owncloud

ownCloud ist eine open-source Software zur Verteilung von Daten (Filehosting) und stellt auch andere Funktionen wie Kalender zur Verfügung. Im Gegensatz zu vergleichbaren Lösungen (dropbox, strato hidrive, icloud, google drive, …) ist man nicht von einem cloud-Anbieter abhängig sondern kann mit eigenen Servern diese Dienste bereitstellen.

Aufgrund der stärkeren enterprise-Ausrichtung von owncloud hat sich nextcloud abgespalten.

Nextcloud hat durch die Implementierung vieler features und apps mittlerweise eine dominante Stellung gegenüber owncloud.

ownCloud Infinite Scale ist der Versuch (aktuell preview-stadium) eine neue Plattform auf der Basis von microservices und der Programmierspache go zu etablieren. Fokus liegt hier auf Skalierung und Architektur, es scheint eher den Fokus der Hoster und Provider zu haben als Privatkunden und KMU.

• owncloud
• owncloud demo
• owncloud installieren
• Maintenance and Release Schedule
• Clients für Linux, Windows, MAC, Android, iOs
• Configuring PHP Memory Caching
• changelog
• Owncloud 8: Google Drive einbinden
• Owncloud 8 installieren - Raspberry Pi + nginx
• Betrieb und Sicherheit von ownCloud (BSI)
• Zeitstempel von .eml-Dateien wird beim Zugriff aktualisiert

• Dateisync ähnlich zu dropbox, Client-Software stellt syncronisiertes Verzeichnis bereit
• Netzlaufwerks-Zugriff per Webdav mit verbreiteten Clients: https://SERVER/remote.php/webdav
• Kalender (CalDAV) https://SERVER/remote.php/caldav/
  • Android: Sync per App (CalDAV Sync
  • iOS (iphone, ipad, …): mit Bordmitteln als CalDAV-Kalender einrichten
  • Thunderbird: mit SogoConnector, … über Adresse
• Adressbuch: https://SERVER/owncloud/remote.php/carddav/addressbooks/USER/contacts
  • Android: CardDAV mit CardDAV Sync (fuunktioniert bei mir im Test nicht)
  • iOS (iphone, ipad, …): http://doc.owncloud.org/server/4.5/user_manual/sync_ios.html|mit Bordmitteln als CardDAV-Adressbuch einrichten

Grundsätzliche Schritte:

• Webpacket, virtuellen Server oder Root-Server aussuchen (idealerweise mit SSH-Zugriff, nicht zu billig wg. Leistung)
• LAMP-Paket installieren (incl. php5-curl)
• Installationspaket in htdocs-Ordner herunterlagen (wget von owncloud.org) oder Pakete von owncloud installieren (falls SSH-Zugriff möglich)
• per phpmyadmin oder Kundenmenu einen mysql-Benutzer anlegen
• Webseite mit Installer aufrufen (Benötigte Infos: MySQL-Server, Datenbankname, MySQL-Benutzer, MySQL-Passwort)
• ggf. Dateirechte fixen
• HTTPS einrichten
• PHP-Cache und HSTS einrichten, siehe Admin-Seite
• upload-limits erhöhen

Aus Administrativer Sicht:

1. Erweiterungen werden nach Updates immer wieder mal deaktiviert (Kalender, …)
2. (mindestens) die Debian-Pakete vom opensuse-Build-Service nehmen keine Anpassungen der Datenbank vor, bis diese abgeschlossen wurden (per Web oder Kommandozeile) kann owncloud nicht benutzt werden.
3. hin und wieder sync-Bugs (u.a. mit symlinks), unbedingt Backups anfertigen!
4. der Server sollte genug Leistung haben, kleine embedded-System wie der Rasperry pie sind überfordert

• selektiver Sync, bis Clientversion 1.7 gab es keine wirklich gute Lösung auf bestimmten Rechnern (Netbook?) bestimmte Ordner (z.B. Musiksammlung) von der Syncronisierung auszuschließen.
• nur ein Account pro lokalem Benutzername, vor Clientversion 2.x ging pro lokalem Benutzer im Client nur ein Benutzer auf einem owncloud-Server
• Warnung vor großen Downloads: ab 2.x ab 500G pro Ordner Warnung
• Freigabe-Links vom Desktop (Windows-Client ab 2.x), kein extra Icon aber Freigabe aktivier- und deaktivierbar

Wird noch eine Weile aktuell bleiben: Sync only the file change, not entire file #179 oder auch: Incremental Sync in ownCloud. Geänderte Dateien werden als ganzes hochgeladen auch wenn nur wenige Byte dazu gekommen sind. Problematisch ist dies bei VM-Images und Truecrypt-Containern die damit mit owncloud nicht sinvoll zu benutzen sind.

Viele Benutzungsszenarien profitieren allerdings nicht von delta-sync: kleine Dateien, komprimierte Dateien und bei Einbindung von externem Speicher.

https://github.com/owncloud/android/issues/10

Seit der Version 8.1.x ist die file-locking-Unterstützung bei Zugriff über Webdav entfallen. Je nach Client hat das keine bis ernsthafte Auswirkung:

1. Linux (davfs2): Nur Warnmeldung
2. MacOS/Finder (WebDAVFS): Laufwerk wird lediglich schreibgeschützt eingebunden! Ein entsprechender workaround ist entwickelt aber bisher für Version 9.x vorgesehen, möglicherweise wird er zurückportiert auf 8.1.x/8.2x, die Entscheidung steht noch aus wie man im Bugticket #17732 ablesen kann.

• Hardening and Security Guidance befolgen
• ssltest vornehmen
• Nextcloud Security Scan
• Webserver absichern (SSL-Konfiguration)
• Betriebbssystem absichern

• Gerätepasswörter: Alle Benutzer sollten ihre Geräte (Handy/Laptop) namentlich per Gerätepasswort eintragen: Benutzer → Einstellungen → Sicherheit ( https://domain.tld/index.php/settings/user/security ) damit immer klar ist welchen Gerät wann zugegriffen hat. Das allgemeine Passwort sollte nur per Web (in Ausnahmefällen) verwendet werden.
• möglichst 2-Faktor-Authentifizierung das das Web benutzen

Die Standard-Einstellungen müssen verändert werden, die transaction-isolation ist nämlich standardmäßig REPEATABLE-READ (muss READ-COMMITTED sein, siehe https://doc.owncloud.org/server/9.1/admin_manual/installation/system_requirements.html#database-requirements-for-mysql-mariadb)

In der /etc/mysql/my.cnf bzw. /etc/mysql/mysql.conf.d/mysqld.cnf:

[mysqld]
...
# owncloud
binlog-format = MIXED
transaction-isolation = READ-COMMITTED

APC(u):

• bis incl. PHP-Version 5.4 (debian:Debian Wheezy):

  aptitude install php-apc && /etc/init.d/apache2 reload

• ab PHP-Version 5.5 (debian:Debian Jessie):

  aptitude install php5-apcu && /etc/init.d/apache2 reload

• ab PHP-Version 7.0 (debian:Debian Jessie):

  aptitude install php-apcu && /etc/init.d/apache2 reload

Für den Cronjob per php-cli eintragen: In /etc/php5/cli/php.ini oder /etc/php/7.0/cli/php.ini

apc.enable_cli=1

config.php:

'memcache.local' => '\\OC\\Memcache\\APC',

in neueren Version (ab 10.2 oder 10.3):

'memcache.local' => '\OC\Memcache\APCu',

HSTS in Apache aktivieren:

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=15768000"
</IfModule>

service apache2 restart

ggf. das Modul headers aktivieren:

 a2enmod headers && service apache2 restart

Beispiel für 15Minuten (Standard ist 24h):

<?php
$CONFIG = array (
  ...
  'session_lifetime' => '60*15',
  ...
);

sudo -u www-data php occ maintenance:mode --on

oder in der config/config.php:

 maintenance" => true,

Damit owncloud in frames funktioniert muss eine Zeile in der config/onfig.php ergänzt werden:

<?php
$CONFIG = array (
  ...
  'xframe_restriction' => false,
  ...
);

Um den Pfad des Datenverzeichnisses von owncloud zu ändern sind leider viele manuelle Schritte notwendig, unter anderem Änderungen in der Datenbank und Dateianpassungen (maintenance-Modus anschalten!). Dies kann durch symbolische Links von dem alten und das neue Verzeichnis vermieden werden. Ansonsten dieser Anleitung folgen: https://doc.owncloud.com/server/admin_manual/maintenance/manually-moving-data-folders.html

Mindestens diese Schritte sind notwendig:

$CONFIG = array (
  'datadirectory' => '/NEW/DIR/data',

UPDATE oc_accounts
  SET home = REPLACE(
    home,
    '/OLD/DIR/',
    '/NEW/DIR/'
  );

Bei nextcloud ist die Sache etwas anders: https://help.nextcloud.com/t/howto-change-move-data-directory-after-installation/17170 .

Sqlite ist für den Mehrbenutzerbetrieb nicht gut geeignet da die Datenbank als Datei auf dem Server liegt und bei jedem Zugriff gelesen wird, das kostet Performance.

Konvertierung am Beispiel von owncloud 7.0.1:

1. das Skript „occ“ muss ausführbar gemacht werden, es befindet sich im Stammordner der owncloud-Installation (z.B. /var/www/owncloud)

   chmod +x occ

2. Mysql muss installiert sein (Paket mysql-server bei Debian) und (z.B. mit phpmyadmin) ein Benutzer + eine leere Datenbank mit allen Rechten für diesen Benutzer angelegt sein.
3. das occ-Skript wird zur Konvertierung gestartet (im Beispiel ist der DB-Benutzer: owncloud mit Passwort „geheim“ auf Server „localhost“ mit der Datenbank „owncloudDBName“):

   ./occ db:convert-type --password="geheim" --all-apps mysql owncloud localhost owncloudDBName

   Creating schema in new database
   The following tables will not be converted:
   oc_permissions
   Continue with the conversion?y
   oc_activity
    3780/3784 [===========================>]  99%
   oc_activity_mq
       0/0 [============================]   0%
   oc_appconfig
    85/85 [============================] 100%
   oc_clndr_calendars
    11/11 [============================] 100%
   oc_clndr_objects
    31/31 [============================] 100%
   oc_clndr_repeat
    66/66 [============================] 100%
   oc_clndr_share_calendar
     0/0 [============================]   0%
   oc_clndr_share_event
     0/0 [============================]   0%
   oc_contacts_addressbooks
    7/7 [============================] 100%
   oc_contacts_cards
    0/0 [============================]   0%
   oc_contacts_cards_properties
    0/0 [============================]   0%
   oc_documents_invite
    0/0 [============================]   0%
   oc_documents_member
    0/0 [============================]   0%
   oc_documents_op
    0/0 [============================]   0%
   oc_documents_revisions
    0/0 [============================]   0%
   oc_documents_session
    0/0 [============================]   0%
   oc_file_map
    0/0 [============================]   0%
   oc_filecache
    3225/3226 [===========================>]  99%
   oc_files_trash
    28/28 [============================] 100%
   oc_gallery_sharing
     0/0 [============================]   0%
   oc_group_admin
    4/4 [============================] 100%
   oc_group_user
    14/14 [============================] 100%
   oc_groups
    5/5 [============================] 100%
   oc_jobs
    2770/2771 [===========================>]  99%
   oc_locks
       0/0 [============================]   0%
   oc_lucene_status
    38/38 [============================] 100%
   oc_mimetypes
    36/36 [============================] 100%
   oc_pictures_images_cache
     0/0 [============================]   0%
   oc_preferences
    29/29 [============================] 100%
   oc_privatedata
     0/0 [============================]   0%
   oc_properties
     0/0 [============================]   0%
   oc_share
    11/11 [============================] 100%
   oc_share_external
     0/0 [============================]   0%
   oc_storages
    7/7 [============================] 100%
   oc_users
    9/9 [============================] 100%
   oc_vcategory
    31/31 [============================] 100%
   oc_vcategory_to_object
     0/0 [============================]   0%

Das Skript nimmt ebenfalls selbstständig die Einstellungen in der Konfigurationsdatei config/config.php vor.

SemperVideo - Owncloud 8: Datenbank auf MySQL konvertieren, eine Anleitung für Version 8 incl. Webmin.

Nach dem update auf Version 9.1.6 würden Code-Integritätswarnungen für das Calendar-Plugin ausgegeben. Das ist nun mit dem neuen App-store behoben:

config/config.php:

'appstoreurl' => 'https://marketplace.owncloud.com/api/v0', 

• Wartungsmodus einschalten: sudo -u www-data php /srv/www/occ maintenance:mode –on
• ..aus: sudo -u www-data php /srv/www/occ maintenance:mode –off
• Datenbank mit der Realität (=vorhandene Dateien) abgleichen: sudo -u www-data php /srv/www/occ files:scan –all
• shares, tags, comments aufräumen: sudo -u www-data php /srv/www/occ help files:cleanup