Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Installation
Nachfolgend werden die Schritte beschrieben, die nötig sind, um Nextcloud unter Ubuntu 26.04 LTS zu installieren.
Software-Konfiguration
Generierung der TLS-Zertifikate für Nextcloud
Verzeichnisse für die Zertifikate anlegen
Bei der Anlage bitte Ihre echte Domain angeben, da diese Teil der Verzeichnisstruktur ist.
mkdir -p /etc/letsencrypt/nextcloud.hoeglinger.name/rsa mkdir -p /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa chown -R www-data:www-data /etc/letsencrypt chmod -R 775 /etc/letsencrypt
Den ersten virtuellen Host für nginx erstellen
Erstellen des Verzeichnisses für die Let’s Encrypt Challenge:
mkdir -p /var/www/letsencrypt/.well-known/acme-challenge chown -R www-data:www-data /var/www/letsencrypt chmod -R 775 /var/www/letsencrypt
Anlegen des virtuellen Hosts:
nano /etc/nginx/conf.d/HttpGateway.conf
Inhalt des “HTTP-Gateways”:
server { listen 80 default_server; listen [::]:80 default_server; server_name nextcloud.hoeglinger.name; root /var/www; location ^~ /.well-known/acme-challenge { default_type text/plain; root /var/www/letsencrypt; } location / { return 301 https://$host$request_uri; } }
nginx Selbsttest und Service neu starten:
nginx -t
service nginx restart
Funktion des Webservers zur Zertifikats-Generierung überprüfen
Anlegen einer Text-Datei mit beliebigem Inhalt:
echo "Test" >> /var/www/letsencrypt/.well-known/acme-challenge/test.txt
Test-Datei im Browser abrufen: http://nextcloud.hoeglinger.name/.well-known/acme-challenge/test.txt Test-Datei nach erfolgreichem Test löschen:
rm -f /var/www/letsencrypt/.well-known/acme-challenge/test.txt
TLS-Zertifikate für Nextcloud generieren
In den Kontext des Users ’letsencrypt’´wechseln:
su - letsencrypt
Ausstellen des RSA-Zertifikats:
acme.sh --issue -d nextcloud.hoeglinger.name --keylength 4096 -w /var/www/letsencrypt --key-file /etc/letsencrypt/nextcloud.hoeglinger.name/rsa/key.pem --ca-file /etc/letsencrypt/nextcloud.hoeglinger.name/rsa/ca.pem --cert-file /etc/letsencrypt/nextcloud.hoeglinger.name/rsa/cert.pem --fullchain-file /etc/letsencrypt/nextcloud.hoeglinger.name/rsa/fullchain.pem --reloadcmd "sudo /bin/systemctl reload nginx.service"
Ausstellen des ECDSA-Zertifikats:
acme.sh --issue -d nextcloud.hoeglinger.name --keylength ec-384 -w /var/www/letsencrypt --key-file /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/key.pem --ca-file /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/ca.pem --cert-file /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/cert.pem --fullchain-file /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/fullchain.pem --reloadcmd "sudo /bin/systemctl reload nginx.service"
Abmelden des Benutzers ’letsencrypt'
exit
Diffie-Hellman-Parameter generieren
Das kann schon mal einige Zeit dauern. Nur Geduld.
mkdir -p /etc/nginx/dhparams openssl dhparam -out /etc/nginx/dhparams/dhparams.pem 4096
Den Webserver für Nextcloud vorbereiten
SSL konfigurieren
Anlegen der allgemeinen SSL-Konfiguration:
mkdir -p /etc/nginx/snippets nano /etc/nginx/snippets/ssl.conf
Inhalt der Datei:
# # SSL Configuration # ssl_protocols TLSv1.2 TLSv1.3; # SSL ciphers: RSA + ECDSA # Two certificate types (ECDSA, RSA) are needed. ssl_ciphers 'TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384'; # Diffie-Hellman parameter for DHE ciphersuites, recommended 4096 bits ssl_dhparam /etc/nginx/dhparams/dhparams.pem; # Use multiple curves. ssl_ecdh_curve secp521r1:secp384r1; # Server should determine the ciphers, not the client ssl_prefer_server_ciphers on; # SSL session handling ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # See https://letsencrypt.org/2024/12/05/ending-ocsp/ #ssl_stapling on; #ssl_stapling_verify on; # DNS resolver resolver 192.168.178.1;
Header-Konfiguration vornehmen
Anlegen einer allgemeinen Konfiguration für die vom Webserver auszuliefernden Header:
nano /etc/nginx/snippets/headers.conf
Inhalt der Datei:
# # Header configuration # add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload;" always; add_header X-Content-Type-Options "nosniff" always; add_header X-XSS-Protection "1; mode=block" always; add_header X-Robots-Tag "noindex, nofollow" always; add_header X-Download-Options noopen always; add_header X-Permitted-Cross-Domain-Policies none always; add_header Referrer-Policy no-referrer always; add_header X-Frame-Options "SAMEORIGIN" always; fastcgi_hide_header X-Powered-By;
Einen virtuellen Host für Nextcloud anlegen
Virtuellen Host anlegen:
nano /etc/nginx/conf.d/nextcloud.hoeglinger.name.conf
Inhalt des virtuellen Hosts:
upstream php-handler { server unix:/run/php/php8.5-fpm.sock; } # Set the `immutable` cache control options only for assets with a cache busting `v` argument map $arg_v $asset_immutable { "" ""; default "immutable"; } server { listen 443 ssl; listen [::]:443 ssl; http2 on; server_name nextcloud.hoeglinger.name 192.168.178.55; # Path to the root of your installation root /var/www/nextcloud; # SSL configuration # RSA certificates ssl_certificate /etc/letsencrypt/nextcloud.hoeglinger.name/rsa/fullchain.pem; ssl_certificate_key /etc/letsencrypt/nextcloud.hoeglinger.name/rsa/key.pem; # ECC certificates ssl_certificate /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/fullchain.pem; ssl_certificate_key /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/key.pem; # This should be ca.pem (certificate with the additional intermediate certificate) # See here: https://certbot.eff.org/docs/using.html # ECC ssl_trusted_certificate /etc/letsencrypt/nextcloud.hoeglinger.name/ecdsa/ca.pem; # Include SSL configuration include /etc/nginx/snippets/ssl.conf; # Include headers include /etc/nginx/snippets/headers.conf; # The settings allows you to optimize the HTTP2 bandwidth. # See https://blog.cloudflare.com/delivering-http-2-upload-speed-improvements/ # for tuning hints client_body_buffer_size 512k; include mime.types; types { text/javascript mjs; } # set max upload size and increase upload timeout: client_max_body_size 10G; client_body_timeout 300s; fastcgi_buffers 64 4K; # Enable gzip but do not remove ETag headers gzip on; gzip_vary on; gzip_comp_level 4; gzip_min_length 256; gzip_proxied expired no-cache no-store private no_last_modified no_etag auth; gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy; # Pagespeed is not supported by Nextcloud, so if your server is built # with the `ngx_pagespeed` module, uncomment this line to disable it. #pagespeed off; # Specify how to handle directories -- specifying `/index.php$request_uri` # here as the fallback means that Nginx always exhibits the desired behaviour # when a client requests a path that corresponds to a directory that exists # on the server. In particular, if that directory contains an index.php file, # that file is correctly served; if it doesn't, then the request is passed to # the front-end controller. This consistent behaviour means that we don't need # to specify custom rules for certain paths (e.g. images and other assets, # `/updater`, `/ocm-provider`, `/ocs-provider`), and thus # `try_files $uri $uri/ /index.php$request_uri` # always provides the desired behaviour. index index.php index.html /index.php$request_uri; # Rule borrowed from `.htaccess` to handle Microsoft DAV clients location = / { if ( $http_user_agent ~ ^DavClnt ) { return 302 /remote.php/webdav/$is_args$args; } } location = /robots.txt { allow all; log_not_found off; access_log off; } # Make a regex exception for `/.well-known` so that clients can still # access it despite the existence of the regex rule # `location ~ /(\.|autotest|...)` which would otherwise handle requests # for `/.well-known`. location ^~ /.well-known { # The rules in this block are an adaptation of the rules # in `.htaccess` that concern `/.well-known`. location = /.well-known/carddav { return 301 /remote.php/dav/; } location = /.well-known/caldav { return 301 /remote.php/dav/; } location /.well-known/acme-challenge { try_files $uri $uri/ =404; } location /.well-known/pki-validation { try_files $uri $uri/ =404; } # Let Nextcloud's API for `/.well-known` URIs handle all other # requests by passing them to the front-end controller. return 301 /index.php$request_uri; } # Rules borrowed from `.htaccess` to hide certain paths from clients location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/) { return 404; } location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) { return 404; } # Ensure this block, which passes PHP files to the PHP process, is above the blocks # which handle static assets (as seen below). If this block is not declared first, # then Nginx will encounter an infinite rewriting loop when it prepends `/index.php` # to the URI, resulting in a HTTP 500 error response. location ~ \.php(?:$|/) { # Required for legacy support rewrite ^/(?!index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+|.+\/richdocumentscode\/proxy) /index.php$request_uri; fastcgi_split_path_info ^(.+?\.php)(/.*)$; set $path_info $fastcgi_path_info; try_files $fastcgi_script_name =404; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param PATH_INFO $path_info; fastcgi_param HTTPS on; fastcgi_param modHeadersAvailable true; # Avoid sending the security headers twice fastcgi_param front_controller_active true; # Enable pretty urls fastcgi_pass php-handler; fastcgi_intercept_errors on; fastcgi_request_buffering off; fastcgi_max_temp_file_size 0; fastcgi_read_timeout 600; fastcgi_send_timeout 600; fastcgi_connect_timeout 600; fastcgi_param PHP_VALUE "upload_max_filesize = 10G post_max_size = 10G max_execution_time = 3600 output_buffering = off"; } location ~ \.(?:css|js|svg|gif|png|jpg|ico|wasm|tflite|map|ogg|flac)$ { try_files $uri /index.php$request_uri; add_header Cache-Control "public, max-age=15778463, $asset_immutable"; access_log off; # Optional: Don't log access to assets location ~ \.wasm$ { default_type application/wasm; } } location ~ \.woff2?$ { try_files $uri /index.php$request_uri; expires 7d; # Cache-Control policy borrowed from `.htaccess` access_log off; # Optional: Don't log access to assets } # Rule borrowed from `.htaccess` location /remote { return 301 /remote.php$request_uri; } location / { try_files $uri $uri/ /index.php$request_uri; } }
Test der nginx-Konfiguration:
nginx -t
Neustart des Webservers:
service nginx restart
Installation Nextcloud
Nextcloud herunterladen
Download der aktuellsten Nextcloud-Version, Entpacken und anschließendes Löschen des Archivs:
cd wget https://download.nextcloud.com/server/releases/latest.tar.bz2 tar -xjf latest.tar.bz2 -C /var/www rm latest.tar.bz2
Verzeichnisrechte setzen:
chown -R www-data:www-data /var/www/nextcloud
Anlegen des Datenverzeichnisses
Datenverzeichnis außerhalb des Web-Roots anlegen und entsprechende Verzeichnis-Rechte setzen.
mkdir -p /var/nextcloud_data chown -R www-data:www-data /var/nextcloud_data mkdir -p /mnt/dataSSD/nextcloud/data/ chown -R www-data:www-data /mnt/dataSSD/nextcloud/data/
Eine Datenbank für Nextcloud erstellen
Anmeldung an die Datenbank:
mysql -u root -p
Nach erfolgreicher Anmeldung stehen Sie dann im Prompt von MariaDB:
MariaDB [(none)]>
Anlegen eines Datenbank-Benutzers für die Nextcloud:
CREATE USER nextclouduser@localhost IDENTIFIED BY 'pfmipLkHGKoBlE23';
Anlegen einer Datenbank für Nextcloud:
CREATE DATABASE nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
Berechtigungen des Nextcloud-Datenbank-Benutzers für die Datenbank setzen:
GRANT ALL PRIVILEGES on nextcloud.* to nextclouduser@localhost;
Berechtigungen der Datenbank neu laden:
FLUSH privileges;
MariaDB-Kommandozeile beenden:
exit;
Das Setup von Nextcloud ausführen # Aufruf der Nextcloud-URL im Browser (nextcloudfuerdummies.decatec.de ist durch eigenen Domain zu ersetzen): https://nextcloudfuerdummies.decatec.de Daten für das Setup für Nextcloud:
• **Anmelden**: beliebiger Benutzername (automatisch Benutzer mit Admin-Rechten in der Cloud) • **Passwort**: Ein beliebiges, sicheres Passwort • **Datenverzeichnis**: ///var/nextcloud/data// • **Datenbank einrichten**: MySQL/MariaDB (falls hier eine Auswahl angeboten wird) • **Datenbankkonto**: Der Datenbank-Benutzer für Nextcloud (//nextclouduser//) • **Datenbank-Passwort**: Das Passwort des Datenbank-Benutzers für Nextcloud • **Datenbank-Name**: Name der Datenbank, welche für Nextcloud angelegt wurde (//nextcloud//) • **Datenbank-Host**: Maschine, auf der die Datenbank zu finden ist (//localhost//)
Weiter mit einem Klick auf “Installieren” Die Installation der “Empfohlenen Apps sollte” mit “Überspringen” abgelehnt werden.
Die Nextcloud-Installation optimieren
Sichern der config.php von Nextcloud. Den Benutzernamen ‘jan’ müssen Sie natürlich durch Ihren eigenen Benutzernamen unter Linux ersetzen. Diese Datei enthält sensible Informationen, daher die Datei an einem Ort speichern, auf den nur Sie Zugriff haben.
cp /var/www/nextcloud/config/config.php /home/eugen/config.php
Festlegen einer Startzeit für das Wartungsfenster
Öffnen der Konfigurationsdatei von Nextcloud:
nano /var/www/nextcloud/config/config.php
Angabe der Startzeit des Wartungszeitfensters am Ende der Datei, aber noch vor der schließenden Klammer:
'maintenance_window_start' => 1,
Hinweis: Angabe erfolgt hier in UTC. Ein Wert von ‘1’ bedeutet hier also 01:00 UTC und dementsprechend 02:00 MEZ/03:00 MESZ.
Redis für transaktionale Dateisperren nutzen
config.php öffnen:
nano /var/www/nextcloud/config/config.php
Folgende Zeilen am Ende der Datei (aber vor der letzten schließenden Klammer) einfügen:
'filelocking.enabled' => true, 'memcache.locking' => '\OC\Memcache\Redis', 'redis' => array ( 'host' => '/var/run/redis/redis-server.sock', 'port' => 0, 'timeout' => 0.0, ),
Die Änderungen werden mit dem Speichern der config.php aktiv.
Konfiguration eines Speichercaches
config.php öffnen:
nano /var/www/nextcloud/config/config.php
Am Ende (aber wieder vor der letzten schließenden Klammer) folgende Zeile einfügen:
'memcache.local' => '\OC\Memcache\APCu', 'memcache.distributed' => '\OC\Memcache\Redis',
Standard-Telefonregion festlegen
Öffnen der Konfigurationsdatei von Nextcloud:
nano /var/www/nextcloud/config/config.php
Angabe der Standard-Telefonregion am Ende der Datei, aber noch vor der schließenden Klammer:
'default_phone_region' => 'AT',
Einstellungen zum E-Mail-Server
Tragen Sie zunächst in den persönlichen Einstellungen Ihre private Mail-Adresse unter “E-Mail-Adresse” ein. Anschließend legen Sie ein neues E-Mail-Postfach an, welches nur für den Versand von Mail über die Nextcloud dient. Dazu können Sie auch einen beliebigen Freemail-Service nutzen. In den Admin-Einstellungen unter “Grundeinstellungen” muss anschließend der SMTP-Zugang konfiguriert werden. Hier eine Auswahl an SMTP-Einstellungen einiger Freemail-Anbieter:
• Google Mail: https://support.google.com/mail/answer/7126229?hl=de#zippy=%2Cschritt-smtp--und-andere-einstellungen-im-e-mail-client-%C3%A4ndern • GMX: https://hilfe.gmx.net/pop-imap/pop3/serverdaten.html • web.de: https://hilfe.web.de/pop-imap/imap/imap-serverdaten.html
Einen Cronjob für Nextcloud einrichten
Crontab des Users www-data bearbeiten:
crontab -u www-data -e
Fügen Sie folgende Zeile ein:
*/5 * * * * php -f /var/www/nextcloud/cron.php > /dev/null 2>&1
In den Admin-Einstellungen unter ‘Grundeinstellungen’ sollte in der Nextcloud nun automatisch der Eintrag ‘Cron (Empfohlen)’
Die Nextcloud-Installation anpassen, wenn am Server auch andere Programme laufen sollen
Die Configuration von Nextcloud verschieben
mv /etc/nginx/conf.d/nextcloudfuerdummies.decatec.de.conf /etc/nginx/sites-available/nextcloud.conf
Oder wenn die nicht existiert, dann
mv /etc/nginx/conf.d/nextcloud.conf /etc/nginx/sites-available/nextcloud.conf
Symlink setzen
ln -s /etc/nginx/sites-available/nextcloud.conf /etc/nginx/sites-enabled/nextcloud.conf
Nginx testen und neu laden
nginx -t
systemctl reload nginx
Fehlende Include‑Zeile einfügen
Datei öffnen
nano /etc/nginx/nginx.conf
Und füge innerhalb des http { … }‑Blocks, direkt unter der Zeile:
include /etc/nginx/conf.d/*.conf;
diese Zeile ein:
include /etc/nginx/sites-enabled/*.conf;
Der Block muss danach so aussehen:
http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; keepalive_timeout 65; server_tokens off; include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*.conf; }
Speichern: CTRL+O Enter Beenden: CTRL+X Nginx testen
nginx -t
Muss „successful“ melden. Nginx neu laden
systemctl reload nginx
Port 443 testen
openssl s_client -connect wiki.hoeglinger.name:443 -servername wiki.hoeglinger.name | grep subject=
