Ich habe meine Metadaten gerne unter Kontrolle und mir deswegen einen XMPP Server unter Prosody geg\u00f6nnt. Hier einige Notizen rund um die Installation.<\/p>\n
Prosody Paketquellen einbinden um von der tr\u00e4gen Paketverwaltung in den Ubuntu Repos unabh\u00e4ngig zu werden:<\/p>\n
echo deb http:\/\/packages.prosody.im\/debian $(lsb_release -sc) main | sudo tee -a \/etc\/apt\/sources.list<\/pre>\nDen Key der Paketquelle holen und in APT werfen:<\/p>\n
wget https:\/\/prosody.im\/files\/prosody-debian-packages.key -O- | sudo apt-key add -\r\nsudo apt-get update<\/pre>\nProsody installieren:<\/p>\n
apt-get install prosody<\/pre>\nEinstellungen f\u00fcr den Benutzer prosody in \/etc\/passwd kontrollieren, der nur \/bin\/false als Shell erhalten darf:<\/p>\n
prosody:x:113:121:Prosody XMPP Server,,,:\/var\/lib\/prosody:\/bin\/false<\/pre>\nProsody Konfiguration anpassen – unter Lua ist ein doppeltes Minus ein Kommentarzeichen:<\/p>\n
vi \/etc\/prosody\/prosody.cfg.lua<\/pre>\nDie Konfigurationsdatei ist gut strukturiert und weitgehend selbsterkl\u00e4rend, so dass beim Lesen kaum Fragen offen bleiben. Im Zweifel alle Restfragen \u00fcber die sauber strukturierte Dokumentation bei https:\/\/prosody.im<\/a> kl\u00e4ren.<\/p>\n
In der Konfiguration<\/p>\n
\n
- \n
den Admin f\u00fcr den XMPP Server festlegen<\/div>\n<\/li>\n- \n
die Sektion Module durchsehen und z.B. version sowie uptime deaktivieren, damit wir nach Au\u00dfen hin nicht gleich alle Angriffspunkte verraten.<\/div>\n<\/li>\n<\/ol>\nEbenfalls kontrollieren, ob Registrierungen \u00fcber Clients abgelehnt werden. Das scheint n\u00f6tig zu sein, damit man nicht mit Konten zugespamt wird:<\/p>\n
allow_registration = false;<\/pre>\nWir wollen die Verbindung zwischen Client und Server Zwangsverschl\u00fcsseln:<\/p>\n
c2s_require_encryption = true<\/pre>\nDas geht im Prinzip auch f\u00fcr s2s (Server to Server) Verbindungen. Hier liegt auch der Grund, warum wir dringend OTR Verschl\u00fcsselung haben wollen, wenn wir nicht auf der eigenen Domain chatten.<\/p>\n
Die Passw\u00f6rter der Benutzer verschl\u00fcsselt speichern, auch wenn die Nebenwirkung ist, dass manche Clients l\u00e4nger brauchen, um sich anzumelden:<\/p>\n
authentication = \"internal_hashed\"<\/pre>\nSSL Key einbinden. Hierbei f\u00fcr Zwischenzertifikate ein PEM basteln wie f\u00fcr Dovecot und Freunde ebenfalls \u00fcblich.<\/p>\n
ssl = {\r\n key = \"\/etc\/prosody\/certs\/domain.key\";\r\n certificate = \"\/etc\/prosody\/certs\/domain.pem\";\r\n}<\/pre>\nSiehe zu intermedi\u00e4ren Zertifikaten auch: https:\/\/prosody.im\/doc\/certificates?s[]=pem#certificate_chains<\/a><\/p>\n
Unser Zertifikatsspeicher f\u00fcr Prosody verwendet schlicht Symlinks, um sich die Arbeit einfacher zu machen, wenn Zertifikate erneuert werden:<\/p>\n
ls -la \/etc\/prosody\/certs\/\r\n# Zeigt dann:\r\ndomain.key -> \/etc\/path\/to\/certs\/ssl\/domain.tld\/domain.key\r\ndomain.pem -> \/etc\/path\/to\/certs\/ssl\/mailserver\/domain.pem<\/pre>\nDie Hosts einrichten:<\/p>\n
VirtualHost \"xmppserver.tld\"\r\n\r\n-- enabled = false -- Remove this line to enable this host<\/pre>\nssl = {\r\n key = \"\/etc\/prosody\/certs\/domain.key\";\r\n certificate = \"\/etc\/prosody\/certs\/domain.pem\";\r\n }<\/pre>\nProsody neu starten:<\/p>\n
sudo service prosody restart<\/pre>\nNach Fehlern suchen:<\/p>\n
tail -f \/var\/log\/prosody\/prosody.err<\/pre>\nEinen Fehler finden und wohl erst einmal schlicht hinnehmen:<\/p>\n
The version of LuaExpat on your system does not support stanza size limits, which may leave servers on untrusted networks (e.g. the internet) vulnerable to denial-of-service attacks. You should upgrade to LuaExpat 1.3.0 or higher as soon as possible. See http:\/\/prosody.im\/doc\/depends#luaexpat for more information.<\/pre>\nSiehe hierzu auch https:\/\/prosody.im\/doc\/depends#luaexpat<\/a> und den Hinweis, dass man in diesem Fall auf compression verzichten sollte (das ist der Default).<\/p>\n
Die Benutzer anlegen – den oben eingetragenen Admin hierbei nicht vergessen:<\/p>\n
prosodyctl adduser admin@xmppserver.tld<\/pre>\nJetzt mit den ersten Clients eine Verbindung aufbauen und den Verbindungen zusehen, wie sie reinkommen:<\/p>\n
tail -f \/var\/log\/prosody\/prosody.log<\/pre>\nEinen Blick in den Benutzerkontenbereich werfen:<\/p>\n
ls -la \/var\/lib\/prosody\/xmppserver.tld\/accounts<\/pre>\nDort nachsehen, ob die *.dat Dateien auch wirklich nur verschl\u00fcsselte Passw\u00f6rter enthalten.<\/p>\n
Am Ende den gesamten Server auf den Pr\u00fcfstand stellen: https:\/\/xmpp.net\/<\/a><\/p>\n<\/div>\n
Sicherheit<\/h2>\n
\nSiehe zum folgenden Abschnitt: https:\/\/code.google.com\/p\/prosody-modules\/wiki\/mod_log_auth<\/a> und auch https:\/\/jabber.lqdn.fr\/securing-our-jabber-server-with-fail2ban-securisation-du-serveur-jabber-avec-fail2ban\/<\/a><\/p>\n
Im Modules Verzeichnis von Prosody ein weiteres Modul hinterlegen:<\/p>\n
# \/usr\/lib\/prosody\/modules\r\nwget http:\/\/prosody-modules.googlecode.com\/hg\/mod_log_auth\/mod_log_auth.lua<\/pre>\nDas Modul umbenennen, damit es l\u00e4uft:<\/p>\n
mv mod_log_auth.lua mod_auth_log.lua<\/pre>\nDas Modul in der Konfiguration einschalten<\/p>\n
# \/etc\/prosody\/prosody.cfg.lua\r\n\"auth_log\" -- Anbindung fuer fail2ban http:\/\/prosody-modules.googlecode.com\/hg\/mod_log_auth\/mod_log_auth.lua<\/pre>\nProsody neu starten und kontrollieren, ob nun die Connects mitgeschrieben werden:<\/p>\n
tail -f \/var\/log\/syslog\r\ntail -f \/var\/log\/prosody\/prosody.log<\/pre>\nEinen Filter f\u00fcr fail2ban anlegen:<\/p>\n
vi \/etc\/fail2ban\/filter.d\/prosody-auth.conf<\/pre>\nInhalt:<\/p>\n
# Fail2Ban configuration file for prosody authentication\r\n[Definition]\r\nfailregex = Failed authentication attempt \\(not-authorized\\) from IP: <HOST>\r\nignoreregex =<\/pre>\nIn der jail.local hinterlegen:<\/p>\n
# XMPP\r\n[prosody-auth]\r\nenabled = true\r\nport = 5223\r\nfilter = prosody-auth\r\nlogpath = \/var\/log\/prosody\/*.log\r\nmaxretry = 10<\/pre>\nDie Dienste neu starten:<\/p>\n
sudo service prosody restart\r\nsudo service fail2ban restart<\/pre>\nIn Check_MK die Service discovery f\u00fcr den XMPP-Server-Host neu anschubsen, damit man auch dort sieht, was passiert.<\/p>\n
Die n\u00e4chsten Schritte: F\u00fcr meine Schule muss das auch noch eingerichtet werden – dann allerdings mit LDAPs Anbindung, damit es jeder gleich nutzen kann und die Benutzerverwaltung einfacher wird.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Ich habe meine Metadaten gerne unter Kontrolle und mir deswegen einen XMPP Server unter Prosody geg\u00f6nnt. Hier einige Notizen rund um die Installation. Basis Prosody Paketquellen einbinden um von der tr\u00e4gen Paketverwaltung in den Ubuntu Repos unabh\u00e4ngig zu werden: echo deb http:\/\/packages.prosody.im\/debian $(lsb_release -sc) main | sudo tee -a \/etc\/apt\/sources.list Den Key der Paketquelle holen […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[520,519,517,518,516],"class_list":["post-4580","post","type-post","status-publish","format-standard","hentry","category-linux","tag-check_mk","tag-fail2ban","tag-jabber","tag-prosody","tag-xmpp"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4580"}],"version-history":[{"count":4,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4580\/revisions"}],"predecessor-version":[{"id":4584,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4580\/revisions\/4584"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}