Paperless-ngx Frage zu Paperless-ngx

[herbert420]

Danke für die Tips, aber die meisten haben das Problem leider nicht verstanden.
inotify funktioniert, da der Consumeordner ja automatsich bearbeitet wird, solange die DS nicht neu gestartet wird.
Den Pi herunterzufahren ist keine Option da dort noch etwa 7 andere Container laufen, Pihole, TS3 Server, Mealie usw.
Weder mein Modem, noch mein Router haben einen USB Anschluss, das ist auch keine Option.
Der Container stürzt ab! Nur der Dienst der das Consume übernimmt. Wenn ich die DS wieder hochfahre ohne was am Container zu machen werden beide Verzeichnisse wieder gemountet und meine Datenbank in Paperless ist wieder verfügbar.
Das mounten erfolgt vom Pi aus, nur das Ziel (die DS) verschwinden, darum hängt sich der Dienst auf.
Ich habe versucht in Portainer ein Volume zu erstellen das per NFS auf das Verzeichniss auf dem Pi gelinkt ist, das klappt aber nicht und ich weiß nicht wieso.
Ich werde wohl oder übel die Daten auf dem Pi belassen und dann zur DS syncen. Danke.

 

[EDvonSchleck]

Du sollst nicht aus Portainer die Verzeichnisse mounten, sondern diese lokal auf dem Pi haben. Diese lokalen Verzeichnisse mountest du über das System auf die DS. Wenn die Verzeichnisse grundsätzlich lokal auf dem Pi sind, ist es nicht relevant, ob die DS erreichbar ist oder nicht. Von daher unterscheidet sich deine Aussage in #135 und #161.

Wenn es nur wie du sagst, der consume-Ordner ist, kannst du einfach die Datei kannst du diese Datei auch einfach automatisch in den Ordner durch eine regelmäßige Aufgabe im Hintergrund.

 

[herbert420]

Der Mountbefehl wurde unter RaspiOS ausgeführt. In Portainer wurden die Verzeichniesse "außerhalb" des Containers auf dem Pi angegeben (welche im Pi auf die DS gemountet sind) Das gilt sowohl für den Media als auch den Consume Ordner.
Ich hatte beide bisher als CIFS und habe es jetzt testweise als NFS gemacht. Ich kann morgen sagen ob es was gebracht hat, die DS fährt um 2 Uhr runter.

 

[EDvonSchleck]

In den Media-Ordner sind nur die *.pdf-Files? Also nicht die Datenbanken? Diese laufen weiter auf den Raspi? Auch diese solltest du sichern. Dafür würde ein Dump reichen, sofern du nicht SQLite eingesetzt hast. Diese kannst du ohne weiteres so weg kopieren.

Auch wäre es möglich den Container über eine Aufgabe/Cron vor dem Herunterfahren der DS ebenfalls zu beenden und nach der DS wieder zu starten. Das kann man für den Container oder Compose machen. Dafür ist noch nicht einmal Portainer notwendig.

Nebenbei würde ich als Software Dietpi auf den Raspi einsetzen, klein und schlank, viel vorgefertigte Software und Einstellungen.

 

[herbert420]

In dem Media Ordner ist das was Papeless dort rein legt, also die originale, das archiv, und die thumbnails.
Die Datenbank ist tatsächlich nur in einem Volume in Portainer auf dem Pi, die hab ich vergessen. Danke, werde die auch auf die DS umziehen.

Das Problem ist gelöst: Ich habe alle Mounts von CIFS nach NFS geändert, jetzt überlebt der Container auch wenn die DS mal offline ist.
Da das dynamisch passieren kann ist auch das herunterfahren der Container per Cron keine Option gewesen. Danke erstmal.

 

[EDvonSchleck]

Was meinst du mit dynamisch, wenn du die DS nachts um 2 herunterfährst und morgens wieder hoch? Im Übrigen bin ich kein freund von dieser Praxis. Bei mir läuft die DS 24/7 und viele Synchronisierungen, Updates etc. laufen in der Nacht, ohne dass dafür am Tag Ressourcen verschwendet wird.

Auch könntest du das starten und stoppen des Containers einfach mit einer Aufgabe als Trigger machen lassen. Dann wird der Befehl direkt von der DS ausgelöst, je nachdem, ob sie startet oder herunterfährt.

Aber schön, wenn es jetzt bei dir läuft. Beachte aber bitte, dass ein richtiger Dump besser ist als nur die Datenbankordner/Struktur zu kopieren!

 

[herbert420]

Naja die DS kann ja auch mal abstürzen, das kann man nicht vorher sehen. Ergo: dynamisch.
Die DS läuft nachts nicht weil da keiner wach ist der irgendeinen Dienst davon brauch. Also geht sie aus um Strom zu sparen.

 

[EDvonSchleck]

Kann man aber wie schon oben beschrieben für andere Sachen nutzen? Bei uns hat die DS zwischen ins Bett gehen und die ersten Aufstehen einiges zu tun. Das wird nach und nach abgearbeitet. Natürlich nicht 100 % die 5h durch, aber zu jeder vollen Stander eine andere Aufgabe. Dafür halten die HDDs auch schon knapp 95.000h. Ob der Strompreis in der kurzen Zeit für eine oder wie bei mir 5 neuen HDD ausreicht, mag ich bezweifeln. Auch der SD-fressende Raspi ist da nicht unbedingt optimal, wobei dieser ja auch Strom verbraucht. Mit dem richtigen Kauf (DS) hättest du eventuell keinen Raspi betreiben müssen. Geiz ist nicht immer geil.

 

[ebusynsyn]

Hallo

Bei mir läuft Paperless_ngx seit längerem im Docker. Alles läuft so wie es soll. Bekanntermassen bietet Paperless keine 2FA und ist bei mir deshalb von extern nicht erreichbar.

Aus Neugier und zum testen habe ich jetzt mal einen Cloudflare Tunnel eingerichtet (SSL und separate Domain). Paperless ist jetzt über einen Cloudflare Tunnel erreichbar der mit einem 2FA ergänzt ist. Momentan per E-Mail mit 6-stelliger Zahlenfolge die an (m)eine E-MailAdresse gesendet wird. Zusätzlich noch GeoBlock.

Wie beurteilt ihr die Sicherheit?

Der Traffic läuft ja jetzt über die CF-Server (US-Unternehmen). Soweit ich weiss, kann CF zwar den Traffic messen, jedoch nicht den Inhalt der Dateien einsehen, da der Traffic ja verschlüsselt ist.

Was ist Eure Meinung dazu?

 

[Monacum]

Ich persönlich kann das nicht einschätzen, deswegen mache ich das über VPN; @EDvonSchleck hat die Erreichbarkeit von außen aber als in Ordnung bezeichnet, wenn

1. die Verbindung verschlüsselt ist (https)
2. die Firewall der Disk Station ordentlich konfiguriert ist
3. am besten noch das Blockscript von @geimist den größten IP-Müll automatisch fernhält

 

[ebusynsyn]

@Monacum

Vielen Dank für die Hinweise. Ziffer 1 und 2 kann ich bejahen.
Mit Ziffer 3 muss ich mich mal auseinandersetzen.

Ja, VPN ist schon aktiv, aber nicht in jedem Fall praktikabel, da ich manchmal Geräte nutze, auf denen ich keinen VPN-Client installieren will/kann. Die jetzige Lösung hat auch noch den Vorteil, dass kein Port geöffnet werden muss. Ausserdem ist es möglich unterschiedliche und auch mehrere Sicherheitsmerkmale vor das Paperless-Login zu setzen.

 

[Monacum]

Alles gut, das muss jeder für sich selbst entscheiden Ich habe „deine“ Problematik mit dem VPN-Client nicht, deswegen ist das für mich der einfachste Weg.

 

[ebusynsyn]

@Monacum

Wie gesagt, es ist erst mal die Neugier und Lust etwas auszuprobieren, die mich zu diesem Test gebracht hat.

Die Abklärungen im Vorfeld in den weiten des Internets (Foren, YT etc.) und auch bei Cloudflare (Dokumentation, Datenschutz, Datensicherheit) waren alle recht positiv. Aber eben... es gibt immer mehrere Aspekte zu berücksichtigen. Und ein VPN ist nun mal der sicherste Weg. Das ist mir schon bewusst. Bequemlichkeit geht meistens auf Kosten von Sicherheit.

 

[Tuxnet]

Ich habe auch alle drei Punkte die @Monacum erwähnt hat, aber das reicht mir noch nicht.

Bei mir wird Paperless-ngx ins www geöffnet, sobald ich fail2ban zum laufen bekomme.
Das stellt sich aber schwieriger als gedacht.

 

[ebusynsyn]

@Tuxnet

Das ist ein guter Punkt. Ich bin eben auch an f2b gescheitert.

Ich glaube das Problem dabei ist, dass Paperless-ngx kein Log-File bereitstellt auf das f2b zugreifen könnte. Bei Vaultwarden habe ich es hingekriegt, da das Log-File generiert wird und f2b es nutzen kann.

Weitere gescheiterte Versuche waren mit Authelia und Authentik. Beides wären - wenn man sie beherrscht - tolle Lösungen. Meine Fähigkeiten sind eben begrenzt ;-)

 

[alexhell]

Ich kann immer wieder nur docker-swag als Reverse Proxy empfehlen. Zertifikate, fail2ban, 2FA mit Authelia und Authentik alles schon mit drin und in ein paar Minuten konfiguriert. Vielleicht für einige ein Nachteil, dass es keine GUI gibt und man configs anpassen muss.

 

[Tuxnet]

@ebusynsyn

Doch es wird ein log geschrieben

[2023-05-04 11:57:57,235] [INFO] [paperless.auth] Login failed for user `testuserq@gmx.de` from private IP `192.168.*.5*`

@alexhell

Ja, aber dann muss man sich ja zweimal anmelden. Einmal bei swag und einmal bei Paperless-ngx

 

[ebusynsyn]

@alexhell

Immer wenn der Profi sagt "... in ein paar Minuten konfiguriert" rechne ich - für mich - mit unüberwindbaren Hindernissen ;-) und das meine ich nicht abwertend, sondern zeigt einfach auf, wo meine Grenzen sind.

Ich nehme Deine Anregung aber wieder auf und lese mich da rein. Vor längerer Zeit habe ich schon mal daran gewagt... aber eben... nicht zu Ende gebracht.

 

[Monacum]

Womit wir wieder beim Thema Bequemlichkeit vs. Sicherheit wären

 

[ebusynsyn]

@ebusynsyn

Doch es wird ein log geschrieben

[2023-05-04 11:57:57,235] [INFO] [paperless.auth] Login failed for user `testuserq@gmx.de` from private IP `192.168.*.5*`

@alexhell

Ja, aber dann muss man sich ja zweimal anmelden. Einmal bei swag und einmal bei Paperless-ngx

@Tuxnet

Das mit dem Log wusste ich nicht bzw. war mir nicht klar. Danke für den Hinweis. Da bekommt f2b gleich mal wieder etwas Aufwind.

Das ich mich mehrmals anmelden muss wäre mir egal, Sicherheit geht nun mal auf kosten der Bequemlichkeit.