BLOG

Ako svoj adresár, kalendár a všetky dáta zverené Google získať späť pod svoju kontrolu využitím Nextcloud, OnlyOffice a ďalších modulov. 

1 Motivácia

Prvýkrát o možnosti úplného nahradenia Google služieb otvorenou alternatívou nad ktorou máte plnú kontrolu, som sa dozvedel od mojich kamarátov z Paralelnej Polis – Martina Habovštiaka, ktorý o pár dní bude mať na túto tému prednášku v Bratislavskej Paralelnej Polis Self-hosted meetup a Juraja Bednára, ktorý sa problematike života bez Google venoval v podcaste Aleny Vranovej Good Morning Cyperspace.

Pamätám si, že s odovzdaním všetkých svojich osobných informácii Google (alebo Apple) som mal kedysi dosť veľký mentálny problém. Preto som prvému Android smartfónu urputne odolával a dlho používal svoju Nokiu N900, kde som mal plnú kontrolu nad svojím súkromím.

Stále mi príde dosť desivé, že prakticky všetci ľudia používajúci smartfón svoje súkromie úplne odovzdali spoločnostiam Apple, Google či Microsoft, ktoré majú plný a neobmedzený prístup do ich adresárov kontaktov, kalendárov, emailov či celého Google Drive (Google Docs, Google Sheets, Google Slides).

A preto ma neuveriteľne potešilo, keď som sa dozvedel, že je možné sa vymaniť z jarma internetových korporácií a opäť získať plnú kontrolu nad vlastnými dátami ako aj komunikáciou.

2 Prečo Nextcloud?

Opensource alternatív ku Google službám existuje viacero. Za zmienku stojí silný ownCloud (Nextcloud je jeho fork), Seafile, Syncthing či Pydio. Po prečítaní pár porovnaní (napríklad Battle of Clouds, Nextcloud vs ownCloud vs Seafile vs Syncthing) som sa prišiel na to, že Nextcloud predstavuje jednoznačne najrobustnejšiu dostupnú implementáciu väčšiny Google služieb – vrátane adresára kontaktov, kalendára, súborového úložiska, galérie, šifrovaných audio a video hovorov, sociálnej siete, kolaboratívneho editovania dokumentov, tabuliek či prezentácií a množstva ďalších modulov.

3 Nasadenie Nextcloud

Ak chcete použiť Nextcloud spolu s vlastným officeom hostovaným u seba, tak existujú dve alternatívy – Collabora Office, kde za jedného používateľa na rok platíte 17 EUR (takže pri firme o 20-tich ľudoch je to príjemných 340 EUR/rok) alebo OnlyOffice, ktorý je na domáce použitie úplne zadarmo a pre firemné použitie “lifetime” licencia stojí 1100 USD do 50 používateľov (prípadne 2200 USD do 150 používateľov).

Na rozdiel od office služieb Google musíte za to síce platiť, nespornou výhodou ale je, že samotný office máte na vlastnom šifrovanom serveri, nad ktorým máte plnú kontrolu. Ja som sa rozhodol použiť OnlyOffice (celý tento článok je napísaný v OnlyOffice).

Za asi najväčší nedostatok Nextcloudu pokladám to, že je naprogramovaný v PHP, čo sa môže negatívne odraziť v jeho bezpečnosti aj samotnej rýchlosti. Pre mňa to znamenalo dve veci – nasadil som ho výhradne v dockeri, ktorý rieši “bezpečnú segregáciu” od produkčného servera a súčasne som použil výkonnejší server.

Nextcloud podporuje ako úložiško buď SQLite, MariaDB alebo PostgreSQL. Na produkčné využitie sa SQLite neodporúča. Celé riešenie mi momentálne beží v štyroch samostatných dockeroch:

1. MariaDB server (centrálne úložisko všetkých dát)
2. OnlyOffice document server (toto môže byť tiež Collabora Office)
3. Nextcloud (samotný hlavný server)
4. nginx (terminovanie SSL spojení, reverzné proxy)

Dobrý manuál ako integrovať OnlyOffice s Nextcloudom v dockeri nájdete na stránke How to Easily Integrate OnlyOffice and Nextcloud Using Docker, prípadne Deploying OnlyOffice with Nextcloud using Docker Compose ak už používate Nextcloud.
 

Pár technických problémov, ktoré sa v mojom prípade vyskytli a ľahko ich opravíte:

• na databázu použite priamo samostatný MariaDB alebo PostgreSQL docker (je to najjednoduchšie a bezpečné – ja som to snažil integrovať na nás centrálny DB server a bolo to zbytočne komplikované)
• na vygenerovanie certifikátov použite LetsEncrypt (ktorý momentálne podporuje už aj Wildcard certifikáty)
• ak používate Apache ako SSL reverzné proxy, nezabudnite do daného virtualhostu pridať direktívy:

  • SSLProxyEngine on

  • ProxyPreserveHost On

  • ProxyRequests Off

4 Konfigurácia Nextcloud

Nextcloud podporuje obrovské množstvo modulov. Hneď na začiatok odporúčam zapnúť dvojfaktorovú autentifikáciu (Two-Factor TOTP provider, Two-Factor U2F) a vnútiť ju všetkým novým používateľom. A tiež nastaviť silnú heslovú politiku (je možné zapnúť vynucovanie veľkých, malých písmen, číslic či špeciálnych znakov).

Súčasne odporúčam zapnúť “Default encryption module”. Tu je dôležite nastaviť “master passphrase”, ale vypnúť “per user keys”, pretože s týmto nastavením nefunguje OnlyOffice (je to bohužiaľ “known issue”).

Z najpoužívanejších modulov stoja za zmienku:

• Maps (postavené na OpenStreetMaps)

• Music (prehrávač hudby)

• Tasks (toto je možné prepojiť s mobilnou aplikáciou)

• Mind Map

• Calendar (tento modul potrebujete, ak chcete zmigrovať z Google kalendára)

• Carnet (aplikácia na poznámky)

• Text (rýchle a kolaboratívne editovanie jednoduchých dokumentov)

• Radio (nalaďte si ľubovoľné rádio)

• Polls (podobné ako Doodle, ideálne na interné firemné hlasovania)

• OnlyOffice (toto musíte mať nainštalované, ak chcete používať integrovaný office)

• Talk (šifrovaný audio-video hovor s podporou mobilnej aplikácie)

• Collabora online (ak sa namiesto OnlyOffice rozhodnete pre Collabora office)

• Mail (webmail modul, ktorý dokážete ľahko prepojiť cez IMAP s vašim mailovým serverom)

• Reader (čítačka kníh)

• Contacts (tento modul potrebujete, ak chcete zmigrovať z Google kontaktov)

• Brute force settings (ak chcete realizovať ochranu voči útokom hrubou silou)

• Time Tracker (ak si chcete trackovať čas pre nejaký projekt/prácu)

• QOwnNotes (alternatíva ku Google Keep)

Špeciálne pri inštalácii Nextcloud modulov odporúčam si pozrieť ich rating a preferovať moduly s vyšším ratingom. Môže vám to ušetriť množstvo problémov.

5 Prepojenie Nextcloud so smartfónom vrátane kalendára a kontaktov

Nextcloud na Androide podporuje viacero aplikácií:

• Nextcloud (práca so súborovým úložiskom Nextcloud)
• Nextcloud Talk (audio-video hovory)
• Nextcloud Notes (prepojenie na poznámkový blok)
• Nextcloud Passwords (prepojenie na password manager)
• Nextcloud News Reader (čítanie noviniek)

Kedže video hovory realizujem cez Signal, ako password manager používam DashLane (a Trezor Password Manager), Nextcloud Talk a Nextcloud Passwords mi nedáva zmysel používať a asi ich ani neodporúčam.

Na prepojenie vášho Android telefónu s vašim Nextcloud adresárom kontaktov a kalendárom je potrebné nainštalovať aplikáciu DAVx⁵ (stojí asi 4 EUR na Google Play alebo ju stiahnete zadarmo na F-Droid repozitári) a prepojiť ju s vašim Nextcloudom (v prípade “Contact Group Method” zvoliť voľbu “Groups are per-contacts categories”). Presný popis je k dispozícii na stránke Synchronizing with Android (Contacts and Calendar). iPhone používatelia si paradoxne nemusia nič kupovať a spravia to takto Synchronizing with iOS (Contacts and Calendar). Jediný problém, ktorý som doteraz odhalil je, že aplikácia DAVx⁵ nepodporuje dvojfaktorovú autentifikáciu, resp. keď je zapnutá, tak nefunguje synchronizácia adresára kontaktov a kalendára.

Pri ukladaní nového kontaktu na telefón, stačí potom zvoliť “DAVx⁵ address book”. Podobne sa táto voľba objaví aj v kalendári. Od tohto momentu už nemusíte žiadne svoje osobné informácie poskytovať Google. Nextcloud kalendár je samozrejme možné podľa ľubovôle zdieľať s vašimi kolegami alebo priateľmi.

6 Ďalšie alternatívy ku Google službám a produktom

Nextcloud predstavuje robustné riešenie alternatívy Google cloudu. Je tam stále pár nedokonalostí (pri zapnutých používateľských šifrovacích kľúčoch nefunguje OnlyOffice, pri zapnutej dvojfaktorovej autentifikácii nefunguje synchronizačná Android aplikácia), ktoré podľa mňa nie sú kritické na to, aby ste Nextcloud aspoň nevyskúšali. Ak si ho neviete dovoliť nasadiť na vlastnom serveri, tak môžete použiť veľké množstvo Nextcloud poskytovateľov, z ktorých množstvo z nich poskytuje Nextcloud inštanciu úplne zadarmo.

Okrem Nextcloud ako alternatívy ku Google službám a produktom používam:

• namiesto Gmail ProtonMail, ktorý všetku poštu na rozdiel od Google na strane servera šifruje (takže ani samotný prevádzkovateľ služby k nej nemá prístup). ProtonMail používam na súkromné účely, na firemné účely máme vlastný kompletne šifrovaný mailový server.
• namiesto Chrome na prehliadanie používam Brave, ktorý je rýchly a rešpektuje súkromie (integruje v sebe anonymné prehliadanie cez Tor). Viac informácii v článku Ako na bezpečnejšie prehliadanie webu: Nový Brave prehliadač. Google totiž odmieta podporu blokovania reklám v Google Chrome, takže Brave (alebo Firefox) je nevyhnutnosť
• namiesto Google Translate používam Deepl, ktorý robí minimálne tak kvalitný preklad ako Google Translate (bohužiaľ ešte nepodporuje slovenčinu)
• namiesto štandardnej YouTube aplikácie používam YouTube Vanced, prípadne NewPipe (dostupný z FDroid repozitára), ktoré mi blokujú všetky YouTube reklamy a umožňujú prehrávanie aj na pozadí
• namiesto Google Maps používam OsmAnd+ alebo Maps.me, ktorá má krajší používateľský interface (a má to v sebe aj Bitcoin POI). Na rozdiel od Google Maps sú tam napríklad cyklistické chodníky v Prahe či Bratislave.
• okrem Google Play používam tiež FDroid. Nájdete tam množstvo aplikácií, ktoré z “politických dôvodov” nie sú dostupné v Google Play (ako napríklad spomínaný NewPipe).
• namiesto Google Hangout používam bezpečný Signal.
• namiesto Google Domains používam na registráciu domén Namecheap, kde za domény platím bitcoinami.

Ak máte staršie a už ďalej výrobcom neudržiavané Android telefóny, tak odporúčam nasadiť Android privacy aware distribúciu LineageOS s podporou MicroG, kde je vyhodená Google špehovacia funkcionalita. Viac informácii tiež v mojej prednáške High time for Smartphone privacy.

Ak ste skutočne paranoidný, tak odporúčam kombináciu laptopu Purism Librem a operačného systému Qubes OS. Viac informácii v mojom článku Ako si maximálne zabezpečiť laptop.

Viac informácii o alternatívach Google služieb či produktov najdete na Alternatives to Google Products – the Complete List (2019).