Apache mit SSL absichern

Für die weitere Konfiguration ist möglicherweise die Installation des Dateimanagers Midnight Commander sinnvoll. Über den lässt sich durch das Dateisystem hangeln, er ist nach der Installation mit dem Texteditor Nano verknüpft. Mit Alt-F4 lassen sich so Konfigurationsdateien im Midnight Commander direkt zum Editieren öffnen. In Nano lässt sich mit Strg-W nach Zeichenketten suchen. Mit Strg-O werden die Änderungen gespeichert.

Im Apache-Webserver müssen noch einige Anpassungen vorgenommen werden. Die Voreinstellungen verhindern beispielsweise, dass keine Dateien hochgeladen werden können, die größer sind als 2 MByte. Dafür muss in der Konfigurationsdatei /etc/php5/apache2/php.ini die Zeile upload_max_filesize angepasst werden. Hier kann ein beliebig sinnvoller Wert gesetzt werden, auf die Leistung von Owncloud hat das keinen Einfluss.

Große Dateien speichern

Wir haben uns für den Wert 4G entschieden, damit wir maximal 4 GByte große Dateien speichern können. Parallel dazu muss in der gleichen Konfigurationsdatei die Zeile post_max_size mit dem identischen Wert versehen werden. Schließlich muss noch der Wert output_buffering aktiviert und auf = 4096 gesetzt werden. Das auf dem Raspberry Pi verwendete Dateisystem Ext4 kann durchaus mit Dateien in dieser Größe umgehen, allerdings sollte hier die doch recht schwache Hardware des Raspberry Pi berücksichtigt werden. Bei kleinen Dateien spielt sie kaum eine Rolle, bei großen Dateien ist der kleine Rechner einfach nicht leistungsfähig genug, was die Schreibgeschwindigkeit betrifft.

Damit die Daten zwischen Clientbrowser und dem Owncloud-Server im Netz verschlüsselt über SSL übertragen werden, müssen noch entsprechende Zertifikate bereitgestellt werden. Hier gibt es zwei Möglichkeiten. Es können selbst erstellte Zertifikate verwendet oder offizielle etwa bei einem kostenlosen Dienst bestellt werden.

Eigenes Zertifikat erstellen

Selbst erstellte Zertifikate eignen sich vornehmlich dann, wenn das Raspberry Pi immer im eigenen Netzwerk verwendet werden soll. Sowohl Owncloud-Clients als auch Browser beschweren sich naturgemäß über eigene Zertifikate. Sie lassen sich aber dennoch meist auf dem Clientrechner installieren und nutzen. Googles Chromium ist da eine Ausnahme, hier gelang es uns nicht, das Zertifikat nachzureichen.

Eine Verschlüsselung ist allerdings zwingend notwendig, selbst im eigenen Netz und besonders wenn die Verbindung über unverschlüsseltes WLAN erfolgt. Denn sonst können Angreifer sowohl übertragene Passwörter als auch die Daten im Klartext abgreifen. Zunächst aktivieren wir mit a2enmod ssl das SSL-Modul in Apache2 und erstellen mit mkdir -p /etc/apache2/ssl das Verzeichnis, in dem die Zertifikate abgelegt werden.

Wir generieren jetzt sicherheitshalber ein eigenes Zertifikat, das speziell für Owncloud bestimmt ist, kein Passwort benötigt und für ein Jahr gültig ist. Dazu geben wir folgenden Befehl ein:

openssl req -newkey rsa:4096 -sha512 -x509 -days 365 -nodes -keyout /etc/apache2/ssl/owncloud.key -out /etc/apache2/ssl/owncloud.crt

Da wir Owncloud im lokalen Netzwerk verwenden, können hier beliebige Eingaben gemacht werden. Bei Common Name muss der Name des Rechners - in unserem Fall "raspberrypi" - verwendet werden, der auch in der Datei /etc/hosts steht. Sonst funktioniert Webdav mit Owncloud nicht.