von den Entwicklern gepflegt. Dazu sichern wir unseren Webserver noch mit einem kostenlosen SSL Zertifikat von Lets Encrypt ab und konfigurieren nginx so dass es nur aktuelle Sicherheitseinstellungen verwendet und aktivieren zusätzlich HTTP/2. Damit haben wir ein modernes, sicheres und schnelles Setup das perfekt für nextCloud geeignet ist.

Diese Anleitung kann auch für einen Raspberry Pi verwendet werden.

Voraussetzungen
Als Basis gehe ich von einem frisch installiertem Debian 8 Jessie aus, auf das auch bereits die Domain die du verwenden möchtest zeigt.

Grundarbeiten
Bei neuen Servern kümmere ich mich zu aller erst immer um eine hübsche Prompt, da macht das arbeiten gleich mehr Spass. Das habe ich hier bereits beschrieben. Wer das nicht möchte kann diesen Schritt auch einfach überspringen.

Als nächstes kümmere ich mich darum dass das System auf den aktuellsten Stand ist

apt-get update && apt-get upgrade && apt-get dist-upgrade

Je nachdem mit welchem Texteditor man arbeiten möchte muss dieser nun installiert werden, in meinem Fall ist das vim:

apt-get install vim-nox

Nun richten wir die Paketquellen ein. Unter Debian bietet sich die Nutzung von dotdeb.org an, da dort alle benötigten Pakete in einer aktuellen Fassung vorliegen. Die Einbindung davon wird hier beschrieben, lässt sich aber auch ganz kurz so zusammenfassen:

Folgende zwei Zeilen müssen in die /etc/apt/sources.list Datei hinzugefügt werden:

deb http://packages.dotdeb.org jessie all
deb-src http://packages.dotdeb.org jessie all

Danach muss noch der Schlüssel der neuen Paketquelle in unser System eingespielt werden. Laden können wir den Schlüssel mit

wget https://www.dotdeb.org/dotdeb.gpg

Und einspielen mit

apt-key add dotdeb.gpg

Lets Encrypt
Nun kümmern wir uns um das kostenlose SSL Zertifikat. Das lässt sich am einfachsten mit dem **certbot** beantragen, jedoch müssen wir dazu die Backports in unseren Paketquellen aktivieren. Hierzu müssen wir noch einmal die /etc/apt/sources.list Datei um folgende Zeile erweitern:

deb http://ftp.debian.org/debian jessie-backports main

Jetzt müssen wir die Paketquellen neu auslesen

apt-get update

Und dann kann certbot installiert werden

apt-get install certbot -t jessie-backports

Für den nächsten Schritt ist es zwingend nötig das bereits eine Domain auf den Server zeigt. Denn nun beantragen wir das SSL Zertifikat von Let’s Encrypt:

certbot certonly

Dieser Befehl leitet durch die Zertifikatsbeantragung. Es muss eine Mailadresse und die entsprechende Domain eingetragen werden. Hat alles funktioniert, beendet sich certbot mit einer Erfolgsmeldung.

PHP7

PHP7 kann recht schnell installiert werden. Dazu führen wir einfach folgenden Befehl aus:

apt-get install php7.0-fpm php7.0-gd php7.0-mysql php7.0-curl php7.0-xml php7.0-zip php7.0-intl php7.0-mcrypt php7.0-mbstring php7.0-bz2

Dadurch wird php7 mit allen erforderlichen Erweiterungen installiert.

NGINX

Die Installation von nginx wird mit folgendem Befehl angestoßen:

apt-get install nginx

Als nächstes müssen wir nginx konfigurieren. Wir legen Wert darauf dass unser Webserver nur aktuelle Sicherheitsalgorythmen verwendet, daher müssen wir vorher noch kurz einen Diffie-Hellman Schlüssel erzeugen:

mkdir -p /etc/ssl/private
chmod 710 /etc/ssl/private
cd /etc/ssl/private
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem

Nun zur eigentlichen Konfiguration des nginx. Dazu öffnen wir folgende Datei und ersetzen den Inhalt komplett: /etc/nginx/sites-enabled/default
Der neue Dateiinhalt: Link (dabei muss „deine.cloud“ durch deine Domain ersetzt werden)

Hat man die Datei entsprechend angepasst, kann nginx neu gestartet werden:

/etc/init.d/nginx restart

Unter deiner Domain sollte nextcloud nun bereits erreichbar sein. Jedoch müssen wir erst noch MySQL installieren, da wir für nextcloud eine Datenbank benötigen.

MYSQL

Installiert wird MySQL mit folgendem Befehl. Während der Installation wird man nach dem root Passwort gefragt welches man sich unbedingt merken/notieren sollte!

apt-get install mysql-server mysql-client

Als nächstes sichern wir die MySQL Installation ab

mysql_secure_installation

Nun brauchen wir noch einen eigenen Datenbank Benutzer und Datenbank für unsere Nextcloud Installation

Dazu loggen wir uns als root mit dem bei der Installation vergebenem Passwort ein:

mysql -u root -p

Zum Erstellen einer eigenen Datenbank namens „nextclouddb“ nutzen wir folgenden Befehl

create database nextclouddb;

Dann erstellen wir einen Benutzer den wir „nextclouduser“ nennen. Wichtig! „password“ müssen wir durch ein neues Passwort ersetzen.

create user 'nextclouduser'@'localhost' identified by 'password';

Zu letzt braucht der gerade erstellte Benutzer noch Berechtigungen auf die gerade erstellte Datenbank. Auch hier müssen wir das Passwort ersetzen.

grant all on nextclouddb.* to 'nextclouduser' identified by 'password';

Nun haben wir die Datenbank eingerichtet und können den MySQL Client schließen.

exit

Jetzt die eigentliche Nextcloud Installation

Wir sind fast fertig. Es muss nur noch nextcloud installiert werden, dazu laden wir uns die aktuelle Version von Nextcloud in unser Webserververzeichnis.

wget https://download.nextcloud.com/server/releases/nextcloud-13.0.0.zip

unzip nextcloud-13.0.0-zip

Die Dateien noch ins Webverzeichnis kopieren und wir können die Installation im Webbrowser starten.