Privat im Netz

„Whatsapp bekommt meine Adressen nicht, Google nicht meine Termine und Microsoft nicht meine Passwörter!“. Was so flott formuliert daherkommt, ist im Alltag gar nicht so einfach umsetzbar.

„Privat im Netz“ soll digitale Souveränität(*) für Normalbürger fördern. Der Arbeitstitel stammt von Claudia. Im Prinzip handelt es sich um einzelne Nextcloud-Instanzen auf Kleinstcomputern für Privatleute.

(*): Die Bezeichnung „digitale Souveränität“ ist insoweit ein Modebegriff, dass zwei Leute dazu drei Vorstellungen haben. Siehe: https://netzpolitik.org/2025/interview-wir-muessen-nicht-digital-souveraen-werden/

Designziele

Designziele für dieses Projekt sind:

• Es soll für Normalbürger / Familien-Admins handhabbar sein.
• Keine Cloud (also neudeutsch „Edge computing on Premise“) soweit wie möglich.
• Beschränkung auf das Wesentliche: Adressen, Termine, Passwörter, gelegentlicher Dateitausch.
• Optional Fotos („Sofortupload“) und Backup-Platz anbieten für Dritte.
• Bedienung und möglichst auch die Inbetriebnahme ausschließlich über Smartphones möglich.
• Inbetriebnahme darf vom Projekt-Server abhängig sein, durch Tunnel / Letsencrypt / DNS.
• Zugriff (von außen) über Internet, wahlweise per Port Forwarding oder über einen Tunnel wenn CGNAT.
• Benutzer soll unabhängig werden können: immer eigenes DynDNS, Backups dezentral oder Benutzer-Cloud.
• Private Schlüssel / Passworte / Certs sind nach Übergabe zu löschen / zu überschreiben.
• Wenn möglich, soll die Konfiguration auch mit bereits vorhandener Hardware laufen.
• Preisziel von neu hinzugekaufter Hardware: €30 plus Strom und ggf. USB-C-Netzteil.

Datensicherheit

Ein wichtiger Aspekt beim Betrieb eines "Mini-Servers" ist die Sicherheit vor Datenverlust. Es soll einerseits immer ein Backup der persönlichen Daten vorhanden sein. Und andererseits soll der Datenzugriff durch Dritte nicht einfach sein. Ein weiterer Aspekt ist der Schutz der Dienste vor missbräuchlicher Nutzung, aber das soll an dieser Stelle nicht ausgeführt werden.

Ein grundsätzlicher Zugriffsschutz soll durch eine verschlüsselte Datenspeicherung erreicht werden. Datenverlusten beugt man mit regelmäßigen Backups vor. Das funktioniert so:

• Es gibt es ein Grundsystem (Armbian). Dieses ist herunter ladbar, auf SD-Karte installierbar und lässt sich ganz normal starten. Dieses System belegt den kleineren Teil der SD-Karte.
• Während des ersten Starts erfolgt die Einrichtung des größeren Teils der SD-Karte mit einem verschlüsselten Datenbereich. Technisch ist das ein LVM2-Volume mit LUKS und DM-Era. Die Einrichtung während des Erststarts garantiert die individuelle Verschlüsselung für den einzelnen Mini-Server. Dieser Teilbereich speichert die Nextcloud-Benutzerdaten.
• Die beiden Teilspeicherbereiche werden während des Systemstarts zusammengelegt: Das unverschlüsselte Grundsystem wird mit den verschlüsselten Dateien überlagert. Technisch ist das ein UnionFS wie es z.B. auch bei Docker-Containern eingesetzt wird.
• Die LUKS-Festplattenverschlüsselung kann mit mehreren Schlüsseln entsperrt werden. Ein zufällig erzeugter Schlüssel ist im Mini-Server gespeichert und ermöglicht den Systemstart. Einer anderer ist ein Standard-Schlüssel, der nach der Erstinstallation durch mindestens ein Benutzerpasswort ersetzt wird.
• Für das tägliche Backup wird ein Schnappschuss des verschlüsselten Datenbereichs hergestellt. Dies geht in wenigen Sekunden. Während der Lebensdauer des Schnappschusses kann der Mini-Server weiter verwendet werden. Der Geräteschlüssel wird aus dem Schnappschuss entfernt. Anschließend wird der Schnappschuss auf einen Backup-Server übertragen und gelöscht. Dieser Vorgang dauert je nachdem wie viele Daten zuletzt gespeichert wurden von 30 Sekunden bis viele Stunden. Technisch ist das ein DM-Era gestütztes inkrementelles Image-Backup mit dem Programm "blocksync-fast" über SSH.
• Wer möchte, kann seinen Mini-Server zum Mini-Backup-Server für andere machen. Dazu braucht es zusätzlichen Speicherplatz in Form eines Extra-USB-Sticks oder einer USB-Festplatte. Backup-Geber und Backup-Nehmer müssen außerdem SSH-Schlüssel erzeugen und austauschen. Vermutlich ist es günstig, mehrere Backups gleichzeitig zu machen.
• Zur Wiederherstellung wird eine zum Vorgänger-Server kompatible Hardware benötigt: Arm32-zu-Arm32 oder auch AArch64-zu-AArch64. Dort wird das passende Armbian-Image installiert. Das Backup kann dann vom Backup-Geber heruntergeladen und mit einem der Benutzerschlüssel entsperrt werden. Anschließend wird der vorige Zustand durch Dateisystem-Überlagung wieder hergestellt.

Notiz: Der lesende Dateizugriff auf den verschlüsselten Bereich der SD-Karte oder auf ein Backup-Image kann auch direkt mit einem Linux-Desktop-Rechner erfolgen. Dazu muss natürlich das Benutzerpasswort eingegeben werden. Ein direkter Schreibzugriff kann das tägliche Backup stören, dies wird ggf. erst bei einen der regelmäßigen Backup-Geber-Nehmer-Sync-Termine korrigiert.

Hardware

Die Auswahl an Kleincomputern (SBC, Single Board Computer) ist einigermaßen groß. Allerdings ist die Preisvorgabe eng, daher:

• Raspberry Pi scheidet aus Preisgründen aus.
• Unter 512 Mb RAM ist eine Nextcloud zu langsam.
• 64 Gb SD-Karte sollte sein. Um das Wear-Leveling (WL) der Karten zu stützen, belegen die Partitionen nur 50%.
• eMMC- oder gar UFS-Flash-Speicher (wenn erhältlich) hat normalerweise besseres WL, hier wäre 8 Gb für das OS plus SD-Karte für Benutzerdaten OK.
• Es gibt Allwinner (Banana und Orange), Broadcom (Raspberries), Rockchip (Radxa), die Odroids von Hardkernel und ggf. irgendwo auch ein Mediatek SBC (z.B. Radxa NIO 12l).
• Ggf. passend: SunXI / Xunlong Orange PI Zero 3, Online etwas über €20 mit 1 Gb RAM plus SD-Karte. Gbit Eth, BT+Wifi-AC, 16Mb SPI-Flash, 4x64bit CPU, Micro HDMI, 1 USB2-A, Strom über USB-C, 2 LEDs.

Orange Pi Zero 3

Ich habe derzeit zwei Orange Pi Zero 2 unter Beobachtung: einen mit 512 Mb RAM und einen mit 1024 Mb RAM. Der kleinere segfaultet gerne mal, wenn man zu häufig neu startet (Temp?). Kühlkörper sind eigentlich optional, einen Kühlkörper aufzukleben schadet aber auch nicht.

Der Online-Lieferumfang ist normalerweise mit (kleiner) Antenne, aber ohne SD-Karte, ohne Gehäuse, ohne Lüfter, ohne Kühlkörper und ohne Netzteil. Mindestens ein USB-C-Netzteil könnte man bei Benutzern voraussetzen, Gehäuse wären vllt. im Lab druckbar.

Der Orange Pi Zero 3 könnte ggf. auch vom SPI-Flash gestartet werden (Notsystem, PXE). Möglicherweise aber nur, wenn keine SD-Karte gesteckt ist. Wahlweise SPI-Flash zur Schlüsselspeicherung. Es gibt einen weiteren USB-2 auf Pins und einen USB-3, unklar ob der schneller ist. Siehe http://www.orangepi.org/orangepiwiki/index.php/OrangePiZero_3

Banana Pi, Radxa, Odroids

Die Sinovoip Banana Pi sind ebenfalls mit Allwinner-SoC, in der Regel mit 4x32 Bit. Vorteil: oft mit eMMC; Nachteil: nur 32 Bit, weniger Bang-for-the-Buck.

Die Radxa-SBC („Rock Pi“) sind leistungsfähig und die Rockchip SoC sind fast immer mit PCI-Express. Hier wäre NVMe oder SSD möglich. Leider zu teuer. Außerdem habe ich gerade keine Erfahrung damit.

Der Preispunkt gilt auch für die Südkoreaner von Hardkernel. Die Odroid-SBC ursprünglich mit Samsung-Exynos und heute oft mit Rockchip. Eigentlich alle mit steckbaren eMMC. Leider nicht unter €50.

Software

Die meisten zuvor genannten SBC werden von Armbian unterstützt. Mit Armbian steht ein immer ähnlich zu konfigurierendes und aktuelles OS zur Verfügung, bei dem mindestens Boot-fähige Images für SD-Karten herunterladbar sind. Anders als bei Rasperry PI OS mit dem NetzwerkManager erfolgt bei Armbian die Netzwerk-Konfiguration aber über Netplan. Ansonsten sind die beiden OS recht ähnlich. Möglicherweise kann die Netplan-Konfiguration von Armbian auf Raspberry PI OS übertragen werden, dann fiele dieser Unterschied weg.

Armbian für Orange Pi Zero 3

Ein Armbian-Image kann heruntergeladen und von SD-Karte gestartet werden. In dieser Situation ist eine Erstkonfiguration mit HDMI-Bildschirm und USB-Tastatur möglich. Dazu wird eine Micro-HDMI-Anschlussleitung oder ein Micro-HDMI-Adapter für das normale HDMI benötigt. Wahlweise funktioniert auch UART, wofür allerdings ein 3.3 Volt UART-zu-USB-Adapter benötigt wird.

Auszuprobieren ist, ob das auf dem SBC vorhandene Wifi zuverlässig auch AP-Sta unterstützt, eine Betriebsart die einen Access Point zur Verfügung stellt und dabei gleichzeitig eine Verbindung zu einem anderen Access Point erlaubt. Damit ließe sich ein „Captive Portal“ realisieren, so dass auf einem neu über Wifi verbundenen Benutzergerät automatisch ein Browser startet und eine URL wie "https://www.privat-in.de/cgi-bin/connect" aufruft.

NextcloudPi

NextcloudPi ist ein Projekt, das bei der Einrichtung einer Nextcloud auf einem SBC unterstützt. NextcloudPi kann von https://nextcloudpi.com/ als Image für 64-Bit SBC heruntergeladen und auf SD-Karte geschrieben werden. Wahlweise kann auch einfach ein Installationsskript auf einem noch weitgehend unkonfigurierten Armbian oder Raspberry Pi OS ausgeführt werden.

Notiz: Nextcloud (eine Firma) und NextcloudPi (ein Projekt) ist nicht dasselbe, aber gibt es ein gewisses Zusammenspiel. Siehe z.B. https://nextcloud.com/de/blog/nextcloud-podcast-all-about-the-nextcloudpi-project/

Im Zusammenspiel mit Armbian erstellt das Installationsskript eine recht ordentlich konfigurierte Nextcloud:

• Einigermaßen SD-Karten-freundliches ZRam und Syslog / Systemd-Journal.
• PHP mit OCCache und Redis zur Ausführungsbeschleunigung.
• MariaDB mit Passwort, Nextcloud-Admin mit Passwort.
• Extra Konfigurations-Webdienst ebenfalls mit Passwort.
• Kommandozeilen-Konfigurationstool (mit ein paar Funktionen mehr als das WebUI).
• Erleichtertes Einrichten von DynDNS, Backup, extra Speichermedium (USB-Festplatte), Fail2ban, u.v.a.m.

Zum Ende des Installationsskripts müssen auf einer Erstzugangsseite die zwei wichtigsten (langen) Passwörter kopiert und irgendwo memoriert werden.

Yunohost

Dies ist Zukunftsmusik, zeigt aber eine mögliche Weiterentwicklungsrichtung: Unter https://yunohost.org/ kann ein Installationsskript heruntergeladen werden, welches Prinzipiell mit dem hier beschriebenen System kompatibel ist. Yunohost ermöglicht es, sehr unterschiedliche Dienstprogramme unter einer einheitlichen Benutzerverwaltung zu installieren. Der Yunohost-App-Katalog umfasst Titel wie "Nextcloud", aber auch "Home Assistant", "Jitsi Meet", "Peertube", "Wordpress", "Mastodon", "Dokuwiki" um nur einige zu nennen deren Namen ich zuordnen kann. Generell funktioniert die Installation. Welche der Apps auf einem Mini-Server praktikabel sind oder noch zusätzlichen Optimierungsbedarf haben muss ermittelt werden.

Dokumentation

Auch wenn niemand gerne ließt, jeder lieber YouTube guckt oder sich besser noch die Hand führen lässt: Das skaliert nur, wenn die Erstinbetriebnahme auf einem Din-A4-Zettel beschrieben werden kann.

Das muss möglicherweise sogar „durchgespielt“ werden: Mit mindestens einem Menschen aus der Zielgruppe sollte man das vorbereitete System bei dem Menschen zu hause ausprobieren lassen. Das ist ggf. nicht nur eine hohe Hürde für die besagten Normalmenschen sondern auch für die Projektbeteiligten.

Auch der weitere Betrieb darf gerne unkompliziert sein: Wie richte ich ein neues Smartphone ein, was ist wenn die SD-Karte kaputt ist, wie stelle ich auf einen anderen Internet-Anschluss um, wie tausche ich defekte Hardware. Das kann gerne im Rahmen von Supportseiten, einer Linkliste, einem Forum, einer Chatgruppe o.ä. passieren.

Demoserver

Ich habe zu Demozwecken eine einfache VPS und eine Domain bei Strato aufgesetzt. Das ist eine 1€/mtl VPS und eine entsprechend teure Domain: https://privat-in.de/ mit:

• KVM VPS mit IPv4+IPv6 Adresse. Netz ist transparent, 1 Kern, 1 Gb RAM, 10 Gb SSD (500 Mb/s), Not-Konsole via Browser.
• Es gibt mehrere DNS-Subdomains (10), aber eine Wildcard-Domain oder DNS-Delegation gibt es bei Strato nicht für billig. CNAMEs sind aber mehrere möglich.
• Die VPS ist mit Festplattenverschlüsselung – nach einem Neustart muss per SSH jemand das Passwort eingeben. War ganz schön aufwändig einzurichten.
• Es läuft HAProxy mit SNI ohne TLS-Endpunkt / eigene Certs, der Proxy leitet konfigurierte Seitenanfragen zu den Wireguard-Tunneln weiter.
• Es gibt einen Wireguard-Server unter wg.privat-in.de mit eigener Subdomain, um ggf. später per DNS-Pool zu skalieren.
• Nachteil der HAProxy/WG-Konfiguration: Die Logfiles auf den Nextclouds zeigen als Zugriffsadresse immer den WG-Endpunkt an. Es gibt damit vielleicht eine Motivation, möglichst den eigenen Internet-Router mit Port Forwarding zu verwenden.
• Angeschlossen sind (bei mir zu hause auf dem Schreibtisch):
  https://housecat.ddns.net (Odroid C2, im Utopia gezeigt)
  https://odroid.privat-in.de (Alias Odroid C2)
  https://opi1-1.privat-in.de (Orange Pi Zero 1, 512 Mb RAM)
  https://opi1-2.privat-in.de (Orange Pi Zero 1, 1 Gb RAM)
  https://opi1-3.privat-in.de (Orange Pi Zero 1, 1 Gb RAM)
  https://opi2-1.privat-in.de (Orange Pi Zero 2, 1 Gb RAM)
  https://opi2-2.privat-in.de (Orange Pi Zero 2, 1 Gb RAM)
  https://opi2-3.privat-in.de (Orange Pi Zero 2, 512 Gb RAM)
  https://bpi1.privat-in.de (Banana Pi 1, 1 Gb RAM, noch keine SATA-Festplatte)
  https://bpi2.privat-in.de (Banana Pi 2, 2 Gb RAM, 8 Gb eMMC, SATA-Festplatte)
  https://bpiz1.privat-in.de (Banana Pi M2 Zero, 512 Mb)
  https://bpiz2.privat-in.de (Banana Pi M2 Zero, 512 Mb)
  https://rpi2.privat-in.de (Raspberry Pi 2, 1 Gb)
  
• Es läuft auch noch ein Apache2 als Fallback, für Doku und ggf. Fehlerseiten unter https://privat-in.de/
• Angedacht ist, den HAProxy auch für ausgewählte DynDNS-Seiten als Ausgang zu konfigurieren, so dass Nextcloud-SBC darüber ihre DynIPs updaten können. Es soll aber kein VPN-Dienst werden wegen der Missbrauchsmöglichkeit.
• Missbräuchliche Nutzung ist ggf. über Portprotokoll bzw. vielleicht über Zähler / Stats der einzelnen Wireguard-Verbindungen zu ermitteln.
• Backup dieser VPS derzeit über persönlichen Rsync-Endpunkt.

Notiz: Auf allen diesen Nextcloud-Instanzen gibt es das Account „fablab“, Passwort verrate ich gerne im kleinen Kreis. Die Anmeldung kann ein paar Sekunden dauern, aber der wiederholte Kontakt via Nextcloud-Sync oder DavX5 funktioniert schneller.