HTTPS mit Let's Encrypt und Fazit

Der Befehl sudo nextcloud.enable-https -d soll HTTPS aktivieren. Das aber klappt zunächst nicht, weil das installierte System das Kommando nicht erkennt. Hier hilft es, über sudo su Rootrechte zu erlangen und in den Ordner /snap/bin zu wechseln, der die passenden Skripte aufbewahrt.

Führt der Box-Besitzer das oben genannte Skript aus, schildert ein Hilfetext die Anforderungen, die erfüllt würden müssen, um HTTPS einzurichten. Die Idee, das über Let's Encrypt abzuwickeln, klingt erst mal gut, setzt aber einen Dyn-DNS-Eintrag voraus, der auf eine öffentlich erreichbare IP-Adresse zeigt. Im internen Netzwerk lässt sich HTTPS nicht konfigurieren.

Um den Zugriff umzusetzen, müssen zudem im heimischen Router ein Port-Forwarding für die Ports 80 und 443 eingerichtet werden. Dann folgen drei Befehle, um die Zertifikate zu generieren:

nextcloud.occ config:system:set trusted_ domains 2 --value=Öffentlicher Domainname nextcloud.enable-https -d
nextcloud.enable-https
Wird die Option "-d" weggelassen, sollte die Box das Zertifikat direkt installieren.

Fazit

Möglicherweise ist es eine Mentalitätsfrage, aber uns fehlen auf der Webseite zur Nextcloud Box deutliche Warnhinweise. Vorsicht: Das Gerät kommt beim Einsatz mit 32-Bit-Systemen nicht mit großen Dateien zurecht, bringt einen offenen SSH-Zugang mit und läuft vermutlich besser mit einem Board, das es erst in Zukunft unterstützt. Die neue Nextcloud-Version fehlt auch und es gibt weitere Baustellen.

Ohne Warnung müssen die Macher davon ausgehen, dass es Käufer gibt, die das Referenzgerät nicht als ein unsicheres Testgerät verstehen, sondern es produktiv einsetzen. Der unsicher konfigurierte SSH-Zugang torpediert zudem die sonstigen Sicherheitsbemühungen von Nextcloud und Snappy Ubuntu Core, doch beide Projekte wollen explizit mehr Sicherheit schaffen.

Immerhin überprüft Nextcloud beim ersten Login die Passwortstärke und die Box unterstützt eine Let's-Encrypt-Anbindung. Das Nextcloud-Projekt bemüht sich zudem, Sicherheitslücken schnell zu schließen. Auch läuft auf der Box alle sechs Stunden ein Tool namens auto-security-update, das Sicherheitsaktualisierungen automatisch einspielt.

Wer die Kabellage richtig ansteckt, greift tatsächlich nach acht bis zehn Minuten auf seine private Cloud zu. Dort lagern dann etwa Fotos - die im Browser zu betrachten im Test recht schleppend funktionierte - und synchronisiert über Apps Kontakte und andere Daten und diese können mit Nutzern im Netzwerk geteilt werden. Alle zwei Stunden läuft ein auto-snapd-update, das transaktionale Snap-Updates einspielt. Nutzer müssen hier also nicht eingreifen.

Etwas mehr Aufwand ist nötig, falls die Box über das Internet erreichbar werden soll, auch das Let's-Encrypt-Verfahren könnte einfacher sein. Was der Box zudem fehlt, das ist eine Möglichkeit, einfach eine weitere Festplatte zu integrieren, das Betriebssystem auf einem USB-3-Board zu betreiben und große Dateien zu verschieben. Auch die installierten Komponenten könnten ausgereifter, zahlreicher und besser aufeinander abgestimmt sein. Gelänge es den Machern der Box zudem, die Prozesse weiter zu automatisieren, könnte durchaus ein interessantes Gerät dabei herauskommen. Aktuell ist die Box aber eindeutig noch Work in Progress.

Dieser Artikel erschien in der Ausgabe 12/2016 des Linux Magazins, das seit September 2014 wie Golem.de zum Verlag Computec Media gehört.