Jeg har for nylig købt mig en RPi, som jeg kunne tænke mig at installere OwnCloud på.
Det er lidt en jungle at finde rundt i de guides, der findes, og min store bekymring er, om jeg ender med at få sat den op bag en hullet si.
Kan nogen hjælpe mig med en henvisning til en brugbar installationsguide, og give mig nogle tips til, hvordan jeg sikrer, at folk (herunder ISP'er) ikke render og kigger i mine sager?
OwnCloud på Raspberry Pi
-
thj01
- Indlæg: 2667
- Tilmeldt: 21. nov 2006, 10:06
- Geografisk sted: Fredericia
Re: OwnCloud på Raspberry Pi
https://doc.owncloud.org/server/8.0/adm ... erver.html
??
Generelt er det ret krævende at sætte en webserver sikkert op. Det kræver stor viden om alt lige fra apache til PHP og derudover også generel serverviden. Og det virker ikke somom ret mange har haft lyst til at skrive den slags guides - måske netop fordi at en hvilken som helst guide altid vil være ufuldstændig. ...
??
Generelt er det ret krævende at sætte en webserver sikkert op. Det kræver stor viden om alt lige fra apache til PHP og derudover også generel serverviden. Og det virker ikke somom ret mange har haft lyst til at skrive den slags guides - måske netop fordi at en hvilken som helst guide altid vil være ufuldstændig. ...
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html
Kører LTS udgaverne.
"It's always easy if you know how to do it."
Kører LTS udgaverne.
"It's always easy if you know how to do it."
-
lath
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: OwnCloud på Raspberry Pi
Jacob Bahn skrev:Jeg har for nylig købt mig en RPi, som jeg kunne tænke mig at installere OwnCloud på.
Det er lidt en jungle at finde rundt i de guides, der findes, og min store bekymring er, om jeg ender med at få sat den op bag en hullet si.
Kan nogen hjælpe mig med en henvisning til en brugbar installationsguide, og give mig nogle tips til, hvordan jeg sikrer, at folk (herunder ISP'er) ikke render og kigger i mine sager?
Camlistore kunne måske være noget for dig.
http://camlistore.org/
Camlistore indeholder en indbygget web server, så du skal kun starte 1 server- program op for at få noget til at virke.
Selv om sidste stabile release er fra 3. august 2014, så er Camlistore under aktiv udvikling (se deres Git repository på GitHub.com).
Kig på Documentation-siden: http://camlistore.org/docs/ for hvordan du konfigurer henholdsvis serveren, og en klient. Den side har nederst også en 2 video tutorials, om Camlistore:
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
-
NickyThomassen
- Admin
- Indlæg: 3652
- Tilmeldt: 5. mar 2010, 19:58
- IRC nickname: nicky
- Geografisk sted: 192.168.20.42
Re: OwnCloud på Raspberry Pi
Hej Jacob
Det ene med det andet, og så er der gået tre måneder
Min anbefaling vil helt klart være bare at gøre det, og så prøve og lære lidt undervejs. Som thj01 skriver, er sikkerhed ikke nogen nem sag. Serverens forskellige tjenester skal sikres, og du bør finde en måde at opdage misbrug, som passer ind i hvordan du arbejder. Jeg bruger grep på nogle af logfilerne, og sender så matchende linier til min mail.
Den vigtigste tjeneste at sikre er SSH. root må ikke kunne logge ind, porten skal ændres til en ikke-standard og jeg vil anbefale at bruge certifikater, da de er længere end kodeord, og derfor sværere at misbruge. Du kan så evt. sætte SSH til at tillade kode-løs logon hvis man bruger et certifikat.
Det kan bl.a. gøres sådan her
Mappen .ssh skal findes på destinationen, ellers brokker SSH sig.
For selve webserveren bruger jeg kun Apache, da jeg syntes den er fleksibel og nem at sætte op. At den så er lidt langsommere end andre med nogen ting, betyder ikke det store for mig. En del af fleksibiliteten kommer fra, at nogle af dens indstillinger kan ændres 3 steder fra. Se dem som lag:
1. lag: Generelle serverindtillinger
2. lag: Generelle vhostindstillinger
3. lag: Specifikke mappeindstillinger med htaccess
En vhost er ganske enkelt en hjemmeside, og Apache kan have fra én til mange tusinder af dem.
På Debian ligger Apaches hovedkonfiguration i /etc/apache/apache.conf, og man bruger (eller rettere, Debian vil gerne have at man bruger) a2ensite, a2dissite, a2enmod og a2dismod til at tilføje og fjerne vhosts og moduler. Apache skal genstartes efter sådanne ændringer. Bemærk dog, at indstillinger om vhosts og moduler også kan skrives ind i hovedkonfigurationen, hvis du hellere vil det. Se evt. deres man-sider for detaljer.
I hovedkonfigurationen skrives ting ind som fx hvor mange processer Apache må bruge, men også standardindstillingerne, som kommer til at blive brugt af de enkelte vhosts. Det er fx kontaktadressen for admin. I de enkelte vhosts skriver man så oplysninger ind om hvor webfilerne er og den slags, imens htaccess bruges til at ændre indstillinger for én mappe. Bemærk at en fysisk mappe bliver til en sti når man besøger den, så fx DOCROOT/data på harddisken, bliver til DOMAIN.TLD/data for den besøgende. htaccess kan så oprettes i DOCROOT/data og fx sætte adgangskode på DOMAIN.TLD/data.
Af praktiske og sikkerheds hensyn fraråder jeg brugen af htaccess (det sænker webserveren at kigge efter den, og hvis filrettighederne er forkerte kan fremmede ændre den), men muligheden er der.
I Apache er den vigtigste indstilling i hovedkonfigurationen for version 2.4+ nok
Den fjerner adgang til hele harddisken, så det kun er mapper man specifikt tillader i de enkelte vhosts, som de besøgende kan få adgang til. Jeg vil meget gerne gennemgå den opsætning jeg bruger til OwnCloud, hvis du er interesseret? Den passer til Debian og Apache, men burde også virke på Pi'en. Hvis du fortæller lidt om hvordan du havde tænkt dig at tilslutte den til netværket, så kan jeg tilpasse eksemplerne så de umiddelbart kan bruges.
Og spørg endelig ind
Det ene med det andet, og så er der gået tre måneder
Min anbefaling vil helt klart være bare at gøre det, og så prøve og lære lidt undervejs. Som thj01 skriver, er sikkerhed ikke nogen nem sag. Serverens forskellige tjenester skal sikres, og du bør finde en måde at opdage misbrug, som passer ind i hvordan du arbejder. Jeg bruger grep på nogle af logfilerne, og sender så matchende linier til min mail.
Den vigtigste tjeneste at sikre er SSH. root må ikke kunne logge ind, porten skal ændres til en ikke-standard og jeg vil anbefale at bruge certifikater, da de er længere end kodeord, og derfor sværere at misbruge. Du kan så evt. sætte SSH til at tillade kode-løs logon hvis man bruger et certifikat.
Det kan bl.a. gøres sådan her
Kode: Vælg alt
ssh-keygen -t rsa -b 2048Kode: Vælg alt
cat ~/.ssh/id_rsa.pub | ssh -p XXXXX user@machine "cat >> ~/.ssh/authorized_keys"Mappen .ssh skal findes på destinationen, ellers brokker SSH sig.
For selve webserveren bruger jeg kun Apache, da jeg syntes den er fleksibel og nem at sætte op. At den så er lidt langsommere end andre med nogen ting, betyder ikke det store for mig. En del af fleksibiliteten kommer fra, at nogle af dens indstillinger kan ændres 3 steder fra. Se dem som lag:
1. lag: Generelle serverindtillinger
2. lag: Generelle vhostindstillinger
3. lag: Specifikke mappeindstillinger med htaccess
En vhost er ganske enkelt en hjemmeside, og Apache kan have fra én til mange tusinder af dem.
På Debian ligger Apaches hovedkonfiguration i /etc/apache/apache.conf, og man bruger (eller rettere, Debian vil gerne have at man bruger) a2ensite, a2dissite, a2enmod og a2dismod til at tilføje og fjerne vhosts og moduler. Apache skal genstartes efter sådanne ændringer. Bemærk dog, at indstillinger om vhosts og moduler også kan skrives ind i hovedkonfigurationen, hvis du hellere vil det. Se evt. deres man-sider for detaljer.
I hovedkonfigurationen skrives ting ind som fx hvor mange processer Apache må bruge, men også standardindstillingerne, som kommer til at blive brugt af de enkelte vhosts. Det er fx kontaktadressen for admin. I de enkelte vhosts skriver man så oplysninger ind om hvor webfilerne er og den slags, imens htaccess bruges til at ændre indstillinger for én mappe. Bemærk at en fysisk mappe bliver til en sti når man besøger den, så fx DOCROOT/data på harddisken, bliver til DOMAIN.TLD/data for den besøgende. htaccess kan så oprettes i DOCROOT/data og fx sætte adgangskode på DOMAIN.TLD/data.
Af praktiske og sikkerheds hensyn fraråder jeg brugen af htaccess (det sænker webserveren at kigge efter den, og hvis filrettighederne er forkerte kan fremmede ændre den), men muligheden er der.
I Apache er den vigtigste indstilling i hovedkonfigurationen for version 2.4+ nok
Kode: Vælg alt
<Directory />
AllowOverride none
Require all denied
</Directory>
Den fjerner adgang til hele harddisken, så det kun er mapper man specifikt tillader i de enkelte vhosts, som de besøgende kan få adgang til. Jeg vil meget gerne gennemgå den opsætning jeg bruger til OwnCloud, hvis du er interesseret? Den passer til Debian og Apache, men burde også virke på Pi'en. Hvis du fortæller lidt om hvordan du havde tænkt dig at tilslutte den til netværket, så kan jeg tilpasse eksemplerne så de umiddelbart kan bruges.
Og spørg endelig ind