개요

---

Nextcloud 는 Dropbox, Google Drive, Onedrive 처럼 웹이나 앱으로 저장소를 접근해 네트워크로 파일을 관리할 수 있게 해주는 프로그램입니다.
Nextcloud를 홈서버에 설치하여 자신의 하드디스크 용량 만큼 저장소를 사용할 수 있다는 장점이 있습니다.

무료임에도 불구하고 개인 정보 보호 규정과 보안이 매우 잘 되어 있으며, 접속 정책도 완벽하게 제어할 수 있습니다.

준비물

• Nginx
• Let's Encrypt
• MariaDB
• fail2ban
• php

이때 까지 모든 챕터를 따라왔다면 남은 설치 항목은 php 하나입니다.

php 설치 및 설정

Nextcloud 공식 홈페이지에서 알려주는 운용에 필요한 php 모듈들을 설치 해봅시다.
꼭 php-fpm 을 먼저 설치하셔야 하는데 이는 Nginx 를 위한 것입니다.

sudo apt install php-fpm
sudo apt install php-imagick php-common php-mysql php-fpm php-gd php-json php-curl php-zip php-xml php-mbstring php-bz2 php-intl

Nextcloud에 대용량 파일을 업로드 하기위해 php 설정을 해야합니다.
아래 내용을 수정해주세요.

sudo vim /etc/php/7.4/fpm/php.ini

post_max_size = 4G
upload_max_filesize = 4G

php 서비스를 재시작 해줍시다.

sudo service php7.4-fpm restart

데이터베이스 생성

nextcloud 라는 데이터베이스를 만들고 nc 라는 계정을 만들어서 nextcloud 데이터베이스의 모든 권한을 주도록 하겠습니다.

sudo mysql -u root -p

create database nextcloud default character set utf8mb4 collate utf8mb4_general_ci;
create user nc@localhost identified by [비밀번호];
grant all privileges on nextcloud.* to nc@localhost;
flush privileges;
exit

[비밀번호] 는 Nextcloud 데이터베이스에 접근하는 nc 계정의 비밀번호를 설정해주면 됩니다.

Nextcloud 다운로드

Nextcloud 공식 홈페이지에 접속해서 최신버전 다운로드 주소를 알아냅시다.
https://nextcloud.com/install

.tar.bz 를 우클릭 하셔서 링크 주소 복사 를 선택하세요.

복사할 링크를 토대로 다운로드 및 압축 풀기를 합시다.

cd ~
wget [복사한 링크 주소]
tar -xvf nextcloud-*.tar.bz2
sudo chown -R www-data:www-data nextcloud
sudo mv nextcloud /var/www
rm nextcloud-*.tar.bz2

1. 홈 디렉토리로 이동
2. nextcloud 를 홈페이지에서 다운로드
3. 다운로드한 nextcloud 압축 풀기
4. 웹서버에서 동작하니 nextcloud 모든 파일을 웹 유저인 www-data 의 권한으로 변경
5. 웹서버 폴더로 nextcloud 이동
6. 다운로드한 nextcloud 압축파일 삭제

DNS 레코드 추가

호스팅 케이알에서 DNS 레코드로 Nextcloud로 사용할 서브 도메인을 추가합시다.
[구름] 부분은 적당한 영어로 바꿔 입력하시고 이렇게 생성한 도메인이 이후에 서버블록 설정파일의 [Nextcloud도메인] 부분이 될 것입니다.

기존 DNS 레코드와 동일하게 A레코드로써 IP주소를 가리키게 하면 됩니다.

Nginx 서버 블록 생성

아래 내용은 Nextcloud 공식 홈페이지의 docs를 토대로 만들어 보았고 정상 작동 하는 것을 확인했습니다.
서버 블록 내용 중 가장 많으므로 자세히 확인하여 자신의 도메인 주소만 정확히 수정하시길 바랍니다.

sudo vim /etc/nginx/sites-available/[Nextcloud도메인]

upstream php-handler {
    server unix:/run/php/php7.4-fpm.sock;
}

server {
        listen 80;
        server_name [Nextcloud도메인];
        return 301 https://$server_name$request_uri;
}

server {
        listen 443 ssl http2;
        server_name [Nextcloud도메인];
        root /var/www/nextcloud;

        access_log /var/log/nginx/nextcloud.access.log;
        error_log /var/log/nginx/nextcloud.error.log;

        ssl_certificate /etc/letsencrypt/live/[도메인]/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/[도메인]/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/[도메인]/chain.pem;
        ssl_dhparam /etc/ssl/dhparam.pem;
        ssl_session_timeout 10m;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;

        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;
        ssl_ecdh_curve secp384r1;
        ssl_stapling on;
        ssl_stapling_verify on;

        add_header Strict-Transport-Security max-age=15552000;
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";
        add_header X-Robots-Tag none;
        add_header X-Download-Options noopen;
        add_header X-Permitted-Cross-Domain-Policies none;
        add_header Referrer-Policy no-referrer;
        fastcgi_hide_header X-Powered-By;

        location = /.well-known/carddav {
                return 301 $scheme://$host/remote.php/dav;
        }
        location = /.well-known/caldav {
                return 301 $scheme://$host/remote.php/dav;
        }
        location /.well-known/acme-challenge { }

        client_max_body_size 0;
        fastcgi_buffers 64 4K;

        gzip on;
        gzip_vary on;
        gzip_comp_level 4;
        gzip_min_length 256;
        gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
        gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

        location / {
                rewrite ^ /index.php;
        }
        location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)\/ {
                deny all;
        }
        location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) {
                deny all;
        }
        location ~ ^/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+)\.php(?:$|\/) {
                fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;
                set $path_info $fastcgi_path_info;
                try_files $fastcgi_script_name =404;
                include fastcgi_params;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                fastcgi_param PATH_INFO $path_info;
                fastcgi_param HTTPS on;
                fastcgi_param modHeadersAvailable true;
                fastcgi_param front_controller_active true;
                fastcgi_pass php-handler;
                fastcgi_intercept_errors on;
                fastcgi_request_buffering off;
        }
        location ~ ^/(?:updater|oc[ms]-provider)(?:$|\/) {
                try_files $uri/ =404;
                index index.php;
        }
        location ~ ^/.+[^\/]\.(?:css|js|woff2?|svg|gif|map)$ {
                try_files $uri /index.php$request_uri;
                add_header Cache-Control "public, max-age=15778463";
                add_header X-Content-Type-Options nosniff;
                add_header X-XSS-Protection "1; mode=block";
                add_header X-Robots-Tag none;
                add_header X-Download-Options noopen;
                add_header X-Permitted-Cross-Domain-Policies none;
                add_header Referrer-Policy no-referrer;

                access_log off;
        }
        location ~ ^/.+[^\/]\.(?:png|html|ttf|ico|jpg|jpeg|bcmap)$ {
                try_files $uri /index.php$request_uri;
                access_log off;
        }
}

문법에 이상이 없는지 검사 후 Nginx를 재시작 해서 새로운 서버 블록을 적용합시다.

sudo ln -s /etc/nginx/sites-available/[Nextcloud도메인] /etc/nginx/sites-enabled/
sudo nginx -t
sudo service nginx restart

Nextcloud 저장소 폴더 생성

우선 데이터를 저장할 하드디스크가 마운트까지 되어있는지 확인해봅시다.

sudo fdisk -l

...
Disk /dev/sdb: 1.84 TiB, 2000398934016 bytes, 3907029168 sectors
Disk model: ST2000LM003 HN-M
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes

홈서버를 설치 할 때 마운트까지 해주어서 1.84TiB의 용량을 가진 디스크가 확인됩니다.

df -h

...
/dev/sdb        1.8T   77M  1.7T   1% /srv
...

마운트가 되어있지 않다면 구글에 우분투 하드디스크 추가 라고 치면 자세하게 나올 것이니 보고 따라해보시길 바랍니다.

그럼 HDD에 저장소 폴더를 생성해보겠습니다.

cd /srv
sudo mkdir nextcloud
sudo chown -R www-data:www-data nextcloud

Nextcloud 설치

웹 브라우저를 통해 자신만의 홈서버 Nextcloud 주소 https://[Nextcloud도메인] 에 접속하고 아래를 순서대로 해보세요.

관리자 계정 만들기

사용자 이름과 암호를 입력해 Nextcloud 접속 할 때 사용할 계정을 만들면 됩니다.

데이터 폴더

HDD를 마운트 하고 생성했던 nextcloud-data 폴더를 데이터 폴더로 지정해줍니다.

데이터베이스 설정

만들었던 데이터베이스의 정보를 입력해줍니다.
특별한 경우가 아니면 데이터베이스의 포트번호는 3306 번 이므로 지정해주지 않아도 됩니다.

설치 완료

아래쪽 추천 앱 설치 체크 해제를 해준 뒤 설치 완료 버튼을 클릭합시다.

일정 시간 뒤 대쉬보드로 접속되었다면 성공적으로 설치가 끝난것입니다.

팝업창을 닫고 좌측 상단의 폴더 모양을 클릭하세요.

여기가 Nextcloud 파일 관리 하는 곳입니다.

보이는 파일과 폴더들은 기본으로 만들어진 것들이니 전부 삭제 해주시고 원하는 파일을 업로드 하여 사용하시면 됩니다.

Nextcloud 보완

하지만 아직 그냥 사용하기엔 이릅니다.
추가적인 작업으로 Nextcloud가 완벽히 동작할 수 있도록 보완을 해줍시다.

우측 상단 프로필 사진 클릭 > 좌측 메뉴 중 개요 클릭

Nextcloud가 설정이 필요한 부분을 친절하게 알려줍니다.
하나씩 차근차근 해결해 보도록 하겠습니다.

php 메모리 제한값 증가

sudo vim /etc/php/7.4/fpm/php.ini

memory_limit = 1G

수정이 끝났으니 php 서비스를 재시작 해줍시다.

sudo service php7.4-fpm restart

Nextcloud 페이지를 새로고침 하면 크리티컬 오류인 빨간 글씨가 사라진 것이 확인됩니다.

php PATH 환경변수 설정

sudo vim /etc/php/7.4/fpm/pool.d/www.conf

env[HOSTNAME] = $HOSTNAME
env[PATH] = /usr/local/bin:/usr/bin:/bin
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp

이 내용들 제일 앞에 주석 ; 이 붙어있을 것입니다.
; 을 제거해 줍시다.

내용은 409번 째 줄 근처에 나타나져 있었습니다.

수정이 끝났다면 php를 재시작 해주세요.

sudo service php7.4-fpm restart

Nginx 서버 블록 수정

sudo vim /etc/nginx/sites-available/[Nextcloud도메인]

X-Frame-Options 헤더 추가

우선 대략 34번째 줄에 Strict-Transport-Security 헤더 추가 부분이 있을텐데 그 아래에 X-Frame-Options 아래 내용을 넣어주세요.

add_header X-Frame-Options "SAMEORIGIN" always;

well-knwon 올바르게 처리

50번째 줄에 location /.well-known/acme-challenge {} 내용이 있을 텐데 바로 밑에 아래 내용을 추가해주세요.

location ^~ /.well-known {
        return 301 /index.php$uri;
}

수정이 끝났다면 Nginx 서비스를 재시작 해주세요.

sudo service nginx restart

nextcloud 전화 지역 추가

sudo vim /var/www/nextcloud/config/config.php

'default_phone_region' => 'KR'

마지막 부분에 default_phone_region 옵션을 추가해주세요.

수정이 끝났다면 Nginx 서비스를 재시작 해주세요.

sudo service nginx restart

메모리 캐시 구성 및 모듈 추가

먼저, OPcache 를 설치해야 하는데 php 5.5 버전 이후에 자동으로 설치된다고 합니다.
따라서 설치할 필요가 없고 OPcache 사용할 수 있게 php 설정값 변경합시다.

sudo vim /etc/php/7.4/fpm/php.ini

vim 명령모드에서 /opc 라고 입력하면 해당 라인인 대략 1766번째 줄로 바로 이동 해줍니다.
주석 되어 있으면 풀고 아래 내용으로 변경 해주세요.

[opcache]
opcache.enable=1
opcache.enable_cli=1
opcache.memory_consumption=128
opcache.max_accelerated_files=10000
opcache.max_wasted_percentage=5
opcache.validate_timestamps=1
opcache.revalidate_freq=2

Nextcloud에 필요한 추가적인 패키지 설치

메모리 캐시에 필요한 APCu와 성능 향상에 도움되는 php 모듈들을 추가적으로 설치합시다.

sudo apt install php-apcu php-bcmath php-gmp imagemagick -y

Nextcloud에 APCu 모듈 반영

sudo vim /var/www/nextcloud/config/config.php

'filesystem_check_changes' => 1,
'memcache.local' => '\OC\Memcache\APCu',

• filesystem_check_changes sftp, transmission 와 같이 웹 또는 앱이 아닌 다른 서비스에서 Nextcloud 데이터 폴더에 파일 등을 추가할 경우 추가된 파일을 자동으로 인식해 업데이트 해주는 것
• memcache.local 방금 설치한 APCu 모듈을 Nextcloud 적용하는 것

수정과 설치가 끝났다면 php를 재시작 해주세요.

sudo service php7.4-fpm restart
sudo service nginx restart

드디어 끝났습니다.
이제 Nextcloud 페이지에 접속해 봅시다.

Nextcloud 모든 검사를 통과했습니다.
이제 안정적으로 Nextcloud 사용이 가능합니다!

fail2ban 적용

Nextcloud는 로그인 여러번 실패했을 경우 자체적으로 수십초동안 로그인을 하지 못하도록 되어있습니다.
이 정도로 만족하는 사람은 굳이 fail2ban을 적용할 필요는 없습니다.
저는 소중한 데이터가 있는 Nextcloud의 안전을 위해 SSH와 같이 보안을 강화할 것입니다.

Nextcloud 공식 홈페이지에서 제공하는 필터를 사용해서 jail을 만들어 보겠습니다.

필터

Nextcloud 홈페이지에서 바로 들고온 필터 코드라 수정할 필요없이 작성하시면 됩니다.

sudo vim /etc/fail2ban/filter.d/nextcloud.conf

[Definition]
_groupsre = (?:(?:,?\s*"\w+":(?:"[^"]+"|\w+))*)
failregex = ^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Login failed:
            ^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Trusted domain error.
datepattern = ,?\s*"time"\s*:\s*"%%Y-%%m-%%d[T ]%%H:%%M:%%S(%%z)?"

감옥

Nextcloud에 대한 fail2ban 규칙을 설정합시다.
fail2ban을 설치하고 ssh에 적용할 때 maxretry, bantime, findtime을 jail.local에 기본값으로 설정하였기 때문에 똑같이 사용하려면 여기서 굳이 지정해줄 필요가 없습니다.

sudo vim /etc/fail2ban/jail.d/nextcloud.local

[nextcloud]
backend = auto
enabled = true
port = 80,443
protocol = tcp
filter = nextcloud
logpath = /srv/nextcloud/nextcloud.log

logpath 는 nextcloud 데이터가 저장된 폴더에 있는 로그파일을 적어주면 됩니다.

적용 및 확인

실행 확인

sudo service fail2ban restart
sudo fail2ban-client status nextcloud

Status for the jail: nextcloud
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /srv/nextcloud/nextcloud.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

출력 내용이 위와 같다면 잘 작동하는 것입니다.

이제 테스트를 위해 스마트폰의 모바일 데이터 환경에서 Nextcloud 페이지에 접속해 로그인 5번을 실패해봅시다.
그리고 상태를 확인해보면 벤 당한 것을 확인할 수 있습니다.

차단 확인

sudo fail2ban-client status nextcloud

Status for the jail: nextcloud
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     5
|  `- File list:        /srv/nextcloud/nextcloud.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   223.39.149.171

Banned IP List 에 스마트폰 외부 IP가 생겼다면 차단도 잘 작동하는 것입니다.

이제 마음 편하게 클라우스 스토리지 Nextcloud를 사용하시면 됩니다.

원래 다음 챕터에서 Nextcloud에서 웹기반으로 문서 작업(워드, 파워포인트, 엑셀) 작업을 할 수 있는 OnlyOffice를 설치해보려 했는데 사용률이 그닥 많지 않고 Onedrive 사용을 병행하기에 Nextcloud의 오피스 서버는 굳이 필요가 없다고 느꼈습니다.
따라서 홈서버 만들기 시리즈에서는 다루지 않을 것이므로 혹시라도 설치해보고 싶으시면 구글에 우분투 Onlyoffice 서버 설치 라고 검색해보시길 바랍니다.

Nextcloud 용량을 늘리고 싶으시면 하드디스크를 추가 장착하여 Raid 구성을 하시면 됩니다.
Raid 구성이 어려우신 분은 /srv 와 같이 적당한 폴더에 마운트 한 뒤 Nextcloud 자체 기능의 디스크 추가를 사용하시면 됩니다.