Nextcloud - Sicherheits Test - Security Check - oft katastrohphal

Die Lösung wäre ein LTS Release. Meinetwegen sogar mit einer Bezahllizenz für Privatuser. Und diese LTS Version gibt es ja schon. Man müsste sie nur auch für Privatuser anbieten. Wollen sie aber wohl nicht machen, aus Gründen die ich auch nicht kenne. Und von den fixen Release Cyclen sollte man sich vielleicht auch mal verabschieden, sondern neue Versionen erst dann veröffentlichen, wenn sie tatsächlich ready sind. Imho hätte eigentlich v23 erst jetzt rausgekommen dürfen. 23.0.0 war imho höchstens Betas Status, wenn man die Liste der Fixes für 23.0.2 anschaut.

Anyway ich finde das ist jammern auf hohem Niveau. Es gibt diverse Appliances, die einem der grössten Teil der Arbeit abnehmen. Gerade, wenn es um Abhängigkeiten zu den PHP Version von verschiedenen Linux Distributionen geht, muss man sich, wenn man etwas wie Nextcloud Pi oder Nextcloud AIO nutzt, nicht wirklich kümmern.

Ich möchte hier nochmal auf die Antwort von @bb77 in Nextcloud - Sicherheits Test - Security Check - oft katastrohphal - #5 by bb77 verweisen.

Die Tests prüfen größtenteils bzw. ausschließlich die Konfiguration des Webservers. Das Thema Majorversionen alle 4-5 Monate ist ein anderes.

Das Betreiben einer eigenen Cloud mit Konnektivität zum Internet ist nicht trivial und Bedarf Pflege und Wissen. Doch das ist nichts neues für viele. Die Leute mit der Idee “Es ist Samstagmittag und ich nagel jetzt mal NC auf meinen Raspi und hänge den ans Netz” sind jedoch gefrustet wenn sich die Erkenntnis ergibt.

5 Likes

Meinst Du man kann ein Nextcloud_Pi auf einem VPS Server installieren?

CPU

4 Arm-basierte Ampere A1-Kerne

Jup man muss aufpassen, dass man nicht Dinge vermischt. Die Kriterien des Sicherheitstests, ändern sich nicht mit jeder Version. Und wenn ein A statt ein A+ das einzige Problem ist, und dann noch aus offensichtlichen und bekannten Gründen, weil der Test einfach die neuste Version noch nicht kennt, ist das nicht wirklich ein Problem. Ob es aber wirklich drei Releases braucht jedes Jahr, ist aus User Sicht schon fraglich. Die Devs erhalten so natürlich mehr Feedback über neue Features, eventuelle Bugs etc… Die Testbasis erhöht sich signifikant mit einer “Release often, and Release early Strategie” :wink:

Allerdings nochmals: Das ist Jammern auf hohem Niveau. Es ist alles Free & Open Source. Und es zwingt einem niemand schon am Release Tag zu aktuialisieren. Wenn man ein bis zwei Point Releases abwartet, läuft es in der Regel gut. Und wenn man dreimal im Jahr upgraden muss, kommt man nicht aus der Übung :slight_smile:

Ja klar. https://ownyourbits.com/nextcloudpi/#content_start

Es gibt ein Debian Installationsscript, Docker und eine LXD Version. Ich sehe keinen Grund, warum irgendeine dieser drei Varianten nicht laufen sollte auf einem VPS…

EDIT:
Ach, dein VPS läuft auf ARM A1? Dann weiss ich es ehrlich gesagt nicht… Müsstest du testen.

OT
Dann sind wir bei

https://hub.docker.com/r/netboxcommunity/netbox

Mein “Testbedürfnis” ist bald im Keller.

Noch mal kurz zu den Releases. Hier muss man vielleicht ehrlicherweise sagen, dass man im kommerziellen Umfeld wohl erst jetzt langsam von Nextcloud 22 auf Nextcloud 23 umsteigt. Wer weniger Ärger will, sollte neue Releases nicht direkt einführen. Das gilt für Nextcloud genauso wie z. B. für Ubuntu 22.04 LTS. Man wartet bis zum ersten oder zweiten Punkt-Release.

3 Likes

Ja es gibt viele Möglichkeite und Appliances. Allerdings sind nicht alle gut gepflegt, respektive die Plugins und Apps sind nicht immer gut gepflegt. Ich kenne Netbox jetzt nicht. Aber schlussendlich wirst du keine OneKlick Lösung finden mit der es nie irgendwelche Probleme gibt bzw. du nie irgendetwas anpassen musst. Und je weiter du dich abstrahierst von dem was effektiv auf dem System abgeht, je mehr bist du abhängig von den Maintainern der Appliance. Ich würde etwas nehemen, dass eng mit dem Nextcloud Projekt vebandelt ist, wie NextcloudPi oder Nextcloud AIO, oder die offziellen Docker Container. Halt die Dinge, die auch auf der Download Page von Nextcloud empfohlen werden. Damit gibt es eine höhere Warscheinlichkeit Support zu kriegen, wenn es Probleme gibt, weil diese Dinge einfach häufiger verwendet werden.

Selbst die funktionieren bei mir nicht richtig.

Ja sorry. Aber das liegt auch ein wenig an dir bzw. an deiner Erwartungshaltung. :wink: Versuche doch mal wenigstens einen Teil der Zeit, die du mit Provider, Distro und Appliance Hopping verbringst, dazu zu verwenden, ein wenig die Grundlagen der Technologien zu verstehen, die du verwendest. Würde dir langfristig mehr helfen…

1 Like

Kann schon sein, siehe den Thread

Unerfahrenheit und schlechte Doku treffen da zusammen.

Naja. Ich kann es nicht so recht beurteilen, weil ich mich mit Docker nicht wirklich gut auskenne. Die einzigen Docker Container, die ich verwende sind Collabora und vaultvarden. Und ich verwende dafür nur Docker und nicht Docker Compose. Wenn du dich aber dafür entscheidest, Nextcloud mit Docker zu verwenden, musst du dich etwas tiefer mit den Grundlagen von Docker beschäftigen. Es gibt tonnenweise Tutorials dazu auf Yourtube und auch geschriebene Anleitungen im Netz. Beschäftige dich erst mit den Grundlagen von Docker bevor du ein relativ komplexes Projekt, das meherere Container benötigt, und auch ein paar Eigenheiten hat, wie Nextcloud produktiv damit zu nutzen versuchst. Irgendwann macht es klick und die Dokumentation wird für dich Sinn ergeben.

1 Like

Bitte bleibt On-Topic oder macht einen neuen Thread auf. Danke.

Und warum? Die Webserver-Sachen musst du halt die Liste durchgehen und deinen Webserver anpassen. Rot, da ist irgendwas noch im Argen, bei den B oder C-Noten ist es häufig die Zertifikatsauswahl die standardmässig unterstützt wird.
Mozilla hat hier auch eine Hilfe, mit Vorschlägen zur SSL Konfigurations des Webservers:

A-ratings sollten damit eigentlich drin sein. Ich mache das meistens bei Systemupdates wenn die Webserver-Version sich ändert und sonst nur ab und zu.

4 Likes