Nextcloud как скрытый сервис

Может поможет …

Я как то испытывал nextcloud в podman с onlyoffice, там была фишка в том что клиент должен иметь доступ к nextcloud в контейнере и отдельно к onlyoffice контейнере. Тот при вызове файла на редактирование тупо переключается на него.

Хз понятно ли написал.

я его даже в клирнете настроить не смог. Куда там в торе.

nextcloud

Увы, как и ownCloud является малварью. Точнее шпионом. Доказательство простое - приложение специально разработано так, что не может работать в локальной сети без интернета. А это значит, что кто-то (АНБ/ФБР/ЦРУ/другие алфавитные товарищи) просто хочет чтоб данные были онлайн и у них есть бекдор.

А Cloudreve нормуль?

nextclown

Они все одинаковые. А при таких раскладах я предпочитаю samba (если все устройства чисто Linux есть ещё варианты), если только файлы действительно не надо голой попой в интернет выставлять, тогда vpn внутрь огороженной локалки может плохо работать (и не только из-за РКН, самба сама по себе для локалок проектировалась и с большим пингом ей не очень хорошо). А так смотри, что там по ssl сертификатам и поддерживаются ли они свои собственные (нужен https для защиты, но я бы брал на такое самоподписной сертификат, а не от дядей, дядям я совсем не доверяю и плохо понимаю зачем мне внутри локалки у которой вообще не должно быть доступа к интернету нужны сертификаты от Let’s Encrypt). Все кто противится своим сертификатам на уровне конфигов и документации для такой задачи подозрительны. Понятно, что свой сертификат надо будет добавлять в доверенные на устройствах и с этим могут быть трудности, если делать это удалённо (MITM то никто не отменял).

Но если тебе через тор надо, то я ХЗ.

Ставил потестить. Тоже офис не завелся. Почитал что его отдельно ставить надо.
Очень сложная система, для продакшена не подходит. При ее падении сложно будет восстанавливать. Яндекс cloud это по сути и есть перерисованный платный nextcloud.

Для продакшена only всю дорогу был в контейнерах, да и nextcloud давно уже там.

не может работать в локальной сети без интернета

А можно подробнее? Оно стучиться на сервер к разработчику, и если связи нет отказывается работать, или нечто иное?

на самом деле заставить работать без интернета можно, но замучаешься. Погугли по nextcloud AIO local only

Ему просто оооочень хочеться иметь домен подписанный и только по нему работать.

Да все там прекрасно работает, в глухой сети. По крайне мере nexcloud 33 и onlyo какой то последний. Причем плагины даже не нужно через инет скачивать, тупо кидаешь в шару контейнера и все.

nextcloud AIO

Спасибо, понятно, это для тех кто не может сам простое веб приложение поставить.

А то я уже собрался проверять эту ахинею.

Поставить это одно, а вот поддерживать в актуальном состоянии - другое. Если приложения нет в пакетах дистрибутива, я бы тоже предпочел из контейнеров поставить, а не пердолиться руками. Хватило в своё время приколов с ручными обновлениями smf.

Раньше ждали ебилдов, теперь ждут контейнеров.

Все равно не понял. Можно заставить работать = по умолчанию интернет все-таки требуется?

Или же требуется только валидный сертификат?
В целом, требование иметь рабочий TLS с проверкой сертов не кажется мне чем-то странным для приложения, работающего по http.

Если вопрос в обновлениях безопасности то напомню что речь шла о локалке.

Но собственно и пердолиться там не очень много. Однажды оно говорит что есть новая версия и предлагает ссылку, а там: клац, клац, клац. Ну, это, то есть, если у него, конечно, есть доступ наружу, где проверить можно.

Так локалки надо защищать еще круче, чем публично доступные штуки. Не даром компании ставят себе всякие системы обнаружения вторжений и нанимают кучу сотрудников для контроля.

Там в документации прямо написано, что если будешь ставить в локальную сеть, то оно будет копротивляться всеми силами, потому что сертификаты ему нужны и не абы какие, а правильные. В серьёзной локалке и свой центр сертификации поднимут и настроят вместе с организацией, но оно всё равно будет хотеть один из правильных

В каком именно разделе документации это написано, и как это реализовано? Оно имеет своё хранилище доверенных сертификатов и игнорирует системные? Я думал, что это просто программа на php.

Не смогу дать ссылку, у меня сайт некстклауда заблочили )))

Какие еще правильные? Вон у меня пашет с самоподписанвми без проблем.

Я не помню точно но вроде модуль талкс не пашет без сертификатов или связка с онли офисс, пихнул ему самоподписанные и все заработало.

self-signed или self-issued? На русский и то и другое переводят как самоподписный, но в оригинале большая разница между этими терминами.

self-signed

Конечно. Я про второй сроду не слышал, как говорится век живи, век учись, дураком помрешь.
(это я про себя)
gen, req и signkey.

что не может работать в локальной сети без интернета.

У меня работал вроде, интернет отключали бывало. Да и в локальной сети по локальному адресу тоже работали старые версии.

Это больше похоже на self-issued.
self-signed это когда сертификат подписан тем же ключом, что он удостоверяет.
slef-issued это когда subject и issuer - это одно и то же лицо, но при этом используются как минимум два ключа, т.е. есть минимальная цепочка доверия.

Про ownCloud не знаю, но Nextcloud может.

Ему доступ в интернет нужен для двух вещей: проверить наличие новой версии для уведомления админов, и установить/обновить аппы. Первое отключается в настройках в web-интерфейсе, второе решается ручной установкой/обновлением аппов и перезапуску php-fpm (хотя лучше его перезапускать даже при установке/обновлении через web-интерфейс, потому что OPcache и APCu).

Ещё доступ в интернет может понадобиться для отдельных аппов, но админ должен быть хоть чуть-чуть сообразительнее тапочка.

Первое отключается в настройках в web-интерфейсе, второе решается ручной установкой/обновлением аппов и перезапуску php-fpm (хотя лучше его перезапускать даже при установке/обновлении через web-интерфейс, потому что OPcache и APCu).

Странно, но вроде после закидывание директории в диру плагинов вроде сразу появлятся кнопка включить приложение … хотя может я путаю. И да, у меня он апачевый. Потому что контейнер по умолчанию апачевый.

У меня работает на трех инстансах, правда не через тор. Различные дополнения для nextcloud требуют отдельной машины/контейнера и отдельную настройку вебсервера.

Странно, но вроде после закидывание директории в диру плагинов вроде сразу появлятся кнопка включить приложение … хотя может я путаю.

Не странно. Перезапуск php-fpm нужен только для сброса OPcache с APCu. При установке аппы не нужно, а вот обновление может вызвать фокусы.

И да, у меня он апачевый.

OPcache и APCu это PHP’шное, кэш веб-сервера это отдельно.

Не странно. Перезапуск php-fpm нужен только для сброса OPcache с APCu. При установке аппы не нужно, а вот обновление может вызвать фокусы.

Понятно. Ну я не обновлял, но я думаю можно залезть в меню выключить приложение, в диру закинуть а потом включить в меню … ну типа может прокатить … хз точно.

Перезапуск php-fpm

на всякий случай, в апаче это фигни нет.

в апаче это фигни нет.

Fpm-а то?! Вызывающе неверная информация (с)

ну да я не правильно выразился. Конечно там оно есть, но если юзается апач то зачем использовать худшую технологию если есть нормальный mod.

@firkax парадигма

Извините не совсем понял про что вы.

Где в 1998-99 я читал большую статью на англ. сравнение cgi fast-cgi и мод-пхп и с тех пор четко помню что фигня типа fast-cgi годится только для обрубков типа ngnix и подобного.

@thesis об этой давней истории, которая ещё не окончена В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор (комментарий)

не может работать в локальной сети без интернета

и что ему мешает?

upd: а, из коментов ниже я понял, что неосиляторы мешают :)

полез в тему.

Прочитал в начале: Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Ясен пень меня интересует Шапка, залазаю по ссылке и вижу: No versions of Red Hat Enterprise Linux (RHEL) are affected by this CVE.

ну это нормально.

Был такой классический пример, нашли какую то страшную дыру в PHP в 2005-2008(примерно) что то там с утечкой памяти, так короче куча серверов могли потюкать, пользователи Шапки даже это не затронуло, так как selinux ограничивал это.

Не нашел в инете статью про это но если интересно то вот:

https://james-morris.livejournal.com/33622.html

А правда в том, что сайт Перестаньте отключать SELINUX создан по многочисленным просьбам трудящихся.

я думаю можно залезть в меню выключить приложение, в диру закинуть а потом включить в меню … ну типа может прокатить

Не может. Ну точнее APCu оно вроде как может сбросить, а OPcache — нет, только рестарт php-fpm.

Если аппа простенькая, то пофиг, а если что-то типа spreed (Talk), то ой, оно может троить без перезапуска php-fpm.

А уж при обновлении самого Nextcloud перезапуск php-fpm обязателен.

При этом веб-сервер трогать вообще не нужно. Да, после перезапуска php-fpm веб-сервер может выбить 503 разок, но только при первом обращении после рестарта php-fpm.

Перезапуск php-fpm

на всякий случай, в апаче это фигни нет.

Потому что это отдельный сервис, запускающийся отдельно (а иногда даже от отдельного пользователя).

Можно, конечно, использовать mod_php вместо mod_fcgi, но оно по производительности несколько хуже.

Можно, конечно, использовать mod_php вместо mod_fcgi, но оно по производительности несколько хуже.

Если ВАМ интересно, то я могу специально для вас залезть в контейнер nextcloud 33 и поглядеть что юзается … мне вообще по фигу, просто раньше я всегда считал если апач то мод.

https://www.php.net/manual/en/function.opcache-reset.php

https://www.php.net/manual/en/function.apcu-clear-cache.php

Расскажите лучше про https://github.com/opencloud-eu а то на лоре всего несколько упоминаний.

Оно же явно должно работать лучше, чем древняя кривая херота на php типа сабжа.

У кого-нибудь работает браузерный офис через скрытый сервис тора?

А нафейхуа?

1. Заводишь SSL (можно с собственным Root/CA)

2. Включаешь обязательную аутентификацию по сертификату в ssl.conf

3. PROFIT!

Без инсталлированного серта и принудительного TLS более не подключишься и не узнаешь что там под капотом.

контейнер

Nextcloud AIO это вообще дичь полная, которая годится только для того, чтобы наловить проблем на ровном месте.

Nextcloud AIO

Нет, я взял чистый nexcloud без всякой фигни.