Nextcloud auf Ubuntu: Selbstbestimmte Cloud-Infrastruktur im Profi-Einsatz

Wer heute über Datensouveränität spricht, landet früher oder später bei Nextcloud. Die Open-Source-Plattform hat sich vom reinen Dropbox-Ersatz zum vollwertigen Collaboration-Hub gemausert – und Ubuntu Server bildet dafür das perfekte Fundament. Warum das Duo technisch überzeugt und worauf es im produktiven Betrieb ankommt, analysieren wir im Detail.

Die Symbiose: Warum Ubuntu und Nextcloud sich verstehen

Ubuntus LTS-Versionen bieten nicht nur Langzeitstabilität, sondern auch optimierte Paketquellen für die Nextcloud-Infrastruktur. Während andere Distributionen mit veralteten PHP-Versionen kämpfen, liefert Ubuntu aktuelle Stacks aus einer Hand. Das snap-Paket mag für Testinstallationen praktisch sein, doch für den Produktiveinsatz setzen Profis auf die manuelle Installation. Der Grund: Nur so behält man die volle Kontrolle über PHP-Module, Caching-Layer und Sicherheitshärtung.

Vorbereitung: Das Server-Fundament

Bevor Nextcloud ins Rampenlicht tritt, muss die Bühne stimmen. Auf einem frischen Ubuntu 22.04 LTS bedeutet das:

sudo apt update && sudo apt upgrade -y
sudo apt install -y apache2 mariadb-server libapache2-mod-php8.1 \\
  php8.1-gd php8.1-mysql php8.1-curl php8.1-mbstring \\
  php8.1-intl php8.1-gmp php8.1-bcmath php8.1-imagick \\
  php8.1-xml php8.1-zip php8.1-redis php8.1-apcu

Hier zeigt sich schon die erste Stärke: Ubuntus Paketmanagement vereinfacht den Stack-Aufbau erheblich. MariaDB ist dabei die klare Empfehlung – es läuft schlanker als MySQL und integriert sich nahtlos. Wichtig: Die php-redis und php-apcu Erweiterungen gleich mitzuinstallieren spart später Kopfzerbrechen bei Performance-Optimierungen.

Datenbank-Tuning: Mehr als nur CREATE DATABASE

Nach der Grundinstallation wartet die erste Stolperfalle: Die Standardkonfiguration von MariaDB ist für Nextcloud unzureichend. In der /etc/mysql/mariadb.conf.d/50-server.cnf sollten folgende Anpassungen nicht fehlen:

[mysqld]
innodb_buffer_pool_size = 1G # 70% des verfügbaren RAM
innodb_log_file_size = 256M
innodb_flush_log_at_trx_commit = 2
max_allowed_packet = 64M
character_set_server = utf8mb4
collation_server = utf8mb4_general_ci

Ein häufiger Fehler: Das utf8mb4 wird vergessen, was später bei Sonderzeichen in Dateinamen zu bösen Überraschungen führt. Bei der Datenbankerstellung selbst sollte man nicht mit root arbeiten, sondern dedizierte User anlegen – das zahlt sich bei Sicherheitsaudits aus.

Installation: Wo der offizielle Leitfaden zu kurz greift

Nextclouds Dokumentation empfiehlt das Herunterladen des Tarballs. Praktischer ist jedoch:

wget https://download.nextcloud.com/server/releases/latest.zip
unzip latest.zip -d /var/www/
chown -R www-data:www-data /var/www/nextcloud

Warum ZIP statt Tarball? Bei Problemen lässt sich die Installation so einfacher rollbacken. Die Berechtigungen mit www-data sind kritisch – falsche Ownership führt zu Update-Fehlern. Die Apache-Konfiguration verdient besondere Aufmerksamkeit:

<VirtualHost *:80>
  DocumentRoot /var/www/nextcloud
  ServerName cloud.eigene-domain.de

  <Directory /var/www/nextcloud>
    Require all granted
    Options FollowSymlinks
    AllowOverride All
  </Directory>
</VirtualHost>

Das AllowOverride All aktiviert .htaccess-Regeln – essentiell für Nextclouds Sicherheitsmechanismen. Wer hier spart, bekommt später Probleme mit Hardening-Scans.

Performance: Wenn der Server stottert

Die Standardinstallation läuft – bis die ersten 50 User kommen. Dann wird’s eng. Drei Stellschrauben machen den Unterschied:

1. Caching: Kein Luxus, sondern Pflicht

Ohne Caching erstickt Nextcloud in Datenbankabfragen. Die Kombination aus Redis und APCu ist Goldstandard:

'memcache.local' => '\\OC\\Memcache\\APCu',
'memcache.distributed' => '\\OC\\Memcache\\Redis',
'redis' => [
  'host' => 'localhost',
  'port' => 6379,
],

Redis übernimmt dabei den verteilten Cache, APCu den lokalen. Wichtig: php-apcu und php-redis müssen installiert sein – sonst bleibt Nextcloud beim Hochfahren stecken.

2. PHP-Tuning: Mehr als nur Speicherlimit

Die Standard-php.ini ist für Produktivsysteme ungeeignet. Diese Werte in /etc/php/8.1/apache2/php.ini sind Minimum:

opcache.enable=1
opcache.interned_strings_buffer=16
opcache.max_accelerated_files=20000
opcache.memory_consumption=256
opcache.revalidate_freq=60
realpath_cache_size=4096K
realpath_cache_ttl=600

OPcache beschleunigt PHP massiv – aber Vorsicht: Nach Updates muss er manuell zurückgesetzt werden (opcache_reset()), sonst lädt er veraltete Skripte.

3. Cron-Jobs: Der stille Killer

Das Web-Cron-Feature ist praktisch für Testsysteme, aber im Betrieb ein Performance-Grab. Ein systemd-Timer ist eleganter:

[Unit]
Description=Nextcloud cron.php job

[Service]
User=www-data
ExecStart=/usr/bin/php /var/www/nextcloud/cron.php

[Timer]
OnCalendar=*-*-* *:00,05,10,15,20,25,30,35,40,45,50,55:00
Unit=nextcloud-cron.service

So läuft der Cron alle 5 Minuten ohne Lastspitzen durch AJAX-Aufrufe.

Sicherheit: Paranoia ist kein Schimpfwort

Nextcloud-Instanzen stehen im Visier von Bots und Angreifern. Drei Schutzschichten sind Pflicht:

1. Reverse Proxy: Mehr als nur SSL

Apache direkt mit dem Internet zu verbinden ist riskant. Nginx als Reverse-Proxy davor bringt:

• DDoS-Schutz durch Rate Limiting
• Hardening gegen Slowloris-Attacken
• Einfacheres TLS-Management

Die entscheidende Konfiguration in der Nginx-Site:

location ~ ^/(?:index|remote|public|cron|status|ocs/v[12]|updater/.+|ocs-provider/.+|core/templates/40[34])\.php(?:$|/) {
  fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
  include fastcgi_params;
  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  fastcgi_param modHeadersAvailable true;
  fastcgi_param front_controller_active true;
  fastcgi_intercept_errors on;
  fastcgi_request_buffering off;
}

Das fastcgi_request_buffering off verhindert Timeouts bei großen Uploads – eine häufige Fehlerquelle.

2. Nextcloud Hardening: Nicht nur für Paranoid

Die Security-Scan App ist gut, aber reaktiv. Proaktive Maßnahmen in config.php:

'allow_local_remote_servers' => false,
'filesystem_check_changes' => 1,
'keystorage.encryption_password' => 'ZufälligGeneriertesPasswort',
'logfile' => '/var/log/nextcloud/nextcloud.log',

Besonders kritisch: Externe Speicher wie S3 oder SMB sollten strikten Zugriffsregeln unterliegen. Ein Backup-Admin mit Schreibrechten auf dem S3-Bucket kann sonst die gesamte Nextcloud löschen – ohne Spuren in Nextcloud-Logs.

3. Fail2Ban: Der stille Wächter

Brute-Force-Angriffe auf Login-Seiten sind Alltag. Fail2Ban mit Nextcloud-Integration blockiert Angreifer automatisch:

[nextcloud]
enabled = true
port = 80,443
filter = nextcloud
logpath = /var/log/nextcloud/nextcloud.log
maxretry = 3
bantime = 86400

Wichtig: Die Log-Datei muss für den Fail2Ban-User lesbar sein – sonst bleibt der Schutz wirkungslos.

Collaboration-Addons: Talk, Office & Co

Nextclouds wahre Stärke liegt in den Erweiterungen. Doch Vorsicht:

Collabora Online: Die Falle im Container

Die Docker-Variante von Collabora ist simpel zu installieren, aber ressourcenhungrig. Für kleine Teams mag sie passen, bei 50+ gleichzeitigen Nutzern wird’s eng. Die native Installation auf einem separaten Server ist aufwendiger, aber stabiler. Entscheidend ist der Proxy-Pass in der Nginx-Konfiguration:

location ^~ /loleaflet {
  proxy_pass https://collabora-server:9980;
  proxy_set_header Host $http_host;
}

Ein häufiges Problem: Vergisst man das ^~, überschreiben andere Regeln die Weiterleitung.

Nextcloud Talk: WebRTC braucht Spezialinfrastruktur

Das eingebaute TURN-Server-Setup ist für Tests ausreichend. Im Produktivbetrieb mit externen Teilnehmern braucht man jedoch:

• Dedizierten TURN-Server mit öffentlicher IP
• STUN-Server für NAT-Traversal
• Bandbreitenmanagement auf dem Proxy

Ohne diese Maßnahmen fallen Teilnehmer hinter Firmenfirewalls regelmäßig aus – ein häufiger Support-Grund.

Wartung: Der Teufel steckt im Update

Nextclouds monatliche Updates sind Fluch und Segen. Vor jedem Update sollte man:

1. Datenbank-Backup mit mysqldump
2. Dateisystem-Snapshot (LVM oder btrfs)
3. Wartungsmodus aktivieren
4. OPcache zurücksetzen

Besonders tückisch: Apps von Drittanbietern. Sie brechen Updates regelmäßig. Besser vorher deaktivieren und nach dem Core-Update schrittweise wieder aktivieren.

Skalierung: Wenn ein Server nicht mehr reicht

Ab etwa 500 aktiven Nutzern stößt die Single-Server-Architektur an Grenzen. Die Skalierung erfolgt auf drei Ebenen:

1. Datenbank-Entlastung

MariaDB Galera Cluster mit 3 Nodes verteilt die Last. Wichtig: Die Nextcloud-Instanz muss auf alle Nodes schreiben können. In der config.php:

'dbcluster' => [
  'read' => [
    'host' => ['slave1', 'slave2'],
  ],
  'write' => [
    'host' => 'master',
  ],
],

2. Dateispeicher: Objektspeicher statt lokal

Dateien in S3-kompatiblen Speicher auszulagern entlastet die Server. Aber Vorsicht bei der Konfiguration:

'objectstore' => [
  'class' => '\\OC\\Files\\ObjectStore\\S3',
  'arguments' => [
    'bucket' => 'nextcloud-data',
    'autocreate' => true,
    'key' => 'AWS_ACCESS_KEY',
    'secret' => 'AWS_SECRET_KEY',
    'hostname' => 's3.eu-central-1.amazonaws.com',
    'port' => 443,
    'use_ssl' => true,
    'region' => 'eu-central-1',
  ],
],

Das autocreate sollte nach dem ersten Setup auf false gesetzt werden – sonst kann jeder Nutzer neue Buckets anlegen.

3. Horizontal Scaling: Viele kleine Server statt einem großen

Mehrere Nextcloud-Instanzen hinter einem Load Balancer benötigen:

• Gemeinsame Sitzungsverwaltung via Redis
• Zentralisierten Dateicache
• Globale Locking-Infrastruktur

Die config.php wird dabei zur zentralen Schaltstelle:

'filelocking.enabled' => true,
'memcache.locking' => '\\OC\\Memcache\\Redis',
'redis' => [
  'host' => 'redis-cluster',
  'port' => 6379,
  'timeout' => 0.0,
],

Backup-Strategie: Drei Schichten gegen den GAU

Ein Filesystem-Backup reicht nicht. Ein robuster Backup-Plan umfasst:

1. Stündlich: Datenbank-Dumps (mit Binary Logs)
2. Täglich: Dateisystem-Snapshots
3. Wöchentlich: Vollbackup auf physisch getrenntem Speicher

Kritisch ist die Konsistenz zwischen Dateien und Datenbank. Nur wenn der Datenbank-Dump und das Dateisystem-Backup zum exakt gleichen Zeitpunkt erfolgen, bleibt die Integrität gewahrt. Hier helfen Tools wie btrfs Snapshots kombiniert mit mydumper.

Monitoring: Kein Luxus, sondern Pflicht

Nextclouds eingebautes Monitoring zeigt nur die Spitze des Eisbergs. Essentielle externe Checks:

• PHP-FPM Prozessstatus (leerlaufende Pools = Problem)
• OPcache-Hitrate (unter 90% = Ineffizienz)
• MariaDB Thread Queue (Wartezeiten über 0.1s = Engpass)
• Redis-Speicherauslastung (über 80% = Keys fluten)

Ein einfaches Prometheus-Setup mit Grafana-Dashboard erkennt Probleme, bevor Nutzer sich beschweren.

Fazit: Selbstbestimmung hat ihren Preis

Nextcloud auf Ubuntu bietet unschlagbare Flexibilität – aber sie verlangt Fachwissen. Wer nur eine Dropbox-Alternative sucht, ist mit SaaS-Angeboten besser bedient. Doch für Unternehmen, die Wert auf Datensouveränität legen, bleibt die Open-Source-Lösung konkurrenzlos. Die Kombination aus Ubuntus Stabilität und Nextclouds Erweiterbarkeit schafft eine zukunftssichere Basis. Mit den richtigen Performance- und Sicherheitstricks wird aus der Bastellösung ein Industriestandard.

Am Ende steht eine Erkenntnis: Cloud-Autonomie erfordert Investitionen – nicht in Lizenzen, sondern in Know-how. Wer hier spart, bezahlt später mit Ausfallzeiten. Doch wer die Infrastruktur beherrscht, gewinnt Unabhängigkeit. In Zeiten von Vendor-Lock-ins und Datenschutzdebatten ein entscheidender Wettbewerbsvorteil.