Názory k článku Nextcloud: když chcete vlastní cloud pod kontrolou

Proč všichni, kdo mluví o next/ownCloud to porovnávají s "cloudem"? Podle mě to nemá nic společnéhé. Cloud jako termín chápu poskytování služeb bez vazby na fyzický/virtuální HW, kdy je tahle infrastruktura a její členění skryta a navenek se to tváří jako jednotný ekosystém.

next/ownCloud je SW jako každý jiný, který mohu na serveru provozovat, to ale přece z toho nedělá cloud jak ho chápeme jinde. Tohle matení termínů mi občas trochu vadí. Tím ale neřikám nic o jeho kvalitách/nek­valitách.

to je ta klasicka hlaska, ze neni zadny, vzdycky je to jenom neci pocitac.

Nexcloud splňuje definici cloudu - princip je identický jako u OneDrive nebo GoogleDrive.

To že si ho nainstalujete a spravujete sám na tom nic nemění. Ostatně OneDrive je taky jen software jako každý jiný, který někde běží na serveru.

Z pohledu uživatele je rozdíl jen v rozhraní a dostupných funkcích. Oboje znamená, že jsou data mimo jeho PC a vlastně se vůbec nemusí zajímat kde.
Admini obou systému ví kde data jsou.

Cloud je takový nekonkrétní výraz. Lepší je se bavit o IaaS, PaaS, SaaS podle toho, jakou vrstvu stacku už nechcete řešit a chcete to nechat na poskytovateli. Nextcloud je software na vytváření SaaS (software as a service). Ano, můžete to provozovat na vlastní mašině, ale primárně to je určené pro stavbu cloudové služby, kde má člověk místo pro svoje soubory, kalendář, kontakty atd., aniž by uživatel nebo zákazník řešil, kde to běží, na jakém systému atd.

Záleží na tom, co od toho očekáváte. Pokud jen chcete někde skladovat soubory, tak je Nextcloud celkem overkill.

V článku se sice píše, že primární úlohou Nextcloudu je centrální úložiště a správa souborů, ale realita je taková, že Nextcloud tu fázi, kdy byl alternativou k Dropboxu, dávno přerostl.
Změnu rozsahu využití reflektovali autoři i ve změně názvu, který je dnes Nextcloud Hub a Nextcloud Files jsou pouze jeho podmnožinou. Dnes je Nextcloud celkem robustní platforma pro provoz vzájemně integrovaných webových aplikací, která má za cíl konkurovat ne Dropboxu, ale Google Workspace a Office365. Pokud chcete mít data jako kontakty, kalendáře, úkoly, poznámky atd. na vlastním serveru a přitom mít podobné pohodlí jako u Google Workspace nebo Office365, je Nextcloud skvělé řešení a popravdě mě nestačí udivovat, kam se ten projekt za tu dobu, co ho používám (4 roky), dostal.
Pokud chcete jen někde ukládat/synchro­nizovat soubory, Nextcloud vám k tomu taky poslouží, ale je to trošku kanón na komára.

No kanón.. když ono se to dá celkem snadno spustit v dockeru a moc to nežere. Je na to synchronizační klient, umí to šifrovat..

Já se divím, že na to někdo pěje takovou chválu. Když jsem to zkoušel cca rok zpět, například když jsem dal uploadovat soubor a šel na jinou záložku menu, upload se v tichosti zrušil, aniž by to uživatele varovalo, že tuto akci nemůže provést, dokud se soubor nedouploaduje. To považuji za fatální školáckou chybu proti user-friendly přístupu a když jsem to dal k vyzkoušení bfu, hned mi to omlátil o hlavu.

Nebo to byla nějaká chyba u mě? Neumím si tedy představit, jak by mohla. :)

Záleží na konkrétní podobě použití... Mně se velice líbí Syncthing - synchronizoval jsem si tím fotky z mobilu na stroj. Na mobilu aplikace se zadanou složkou, která se synchronizuje jen ve směru na počítač a jakmile jsem v dosahu, tak se to hned potahá. Dá se takhle řešit i "zálohování" na jinou destinaci. Nevýhoda je problamatická synchronizace skrz NAT.

Imho je tohle lepší cesta, než jedno centralizované "snad-navždy-online" úložiště. Pak shoří jedno datacentrum a najednou se zjišťuje, že spousta lidí nemá nikde kopii "životně důležitých" dat.

On se NAS nebo OC/NC nechá nastavit stejně: synchronizace složky napříč více zařízeními, s definovaným směrem. Pak také máte "zálohu" i jinde.
Tam vidím hlavní rozdíl mezi pojmy "cloud" a "file server".

Asi bych cloud definoval spíše tím, že je dobře horizontálně škálovatelný a běží spíš v síťi serverů, než na jednom stroji. Shoří server = výpadek 0
Srovnávat tedy dropbox, google drive s nextcloudem nelze. Je to jiný produkt.

Bohužel původní význam (tedy ten původní v IT) slova „cloud“ se přenesl i na souborová úložiště jako Dropbox – která původně byla nová právě tím, že běžela v cloudu. Pak se to ale začalo používat pro jakékoli souborové úložiště, i takové, které s původním cloudem nemá nic společného.

Ono to není "jen souborové úložiště", ono to taky umí jiné věci (jak zajisté víte),
Osobně používám OwnCloud (ještě z dob, než se forkl NextCloud), ale synchronizace souborů je jen menší část jeho práce. Kromě toho mi dělá správu kontaktů a kalendáře a třeba fotky tam sice "vhodím", ale pak to poadne na serveru jiná aplikace a vygeneruje náhledy... Zkusil jsem i nějakou tu kolaboraci, ale společná úprava dokumentů ještě není tak úplně zralá...

Ano, ale ten název „cloud“ je zkratka z „cloudové úložiště“ (cloud storage). Že se k tomu souborovému úložišti přilepily další funkce, a že jsou pro někoho důležitější, na tom nic nemění.

Na fotky je lepší PhotoPrism - pokud google nepřijde s něčím rozumným, tak u něj asi skončím taky

Zrovna photoprism byl dost velký zklamání. Nic moc navíc oproti Nextcloudu nepřínáší, naopak pořádně nefungovala správa souborů a nabízí pouze single user mode.

i ta organizace dost pokulhávala. chybí hromadná správa labelů, správa alb taky moc nedělala to, co jsem po ní chtěl, označování fotek se taky chovalo docela divně.

multi uživatelský režim a další věci se plánuji spíše jako placená funkce. Je to poměrně mladý projekt a v pozadí jsou snad jen dva lidé.

Původní ownCloud jsem opustil už před mnoha lety, kvůli jedné pro mě zásadní věci, a koukám, že i v nextcloudu to pořád je.
Stále se cpou přímo do synchronizovaných složek nějaké dodatečné soubory...

Nemáte někdo tipy na slušné alternativy, v minulosti když jsem nextcloud zkoušel pro domácí použití přišlo mi to takové celé neohrabané, nestabilní a když jsem koukal do kódu tak i špatně napsané... (možná je to už v současné verzi jinde, ale mám o tom jisté pochybnosti)

Neohrabane a nestabilni? Jedu uz tak desatou verzi a az na upgrady (s tim spojene obcasne behy occ skriptu a jeden upgrade PHP) to bezi paradne.

Nie je to síce free, ale spokojne používam Synology Drive a Synology Moments.

Na rozdiel od NC/OC, mám prístup k súborom aj cez SMB/NFS/shell. Vec, čo mi na NC/OC vadila je to, že má vlastný store, kde si všetko syslí a keď nastane nejaký problém s aplikáciou, tak sa k nim nedostanem.

Keď som sa svojho času hral s OC vo virtuálke, nastavil som SAML2 SSO (na Keycloak), vyšiel update na OC, ktorý SSO rozbil a ja som sa už do OC nedostal. Fakt moja predstava je trocha viac bezúdržbová, ako hrabať sa v MySQL a vytvárať admin account, aby som sa vôbec dostal dovnútra.

Vec, čo mi na NC/OC vadila je to, že má vlastný store, kde si všetko syslí a keď nastane nejaký problém s aplikáciou, tak sa k nim nedostanem.
To není pravda, pokud nešifrujete pomocí OC/NC pak jsou soubory dostupné přímo na FS a dokonce tam jdou nahrávat nebo mazat přímo. Není to sice úplně oficiální cesta, ale jde to.

Je to tak, pozor na to, ze je potreba vynutit aktualizaci metadat v Nextcloudu, obecne doporucuji to nedelat :) Jde to, spravoval jsem Nextcloud ve firme s cca 30 uzivateli a sem tam jsem si svoje s Nextcloudem uzil.

Alternativa to je, ale chce to jit na to opatrne. Pravidelne zalohovat DB a soubory (ale to u vseho self-hosted).

Leak jsme nemeli, parkrat se nam zblaznili nekteri klienti, ale obnova je nastesti celkem snadna, spec. pokud nechate neomezeny kos.

Čistě na soubory Syncthing. Nic lepšího jsem nenašel, mě to funguje výborně.

Dále používám sshfs.

Project NextCloud zní skvěle a fandím mu, sám jsem si dříve testoval OwnCloud (myšlenka supr ale chtělo to dotáhnout) nevím jak je na tom nyní aktuální verze NextCloud ale podle dokumentace rozhodně stojí za to to znovu otestovat.

Dotaz:
Neví někdo zda jejich WIN APP aktuálně už umí "soubory na vyžádání" nebo zda featuruku hodlají implementovat ?

18. 3. 2021, 07:36 editováno autorem komentáře

jen to dostupné jako virtual drive
https://help.nextcloud.com/t/nextcloud-introduces-virtual-drive-in-desktop-client-to-simplify-desktop-integration/46256

Autor článku zcela opomíjí jednu z obrovských výhod standartních cloudových služeb, kterou je skutečnost, že často obsahují v ceně služby i zálohování do několika geografických lokalit.
Implementovat takové zálohy a archivy v domácích podmínkách je dosti nákladné.

Omlouvám se, neudržel jsem se, ale ohledně cloud a zálohování zrovna zákazníci OVH by dokázali vyprávět. A pak také někteří "šťastlivci", kterým například Google bez varování a uvedení důvodu zablokoval konto
https://www.businessinsider.com/google-users-locked-out-after-years-2020-10

Pokud to chcete dělat pořádně, tak bych rozhodně nespoléhal na něco v ceně a bude to něco stát.
Tyhle free jsou často jen kopie na nějaké místo mnohdy jen ve stejné místnosti a chrání to leda tak proto tomu že admin omylem něco smaže.

S tím s vámi souhlasím. Položme si ovšem otázku, kolik z domácích bastličů má vůbec nějaké zálohy, a pokud ano, kolik z jejich řešení je robustnější než mají standartně komerční cloudy? Další otázkou, která zde na foru dosud nebyla řešena, je nepřetržitý dohled nad bezpečností a provozem cloudu. Jak často v domácích podmínkách analyzujete logy a máte na to vůbec nástroje a prostředky?

19. 3. 2021, 07:05 editováno autorem komentáře

O Nextcloudu jsem už víckrát slyšel celkem pozitivní ohlasy a chystám se ho taky nasadit na "takové to domácí sdílení". Co mi ale není úplně jasné, je jak je na tom s bezpečností.

Možná mám zbytečné obavy, ale nejradši bych to zpřístupnil jen přes VPN, abych snížil riziko, že se někdo neoprávněný dostane k mým datům. Má to ale nevýhodu, že pak bych Nextcloud nemohl použít ke sdílení dat nikomu mimo VPN. To by se dalo asi řešit druhou instancí, ale tím se to stává trochu neohrabané.

Řešili jste někdo podobné myšlenkové pochody (a došli k nějakému závěru)? :).

Bezpečnost konečného řešení není jen o Nextcloudu, ale o nastavení celého serveru. Myslím si, že Nextcloud je na tom s bezpečností dobře. Hodně ho používají vládní organizace, má různé certifikace, podporuje nejrůznější dvoufaktorové autentizace apod. Pokud máte vše správně nastavené a aktualizované, nemyslím si, že byste podstupoval nějaké zvýšené bezpečnostní riziko.
Nextcloud s tím správným nastavením dost pomáhá díky bohaté dokumentaci, kde jsou nejrůznější tipy na security hardening. Mají i službu, v které si svoji instanci můžete "oskenovat", jak se z pohledu bezpečnosti jeví z venku.
Schovávat to za VPN by bylo opravdu hodně krkolomné.

Ja nextcloud pouzivam na "takove to domaci sdileni" pouzivam uz nekolik let, a nenarazil jsem na problem. Pravda, audit kodu jsem nedelal :-) Bezpecnost jsem resil standardnim zabezpecenim VPS a nasazenim HTTPS.

Za zminku stoji, ze maji implementovane sifrovani dat, maji jak sifrovani na serveru, tak end-to-end.

To je z hlediska bezpečnosti asi ideální. Druhý server někde bokem se mi ale úplně řešit nechce, takže jsme spíš uvažoval jít cestou dvou instancí na jednom fyzickém serveru. První z nich dostupná jen přes VPN, s přístupem k citlivým datům a druhá "veřejná", uzavřená ve VM co nejvíc ořezané co se týká přístupu ke zbytku systému. Ostatně takovou VM tam stejně plánuju už jen kvůli webserveru, pro jistotu :).

Měl jsem to (testovací, malé řešení) nastavené jako dvě nezávislé instance, na různém HW (PC + Raspberry Pi), na routeru nastavenou veřejnou IP a jeden port pro VPN (a následně na interní), druhý přesměrovaný na externí.

za mě je doporučení to prostě nevystavovat ven bez další vrstvy, která se bude starat o sanitizaci provozu. CVE přestali používat a místo toho mají mají svůj register, mělo by to být místo, který denně kontroluješ https://nextcloud.com/security/advisories/, problémy se objevují skoro každý měsíc.

Zdrojový kód je ale občas dost šílený, nepřehledný, proměnné jsou nekonzistentě pojmenované, žijou v představě, že nejlepší kód je takový, který se sami implementují. Třeba taková perlička je escapování hodnot do databáze přes addcslashes (ve funkci escapeLikePara­meter), výsledek pak většinou používají přes prepared stmt, ale jen většinou, jsou tam situace, kdy to nacpou přímo do sql a na problém je zaděláno.

Stávají se obětí své popularity, kód by potřeboval výraznější koncepční refaktorování, aby nebyl takový prostor k chybám, teď vše řeší záplatami, záplatami a záplatami. Tým není velký a nestačí odbavovat issues (skoro 3k issues otevřených na githubu).

Když už jsem si dal práci a nějaký bezpečnostní problém jim nahlásil, zůstal měsíce netkutý.

Doteď tam mají otevřené věci jako admin heslo v logu (https://github.com/nextcloud/server/issues/13630), u sftp mají vypnutý host verification (https://github.com/nextcloud/server/issues/14108), nebezpečné používání imagick pro uživatelský vstup se řeší dva roky (https://github.com/nextcloud/server/issues/13099), nebo naprostá anarchie v požávání CSP a frame origin (https://github.com/nextcloud/server/issues/13042).

Projekt, který konzumuje uživatelský vstup, který poskytuje výstup dalším uživatelům by měl trochu více myslet na bezpečnost. Nasadit ho v tomhle stavu veřejně je za mě velké riziko, provozovat ho za vpn je sice lepší, ale tak pro domácí účely, do firmech bych se to neodvážil.

Dá se skutečně díky těmto chybám, něco zneužít, nebo jde jen o ty typy chyb, kde musí být splněno dalších 5 podmínek, aby byl vůbec nějaký útok úspěšný?

Já spíš všude čtu, že NC prošel dostatkem bezpečnostních auditů, vidím že mají bounty program, vidím, že je NC celkem dost používaný v mnoha firmách(ano, veřejné instance)

No a pak tu čtu, něco jako:
"Nasadit ho v tomhle stavu veřejně je za mě velké riziko"...

Rád bych věděl jaké...
Protože dle Vašeho měřítka, může být riziko i obyčejný Wordpress, či Joomla... :-)

Ono vcelku nejvíc záleží na tom, kdo tu instanci spravuje a kdo jí používá.. Pokud správce povolí END-TO-END šifrování, klient si to aktivuje...
Tak mu je nějakej únik dat z NC, tak nějak fuk, když NC drží jen zašifrovaná data.

argumentace, tak mi ukažte jak ten systém napadnete, když tvrdíte, že je nebezpečný, je hodně špatná. Útočník má zpravidla mnohem více znalostí, času a nástrojů než já, ať už to dělá hromadně nebo cíleně.

Argumentace, že to někdo používá, tak to musí být nebezpečné je také falešná, firmy a lidé používají kdejaké voloviny. Je moje práce pak jim ty voloviny rozmlouvat nebo na ně upozorňovat.

Stačí se podívat na jejich bounty program, jaké chyby a jak závažné opravují. Všechny issues, které jsem tady zmínil považuji za hodně nebezpečné. Třeba ten zmíněný imagick umožňuje věci jako https://insert-script.blogspot.com/2020/11/imagemagick-shell-injection-via-pdf.html jen tím, že tam necháš takový soubor nahrát, ten je potřeba zajistit, aby se ten soubor tam dostal. Heslo v logu souboru je také velké riziko, zrovna log soubory rádi někde unikají, nejsou tak chráněné a má na ně přístup spousta lidí.

Ale já vůbec neargumentuji, ať něco někde napadnete, jen říkám, že i přes tyto chyby, se dá v určitých případech a určitém nastavení, Nextcloudu věřit..

No, náhodný útočník tuto chybu, jednoduše nezneužije, protože útočník má přístup jen k login obrazovce, ze které PDFko nenahraje...

Děkuju za obsáhlé příspěvky týkající se mých otázek (díky i všem ostatním, samozřejmě). Tím pádem to vidím tak, že pokud se opravdu pro nasazení NC rozhodnu, schovám ho za VPN a pokud bych snad měl potřebu sdílet něco i mimo vybranou skupinu uživatelů, nahodím druhou oddělenou a ořezanou instanci.

A nebo si vystačím s něčím úplně jednoduchým, jako třeba se skriptem pro nahrání a zpřístupnění souboru, který budu chtít s někým "externím" sdílet, čistě přes webserver pod náhodně vygenerovaným názvem/URL + mazání takto zpřístupněných souborů cronem po určité době. Když nad tím přemýšlím, asi by to mohlo naprosto bohatě stačit.

Jak by mohla přibližně vypadat ta nadřazená vrstva pro sanitizaci provozu? Nedovedu si to představit.

mam v To-do toto riesit.
Zatial mi napadlo riesenie s 2 instanciami - 1 (primarnu) za VPN a 2., cisto na zdielanie, otrcenu do internetu.
Tieto instancie by som skusil spojit do Federacie (cez federation addon) a kedykolvek by som chcel nieco zdielat, zazdielal by som to sekundarnej instancii. Samozrejme by to na 2. instancii vyzadovalo bud druhy krok, kde to uz konecne zazdielam do internetu (na primare musi byt asi povoleny resharing) alebo mat prednastaveny nejaky flow, ktory automaticky novo spristupnene subory automaticky sharuje do netu a nejakym sposobom postne comment s URL primarnemu uctu (mozno aj pomocou push notifikacie) - je to kostrbate? Definitivne.

druha moznost by mohla byt - obmedzenie prihlasenia iba clientom z LAN:
https://apps.nextcloud.com/apps/limit_login_to_ip
teoreticky by tym stale mohol byt funkcny public sharing.
Pripadne sa to mozno da vyladit v nastaveni httpd.

Dalsia, mnou neprebadana oblast by bola pouzivat 1 instanciu za reverznou proxy (u mna Traefik) a pri shareovani dynamicky pridat (Host rule) route na konkretnu url.

18. 3. 2021, 12:33 editováno autorem komentáře

Já to mám nastavené už historicky "skrz VPN" - tedy nejdřív se připojím "domů" a když je to dostupné, koná to svou práci.
To sdílení "něco ven" jsem měl jen chvíli (nebylo to potřeba, jen jsem zkoušel) udělané, jak píšete: druhá (externí) instance a synchronizovat to, co se má. Zas tak neohrabané to nebylo, jen pravidelný rsync mezi servery a, samozřejmě, správa "externích" uživatelů oddělená od "interních".

Pokud to chcete pro sebe, je to použitelné. Ale pro sdílení s někým dalším těžko. Implementace přihlášení certifikátem je v prohlížečích dost nemožná. Neumí rozumně informovat o chybách (i když TLS záměrně poskytuje minimum informací, dá se zobrazit něco jiného než prázdná stránka). Ve Firefoxu bylo nutné při výběru certifikátu vždy klikat na detail, protože informace zobrazené v seznamu byly nepoužitelné pro zjištění, o jaký certifikát se jedná. Chrome mělo (a nejspíš ještě má) chybu, kdy při použití TLS 1.3 velmi agresivně vyměňuje šifrovací klíče, ale často k tomu potřebuje až uživatelův privátní klíč – takže pokud má uživatel privátní klíč chráněný PINem, musí ho zadávat třeba každých 5 minut.

Tenhle přístup by mimo jiné neřešil třeba případ, kdy chci jen někomu bez normálního přístupu do NC nahrát a nasdílet nějaký soubor a poslat mu odkaz na stažení.

Pokud máte na mysli klientský certifikát v prohlížeči, tak to se nechá nastavit na HTTP serveru, ale v prohlížeči je to implementované "jak kde" a někdy je s tím víc starostí, než užitku. Na nějaké profesionální řešení bych to nedoporučoval, na drobné sdílení je to zas docela zbytečně složité.
Ale mám (na OC) odzkoušený "jednosměrný" HTTPS přístup (opět jen na straně serveru)" a to je docela použitelné řešení, pokud nepotřebujete šifrovat upload. (Já to nepotřebuji, protože to používám jen ve vnitřní síti a případně po VPN, která je šifrovaná - a té docela věřím.) Synchronisační klient to umí, zvládne to i CalDAV/CardDAV tool v mobilu nebo v Thunderbirdu...

Co myslíte tím „jednosměrný HTTPS přístup“? Pokud tím myslíte klasické HTTPS bez přihlášení klientským certifikátem, tam je samozřejmě šifrovaný i upload. Pomocí TLS je šifrovaná celá komunikace, oba dva směry. Stačí si uvědomit, že kdysi se říkalo, že by se přes HTTPS měly přenášet alespoň přihlašovací údaje a obsah vyplněných formulářů s osobními daty – a to je právě upload.

Máte samozřejmě pravdu, myslel jsem hlavně to ověření/přihlášení: vy věříte serveru, protože má správný certifikát, ale server vám věří "jen" jméno a heslo.
Pokud by byl server v Internetu, nic nebrání, aby to někdo zkoušel (hrubou silou nebo jinak), ale při vynucení klientského certifikátu se nemusí dostat ani na první stránku.

Ja mam nainstalovany Nextcloud na dedikovanom PC od Februara. Je to jeden z prvych krokov zbavenia sa Google uctu (pomaly ale isto :))

A este by som dodal ze SailfishOS ma nativnu podporu pre zalohovanie call history, SMS a roznych dat priamo do Nextcloudu, a funguje bezchybne.

Definitivne odporucam si to nasadit a vyskusat.

Chtěl bych se zeptat, zda bude nějaké "detailnější pokračování". Tady v tom výcucu z Wikipedie a úvodní stránky projektu nic podstatného není, ale docela bych uvítal popis integrace NextCloudu s Collaborou, když autor tvrdí, že NextCloud má stejné možnosti jako Office365 (původně asi myslel OneDrive, že?)...

Kdysi jsme na gymplu nasazovali ownCloud a pak přecházeli na nextCloud a napojit to na AD nebyl takový problém, ale co bylo problém, bylo generování různých zbytečných náhledů apod., které vyčerpávaly kapacitu úložiště, a pak hlavně napojení na stávající strukturu uživatelských osobních disků... Nějaké best practices by se docela hodilo...

18. 3. 2021, 15:07 editováno autorem komentáře

Nextcloud pouzivam par let a sem vcelku spokojenej, ale jedna vec me neskutecne irituje, a to podivny system (ne)uvolnovani upgradu. Ty nevychazeji najednou pro vsechny, ale "prideluji" se uzivatelom dle nakeho neznameho klice.

To spusobuje absurdni situace jako ted, kdy na clusteru 3x NC mi u jedne instalace nabizi upgrade na NC21, a u dvou dalsich mi tvrdi ze NC20 je aktualni a zadnej upgrade neni k dispozici (presto ze NC21 bylo vydano 22.2.). Prisambuh, tohle je jedinej mne znamej open-source software, kdy vyvojari vybiraji, kdy pro koho uvolni novou verzi (pres interni updatovaci mechanismus), a pro koho jeste ne. Kdyby slo o par hodin nebo dnu, to jeste pochopim. Ale bezne je to i nekolik mesicu, a to mi uz hlava nepobere...

Vždycky můžeš stáhnout novou verzi, smazat vše krom složky config, nahrát novou verzi a udělat occ upgrade...

Od verze 15 takto automatizovaně NC upgraduju a nikdy se nic nepokazilo.

Občas musím udělat occ-missing-indicies a další srandičky, ale nic hrozného.

Ale podle Jiřího Eischmanna od RedHatu je na tom s bezpečností poměrně dobře. :)

Nechápu, co má toto společného s bezpečností. Nextcloud momentálně podporuje verze 19, 20 a 21 a všechny dostávají bezpečnostní aktualizace. Nejsem si vědom případu, kdy by někomu nenabídli upgrade na novější verzi před tím, než je ta jeho stávající EOL.

Jinak tip, jak si upgrade vynutit: po vydání nové verze přepnout na beta kanál, tam se nachází právě vydaná stabilní verze. A po upgradu přepnout zpět na stable kanál a dál dostávat je aktualizace daného vydání.

Pardon, netušil jsem, že se bezpečnostní opravy backportují.

Ale tohle přece není ofiko podporovaná strategie co si pamatuju. Z Bety nešlo jít na prod.

Jinak ten problém se u mě objevil taky (několik identických instalaci jedná nabízí novou verzi druhá ne atd) a pomohla jen "čistá" instalace na cílovou verzi (no spíš takový špinavý hack)

Oficiálně podporovaná strategie to určitě není, ale zatím mi vždycky fungovala. Tím přepnutím na beta kanál neznamená, že instaluju betu. Pár týdnů po vydání se tam nachází právě ta stabilní verze, takže je potom v pohodě přepnout zpátky stable kanál a dostávat k té stabilní verzi už jenom aktualizace.
Ano, je to jen rovnák na ohejbák, ta jejich upgradovací politika je fakt divná.

To teda moc opensource softwaru neznáte. Stejně to dělá Firefox i Chrome, dělá to tak WordPress. Pokud se pustíte do světa mimo opensource, běžně se to tak dělá u mobilních aplikací, při nasazování serverových aplikací a dělá to i spousta desktopového softwaru s automatickými aktualizacemi.

To, že vám to nenabízí v celém clusteru jednu verzi, je špatně – buď je to chyba Nextcloudu, nebo chyba v konfiguraci clusteru. Ale ten princip postupného uvolňování nové verze je v pořádku a dnes už je naprosto běžný.

Ten „neznámý klíč“ je náhodný – určí se procentu instalací a ty se vyberou náhodně. Pak se postupně přidávají další, až je nová verze k dispozici všem.

Firefox i Chrome? To bych teda rad videl! Pouzivam oba uz peknejch par let, ale jeste se mi nestalo, ze na jednom pocitaci by mi byl nabydnut upgrade, a na druhem nikoliv. Muze tam byti nakej casovej odstup u verzi pro ruzne OS (windows/linux), ale i to nejvic den-dva. Rozhodne se to nepocita v mesicich...

Wodpress neznam, ale mam na nekolika serverech drupal a update se nabizi taky +/- ve stejnem case. to sem opravdu jeste nikdy nezazil, ze bych u nektereho serveru musel cekat mesic nebo dva, nez mi bude nabidnut upgrade (zatimco ostatni uz novsi verzi davno maji)...

V měsících se to rozhodně nepočítá, rozdíl je v řádu dnů. Pokud se vám nenabízí aktualizace po několika měsících, je někde chyba.

Chvilu som nad NC premyslal az som zistil, ze je to napisane v PHP. Potom ma to premyslanie preslo. Urcite nepojdem do riesenia postavenehi nad PHP. Mozno keby java tak by som sa bal menej ale takyto moloch v PHP si na svoj stroj nedam.

Patrně jsem nějaký hloupější, ale nějak mně uniká filosofický rozměr počinu "postavit si domácí cloud". Motivace jít do cloudu vzniká převážně tehdá, když se chci zbavit starostí o infrastrukturu, tak doma jako i v práci. No a starosti se storageí, networkingem, bezpečností atd teda přenechá někomu jinému (cloudu), něco se mu za to zaplatí a dělá jen to, na čem mu záleží (aplikace, online úložiště a pod.).
Korporáty to taky dávno pochopili, poslali do pryč půlku drahých adminů, zrušili půlku licencí vmware a jedou hodně věcí v azure a aws.
"Na doma" si koupím nějakou NASku od Synology, jediné, na co si dám pozor u konfigu, je VPNka a tradá.... rodinné fotky a chujovinky uploaduje celá rodina přímo z dovolené v Jugoslávii :)

Na "nějaké NASce od Synology" ty cloudové nástroje taky mají - a i ten NextCloud tam můžete nainstalovat.
Jinak: zkusil jste "opravdu" uploadovat fotky třeba z hotelu "v Jugoslávii" skrz VPN na domácí NASku? Já ano - a měl jsem pocit, že je tam dřív dovezu... ;oD

Záleží na tom, co si člověk pod tím "cloudem" představuje, jak tu bylo zmíněno. Domácí "cloud" v podobě NextCloudu je nejspíš datové úložiště s webovým přístupem, případně možností synchronizovat složky na více počítačích (tedy něco jako dropbox).

V mém případě to znamená, že na domácím počítači si nachystám textový dokument, který se mi okamžitě synchronizuje do složky na pracovním počítači. Až tedy přijedu do práce, budu moct na stejném textu pokračovat v práci a to dokonce i v případě náhlého výpadku netu, protože data se synchronizovala na oba stroje a po obnovení spojení se zase sesynchronizují. Pokud bude potřeba se k souboru dostat z cizího stroje, dostanu se tam přihlášením přes webový frontend.

Zásadní výhoda domácího řešení (místo dropboxů apod.) pak je kontrola nad daty a parametry. Nikomu neplatím výpalné za megabajt, nikdo mi neposílá otravné marketingové nabídky, nejsem závislý na datacentru firmy, která mě má jako malého zákazníka u ř!*i (jako typicky Google, který s nefiremními zákazníky zachází jak ve středověku s otroky - jednomu jsme smazali celý mail a už nám nechce dávat svá data, však je tu hromada dalších).

Nevýhody samozřejmě existují taky. Domácí řešení pak samozřejmě není "cloud" v původním pravém smyslu slova: zatemněné řešení bez znalosti geografické či technologické realizace. Za mě je klasický cloud prostě špatně - je to slepá víra. Dávat svá data někomu, kdo mi nedokáže sdělit, kde a jak jsou uchovávána a jak je s nimi nakládáno? Děkuji, nechci.

19. 3. 2021, 13:11 editováno autorem komentáře

S hodnocením běžných cloudů celkem souhlas: jako malý koncový uživatel nemáte vůbec šanci ovlivnit, co se bude dít. Setkal jsem se s úpravou fotek, které měly být prostě ponechané beze změny, smazáním dat, které se najednou ocitly nad sníženým limitem, ztrátou e-mailů... Zejména mobilní aplikace pak vyžadují další a další data: o poloze, telefonní seznam i z náhodných hovorů, archivace SMS, které měly být smazány, opravování kontaktů podle "svých" znalostí (proč se mi kontakt "Pepa" s obrázkem prasátka změnil na "Josef Novák" s fotkou?), atd.
To je hlavní důvod pro vybudování domácího "cloudu".
Nějaké geograficky oddělené zálohování se implementuje obtížně (když máte jen jedno místo...) ale kapacita je vlastně jen otázkou investice do velkých disků. (Cloud o 1 TB bude drahý, ale NAS z druhé ruky se staršími disky může mít 3 TB mirrorované disky a klidně si hučet někde ve špajzu.)
Jen se o to musí člověk alespoň trošku starat.

To geograficky oddělené zálohování nemusí být zas tak velký problém. Záleží samozřejmě na jeho smyslu... Já v něm pro jednotlivce vidím ochranu proti živelním pohromám: povodeň, požár, blesk sjetý do techniky, poškození domu, zemětřesení... Dále ochranu před společenskými kolapsy: vykradení/vyra­bování bytu, válečný útok (likvidace budov).

Já mám část dat zálohovanou na druhém disku v počítači v práci. Má to samozřejmě nevýhodu teoretického přístupu nepovolané osoby a je potřeba mít tu možnost, takhle do pracovního stroje zasáhnout. Další varianta, kterou jsem už i zvažoval, je recipročně si zálohovat data s bráchou.

Ten bydlí 3,5 km daleko, zaměstnání mám taky 3,5 km. To je sice poměrně malá vzdálenost, ale brácha je o 70 m výškových níž, přímá trasa do práce je 90 (výškových) metrů klesání a 60 stoupání. Já jsem na kopci. Takže proti povodním jsem slušně chráněný. U zemětřesení nezbývá než doufat ;-), požár by v 3,5 km vzdálené městské zástavbě být nemusel. Blesk na obou místech nehrozí, bývá situace, kdy brácha hlásí krupobití a vichřici a u nás sítí slunko. V případě války budou data na disku asi v nižší prioritě a jako samostatná osoba nemám problém sbalit harddisk do batohu.

Mně osobně teda pro domácí řešení nejvíc vadí cena NAS. Navíc bych chtěl mít NAS zároveň s dalšími službami a čistě na Linuxu, nejsem zvědavý na žádné neudržované bastly konkrétních výrobců (Linux Center Asustor). K tomu mi na trhu dost chybí jednodeskový počítač se SATA (ev. SAS) řadičem s podporou RAIDU...

Nějaké geograficky oddělené zálohování se implementuje obtížně (když máte jen jedno místo...)
To by se mělo dát řešit celkem snadno :). Co třeba umístění své krabičky třeba k rodičům domů, nebo k nějakému dobrému kamarádovi - kterému můžeš třeba na oplátku poskytnout prostor pro jeho zálohy u sebe? Když to bude E2E šifrované, tak je to i dost bezpečné, myslím si.

To je právě ta otázka, kdy máte k disposici druhé místo.
Varianta "jednou doma, jednou na chalupě" je docela dobrá. Ale varianta "jednou doma, jednou u milenky" může docela dobře skončit tím, že se o milence dozví manželka - a přijdete o obě kopie jedním vrzem.
Mít soukromou "základnu" v práci nebude většinou možné a přesvědčit "staré" rodiče, že mají nechat doma zapnuté nějaké zařízení, které žere elektriku jen pro to, abyste měli dobrý pocit, že máte data dvakrát - to taky nemusí být jednoduché.

"Korporáty to taky dávno pochopili, poslali do pryč půlku drahých adminů, zrušili půlku licencí vmware a jedou hodně věcí v azure a aws."

dost naivny nazor, mimochodom ked si zoberiete IAAS, tak adminov musite mat stale, pretoze MS ani Amazon tie stroje nepatchuje, neriesi incidenty, plne filesystemy, nic, cize ste neusetrili ani jeden FTE, ba prave naopak nakoniec "korporaty" zistili, ze ten Azure/AWS je castokrat niekolkonasobne drahsi ako onprem

on má ale pravdu, oni opravdu postupně ruší ty velké licence a vyhazují admini, jen to nepochopili, admini stejně nabírají, náklady jsou mnohem vyšší a počet incidentů také (velký přechod nastal u GE, kde lze vidět důsledky i po třech letech).

Dodám, že Nextcloud má plugin/aplikaci News, tedy online čtečku kanálů s (celkem zpraseným) API, které je podporáno i v mém RSS Guardu.