ownCloud / nextCloud Part3

各社のクラウドサービスに不満なら、自分専用クラウドを立てればいいじゃない。
オープンソースのオンラインストレージソフトウェア「ownCloud / Nextcloud」について語りましょう。

■ownCloud公式
https://owncloud.org/
https://github.com/owncloud

■Nextcloud公式
https://nextcloud.com/
https://github.com/nextcloud/

■デスクトップクライアント
[ownCloud]
https://owncloud.com/products/desktop-clients
[Nextcloud]
https://nextcloud.com/install/#install-clients

■モバイルアプリ
[ownCloud]
iOS　https://itunes.apple.com/jp/app/owncloud/id543672169?mt=8
Android　https://play.google.com/store/apps/details?id=com.owncloud.android&;hl=ja

[Nextcloud]
iOS https://itunes.apple.com/us/app/nextcloud/id1125420102?mt=8
Android https://play.google.com/store/apps/details?id=com.nextcloud.client

前スレ
【クラウド】ownCloud / Nextcloud Part2
https://egg.5ch.net/test/read.cgi/software/1554883887/

サブディレクトリに入れていて、ドメインにアクセスすると適当な外部サイトに飛ばすようにしている。
たまにログみると/wp/とか/blog/、/wordpressでアクセスしようとしてくる海外の馬鹿がちらほらいるな。

基本的にみんなアメリカからだ。警戒していた中国や韓国、台湾なんてほぼいねえ。

>>529
これはいいかもね.htaccessだね
ウチは中華ばっかり、それと南朝鮮

開設3ヶ月だがいまだにadmin宛にブルートフォース来るわ。
1回のアクセスでbanしてるのに1日あたり10数件
ご苦労なこって

俺のnc(ドキュメントルートに置いてる)adminもツンツクされているんだろうか
ログ見てないや

そういえばRHEL8系でhttp2使えるWP環境作ったけど
http2ってすごいなと
ncは1つダウンロードするだけだからapacheもそこまでこだわらなくていいか

でかいファイルを転送するならApacheの方がいいよ
俺はnginx使ってるけど・・・

惰性でapacheばかりだわ
php-fpm最近wp鯖でチューニング三昧だったけど、
ncにもapacheのmpm-event＆php-fpmは導入する方がいいよね
マニュアルには特にphp-fpm導入せよみたいなのが無いから好みの問題か

ということでapache:mpm-eventにして、php-fpmの自分用最適化の設定にしたけど、
もともとncがopcacheやapcuを推奨しているからメモリ使用量も減って少なくなって良い感じになったな
専用なら1GBのvpsでも十分動いてくれそう

VPSにNexcloudをソースから入れて、
NC23を運用しています。
管理はPLESKです。メモリは4GB。
今のところNC専用でそれ以外入れてません。

MySQLのメモリ使用が平均常時850MB使われているのですが、
16:30-17:45この時間帯だけ、
急に450MB辺りに使用率が減ります。
https://m.imgur.com/a/8yYMofV

これはなぜかわかりますか？
NCが突然お休みモードに入ったりするのでしょうか？
ユーザーは15人程度ですが、
誰も使わなくなるって事はないです。

それともPLESKが常にメモリ食ってて、
その時間帯に解放してるのかな？

電子のドリブン

マイナーアップデートが出たらメールで通知とかやりたいけどアプリとかにある？
nc本体でやってほしいところだけどね

>>538
あれ？メール来るよね？
アプリの更新ですら来るよ

>>538
出来てるけど？

共用レンタルサーバーをWebDAVで接続して外部ストレージとして使っていますが、
下記のエラーが多発します。
Error: file_exists(): open_basedir restriction in effect. File
/ネクストクラウド/3rdparty/sabre/dav/lib/DAV/FS/Directory.php#78

これってopen_basedirでどこかを指定すれば良いのでしょうか？

>>539-540
ぇぇぇ、そうなの？
どんな内容？今まで見たこと無いわ・・
aliasesに設定したadmin宛のcronエラーとかは来るからpostfixのせいとかではなさそう

>>542
こんなのだよ

こんにちは 管理者ユーザID さん

You have a new notification for nextcloudname

•（歯車アイコン）

今日 20:51
Mail に対するバージョン 1.13.3 へアップデートが利用可能です。

You can change the frequency of these emails or disable them in the settings.

>>543
ありがとう、自身のサーバから出ているならスパム扱いされていないだろうし、
設定のアクティビティのとこにもアップデート通知みたいなの無いし

Notificationsアプリは入っていて、ログインしたらアラームマークでアップデートの知らせは見えるんだが、
cronで新着チェックしてメール飛ばしているのかな・・
3台、nc18から使っているけど1通も来たことないわ

>>544
そもそもメールの設定はしてるの？
送信設定、送信先設定（管理者ユーザ、利用者ユーザ）、メールプロバイダ設定（送信サーバ）の3つが必要なんだが。

>>545
今、設定の「メール送信」テスト確認した
3箇所とも管理者メールアドレスにテストメール成功が来たよ
なぜか2タイプある模様、nc22，nc23で異なるのかな

－－
管理者、素晴らしい！
メールが届いていたら、メールは正しく設定されています。
－－
管理者さん、成功です！
このメールが見えているということは、メール設定がうまくいっているということです。

>>546
じゃああとは通知設定（送信設定）だけだね。
いま外出中でみられないので確認してみて。

たぶんバックグラウンドジョブ(設定はcronで正常動作中)で
updatenotificationを呼び出しているのかもと思うけどそこまでしか分からなかった

ttps://github.com/nextcloud/server/tree/master/apps/updatenotification

./apps/updatenotification/l10n/ja.js: "Update for %1$s to version %2$s is available." :
"%1$s に対するバージョン %2$s へアップデートが利用可能です。",
./apps/updatenotification/l10n/ja.js: "Update for {app} to version %s is available." :
" {app} に対するバージョン %s へアップデートが利用可能です。",

管理者でログインし、設定
管理の中の概要の下部に「次のグループのメンバーに利用可能なアップデートを通知する」に、該当するグループ入れてる？

>>549
管理者はadminグループに入っているけど、
どのncも「次のグループのメンバーに利用可能なアップデートを通知する:admin」になってる
ここは初期から触るところでも無いからそのままにしてる

ブラウザ上では今も 23.0.5への更新が利用可能ですと出てる
メールが送ったかどうかだけでもわかればいいんだけど、テストは送出・受信できているだけに切り分けが難しいよね・・・

>>550
あらま…試しにもう一つ管理者グループにアカウント追加して、
別メールに届くかとかは試してみる価値ないかな？

ちょっとわからんねぇ

>>550
プロフィールにメアド登録してるか？

>>552
してるみたいテストメール来るって上で書いてたし

>>551
管理者以外のユーザ作ってadminグループにしたら
「管理者があなたをadminグループに入れました」というメール通知は来ました

なぜアップデート通知がメールで来ないのか謎・・・

うちもアップデート通知は来たことない。Github を監視してるから特には困ってないけど

昨夜も通知メール来たよ。
なんでだろうねぇ…

俺もアップデートの通知はは来た事ないなぁ、特殊なインストールや設定はしていないつもりなんだけど

初心者ながらpostfixの設定とGoogle側の設定をググりながらやってやっとこさアプデメールが来るようにした記憶が
なのでその辺弄ってない人は通知飛ばなくて当然なのではないかと思うけどどうなんだろう

クソみたいな代替案でお恥ずかしいのですが、ウチのサーバからの通知で良ければ常時転送かけましょうか…

需要ないかな。
一応商用でも一部機能を使っているので数年は運用されます。

恥ずかしながらLinuxサーバ管理で20年メシ食ってるワイでも通知が来ないんや・・・

ま、気にすんな

もう最新版にアップデートしても大丈夫？

TOTP Provider がPHP 8.1に対応したので俺は大丈夫だった

PHP7.4から8.1にバージョンアップしようと思うんだが、7.4アンインストールしてからPPA追加して8.1インストールで合ってる？
環境はUbuntu20.04LTS、Apache2.4、PHP7.4

会ってるよ

>>565
サンクス。無事バージョンアップ出来た。

今月から使い始めたんだけどみんな暗号化どうしてるの？
今はcryptomatorをpc android ipadに入れて使ってるんだけど
nextcloudのアプリを入れてアプリの恩恵を受けた方が幸せ？(cryptomatorはやめる)

>>567
どこのサーバで動かしているの？

xserver

長くさくら使ってきたけどssh/ftpすらレスポンス遅いから自前でストレージサービス鯖をやるには辛いかなと
レスポンス重視で調べるとxserverがよく上位に出てくる感じ

あとはこのwebでxserverが一番建てるの楽だったとか書いてあったので
https://apple.tokai-rf.com/archives/2625

NCのWebインストーラーでSQLite選択ならインスコの簡単さはどこも同じよ
そういうことでエックスでもさくらでも使ってるそれぞれドメインのサブ立てて
ただしCron使えるプランじゃないとNCのメール通知のマメさがなくなるかもと思う

そこのリンク先を見ながらやったからMySQL使ってるけど、お一人様ならSQLiteでも良かったのかなと今は思ってるあ

WebInstしたので、出来上がった各dirが何なのかチェックしてたら試しに放り込んだファイルが平文で入ってたので
ｴｯ(ﾟДﾟ≡ﾟДﾟ；)ﾏﾁﾞ?
となってcryptomatorを使ってる

詳しくなくて教えてほしいんだが、世の一般的なクラウドストレージって暗号化されてるもの？
使い飼って悪くなるからcryptmator導入したほうがいいか悩む・・

一般って google apple dropbox amazon microsoftあたり？

HDD上レベルならされてるんでね？廃棄HDDの復号は難しい感じの
画像サムネイル作ったり全文検索データ作ったりするから運営サイド(機械含む)は何時でも中身を知ってるでしょ
だからデータ消されたり垢BANされたり悲喜こもごもなわけで

pcloudは運営サイドも知ることが出来ないとか言ってるけど、怪しい感じのファイル(ハッシュ照合？)があったら即垢BANらしいね
要するに抗議があっても、中の人がファイルを見てこれは大丈夫ですと確認して垢BANを取り消すとかはせず、ただ垢BANするのみ

大手も暗号化してますと公言してるわけではないのかな？
垢BANできるってことは信頼できるLAN外へのダウンロードの際にロックする感じなのかな

とりあえずは個人で使う分にはそこまでシビアになる必要もなっそうなので様子見ます。
情報ありがとうございました。

鯖サイド暗号しようと念の為に新規インストールしたら何も設定無かった
インストール後に暗号化モジュール有効化してチェック付けてooc encrypt走らせてと

ともあれ暗号有効化したので喜び勇んでエロ放り込んだら、ファイル名がエロいんですけど
ファイルシステムのログにエロファイル名が残ってしまったゾ

ファイルの中身はBASE64？
バイナリではいけないんですか？

ワラタ

EE2Eは重いからCryptomatorかrclone使った方がいいよ

VPS契約(メモリ4GB)してNC(23.05)専用で使い始めました。
ClamAVも入れてメモリが3.2GB使われています。
その内MySQLメモリが900MBほど。
サーバから時々Swapがいっぱいになったり、
MySLQメモリが危ないよと言う警告が来ることがあります。

ユーザ数15名程度ですが、
メモリはどれくらい使ってるものなのでしょうか？

>>580
？？3.2って自分で書いてるようたか？

あ、失礼しました。
自分の使い方でどれくらいが妥当なんでしょうか？
使いすぎてるのか？
(極端に書いて)それくらいならば
2GB程度で納まるよなのか？

使い方によりけりだろうな。そんなもん聞いてどうする。
むしろカツカツなら増やしてやるがよかろう

鍵ファイル
data/files_encryption/OC_DEFAULT_MODULE/

暗号化されたファイル、ただしファイル名はそのまま(´・ω・`)
data/(ユーザー)/files/

鍵ファイル
data/(ユーザー)/files_encryption/keys/files/(ファイル名)/OC_DEFAULT_MODULE/

ほんと、えろファイル名がバレてるのは辛いんだけど

復号は鯖にあるデータだけで可能なの？それとも毎回クライアントからパスフレーズをもらってるの？

>>582
動画スタジオなら足りないし、時々1MBに満たないドキュメントファイルを放り込むだけなら足りるかと
使い方を書かないと

>>585
基本はWindowsにWebDAVでマウントして使ってます。
ファイルサイズは10MB以下です。
WEB側は共有設定の為に使ってる感じです。
Collabora CODEバージョンも仕込んでみましたが、
これは緊急避難用でめったに使われていません。追加ソフトウェアはそれとClamAVのみ。
ClamAVを停止すると1GB空きますね。
他に多用するのはカレンダー共有です。

VPS 2GBで50人ぐらいでずっと誰かしら使っているけど
1GBメモリ余るぐらいだけどな
無駄なオーバーヘッド出まくっているんだろうな
サーバはきっちりカリカリチューニングしているのかい？

俺はいつもぼっちで使ってるから鯖環境は平和なもんよ

全メンバーのセキュリティーソフトから検査を受けまくってるとか

>>589
実際に使われるかどうかは別にして、
ファイルの数は万単位です。
外部ストレージも含め。

ClamAVで1GBは食い過ぎですか？

Nextcloud 24.0.2

特に問題なくアップデート完了

nginxで動かしてますが、
php-fpmを再起動しないとconfig.phpの内容が有効にならないのは、
何が考えられますか？

php-fpmがデーモンなので再起動しないとphpプログラムを読まないからだと思います。

メモリキャッシュの設定とかはphp-fpmに依存してるから再起動しないと反映されないだろうね

例えばdefaultappやmaintenanceも、
php-fpmを再起動しないと反映されません。

NC23から24に上げたら、
ログイン画面も出せずに内部エラー起こします。
appsディレクトリ内を減らしたり、
config.plistを極力基本的な物だけにしても内部エラー。
あと何が悪さしているのでしょうか？

今は、NC23に戻せたので23.0.6で動いています。

ログくらい確認しよう

webでログ見ようとすると見えず不便してるが放置

>>598
apacheかnginxかどっちの環境で実行しているか、わからんけど、webサーバのエラーログも確認できないの？

そんないい加減な連中が運用・管理していいもんじゃねえわ

そのうち中華に盗られるのがオチじゃないかな…

ハッカーを過大評価しすぎ
基本対策してりゃ突破されることはないよ

基本対策出来てるつもりで出来てないことがあるから突破される

ローカルオンリーで引きこもって外に出て行かないなら好きにしろって感じ

ローカルオンリーでもVPN併用すりゃいいのに何をイキってんだ？

牛乳飲めよ

php-fpmって今推奨されてる？
rhel8系のデフォルトがapache, event-mpm&php-fpmだから
prefork＋内蔵phpモジュールにしたほうがいいのかと

vpnなら基本安全だろうけど外に立ててるとえらい来るよ
ノーガードの時はtrusted domainノックとブルートフォースアタックが絶え間なく…
fail2banかけてないと負荷が気になるくらいには来る。

未だにfail2banってやったことないな
サービス開始までの作業や開始後の調整が面倒そう

簡単だよ。手間いらずで全自動
ただしCPU負荷がちょっとある。でもずっと攻撃されるよりは長期的に見て負荷は下がる。
分からないところは聞いて貰えれば答えられるよ。

各ポート変更、攻撃されている状況の監視、fail2banのレポート、最初だけやっておけば安心
WEBサイト運用ノウハウの基本なので大したことはないよ。
むしろやらないと危険が増すと思う。

>>609
ご親切にありがとう
確かにmunin見てて月レベルでloadAverageが徐々に増えているのは良く無いなこれ、DOMのロード時間も微妙に遅くなってるし
1分サービス止めたりするとスッとアクセスしてこなくなるし、ほんと機械的だよなこういうの

>>610
分散配置したbotや踏み台からの攻撃だと踏んでる。
trusted domainの設定ミスを狙ってきてるのと、ブルートフォースではadmin，user、managerが執拗に狙われてる。1秒あたり15回くらいのトライがずっと来てるね。

書きわすれた、.htaccessで中華、南北朝鮮、南米をブロックするのも有効だと思う。

vpsレンタルサーバで自分がやっている対策は
・sshポートの変更
・鍵認証のみへの変更（必須）
・https化（必須）
・nextcloudのアクセスポート変更
・admin/Administrator等のユーザは使わない（必須）
・.htaccessで日本からのみ接続許可
・fail2banでlogin failedとtrusted domain access errorを自動パケ破棄ブロック
・ブロックログの自動#slack送信

上記をやっておけば、OSのアップデート以外触る必要ないです。
あとは、nextcloudセキュリティチェックをバージョンアップ毎にやりA+を確認しています。
ここまでやれば確実かな～と。

ログを見ても"Login failed"やってるのは自分しかいないからfail2banはしてない。
Brute-force settingsは入れてる・・・

>>614
それで全然構わないと思う。
failに気付かないのがマズい。

TLDじゃなくてサブドメインで動かしてるから攻撃されないのかな？
評価はA+だけどポートは変えてない。ポート変えてもセキュリティスキャンできるんだっけ？

>>616
それはあるかも。サブにしつつディレクトリ掘るのも良いと思うわ。
ポート変えればまず来ないね。

/および/ncで運用しているからたくさんドアノックされてるわ
なるほどポート変えるってか

#通知されるメールやURLコピーにもきちんとポート番号まで付与されてるの？

>>613
.htaccessで日本のみにしておくとセキュアチェック通らないから、

scan.nextcloud.com
もallowしないとダメ。

WindowsでNCをマウントさせています。
NCのログには出てこないのですが、
サーバのログには出てきます。
401(404) PROPFIND /remote.php/webdav/ファイル名 HTTP/2.0
405 PROPFIND / HTTP/2.0


特にWindowsではエラーなく使えています。
これってかなりの数が出ているので、
対応できるのであれば消したいです。
対策方法はあるでしょうか？

401はエラーじゃないし、俺のところでも1日に200件くらい出てるな・・・
CalDAVも使ってるせいだろうな

DBにインデックスがないと概要で言われて、書かれてるように occを実行するんだけど、次のエラーで止まってしまいます。

An unhandled exception has been thrown:
Doctrine\DBAL\Exception: Failed to connect to the database: An exception occurred in the driver: SQLSTATE[HY000] [1045] Access denied for user 'oc_admin'@'localhost' (using password: YES) in /var/www/nextcloud/lib/private/DB/Connection.php:85

どうすればいいんでしょうか
oc_adminなんて MySQLにつくれって言われた覚えないし、実際登録されてませんが、登録しないとだめってこと？

>>622
sqlite使ってんの？

Lightsail(AWS)の利用料金がどんどん上がってく・・・
2月は2200円だったのに6月は2700円だ

>>624
( 'A`)人('A` )ﾅｶｰﾏ
10ドルプランなのに2000円超えてて笑えない…

nextcloud使うだけならrootいらないし、高いLightsaleでなくてもいい気がするけど、AWSのメリットとかあるんです？

うちはさくら2GBだわ

AWSのAPI使いこなせるならそっちでいいんで無いの？
知らんけど