Add xmpp article

2024-08-30 17:34:47 +02:00 · 2024-08-30 17:34:47 +02:00 · febec9f79a
commit febec9f79a
parent 01974e8761
2 changed files with 224 additions and 4 deletions
--- a/_posts/2024-06-11-backup-minio.md
+++ b/_posts/2024-06-11-backup-minio.md
@ -8,10 +8,10 @@ Pour mon infrastructure de backups, j'utilise depuis plusieurs années [BorgBack

 Les besoins sont simple : les utilisateurs ayant un compte sur mon service de SSO devraient pouvoir se connecter sur un service, créer une clé dédiée à une application, puis utiliser cette clé pour backup une machine, serveur ou PC, et envoyer les données sur mon serveur central. Les backups créés devraient être chiffrés, dédupliqués, et avec une gestion des droits pour ne pas permettre à un utilisateur d'écraser ou de modifier les backups des autres (tout étant chiffré, l'accès en lecture est moins critique). Si possible, le service devrait pouvoir définir des quotas par utilisateur ; malheureusement, la solution que j'ai trouvée ne le permet pas.

-> Les différentes étapes de l'articles sont :
+> Les différentes étapes de l'article sont :
 > - [Installer restic et écrire un script pour le lancer](#faire-ses-backups-simplement)
-> - [Installer MinIO, et tester que restic fonctionne avec MinIO](stocker-ses-backups-quelque-part)
-> - [Configurer restic pour fonctionner avec MinIO en SSO](et-ma-sso-dans-tout-ça-)
+> - [Installer MinIO, et tester que restic fonctionne avec MinIO](#stocker-ses-backups-quelque-part)
+> - [Configurer restic pour fonctionner avec MinIO en SSO](#et-ma-sso-dans-tout-ça-)

 ## Faire ses backups simplement

--- a/_posts/2024-08-28-xmpp-server.md
+++ b/_posts/2024-08-28-xmpp-server.md
@ -0,0 +1,220 @@
+---
+layout: post
+title: Remplacer la conversation Whatsapp familiale par un serveur XMPP
+tags: [ sysadmin, mainpage ]
+---
+
+Tout le monde aujourd'hui a, dans sa famille, une conversation Whatsapp/Telegram/Messenger/autre, en remplacement des SMS de la décennie précédente. Mais avec l'enshitification ambiante d'Internet, il devient de plus en plus essentiel d'avoir des options pour rester en contact avec ses proches sans passer par des applications propriétaires peu respectueuses de la vie privée. XMPP est une excellente solution à ça, et en installer un serveur est un projet sympathique et assez facile.
+
+XMPP est un protocol décentralisé d'échange de données en temps réel. Plus simplement, c'est un très bon protocol pour construire des systèmes fédérés de discussion instantannée, ce qui est exactement ce que l'on va faire. Le protocol est défini via quelques RFC, et définit également des extensions à travers des [XEP](https://xmpp.org/extensions/). Plusieurs de ces XEP sont aujourd'hui très standard et sont installées et activées par défaut (comme la [XEP-0012](https://xmpp.org/extensions/xep-0012.html)). Enfin, XMPP propose aujourd'hui du chiffrement bout-en-bout mature et automatique ([XEP-0384](https://xmpp.org/extensions/xep-0384.html)).
+
+> Les différentes étapes de cet article sont :
+> - [Une description de l'environnement dans lequel le serveur XMPP va être déployé](#environnement)
+> - [L'installation et la configuration du serveur XMPP en lui-même](#installation-et-configuration-initiale)
+> - [La configuration de quelques fonctionnalités supplémentaires (partage de fichier et rooms)](#file-sharing-et-muc)
+> - [La configuration finale du serveur](#fichier-de-configuration-final)
+
+## Environnement
+
+Pour monter un serveur XMPP, il est nécessaire d'avoir au moins un nom de domaine public, et si possible plusieurs sous-domaines dédiés au projet. Il est également nécessaire d'avoir une ip publique, avec a minima les ports tcp 5222 et 5269 accessibles.
+
+> Dans cet article, je prends comme noms de domaines `example.org` et ses sous-domaines, et comme ip publique `198.51.100.5`. Le serveur lui-même est sur l'ip `192.168.1.200/24`, derrière un NAT. J'utilise également un reverse-proxy dédié (puisque je n'ai qu'une ip publique), dont l'ip privée est `192.168.1.100`. 
+
+[Prosody](https://prosody.im) et [edjabberd](https://www.ejabberd.im) sont deux implémentations modernes de serveur XMPP, et les deux sont des choix très pertinents. Pour ma part, j'ai choisi Prosody.
+
+Pour installer Prosody, j'utilise un serveur Debian 11, avec 2 vCPU, 2Go de ram et 32Go de disque (à titre purement indicatif, je n'ai pas fait de benchmark pour vérifier la pertinence de ces ressources).
+
+## Installation et configuration initiale
+
+L'installation sous debian se fait via le repo officiel de Prosody :
+
+```bash
+echo deb http://packages.prosody.im/debian $(lsb_release -sc) main | sudo tee /etc/apt/sources.list.d/prosody.list
+sudo wget https://prosody.im/files/prosody-debian-packages.key -O /etc/apt/trusted.gpg.d/prosody.gpg
+sudo apt update
+sudo apt install prosody
+```
+
+Toute la configuration se fait ensuite dans `/etc/prosody/prosody.cfg.lua`.
+
+> Le fichier de configuration complet est disponible à la fin du guide. J'ai enlevé les commentaires du fichier par défaut par soucis de clareté, mais je vous conseille de les laisser !
+
+La configuration commence par charger une liste de modules. La liste par défaut est un bon point de départ ; j'ai simplement décommenté le module `mam`, qui permet de conserver un historique des messages sur le serveur.
+
+On peut ensuite indiquer à Prosody quelle ip publique est utilisée pour accéder au service, ce qui lui permet de vérifier lui même si la configuration DNS est correcte :
+
+```lua
+external_addresses = { "198.51.100.5" }
+```
+
+Enfin, il faut créer un VirtualHost, ce qui correspond à un domaine sur lequel Prosody va écouter (en gros, un serveur XMPP séparé). Attention, toutes les options de configuration définies après ne s'appliqueront qu'au VirtualHost !
+
+```lua
+VirtualHost "chat.example.org"
+```
+
+Et voilà, juste avec ça, on a un serveur XMPP fonctionnel ! Mais avant de l'utiliser, nous allons au moins mettre en place un certificat TLS pour sécuriser les connexions entre les clients et le serveur, et entre notre serveur et les autres. Pour cela, un peu de DNS et de reverse proxy s'impose. Faisons donc pointer `chat.example.org` sur notre ip publique, puis ajoutons juste ce qu'il faut de reverse proxy :
+
+> J'utilise NixOS pour gérer mon reverse proxy. Je vous laisse adapter cette configuration pour nginx si ce n'est pas votre cas.
+
+```nix
+services.nginx."chat.example.org" = {
+  locations = {
+    "/".proxyPass = "http://192.168.1.200:80";
+  };
+};
+```
+
+Cette configuration de nginx n'écoute que sur le port 80, et reverse-proxyfie les requêtes sur le port 80 de la VM Prosody. Elle ne sert qu'à faire fonctionner le challenge Let's Encrypt qui va venir :
+
+```bash
+$ certbot certonly --standalone -d chat.example.org
+$ prosodyctl --root cert import /etc/letsencrypt/live
+```
+
+Pour vérifier que tout fonctionne, on peut utiliser `prosodyctl` :
+
+```
+$ prosodyctl check certs
+Checking certificates...
+Checking certificate for chat.example.org
+  Certificate: /etc/prosody/certs/chat.example.org.crt
+```
+
+Et voilà ! N'oubliez pas de forward les ports tcp 5222 et 5269 sur votre firewall, et votre serveur XMPP devrait être fonctionnel. Pour ajouter des utilisateurs, utilisez la cli :
+
+```bash
+$ prosodyctl adduser user@chat.example.org
+```
+
+##  File sharing et MUC
+
+Afin de rajouter quelques fonctionnalités à notre serveur, nous allons rajouter un vrai service de partage de fichier (actuellement, le partage de fichiers fonctionne, mais uniquement en peer-to-peer), ainsi que la possibilité de créer des rooms de discussion.
+
+Ces deux fonctionnalités s'ajoutent via des *Components*, qui se configurent à la suite du VirtualHost :
+
+```lua
+disco_items = {
+    { "file.example.org", "file sharing service" },
+}
+
+http_paths = {
+    file_share = "/";
+}
+
+Component "file.example.org" "http_file_share"
+    http_file_share_global_quota = 16*1024*1024*1024 -- 16 Go
+    http_external_url = "https://file.example.org/"
+    trusted_proxies = { "192.168.1.100", }
+
+Component "rooms.chat.example.org" "muc"
+    modules_enabled = { "muc_mam" }
+    name = "Chatrooms"
+    restrict_room_creation = "local"
+    muc_room_default_public = false
+```
+
+Le service de partage de fichier, qui va être configuré derrière le reverse proxy, a besoin de connaitre son url d'accès pour générer correctement les liens. On lui configure également son quota global, et l'adresse ip du serveur proxy afin de l'autoriser.
+
+Pour éviter que les liens générés soient préfixés par `file_share/`, on redéfinit son `http_path`. Enfin, pour que les clients puisse découvrir le service et parce qu'il n'est pas sur un sous-domaine de `chat.example.org`, on le définit dans la liste des services à découvrir.
+
+Côté MUC, on active également le stockage des messages récents sur le serveur, on autorise uniquement les comptes locaux à créer de nouvelles rooms (même si n'importe qui peut ensuite les rejoindre), et on crée les rooms comme étant privées par défaut.
+
+Afin que le reverse proxy fonctionne, il faut également faire écouter le port HTTP de Prosody sur `0.0.0.0` au lieu de `localhost` par défaut :
+
+```lua
+http_interfaces = { "*", "::" }
+```
+
+On peut à présent configurer notre reverse proxy, cette fois avec HTTPS :
+
+```nix
+services.nginx."file.example.org" = {
+  enableACME = true;
+  forceSSL = true;
+  locations = {
+    "/".proxyPass = "http://192.168.1.200:5280";
+  };
+};
+```
+
+## Fichier de configuration final
+
+```lua
+external_addresses = { "198.51.100.5" }
+
+modules_enabled = {
+    "disco"; -- Service discovery
+    "roster"; -- Allow users to have a roster. Recommended ;)
+    "saslauth"; -- Authentication for clients and servers. Recommended if you want to log in.
+    "tls"; -- Add support for secure TLS on c2s/s2s connections
+
+    "blocklist"; -- Allow users to block communications with other users
+    "bookmarks"; -- Synchronise the list of open rooms between clients
+    "carbons"; -- Keep multiple online clients in sync
+    "dialback"; -- Support for verifying remote servers using DNS
+    "limits"; -- Enable bandwidth limiting for XMPP connections
+    "pep"; -- Allow users to store public and private data in their account
+    "private"; -- Legacy account storage mechanism (XEP-0049)
+    "smacks"; -- Stream management and resumption (XEP-0198)
+    "vcard4"; -- User profiles (stored in PEP)
+    "vcard_legacy"; -- Conversion between legacy vCard and PEP Avatar, vcard
+
+    "csi_simple"; -- Simple but effective traffic optimizations for mobile devices
+    "invites"; -- Create and manage invites
+    "invites_adhoc"; -- Allow admins/users to create invitations via their client
+    "invites_register"; -- Allows invited users to create accounts
+    "ping"; -- Replies to XMPP pings with pongs
+    "register"; -- Allow users to register on this server using a client and change passwords
+    "time"; -- Let others know the time here on this server
+    "uptime"; -- Report how long server has been running
+    "version"; -- Replies to server version requests
+    "mam"; -- Store recent messages to allow multi-device synchronization
+
+    "admin_adhoc"; -- Allows administration via an XMPP client that supports ad-hoc commands
+    "admin_shell"; -- Allow secure administration via 'prosodyctl shell'
+}
+
+s2s_secure_auth = true
+limits = {
+    c2s = {
+        rate = "10kb/s";
+    };
+    s2sin = {
+        rate = "30kb/s";
+    };
+}
+pidfile = "/var/run/prosody/prosody.pid"
+authentication = "internal_hashed"
+archive_expires_after = "1w"
+
+log = {
+    info = "/var/log/prosody/prosody.log";
+    error = "/var/log/prosody/prosody.err";
+}
+
+certificates = "certs"
+
+http_interfaces = { "*", "::" }
+
+VirtualHost "chat.example.org"
+
+disco_items = {
+    { "file.example.org", "file sharing service" },
+}
+
+http_paths = {
+    file_share = "/";
+}
+
+Component "file.example.org" "http_file_share"
+    http_file_share_global_quota = 16*1024*1024*1024 -- 16 Go
+    http_external_url = "https://file.example.org/"
+    trusted_proxies = { "192.168.1.100", }
+
+Component "rooms.chat.example.org" "muc"
+    modules_enabled = { "muc_mam" }
+    name = "Chatrooms"
+    restrict_room_creation = "local"
+    muc_room_default_public = false
+```