Из этой статьи вы узнаете о сервере Nextcloud, я продемонстрирую его установку в систему Debian 11 и покажу web-интерфейс данного решения.
О приложении
Серверное приложение Nextcloud может использоваться как файловый сервер с доступом к файлам через браузер. То есть его можно сравнить с Яндекс Диск или Google Диск.
Основные ресурсы проекта:
Nextcloud был создан в 2016 году Фрэнком Карлитчеком. Это немецкая компания, но поскольку это решение является опенсорсным то место базирования не имеет особого значения.
Компания разрабатывает две версии продукта:
- Community Version — бесплатная версия, тестируемая сообществом.
- Enterprise Version — платная версия, тестируемая специалистами компании.
Здесь я буду рассматривать только Community Version.
Установка
Установка с помощью snap пакета
В виртуальной машине или на железном сервере установить Nextcloud сервер можно с помощью snap пакета:
# apt update # apt install -y snapd # snap install core # snap install nextcloud
Я не пробовал такую установку, но выглядит достаточно легко.
В этой статье я покажу немного более сложный путь, там где snap не работает, например в контейнере lxc на сервере Proxmox. Я буду выполнять установку Nextcloud версии 27.1.4 в систему Debian 11 (bullseye).
Установка и настройка php
Рекомендуется использовать php версии 8.2 — ссылка. Устанавливаем:
# apt install -y lsb-release apt-transport-https ca-certificates software-properties-common # wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg # sh -c 'echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list' # apt update # apt install -y php8.2-fpm php8.2-xml php8.2-curl php8.2-gd php8.2-zip php8.2-mysql php8.2-mbstring php8.2-apcu php8.2-intl php8.2-bcmath \ php8.2-gmp php8.2-imagick imagemagick php8.2-ldap
Примечание! Так как автор репозитория packages.sury.org заблокировал вход из России, нужен обходной путь. Он описан здесь.
Узнаем что прослушивает php-fpm:
# grep 'listen =' /etc/php/8.2/fpm/pool.d/www.conf listen = /run/php/php8.2-fpm.sock ;pm.status_listen = 127.0.0.1:9001
Запоминаем путь к сокету /run/php/php8.2-fpm.sock, он нам понадобится при настройке Nginx.
Дополнительно можем увеличить лимит для использования памяти, рекомендуется задать значение не ниже 512MB:
# nano /etc/php/8.2/fpm/php.ini memory_limit = 512M
И ещё нужно настроить PHP для получения переменных системного окружения. Для этого в конфиге /etc/php/8.2/fpm/pool.d/www.conf найдите и раскомментируйте следующие строки:
# nano /etc/php/8.2/fpm/pool.d/www.conf env[HOSTNAME] = $HOSTNAME env[PATH] = /usr/local/bin:/usr/bin:/bin env[TMP] = /tmp env[TMPDIR] = /tmp env[TEMP] = /tmp
И там же отредактируем следующие параметры, это ускорит работу интерфейса:
pm = dynamic pm.max_children = 120 pm.start_servers = 12 pm.min_spare_servers = 6 pm.max_spare_servers = 18
После проделанного перезапустим службу php8.2-fpm.service:
# systemctl restart php8.2-fpm.service
Установка и настройка Nginx
Устанавливаем Nginx:
# apt install -y nginx
Создаем конфиг Nginx для Nextcloud (взято из инструкции, и переработано):
# nano /etc/nginx/sites-available/nextcloud
upstream php-handler {
server unix:/run/php/php8.2-fpm.sock;
}
# Устанавливаем параметр управления кэшем `immutable` только для ресурсов с аргументом `v`
map $arg_v $asset_immutable {
"" "";
default "immutable";
}
server {
listen 80;
listen [::]:80;
server_name <ваш домен>;
# Запрещаем обнаружение сервера nginx
server_tokens off;
# Перенаправляем на HTTPS
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name <ваш домен>;
# Путь к корню вашей установки
root /var/www/nextcloud;
# Сертификат и ключ TLS
ssl_certificate /etc/ssl/nginx/cloud.example.com.crt;
ssl_certificate_key /etc/ssl/nginx/cloud.example.com.key;
# Запрещаем обнаружение сервера nginx
server_tokens off;
# HSTS settings
# Внимание: добавляйте эту опцию только после того, как прочитаете о последствиях
# Эта опция пропишет в браузеры клиентов ваш домен, после чего сайт будет доступен только по https.
# А удаление сайта из списка браузера может занять несколько месяцев.
#add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" always;
# Устанавливаем максимальный размер загрузки
# И увеличиваем время ожидания загрузки
client_max_body_size 512M;
client_body_timeout 300s;
fastcgi_buffers 64 4K;
# Включаем gzip, но не удаляем заголовки ETag
gzip on;
gzip_vary on;
gzip_comp_level 4;
gzip_min_length 256;
gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
gzip_types application/atom+xml text/javascript application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;
# Pagespeed не поддерживается Nextcloud, поэтому, если ваш сервер собран с использованием
# модуля ngx_pagespeed, раскомментируйте эту строку, чтобы отключить его.
#pagespeed off;
# Эти настройки позволяют оптимизировать пропускную способность HTTP2.
# Смотри https://blog.cloudflare.com/delivering-http-2-upload-speed-improvements/
client_body_buffer_size 512k;
# Заголовки ответов HTTP взяты из Nextcloud `.htaccess`
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "noindex, nofollow" always;
add_header X-XSS-Protection "1; mode=block" always;
# Удаляем X-Powered-By, который является утечкой информации
fastcgi_hide_header X-Powered-By;
# Добавляем .mjs как расширение для javascript
# Либо включите его в список mime.types по умолчанию
# Либо только для Nextcloud как показано ниже:
include mime.types;
types {
text/javascript js mjs;
}
# Укажем как обрабатывать каталоги. Опция `/index.php$request_uri` в качестве
# резервного варианта означает что Nginx всегда демонстрирует желаемое поведение,
# когда клиент запрашивает путь к существующему на сервере каталогу.
# Если в этом каталоге есть index.php - это файл обслуживается правильно.
# Если нет этого файла, то запрос передаётся интерфейсному контроллеру.
# Такое поведение означает, что нам не нужно указывать правила для всех путей
# (`/updater`, `/ocs-provider`)
index index.php index.html /index.php$request_uri;
# Правило из `.htaccess` для работы Microsoft DAV clients
location = / {
if ( $http_user_agent ~ ^DavClnt ) {
return 302 /remote.php/webdav/$is_args$args;
}
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Создайте исключение регулярного выражения для `/.well-known` чтобы клиенты могли
# получить к нему доступ, несмотря на существование правила регулярного выражения
# `location ~ /(\.|autotest|...)` которое в противном случае обрабатывало бы запросы
# для `/.well-known`.
location ^~ /.well-known {
location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
location /.well-known/acme-challenge { try_files $uri $uri/ =404; }
location /.well-known/pki-validation { try_files $uri $uri/ =404; }
return 301 /index.php$request_uri;
}
# Скрываем определённые пути от клиентов
location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/) { return 404; }
location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) { return 404; }
# Убедитесь что этот блок находится над блоками, обрабатывающие статические ресурсы
location ~ \.php(?:$|/) {
# Требуется для поддержки устаревших версий
rewrite ^/(?!index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|ocs-provider\/.+|.+\/richdocumentscode\/proxy) /index.php$request_uri;
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
set $path_info $fastcgi_path_info;
try_files $fastcgi_script_name =404;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $path_info;
fastcgi_param HTTPS on;
fastcgi_param modHeadersAvailable true; # Avoid sending the security headers twice
fastcgi_param front_controller_active true; # Enable pretty urls
fastcgi_pass php-handler;
fastcgi_intercept_errors on;
fastcgi_request_buffering off;
fastcgi_max_temp_file_size 0;
}
# Обслуживание статичных файлов
location ~ \.(?:css|js|mjs|svg|gif|png|jpg|ico|wasm|tflite|map)$ {
try_files $uri /index.php$request_uri;
add_header Cache-Control "public, max-age=15778463, $asset_immutable";
access_log off; # Опционально: не регистрировать доступ к ресурсам
location ~ \.wasm$ {
default_type application/wasm;
}
}
location ~ \.woff2?$ {
try_files $uri /index.php$request_uri;
expires 7d; # Политика управления кэшем
access_log off; # Опционально: не регистрировать доступ к ресурсам
}
location /remote {
return 301 /remote.php$request_uri;
}
location / {
try_files $uri $uri/ /index.php$request_uri;
}
}
Создаём самоподписанные сертификаты чтобы nginx мог работать с нашим новым конфигом:
# mkdir /etc/ssl/nginx/ # openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/nginx/cloud.example.com.key -out /etc/ssl/nginx/cloud.example.com.crt
Выключим Nginx, удалим сайт по умолчанию, и включим подготовленный ранее конфиг:
# systemctl stop nginx.service # rm /etc/nginx/sites-enabled/default # ln -s /etc/nginx/sites-available/nextcloud /etc/nginx/sites-enabled/
Проверим настройки, и если всё в порядке, то включим Nginx:
# nginx -t nginx: [warn] duplicate extension "js", content type: "text/javascript", previous content type: "application/javascript" in /etc/nginx/sites-enabled/nextcloud:83 nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successfulul # systemctl start nginx.service
Установка и настройка mariadb
Устанавливаем mariadb и выполняем скрипт для обеспечения безопасности сервера mariadb:
# apt install -y mariadb-server # mysql_secure_installation > Enter current password for root (enter for none): <нажимаем Enter> > Switch to unix_socket authentication [Y/n] <нажимаем Enter> > Change the root password? [Y/n] <нажимаем Enter и придумываем пароль> > Remove anonymous users? [Y/n] <нажимаем Enter> Disallow root login remotely? [Y/n] <нажимаем Enter> Remove test database and access to it? [Y/n] <нажимаем Enter> Reload privilege tables now? [Y/n] <нажимаем Enter>
Создаём базу данных для Nextcloud (взято из инструкции). Замените имя пользователя и его пароль на свои.
# mysql > CREATE USER 'username'@'localhost' IDENTIFIED BY 'password'; > CREATE DATABASE IF NOT EXISTS nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; > GRANT ALL PRIVILEGES ON nextcloud.* TO 'username'@'localhost'; > FLUSH PRIVILEGES; > quit;
Запомните имя пользователя, его пароль и имя базы данных. Они нам понадобятся позже.
Установка Nextcloud
Скачиваем архив последней версии Nextcloud и распаковываем его в /var/www. А также не забываем поменять права:
# cd /tmp/ # wget https://download.nextcloud.com/server/releases/latest.tar.bz2 # tar -xjf latest.tar.bz2 -C /var/www # chown -R www-data:www-data /var/www/
Открываем страничку в браузере (https://<ваш домен>/) и продолжаем установку там. Так как у нас самоподписанный сертификат, то не обращаем внимание на предупреждение, а продолжаем работу.
Теперь придумаем логин и пароль, так мы создадим первого администратора в системе. И введём параметры подключения к базе данных:
Дальше можно установить рекомендуемые приложения, но я пропущу этот шаг, так как все необходимые нам приложения мы сможем установить позже.
Первый вход в систему
Знакомство с интерфейсом
При входе пользователя в систему откроется стартовый виджет. Вы можете настроить его, или перейти к списку файлов. Чтобы открыть список файлов, нажмите на значок каталога сверху и слева:
На вашем сервере, в вашем профиле, уже будут некоторые файлы, они создаются в качестве примера:
Вы можете уже сейчас, прямо в браузере, смотреть фотографии, видео, редактировать текстовые файлы в формате md. Также можете загружать и скачивать любые другие файлы.
Создание пользователей
Также вы можете создать других пользователей. Для этого нажмите на свой профиль и перейдите в меню «Пользователи»:
Здесь вы можете посмотреть список пользователей, создать нового пользователя или группу. Пользователю можно дать административные права введя его в группу «admin». Дополнительно можно установить квоту пользователю на занимаемое им дисковое пространство.
Вот например наш новый пользователь (Ivan) зашёл на сервер. Он увидит такие-же тестовые файлы в своём профиле и свою квоту:
Пользователи могут делиться файлами с другими пользователями системы, или создавать внешние ссылки. Используя внешнюю ссылку, пользователь не являющийся пользователем системы сможет получить доступ к файлу.
Настройка системы кэширования
Дополнительно можем настроить систему кэширования с помощью Memcached. Для этого устанавливаем и запускаем memcached:
# apt install memcached php8.2-memcached # systemctl start memcached # ps ax | grep memcached 19972 ? Ssl 0:00 /usr/bin/memcached -m 64 -p 11211 -u memcache -l 127.0.0.1 -P /var/run/memcached/memcached.pid
Затем добавляем строчки в конфиг /var/www/nextcloud/config/config.php:
# nano /var/www/nextcloud/config/config.php
'default_phone_region' => 'RU',
'memcache.local' => '\OC\Memcache\Memcached',
'memcache.locking' => '\OC\Memcache\Memcached',
'memcache.distributed' => '\OC\Memcache\Memcached',
'memcached_servers' => [
[ '127.0.0.1', 11211 ],
],
После проделанного перезапустим службу php8.2-fpm.service:
# systemctl restart php8.2-fpm.service
Итог
Из этой статьи вы узнали про сервер Nextcloud, который можно установить на Linux. Я показал как происходит установка Nextcloud в систему Debian 11. И познакомил вас с интерфейсом этого web-приложения.
Думаю на этом стоит закончить статью, а в отдельных статьях я покажу как:
- подключить к нашему Nextcloud сервер документов Onlyoffice;
- ввести Nextcloud в домен;
- настроить полнотекстовый поиск;
- и возможно что-нибудь ещё.
Если понравилась статья, подпишись на мой канал в VK или Telegram.