Configurez et sécurisez Nextcloud.
Dans ce deuxième tutoriel, travaillez sur prochain nuage, nous verrons comment configurer et sécuriser Nextcloud grâce à quelques options intéressantes du logiciel. Vous avez donc une dropbox self-made fiable et efficace, si vous ne connaissez pas Nextcloud, vous pouvez vous référer à ce tutoriel : Nextcloud promet une boîte de dépôt.
Terminez l’installation de Nextcloud
Ouvrez ensuite un navigateur et accédez au nom de domaine/adresse IP du serveur. Vous devriez voir apparaître l’assistant d’installation de NextCloud.
Tout d’abord, créez un compte d’administrateur local pour NextCloud. L’indication en bas du champ du mot de passe vous indiquera la force du mot de passe. Cette barre doit être verte pour une sécurité maximale.
puis clique base de données de configuration et entrez les informations ci-dessus (utilisateur, mot de passe et nom de la base de données) et terminez l’installation….
prévenir! ! ! Si vous vous souvenez, dans le premier tutoriel, nous avons déjà créé une base de données (elle est utilisée pour les opérations de Nextcloud). C’est votre base de données personnelle qui stockera vos données, c’est totalement différent.
Vous accéderez alors à l’interface principale de Nextcloud.
Lors d’une nouvelle installation de Nextcloud, si vous allez sur Paramètres -> Administration -> Présentation Vous verrez apparaître une série d’avertissements de sécurité.
Dans mon cas, j’ai 9 avertissements plus ou moins sévères. Voyons comment les traiter.
Activer le fichier .htaccess
La première question concerne les fichiers .htaccess. Ce fichier .htaccess Prise en compte de la nécessité d’apporter des modifications au dossier apache2.conf.
Je vous recommande de sauvegarder vos fichiers avant (ce conseil s’applique à toutes les modifications de fichiers dans ce tutoriel).
# cp apache2.conf apache2.bak
ouvrir un fichier /etc/apache2/apache2.conf et modifier la pièce /var/www/ En remplaçant le fichier de configuration existant par le fichier de configuration suivant :
Option Index FollowSymLinks AllowOverride All Request Grant All
prévenir! ! ! Pour que les modifications soient prises en compte, n’oubliez pas de redémarrer le service Apache avec la commande service apache2.
activer le cache
En installant un système de cache, vous rendrez votre application plus rapide. Pour cela, un logiciel supplémentaire doit être installé. serveur redis et certaines dépendances PHP.
# apt-get install php-apcu redis-server php-redis -y
L’installation est terminée, modifiez le fichier redis.conf C’est à /etc/redis/
# vim /etc/redis/redis.conf
puis trouver la commande Port et remplacez le port 6379 par le port 0. En changeant de port, Redis n’écoutera pas sur le port TCP.
Ensuite, décommentez les paramètres suivants :
unixsocket /var/run/redis/redis.sock unixsocketperm 700
Enfin, nous devons remplacer les autorisations unixsocketperm par 770.
Enregistrez le fichier et quittez.
Vous devez maintenant ajouter l’utilisateur redis au groupe Apache avec la commande suivante :
# usermod -a -G redis www-data
Redémarrez le service Apache du serveur, puis démarrez le service Redis.
# service apache2 restart # service redis-server start
Que dois-je faire si le service Redis ne démarre pas
C’est 3 solutions Démarrez un service Redis têtu. Il s’agit d’une erreur classique lors du démarrage du service Redis après l’installation de l’instance Nextcloud.
Première solution.
Si vous avez le message ci-dessus ou d’autres, je vous recommande de réexécuter la commande ci-dessous pour vous assurer que toutes les autorisations sont correctement localisées.
# adduser –system –group –no-create-home redis # sudo chown redis:redis /var/lib/redis # sudo chmod 770 /var/lib/redis
deuxième option.
Tout d’abord, je vous suggère de consulter les fichiers journaux Redis à cet endroit : /var/log/redis/redis-server.logLe problème rencontré par le service Redis est qu’il va vous le dire.
Ici, nous pouvons voir que nous avons deux problèmes :
- Le réglage dans le fichier de configuration permet d’ouvrir plus de fichiers que notre système ne prend en charge.
- Nous avons des problèmes d’autorisation avec le répertoire car le fichier socket ne peut pas être créé
Pour résoudre le premier problème, vous devez modifier le fichier /lib/systemd/system/redis-server.service et ajoutez-le à zone de service :
Limite NOFILE=64000
puis redémarrez le service
# systemctl daemon-reload # service redis-server restart
Enfin, pour résoudre le deuxième problème, il vous suffit d’attribuer les bonnes autorisations avec :
# chown redis:redis /var/run/redis/ # chmod g+w /var/run/redis/
Et généralement, le service redis-server démarre sans problème.
La dernière étape pour activer la mise en cache sur nextcloud, il faut modifier le fichier de configuration /var/www/html/nextcloud/config/config.php et à la fin du fichier ajoutez :
‘memcache.local’ => ‘OCMemcacheAPCu’, ‘skeletondirectory’ => », ‘memcache.locking’ => ‘\OC\Memcache\Redis’, ‘filelocking.enabled’ => ‘true’, ‘redis’ => array(‘host’ => ‘/var/run/redis/redis.sock’, ‘port’ => 0, ‘timeout’ => 0.0, ),
prévenir! ! ! Déterminer les paramètres Répertoire des squelettes apparaître dans votre dossier fichier de configurationCe fichier vous permettra de définir des chemins vers des dossiers et des fichiers qui seront copiés dans tous les nouveaux répertoires d’utilisateurs. Son absence crée des problèmes de connexion.
Vous devez maintenant redémarrer le serveur pour prendre en compte les modifications. Assurez-vous que le serveur Redis démarre avec votre système avec la commande suivante :
# systemctl active le serveur redis
Configurer PHP OPCache
Cache d’actions est une extension PHP qui doit être installée et activée sur l’instance NextCloud. Il se situe entre le serveur Web et le processeur et optimise le flux de travail. Par conséquent, l’extension Opcache met en cache le binaire généré afin qu’il puisse être servi lors du deuxième appel sans avoir à revenir au code source ou à générer à nouveau le binaire C, supprimant tout le temps de compilation du flux de travail. C’est presque magique !
modifier le fichier php.ini et ajoutez la ligne suivante à la fin du fichier :
; Ensemble Nextcloud Opcache opcache.enable=1 opcache.enable_cli=1 opcache.interned_strings_buffer=8 opcache.max_accelerated_files=10000 opcache.memory_consumption=128 opcache.save_comments=1 opcache.revalidate_freq=1 # vim /etc/php/7.0/apache2/ php.ini
duper! ! ! Pour aller à la fin du fichier avec Vim, tapez SHIFT + G
Redémarrez ensuite le service Apache pour prendre en compte les modifications.
# Redémarrage du service apache2
Utilisation des commandes de gestion OCC
Owncloud legacy, vous pouvez utiliser des commandes pour gérer votre instance Nextcloud.
Ce Commande OCC Situé dans le répertoire d’installation de Nextcloud, /var/www/nextcloud sur Ubuntu. Les commandes OCC sont des scripts PHP.
Pour exécuter ces commandes, utilisez l’utilisateur www-données, qui vous permet d’exécuter des scripts PHP.Voici la commande pour s’assurer que tout fonctionne
# sudo -u www-data php /var/www/html/nextcloud/occ -V
Si la version Nextcloud est présente, vous pouvez utiliser la commande OCC.
information! ! ! Cliquez sur ce lien et vous trouverez une documentation complète sur l’utilisation des commandes OCC : Commandes OCC pour Nextcloud
Lors de mon installation, certaines colonnes de la base de données (filecache.mtime et filecache.storage_mtime) n’ont pas été converties en big int. Nous devrons utiliser cette commande pour effectuer cette transformation :
# sudo -u www-data php /var/www/html/nextcloud/occ db:convert-filecache-bigint
Autoriser la découverte de service
Certains clients, en particulier sur iOS/macOS, ont des difficultés à trouver la bonne URL de synchronisation, même s’ils sont explicitement configurés pour l’utiliser.
si vous voulez utiliser Clients CalDAV (synchronisation du calendrier) ou Carte DAV (Address Book Sync) ou d’autres clients qui nécessitent une découverte de service avec Nextcloud. Il est important d’utiliser l’URL suivante pour une configuration de travail correcte :
https://example.com/.well-known/carddav https://example.com/.well-known/caldav https://example.com/.well-known/webfinger
Si votre instance Nextcloud est installée dans un sous-dossier nommé nextcloud (par exemple) et que vous exécutez Apache, créez ou modifiez ce fichier .htaccess apparaissent dans le répertoire racine du répertoire d’installation du serveur web Apache (/var/www/html) et ajoutez la ligne suivante :
Redirection 301 /.well-known/carddav « /nextcloud/remote.php/dav » Redirection 301 /.well-known/caldav « /nextcloud/remote.php/dav » Redirection 301 /.well-known/webfinger « /nextcloud /public.php?service=webfinger »
prévenir! ! ! Assurez-vous de remplacer le sous-dossier /nextcloud par le sous-dossier de l’instance Nextcloud en cours d’exécution.
Pour l’instant vous ne devriez qu’être choqué par la mise en place du HTTPS, qui fera l’objet d’un autre tutoriel.
Vérifiez la sécurité de Nextcloud
Avant de terminer ce tutoriel, il faut maintenant faire un Audit de sécurité de l’installation de Nextcloud.
si vous entrez Paramètres -> Administration -> PrésentationCliquez sur Notre analyse de sécuritéVous serez redirigé vers ce site Analyse de sécurité Nextcloud.
Copiez votre URL et cliquez balayage.
Vous verrez une liste de divers problèmes (le cas échéant). Si vous suivez ce tutoriel, votre note doit être au moins A.
Mettre à jour Nextcloud
Les développeurs NextCloud sont réactifs et publient régulièrement des mises à jour pour corriger les bugs, ajouter des fonctionnalités et même résoudre les problèmes de sécurité.
Nextcloud peut être mis à jour de deux manières :
- par ligne de commande
- Via son interface graphique (nous verrons cette dernière dans ce tutoriel)
Connectez-vous en tant qu’administrateur sur Nextcloud et accédez à Administration -> Présentation -> Versions -> Ouvrir le système de mise à jour.
Indique toutes les étapes pour mettre à jour l’instance Nextcloud.Il ne vous reste plus qu’à cliquer Démarrer et laissez la mise à jour s’exécuter.
prévenir! ! ! cette partie Créer une sauvegarde Peut-être plus ou moins long, selon la taille de la base de données ?
Lorsqu’une mise à jour de fichier se produit. Le mode maintenance est activé, interdisant les nouvelles connexions.
Une fois la mise à jour terminée, il vous sera demandé de désactiver le mode maintenance (en cliquant sur Ne pas) ou…
Stay connected