Свой xmpp сервер

[CashoutGuy]

Сразу скажу, в этом деле я еще новичек, поэтому не бейте палками плиз.
Есть желание и потребность сделать свой жабосервер и регать на нем аккаунты жабки сколько мне потребуется (желательно так, чтобы другие не смогли зарегать без моего разрешения), а и в идеале это должен быть .onion домен. Я чет гуглил, гуглил а так никаких сервисов, которые бы все за меня сделали так и не нашел, поэтому придется самому...
В общем, если знаете, подскажите плиз как:
1 Найти и купить онион домен (я смотрел в сторону импрезы, но там можно выбрать только первые 5 символов), с впской (как я понял именно на впс нужно будет ставить все)
2 где скачать нужные софтины и как поставить их на впс и настроить, чтоб даже такой тепой как я разобрался
Это вообще выполнимо?
Или может есть сервисы, где можно купить уже готовую впс с нужным мне доменом и установленым xmpp, чтоб типа с коробки, запустил, выбрал настройки и поехал...

 

[Admin]

CashoutGuy сказал(а):
1 Найти и купить онион домен (я смотрел в сторону импрезы, но там можно выбрать только первые 5 символов), с впской (как я понял именно на впс нужно будет ставить все)

Установите prosody, ejabberd или openfire.
Примеры:
prosody - https://digitalocean.com/community/tutorials/how-to-install-prosody-on-ubuntu-18-04. Или же под tor https://cryptopunks.org/article/jabber_over_tor_on_raspberrypi/
ejabberd - https://docs.ejabberd.im/admin/installation/ или https://digitalocean.com/community/tutorials/how-to-install-ejabberd-xmpp-server-on-ubuntu
Главное, в конфигах внимательно выключите регистрацию новых жаб, иначе получите в сутки по 500-1к ботов, а сервер быстро превратится в спам honeypot =)
Можно прописать и .onion. Но сервер сможет общаться s2s коннектами тоже только с onion адресами (без доп.настроек).
Ssl серты под onion выдает пока только один CA.

А зачем? Вы хотите получить именно красивый адрес? Если нет, сгенерируйте сами.
Последнее редактирование: 07.04.2023

 

[CashoutGuy]

admin сказал(а):
Установите prosody, ejabberd или openfire.
Примеры:
prosody - https://digitalocean.com/community/tutorials/how-to-install-prosody-on-ubuntu-18-04. Или же под tor https://cryptopunks.org/article/jabber_over_tor_on_raspberrypi/
ejabberd - https://docs.ejabberd.im/admin/installation/ или https://digitalocean.com/community/tutorials/how-to-install-ejabberd-xmpp-server-on-ubuntu
Главное, в конфигах внимательно выключите регистрацию новых жаб, иначе получите в сутки по 500-1к ботов, а сервер быстро превратится в спам honeypot =)
Можно прописать и .onion. Но сервер сможет общаться s2s коннектами тоже только с onion адресами (без доп.настроек).
Ssl серты под onion выдает пока только один CA.

А зачем? Вы хотите получить именно красивый адрес? Если нет, сгенерируйте сами.

Спасибо, буду изучать. Да, хотелось бы именно красивый

 

[barklay]

Рекомендую prosody, он очень простой в конфиге

 

[gliderexpert]

admin сказал(а):
Можно прописать и .onion. Но сервер сможет общаться s2s коннектами тоже только с onion адресами (без доп.настроек).
Ssl серты под onion выдает пока только один CA.

Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?
Tor Project | HTTPS for your Onion Service
Defend yourself against tracking and surveillance. Circumvent censorship. | HTTPS for your Onion Service
community.torproject.org
"When visiting a site over the Onion Services protocol, the Tor protocol prevents data in transit from being read or manipulated by man in the middle attacks"
+ сам по себе XMPP имеет возможность OTR/OMEMO.

 

[barklay]

gliderexpert сказал(а):
Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?
Tor Project | HTTPS for your Onion Service
Defend yourself against tracking and surveillance. Circumvent censorship. | HTTPS for your Onion Service
community.torproject.org

в голову приходит 3 причины:
Меньше будет проблем с настройкой клиента
Шифрования много не бывает
для s2s нужен

 

[Admin]

gliderexpert сказал(а):
Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?
Tor Project | HTTPS for your Onion Service
Defend yourself against tracking and surveillance. Circumvent censorship. | HTTPS for your Onion Service
community.torproject.org
"When visiting a site over the Onion Services protocol, the Tor protocol prevents data in transit from being read or manipulated by man in the middle attacks"
+ сам по себе XMPP имеет возможность OTR/OMEMO.

Спорный вопрос =) Где-то на форуме выкладывали интересную графику, сейчас попробую поискать. Там был технический анализ https в onion.
Лично я считаю, что в случае onion ssl серт излишний. Но многие просят и считают, что он должен быть =) Вот даже я на форуме поставил. Как по мне, единственный плюс от https, если служба tor и веб сервер находятся в разных местах.
И правильно подсказал barklay, серт может быть нужен при s2s, когда на других серверах прописаны в конфигах:
Код:
Скопировать в буфер обмена
s2s_use_starttls: required
Подробнее можно глянуть тут (в случае ejabberd).
Но я не знаю, точнее уже просто не помню, как служба ведет себя с онион доменами (проверка https), нужно потестить.

 

[r1z]

Пожалуйста, обратите внимание, что пользователь заблокирован
Here's a script that combines the steps mentioned above as admin said into one bash script;

Replace your_onion_domain.onion with your actual .onion domain and /path/to/your_ssl_key and /path/to/your_ssl_certificate with the paths to your SSL key and certificate files respectively.

Код:
Скопировать в буфер обмена
#!/bin/bash

# Update and install necessary packages
sudo apt update
sudo apt install -y tor prosody

# Configure TOR
cat <<EOT | sudo tee /etc/tor/torrc
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 5222 127.0.0.1:5222
HiddenServicePort 5269 127.0.0.1:5269
HiddenServicePort 80 127.0.0.1:80
EOT

# Restart TOR service
sudo systemctl restart

# Configure Prosody
cat <<EOT | sudo tee -a /etc/prosody/prosody.cfg.lua
VirtualHost "your_onion_domain.onion"
enabled=true
allow_registration = false
ssl={
key = "/path/to/your_ssl_key";
certificate = "/path/to/your_ssl_certificate";
}
EOT

# Restart Prosody service
sudo systemctl restart prosody

# Print .onion domain
echo "Your .onion domain:"
sudo cat /var/lib/tor/hidden_service/hostname

after running the script you can register users as below :


Код:
Скопировать в буфер обмена
sudo prosodyctl register username your_onion_domain.onion password


If somebody would like to add/modify the code it would be helpfull for others.

 

[Dread Pirate Roberts]

gliderexpert сказал(а):
Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?

ибо хрен его знает, как работает шифрование в этом вашем onion v3, а с SSL можно двумя кликами в браузере проверить фингерпринт сертификата и иметь хоть какую-то надежду, что майора посередине не было.

 

[gliderexpert]

Dread Pirate Roberts сказал(а):
ибо хрен его знает, как работает шифрование в этом вашем onion v3

Dread Pirate Roberts сказал(а):
, а с SSL можно двумя кликами в браузере проверить фингерпринт сертификата и иметь хоть какую-то надежду, что майора посередине не было.

Да вроде нет сомнений, много кто независимые аудиты onion - системы делал, благо что исходники открыты.


Интересная точка зрения. В ТОРе фингерпринтом является сам адрес, его невозможно подменить не сгенерировав заново закрытый ключ. Но... Надо подумать над этим моментом.

 

[Dread Pirate Roberts]

есть (точнее, уже "был") ещё классный плагин для фаерфокса, проверяющий и автоматом уведомляющий о подмене сертификатов: http://patrol.psyced.org/
но, увы, фаерфокс уже не торт, и плагин не работает в новых версиях.