Песочница

Материал из Мир Jabber
Перейти к навигацииПерейти к поиску

В этой статье приводится пример конфигурирования ejabberd с поддержкой актуальных и популярных функций. В качестве основы взят конфиг-файл с работающего сервера версии 21.12, а в качестве сертификатов используется Let's Encrypt - и все это установлено на Debian GNU/Linux.

Рассмотрим особенности данной конфигурации.

DNS-записи

Хотя для базового варианта своего jabber-сервера вполне достаточно бесплатного DynDNS-домена, для полноценной конфигурации все же нужно обзавестись собственным доменом, где можно будет добавить все необходимые DNS-записи и сделать субдомены для сервисов. Выбор регистратора и покупка домена остается за рамками данной статьи, тут только приводятся шаги, которые надо сделать после покупки домена в его админке.

Всего понадобится около 15 записей в DNS:

  1. Для удобства, чтобы в случае миграции сервера с одного IP на другой не приходилось переписывать все записи, стоит завести для него субдомен, который будет ссылаться на нужный IP с помощью А-записи (или 2 таких субдомена в случае использования IPv4+IPv6 - один с A-записью, а второй с AAAA), а все остальные записи сделать CNAME-алиасами для него. Например, для данного сервера (jabberworld.info) сделаны 2 субдомена xmpp.jabberworld.info, ссылающиеся на IPv4 и IPv6-адреса.
  2. Создаем субдомены для необходимых сервисов сервера - conference (для конференций), proxy (прокси для прямой передачи файлов), pubsub (сервисы типа "Публикация/подписка", где может сохраняться самая разная информация) и upload (сервис для передачи файлов через HTTP Upload). Все эти записи создаем как CNAME на наш субдомен из 1-го пункта.
  3. Создаем ряд SRV-записей для нашего основного домена - они показывают, где именно какой сервис находится. Конечно, если у вас все на одном адресе, то будет работать и так, но мы ведь решили все делать правильно, верно? Итак, нужны такие SRV-записи:
_xmpp-client._tcp.EXAMPLE.COM (порт 5222) - чтобы указать, куда подключаться jabber-клиенту
_xmpps-client._tcp.EXAMPLE.COM (порт 5223) - аналогичная запись для TLS-подключений клиентов
_xmpp-server._tcp.EXAMPLE.COM (порт 5269) - чтобы указать, куда подключаться jabber-серверу
_xmpps-server._tcp.EXAMPLE.COM (порт 5270) - аналогичная запись для TLS-подключений серверов.
Записи ниже служат для работы сервиса аудио/видеозвонков через jabber:
_stun._tcp.EXAMPLE.COM (порт 3478) - STUN через TCP
_stun._udp.EXAMPLE.COM (порт 3478) - STUN через UDP
_stuns._tcp.EXAMPLE.COM (порт 5349) - шифрованный STUN через TCP
_turn._tcp.EXAMPLE.COM (порт 3478) - TURN через TCP
_turn._udp.EXAMPLE.COM (порт 3478) - TURN через UDP
_turns._tcp.EXAMPLE.COM (порт 5349) - шифрованный TURN через TCP
Во всех случаях target'ом для записей служит наш алиас из первого пункта.

Вот как выглядят записи для данного сервера в админке бесплатного DNS-провайдера Hurricane Electric:

Jabber srv.png

Сертификаты

В современном мире стандартной практикой является шифрование соединений, а для этого, в свою очередь, требуются сертификаты от доверенных центров сертификации. Можно, конечно, использовать самоподписанный сертификат, но, во-первых, не все серверы будут их принимать - а значит, к ним не получится подключиться и общаться с их пользователями, а во-вторых, в подключающихся клиентах будут появляться сообщения о недоверенном сертификате, что тоже будет доставлять определенные неудобства. Поэтому стоит воспользоваться услугами одного из популярных бесплатных центров сертификации - Let's Encrypt.

Для работы с сертификатами от Let's Encrypt в Debian есть специальный пакет - certbot, поэтому установите его следующей командой:

sudo apt-get install certbot

Сертификаты от Let's Encrypt выдаются сроком на 3 месяца, поэтому в конце этого срока их нужно обновлять. Для подтверждения владения доменом, а также для автоматизации обновления сертификатов в дальнейшем со стороны Let's Encrypt делается запрос на веб-сервер для указанного домена, поэтому для полноценной работы стоит установить какой-нибудь популярный вариант и прописать там виртуальные хосты для нашего jabber-сервера, а также сервисов на нем (сертификаты будут делаться в том числе для сервисов). Пример конфигурации веб-сервера Apache для данного сервера:

apache_to_jabber_service_domains.conf
<VirtualHost 185.161.208.229:80 [2a07:c801:0:5::]:80>
        ServerAdmin     webmaster@jabberworld.info
        DocumentRoot    /var/www/jabberworld.info/htdocs
        ServerName      jabberworld.info
</VirtualHost>

<VirtualHost 185.161.208.229:80 [2a07:c801:0:5::]:80>
        ServerAdmin     webmaster@upload.jabberworld.info
        DocumentRoot    /var/www/upload.jabberworld.info/htdocs
        ServerName      upload.jabberworld.info
</VirtualHost>

<VirtualHost 185.161.208.229:80 [2a07:c801:0:5::]:80>
        ServerAdmin     webmaster@pubsub.jabberworld.info
        DocumentRoot    /var/www/pubsub.jabberworld.info/htdocs
        ServerName      pubsub.jabberworld.info
</VirtualHost>

<VirtualHost 185.161.208.229:80 [2a07:c801:0:5::]:80>
        ServerAdmin     webmaster@conference.jabberworld.info
        DocumentRoot    /var/www/conference.jabberworld.info/htdocs
        ServerName      conference.jabberworld.info
</VirtualHost>

<VirtualHost 185.161.208.229:80 [2a07:c801:0:5::]:80>
        ServerAdmin     webmaster@proxy.jabberworld.info
        DocumentRoot    /var/www/proxy.jabberworld.info/htdocs
        ServerName      proxy.jabberworld.info
</VirtualHost>

В каталогах сервера не обязательно должен быть какой-то контент, хотя, например, на основном домене можно разместить какую-то страничку, посвященную jabber-серверу, а на поддомене conference разместить чат-логи конференций. Субдомен upload можно приспособить под загружаемые через HTTP Upload файлы, чтобы в дальнейшем их раздавал веб-сервер.

После всех приготовлений создайте все необходимые сертификаты. Для этого воспользуйтесь следующими командами (выполнять надо от пользователя root):

certbot certonly --webroot --webroot-path /var/www/EXAMPLE.COM/htdocs/ -d EXAMPLE.COM
certbot certonly --webroot --webroot-path /var/www/conference.EXAMPLE.COM/htdocs/ -d conference.EXAMPLE.COM
certbot certonly --webroot --webroot-path /var/www/upload.EXAMPLE.COM/htdocs/ -d upload.EXAMPLE.COM
certbot certonly --webroot --webroot-path /var/www/pubsub.EXAMPLE.COM/htdocs/ -d pubsub.EXAMPLE.COM
certbot certonly --webroot --webroot-path /var/www/proxy.EXAMPLE.COM/htdocs/ -d proxy.EXAMPLE.COM

В параметрах после --webroot-path указывается каталог веб-сервера для данного домена, а после -d - сам домен.

После успешного выполнения команд будет выдана информация о созданном сертификате, в том числе 2 файла - цепочка ключей и приватный ключ - сохраните эти пути для дальнейшего использования, они нам еще пригодятся. Всего получится 10 файлов. certbot обновляет сертификаты автоматически, если срок их истечения составляет менее 30 дней - т.е., обновление происходит раз в 2 месяца.

Так как ejabberd работает от своего пользователя и не имеет доступа к сертификатам, созданным certbot от рута, то надо каким-то образом предоставить доступ ejabberd'у к сертификатам. Делать это можно по-разному - кто-то, например, меняет права на созданные сертификаты и добавляет возможность ejabberd'у получать доступ к нужным файлам - правда, эти права сбрасываются после каждого обновления сертификатов. В моем случае я создал для ejabberd отдельный каталог - /etc/ejabberd/certs, куда копируются по cron'у созданные сертификаты и уже там даются права для jabber-сервера.

Настройка ejabberd

Все подготовительные процедуры завершены, теперь можно приступать непосредственно к настройке своего jabber-сервера.

ejabberd.yml
###
###              ejabberd configuration file
###
### The parameters used in this configuration file are explained at
###
###       https://docs.ejabberd.im/admin/configuration
###
### The configuration file is written in YAML.
### *******************************************************
### *******           !!! WARNING !!!               *******
### *******     YAML IS INDENTATION SENSITIVE       *******
### ******* MAKE SURE YOU INDENT SECTIONS CORRECTLY *******
### *******************************************************
### Refer to http://en.wikipedia.org/wiki/YAML for the brief description.
### However, ejabberd treats different literals as different types:
###
### - unquoted or single-quoted strings. They are called "atoms".
###   Example: dog, 'Jupiter', '3.14159', YELLOW
###
### - numeric literals. Example: 3, -45.0, .0
###
### - quoted or folded strings.
###   Examples of quoted string: "Lizzard", "orange".
###   Example of folded string:
###   > Art thou not Romeo,
###     and a Montague?
###
#
---
## loglevel: Verbosity of log files generated by ejabberd
## 0: No ejabberd log at all (not recommended)
## 1: Critical
## 2: Error
## 3: Warning
## 4: Info
## 5: Debug
loglevel: 4

## rotation: Disable ejabberd's internal log rotation, as the Debian package
## uses logrotate(8).
log_rotate_count: 0
#log_rotate_date: ""

## hosts: Domains served by ejabberd.
## You can define one or several, for example:
## hosts:
##   - "example.net"
##   - "example.com"
##   - "example.org"
hosts:
  - "EXAMPLE.COM"

certfiles:
 - "/etc/ejabberd/certs/conference.EXAMPLE.COM.fullchain.pem"
 - "/etc/ejabberd/certs/conference.EXAMPLE.COM.privkey.pem"
 - "/etc/ejabberd/certs/EXAMPLE.COM.fullchain.pem"
 - "/etc/ejabberd/certs/EXAMPLE.COM.privkey.pem"
 - "/etc/ejabberd/certs/pubsub.EXAMPLE.COM.fullchain.pem"
 - "/etc/ejabberd/certs/pubsub.EXAMPLE.COM.privkey.pem"
 - "/etc/ejabberd/certs/upload.EXAMPLE.COM.fullchain.pem"
 - "/etc/ejabberd/certs/upload.EXAMPLE.COM.privkey.pem"
 - "/etc/ejabberd/certs/proxy.EXAMPLE.COM.fullchain.pem"
 - "/etc/ejabberd/certs/proxy.EXAMPLE.COM.privkey.pem"


## TLS configuration
define_macro:
  'TLS_CIPHERS': "HIGH:!aNULL:!eNULL:!3DES:@STRENGTH"
  'TLS_OPTIONS':
    - "no_sslv3"
#    - "no_tlsv1"
#    - "no_tlsv1_1"
    - "cipher_server_preference"
    - "no_compression"
    ## generated with: openssl dhparam -out dhparams.pem 2048

c2s_ciphers: 'TLS_CIPHERS'
s2s_ciphers: 'TLS_CIPHERS'
c2s_protocol_options: 'TLS_OPTIONS'
s2s_protocol_options: 'TLS_OPTIONS'
## c2s_dhfile: 'DH_FILE'
s2s_dhfile: "/etc/ejabberd/dhparams.pem"

listen:
  -
    port: 3478
    ip: "::"
    transport: udp
    module: ejabberd_stun
    auth_realm: "@HOST@"
    use_turn: true
    ## The server's public IPv4 address:
    turn_ipv4_address: "123.123.123.123"
    ## The server's public IPv6 address:
    turn_ipv6_address: "2a01:0123:0123:0123::"
  -
    port: 3478
    ip: "::"
    transport: tcp
    module: ejabberd_stun
    auth_realm: "@HOST@"
    use_turn: true
    ## The server's public IPv4 address:
    turn_ipv4_address: "123.123.123.123"
    ## The server's public IPv6 address:
    turn_ipv6_address: "2a01:0123:0123:0123::"
  -
    port: 5349
    transport: tcp
    module: ejabberd_stun
    use_turn: true
    tls: true
    ip: "::"
    ## The server's public IPv4 address:
    turn_ipv4_address: "123.123.123.123"
    ## The server's public IPv6 address:
    turn_ipv6_address: "2a01:0123:0123:0123::"
  -
    port: 5000
    ip: "::"
    module: ejabberd_http
    tls: true
    request_handlers:
      /conversejs: mod_conversejs
      /: mod_http_fileserver
  -
    port: 5222
    ip: "::"
    module: ejabberd_c2s
    max_stanza_size: 262144
    shaper: c2s_shaper
    access: c2s
    zlib: true
    starttls_required: true
    protocol_options: 'TLS_OPTIONS'
  -
    port: 5223
    ip: "::"
    module: ejabberd_c2s
    max_stanza_size: 262144
    shaper: c2s_shaper
    access: c2s
    tls: true
    zlib: true
    starttls_required: true
    protocol_options: 'TLS_OPTIONS'
  -
    port: 5269
    ip: "::"
    module: ejabberd_s2s_in
    max_stanza_size: 524288
  -
    port: 5270
    ip: "::"
    tls: true
    module: ejabberd_s2s_in
    max_stanza_size: 524288
  -
    port: 5280
    ip: "::"
    module: ejabberd_http
    request_handlers:
      "/captcha": ejabberd_captcha
    tls: true
  -
    port: 5281
    ip: "::"
    module: ejabberd_http
    request_handlers:
      "/admin": ejabberd_web_admin
    tls: true
  -
    port: 5282
    ip: "::"
    module: ejabberd_http
    request_handlers:
      "/captcha": ejabberd_captcha
      "/register": mod_register_web
    tls: true
  -
    port: 5283
    ip: "::"
    module: ejabberd_http
    request_handlers:
      "/api": mod_http_api
      "/bosh": mod_bosh
      "/upload": mod_http_upload
      "/ws": ejabberd_http_ws
      "/captcha": ejabberd_captcha
    tls: true

## Disabling digest-md5 SASL authentication. digest-md5 requires plain-text
## password storage (see auth_password_format option).
disable_sasl_mechanisms:
  - "digest-md5"
  - "X-OAUTH2"

s2s_use_starttls: required

## Store the plain passwords or hashed for SCRAM:
auth_password_format: scram

## Full path to a script that generates the image.
captcha_cmd: "/usr/share/ejabberd/captcha.sh"
#captcha_url: "https://xmpp.EXAMPLE.COM:5282"
captcha_host: "https://EXAMPLE.COM:5282"

acl:
  admin:
     user:
       - "ADMIN": "EXAMPLE.COM"

  local:
    user_regexp: ""
  loopback:
    ip:
      - "127.0.0.0/8"
      - "::1/128"
      - "::FFFF:127.0.0.1/128"

access_rules:
  local:
    - allow: local
  c2s:
    - deny: blocked
    - allow
  announce:
    - allow: admin
  configure:
    - allow: admin
  muc_create:
    - allow: local
  muc:
    - allow
  pubsub_createnode:
    - allow: local
  register:
    - allow
  trusted_network:
    - allow: loopback
  #webadmin_view:
  # - viewers: allow

api_permissions:
  "console commands":
    from:
      - ejabberd_ctl
    who: all
    what: "*"
  "admin access":
    who:
      - access:
          - allow:
            - acl: loopback
            - acl: admin
      - oauth:
        - scope: "ejabberd:admin"
        - access:
          - allow:
            - acl: loopback
            - acl: admin
    what:
      - "*"
      - "!stop"
      - "!start"
  "public commands":
    who:
      - ip: "127.0.0.1/8"
    what:
      - "status"
      - "connected_users_number"

shaper:
  normal: 2500
  fast: 50000

shaper_rules:
  max_user_sessions: 25
  max_user_offline_messages:
    - 5000: admin
    - 200
  c2s_shaper:
    - none: admin
    - normal
  s2s_shaper: fast

modules:
  mod_adhoc: {}
  mod_admin_extra: {}
  mod_announce:
    access: announce
  mod_avatar: {}
  mod_blocking: {}
  mod_bosh: {}
  mod_caps: {}
  mod_carboncopy: {}
  mod_client_state: {}
  mod_configure: {}
  ## mod_delegation: {}   # for xep0356
  mod_disco:
    server_info:
      -
        modules: all
        name: "abuse-addresses"
        urls:
          - "xmpp:ADMIN@EXAMPLE.COM"
          - "mailto:ADMIN@EXAMPLE.COM"
      -
        modules: [mod_muc]
        name: "Web chatroom logs"
        urls: ["https://chatlogs.EXAMPLE.COM"]
      -
        modules: all
        name: "support-addresses"
        urls:
          - "xmpp:ADMIN@EXAMPLE.COM"
          - "xmpp:support@conference.EXAMPLE.COM?join"
          - "https://my.cool.site"
  mod_fail2ban: {}
  mod_http_api: {}
  mod_http_upload:
   put_url: "https://@HOST@:5283/upload"
   thumbnail: false
   jid_in_url: sha1
   custom_headers:
    "Access-Control-Allow-Origin": "*"
    "Access-Control-Allow-Methods": "GET,HEAD,PUT,OPTIONS"
    "Access-Control-Allow-Headers": "Content-Type"
  mod_http_upload_quota:
   max_days: 180
  mod_mam:
  ##   ## Mnesia is limited to 2GB, better to use an SQL backend
  ##   ## For small servers SQLite is a good fit and is very easy
  ##   ## to configure. Uncomment this when you have SQL configured:
   db_type: sql
   assume_mam_usage: true
   default: roster
   compress_xml: true
   use_cache: true
   cache_life_time: 86400
  mod_muc:
    access:
      - allow
    access_admin:
      - allow: admin
    access_create: muc_create
    access_persistent: muc_create
    default_room_options:
      mam: true
  mod_muc_admin: {}
  mod_offline:
    access_max_user_messages: max_user_offline_messages
  mod_muc_log:
    outdir: "/var/www/chatlogs"
    access_log: muc
    cssfile: /var/www/chatlogs.EXAMPLE.COM/htdocs/muc.css
    #cssfile: http://chatlogs.EXAMPLE.COM/muc.css
  mod_ping: {}
  mod_pres_counter:
    count: 5
    interval: 60
  mod_privacy: {}
  mod_private: {}
  mod_proxy65:
# remove ip?
    ip: 123.123.123.123
    access: local
    max_connections: 10
  mod_pubsub:
    access_createnode: pubsub_createnode
    plugins:
      - "flat"
      - "pep"
    force_node_config:
      "eu.siacs.conversations.axolotl.*":
        access_model: open
      ## Avoid buggy clients to make their bookmarks public
      "storage:bookmarks":
        access_model: whitelist
  mod_push: {}
  mod_push_keepalive: {}
  mod_register:
    ## Only accept registration requests from the "trusted"
    ## network (see access_rules section above).
    ## Think twice before enabling registration from any
    ## address. See the Jabber SPAM Manifesto for details:
    ## https://github.com/ge0rg/jabber-spam-fighting-manifesto
    #ip_access: trusted_network
    ip_access: all
    captcha_protected: true
    registration_watchers:
     - "ADMIN@EXAMPLE.COM"
    welcome_message:
     subject: "Добро пожаловать на Jabber-сервер!"
     body: "Приветствую. Ведите себя хорошо. Доступен веб-клиент ConverseJS по адресу https://xmpp.EXAMPLE.COM. Лимит на загружаемые файлы - 100 МБ. Срок хранения - 180 дней."
  mod_roster:
    versioning: true
  mod_s2s_dialback: {}
  mod_shared_roster: {}
  mod_sic: {}
  mod_stream_mgmt:
    resend_on_timeout: if_offline
  mod_vcard:
    search: false
  mod_stun_disco:
    services:
      -
        host: 123.123.123.123
        port: 3478
        type: stun
        transport: udp
        restricted: false
      -
        host: 123.123.123.123
        port: 3478
        type: turn
        transport: udp
        restricted: true
      -
        host: 123.123.123.123
        port: 3478
        type: stun
        transport: tcp
        restricted: false
      -
        host: 123.123.123.123
        port: 3478
        type: turn
        transport: tcp
        restricted: true
      -
        host: "2a01:0123:0123:0123::"
        port: 3478
        type: stun
        transport: udp
        restricted: false
      -
        host: "2a01:0123:0123:0123::"
        port: 3478
        type: turn
        transport: udp
        restricted: true
      -
        host: "2a01:0123:0123:0123::"
        port: 3478
        type: stun
        transport: tcp
        restricted: false
      -
        host: "2a01:0123:0123:0123::"
        port: 3478
        type: turn
        transport: tcp
        restricted: true
      -
        host: EXAMPLE.COM
        port: 5349
        type: stuns
        transport: tcp
        restricted: false
      -
        host: EXAMPLE.COM
        port: 5349
        type: turns
        transport: tcp
        restricted: true
  mod_vcard_xupdate: {}
  mod_version:
    show_os: false
  mod_stats: {}
  mod_last: {}
#  mod_time: {}
  mod_conversejs:
    websocket_url: "wss://EXAMPLE.COM:5283/ws"
    conversejs_script: "https://EXAMPLE.COM:5000/converse.min.js"
    conversejs_css: "https://EXAMPLE.COM:5000/converse.min.css"
#    bosh_service_url: "https://EXAMPLE.COM:5283/bosh"
    default_domain: "EXAMPLE.COM"
  mod_http_fileserver:
    docroot: "/var/www/ejabberd/package/dist"
    accesslog: "/var/log/ejabberd/fileserver-access.log"
    custom_headers:
     "Access-Control-Allow-Origin": "*"
     "Access-Control-Allow-Methods": "GET,HEAD,OPTIONS"
     "Access-Control-Allow-Headers": "Content-Type"

default_db: sql
sql_type: mysql
sql_server: "localhost"

host_config:
 "EXAMPLE.COM":
   sql_database: "JABBERDB"

sql_username: "DBUSER"
sql_password: "SUPERPASSWORD"
sql_port: 3306

language: "ru"

### Local Variables:
### mode: yaml
### End:
### vim: set filetype=yaml tabstop=8