In dieser Anleitung beschreibe ich wie nextCloud (der moderne nachfolger von Owncloud) auf einem frischen Debian Stretch (Debian 9) oder auch Debian Jessie (Debian 8) installiert wird. Dazu verwende ich nginx als Webserver, MySQL und php7. Warum nginx und php7? Dies Software Pakete sind auf hohe Performance ausgelegt und werden auch aktiv von den Entwicklern gepflegt. Dazu sichern wir unseren Webserver noch mit einem kostenlosen SSL Zertifikat von Lets Encrypt ab und konfigurieren nginx so dass es nur aktuelle Sicherheitseinstellungen verwendet und aktivieren zusätzlich HTTP/2. Damit haben wir ein modernes, sicheres und schnelles Setup das perfekt für nextCloud geeignet ist.

Diese Anleitung kann auch für einen Raspberry Pi verwendet werden.

Voraussetzungen
Als Basis gehe ich von einem frisch installiertem Debian 8 Jessie aus, auf das auch bereits die Domain die du verwenden möchtest zeigt.

Grundarbeiten
Bei neuen Servern kümmere ich mich zu aller erst immer um eine hübsche Prompt, da macht das arbeiten gleich mehr Spass. Das habe ich hier bereits beschrieben. Wer das nicht möchte kann diesen Schritt auch einfach überspringen.

Als nächstes kümmere ich mich darum dass das System auf den aktuellsten Stand ist

apt-get update && apt-get upgrade && apt-get dist-upgrade

Je nachdem mit welchem Texteditor man arbeiten möchte muss dieser nun installiert werden, in meinem Fall ist das vim:

apt-get install vim-nox

Nun richten wir die Paketquellen ein. Unter Debian bietet sich die Nutzung von dotdeb.org an, da dort alle benötigten Pakete in einer aktuellen Fassung vorliegen. Die Einbindung davon wird hier beschrieben, lässt sich aber auch ganz kurz so zusammenfassen:

Folgende zwei Zeilen müssen in die /etc/apt/sources.list Datei hinzugefügt werden:

deb http://packages.dotdeb.org jessie all
deb-src http://packages.dotdeb.org jessie all

Danach muss noch der Schlüssel der neuen Paketquelle in unser System eingespielt werden. Laden können wir den Schlüssel mit

wget https://www.dotdeb.org/dotdeb.gpg

Und einspielen mit

apt-key add dotdeb.gpg

Lets Encrypt
Nun kümmern wir uns um das kostenlose SSL Zertifikat. Das lässt sich am einfachsten mit dem **certbot** beantragen, jedoch müssen wir dazu die Backports in unseren Paketquellen aktivieren. Hierzu müssen wir noch einmal die /etc/apt/sources.list Datei um folgende Zeile erweitern:

deb http://ftp.debian.org/debian jessie-backports main

Jetzt müssen wir die Paketquellen neu auslesen

apt-get update

Und dann kann certbot installiert werden

apt-get install certbot -t jessie-backports

Für den nächsten Schritt ist es zwingend nötig das bereits eine Domain auf den Server zeigt. Denn nun beantragen wir das SSL Zertifikat von Let’s Encrypt:

certbot certonly

Dieser Befehl leitet durch die Zertifikatsbeantragung. Es muss eine Mailadresse und die entsprechende Domain eingetragen werden. Hat alles funktioniert, beendet sich certbot mit einer Erfolgsmeldung.

PHP7

PHP7 kann recht schnell installiert werden. Dazu führen wir einfach folgenden Befehl aus:

apt-get install php7.0-fpm php7.0-gd php7.0-mysql php7.0-curl php7.0-xml php7.0-zip php7.0-intl php7.0-mcrypt php7.0-mbstring php7.0-bz2

Dadurch wird php7 mit allen erforderlichen Erweiterungen installiert.

NGINX

Die Installation von nginx wird mit folgendem Befehl angestoßen:

apt-get install nginx

Als nächstes müssen wir nginx konfigurieren. Wir legen Wert darauf dass unser Webserver nur aktuelle Sicherheitsalgorythmen verwendet, daher müssen wir vorher noch kurz einen Diffie-Hellman Schlüssel erzeugen:

mkdir -p /etc/ssl/private
chmod 710 /etc/ssl/private
cd /etc/ssl/private
openssl dhparam -out dhparams.pem 2048
chmod 600 dhparams.pem

Nun zur eigentlichen Konfiguration des nginx. Dazu öffnen wir folgende Datei und ersetzen den Inhalt komplett: /etc/nginx/sites-enabled/default
Der neue Dateiinhalt: Link (dabei muss „deine.cloud“ durch deine Domain ersetzt werden)

Hat man die Datei entsprechend angepasst, kann nginx neu gestartet werden:

/etc/init.d/nginx restart

Unter deiner Domain sollte nextcloud nun bereits erreichbar sein. Jedoch müssen wir erst noch MySQL installieren, da wir für nextcloud eine Datenbank benötigen.

MYSQL

Installiert wird MySQL mit folgendem Befehl. Während der Installation wird man nach dem root Passwort gefragt welches man sich unbedingt merken/notieren sollte!

apt-get install mysql-server mysql-client

Als nächstes sichern wir die MySQL Installation ab

mysql_secure_installation

Nun brauchen wir noch einen eigenen Datenbank Benutzer und Datenbank für unsere Nextcloud Installation

Dazu loggen wir uns als root mit dem bei der Installation vergebenem Passwort ein:

mysql -u root -p

Zum Erstellen einer eigenen Datenbank namens „nextclouddb“ nutzen wir folgenden Befehl

create database nextclouddb;

Dann erstellen wir einen Benutzer den wir „nextclouduser“ nennen. Wichtig! „password“ müssen wir durch ein neues Passwort ersetzen.

create user 'nextclouduser'@'localhost' identified by 'password';

Zu letzt braucht der gerade erstellte Benutzer noch Berechtigungen auf die gerade erstellte Datenbank. Auch hier müssen wir das Passwort ersetzen.

grant all on nextclouddb.* to 'nextclouduser' identified by 'password';

Nun haben wir die Datenbank eingerichtet und können den MySQL Client schließen.

exit

Jetzt die eigentliche Nextcloud Installation

Wir sind fast fertig. Es muss nur noch nextcloud installiert werden, dazu laden wir uns die aktuelle Version von Nextcloud in unser Webserververzeichnis.

wget https://download.nextcloud.com/server/releases/nextcloud-13.0.0.zip

unzip nextcloud-13.0.0-zip

Die Dateien noch ins Webverzeichnis kopieren und wir können die Installation im Webbrowser starten.

Vorraussetzung ist ein vom Internet erreichbarer Port 80 eueres Webservers sowie ein installiertes git. Letzteres kann per „**apt-get install git**“ einfach nachinstalliert werden.

Ist das erledigt wechseln wir in das root Verzeichnis

cd /root/

und clonen das acme Repository

git clone https://github.com/Neilpang/acme.sh.git acme-master

nun erstellen wir das Verzeichnis in dem die Konfiguration abgelegt wird und wechseln in das gerade geclonte Verzeichnis

mkdir /etc/pve/.le
cd /root/acme-master

Mit folgendem Befehl legen wir unsere Konfiguration an. Hierbei müssen wir unsere E-Mail Adresse angeben über die wir zukünftig benachrichtigt werden wenn das Zertifikat abläuft

./acme.sh --install --accountconf /etc/pve/.le/account.conf --accountkey /etc/pve/.le/account.key --accountemail "meine@email.com"

Nun können wir testweise versuchen das Zertifikat zu beantragen. Da es ein wöchentliches Limit gibt wie häufig ein Zertifikat beantragt werden darf, empiehlt es sich zuerst nur einen Testantrag zu machen. Hier muss die von dir verwendete Domain eingesetzt werden:

./acme.sh --issue --standalone --keypath /etc/pve/local/pveproxy-ssl.key --fullchainpath /etc/pve/local/pveproxy-ssl.pem --reloadcmd "systemctl restart pveproxy" -d $DOMAIN --test

Sollte das funktioniert haben können wir den gleichen Befehl nochmal abschicken, diesmal aber statt mit dem –test Flag mit einem –force Flag. So wird sichergestellt dass das gerade testweise Zertifikat durch das neue richtige Zertifikat ersetzt wird, obowhl es noch nicht abgelaufen ist:

./acme.sh --issue --standalone --keypath /etc/pve/local/pveproxy-ssl.key --fullchainpath /etc/pve/local/pveproxy-ssl.pem --reloadcmd "systemctl restart pveproxy" -d $DOMAIN --force

Das war es auch schon. Die Weboberfläche von Proxmox ist nun mit einem gültigem Zertifikat abgesichert. Außerdem wurde ein Cronjob angelegt der das Zertifikat zukünftig automatisch erneuert:

0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Da ich schon länger Proxmox 3.4 einsetze und damit sehr zufrieden bin, juckt es mich natürlich in den Fingern mal das neue Proxmox 4.2 auszuprobieren. Ich habe dafür einen ungenutzten Server von Hetzner verwendet, grundsätzlich sollte die Installation aber auch mit anderen Servern funktionieren.

Ausgangssituation ist ein frisch aufgesetztes Debian 8.

Proxmox wird per apt-get installiert, dafür müssen wir jedoch erst die source.list um das entsprechende Repository erweitern:

vi /etc/apt/sources.list

Folgende Zeile müssen wir hinzufügen

deb http://download.proxmox.com/debian jessie pve-no-subscription

Nun noch den Key importieren

wget -O- "http://download.proxmox.com/debian/key.asc" | apt-key add -

Und das System auf den neusten Stand aktualisieren

apt-get update
apt-get upgrade
apt-get dist-upgrade

**Jetzt können wir mit der eigentlichen Installation von Proxmox 4.2 beginnen**

apt-get install pve-firmware pve-kernel-4.4.10-1-pve pve-headers-4.4.10-1-pve

Ist die Installation der Pakete abgeschlossen starten wir den Server neu

reboot

Und prüfen dass auch wirklich der Proxmox Kernel geladen wurde:

uname -r

Dieser Befehl sollte eine ähnliche Ausgabe bringen wie „4.2.6-1-pve“, wichtig ist dabei das „-pve“ zum Schluss.
Der Proxmox Kernel ist nun installiert, als nächstes installieren wir das Proxmox Virtual Environment:

apt-get install proxmox-ve

Auch danach müssen wir den Server neustarten

reboot

Damit ist Proxmox grundsätzlich erstmal installiert, nun gilt es jedoch noch das Netzwerk zu konfigurieren. Zuerst müssen wir das IP Forwarding aktivieren:

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1

Dann passen wir die Datei /etc/network/interfaces wie folgt an:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address  >ServerIp< netmask 255.255.255.224 gateway >Gateway< pointopoint >Gateway< iface eth0 inet6 static address >ServerIpv6< netmask 128 gateway >GatewayIpv6< up sysctl -p auto vmbr1 iface vmbr1 inet static address >ServerIp< netmask 255.255.255.255 bridge_ports none bridge_stp off bridge_fd 0 pre-up brctl addbr virbr1 up ip route add >Zusätzliche IP (VM-IP)< /32 dev vmbr1 down ip route del >Zusätzliche IP (VM-IP)< /32 dev vmbr1

Die nötigen Daten für ServerIp, GatewayIp sowie ServerIpv6 und GatewayIpv6 werden euch im Robot von Hetzner angezeigt, teilweise verstecken sich die Infos hinter einem Mouseover-Effekt.
Für die zukünftigen virtuellen Maschinen müsst ihr seperate IPs bei Hetzner bestellen und diese dann wie angegeben in die Konfiguration aufnehmen.

Startet den Server neu und ihr könnt nun über HTTPS und Port 8006 die WebGUI aufrufen

https://serverip:8006

Die WebGUI wurde um einiges moderner gestaltet, funktioniert im Grunde jedoch noch wie vorher. Lediglich beim Erstellen eines Containers muss man nun die IP Adresse mit der „../32“ Schreibweise zu ordnen:

Folgende Konfiguration wird in **/etc/postfix/main.cf** am Ende der Datei eingefügt:

# Aktiviert TLS
smtp_use_tls                 = yes
# Aktiviert das Logging
smtp_tls_loglevel            = 1
# Unverschluesselte Verbindung erlauben (may = entscheidet der Client)
smtp_tls_security_level      = may
# Pfade zu den Keys
smtp_tls_cert_file           = /etc/ssl/certfile.crt
smtp_tls_key_file            = /etc/ssl/keyfile.key
smtp_tls_CAfile              = /etc/ssl/cabundle.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_note_starttls_offer = yes
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_exclude_ciphers = RC4, aNULL

smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3

smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3

Danach noch den Mailserver neustarten:
> /etc/init.d/postfix restart

Testen kann man die neue Konfiguration z.b. mit dieser Webseite: