Matrix/Element Chat Server

Projects
,
#1

Wir haben jetzt einen chat server für das Matrix protokoll. Coll ist daran dass es dezentralisiert ist und aber im gegensatz zu XMPP und co saubere end-to-end verschlüsselung mit einem brauchbaren signatur modell für mehrere geräte pro user unsterstützt.

Für desktop/mobile gibt es hier den Element client. Die dazugehörige web-app haben wir auch auf https://riot.it-syndik.at/ laufen wem das lieber ist.

Die Home Server URL für clients ist https://matrix.it-syndik.at, die user IDs haben dann aber die schön kurtze it-syndik.at domain, so wie zb. @fritz-gruber:it-syndik.at.

Registrierung is für alle mit *@it-syndikat.org email addresse offen. Registrieren kann man sich direkt über den web-client (register tab) oder direkt in den desktop/mobile apps.

Wer ne *@it-syndikat.org mail addresse oder einfach nur nen matrix account braucht will bitte bei @dxld melden.

TODO:

  • IRC bridge für #itsyndikat?, Done.
  • TURN server für VoIP calls
  • Aktuell hat er nur so 512M RAM und sqlite db, mal schauen wie viele user das aushaltet. Hat jetzt 1.5G wenn man #matrix:matrix.org joined sauft der synapse sofort wie sau.
  • Media repo aufräumen wenn der platz ausgeht, siehe Synapse Media Admin API: Delete local media by date or size
  • Von SQLite auf Postgres DB migrieren. Da gibts ein script synapse_port_db
  • DB backup machen/automatisieren
  • doku, doku, doku
  • Libera.chat bridge Done.

Doku

Deployment, updates unso

  • Synapse läuft auf matrix.parabox.it-syndikat.org. Auto-update läuft via unattended-upgrades mit auto-reboot und dem Debian packet aus buster-backports.
  • Aktuell laufende Synapse version checken: curl https://matrix.it-syndik.at/_synapse/admin/v1/server_version
  • Riot/Element-web liegt aufm yxorp in /var/www/riot/. Das muss noch manuell geupgraded werden via update.sh (link zu post unten) in dem ordner. Das lädt den tarball von Github runter, verifiziert die gpg signatur, packts aus und biegt den /var/www/riot/riot-live symlink um wenn alles gut is.

Matrix HTTP dschungel

  • Der synapse server hocht auf synapse.it-syndik.at:8448 (aka matrix.parabox.it-syndik.at) und zwar auf seiner nativen IPv6 addr und mit port forwarding auch auf unserer public IPv4 addr. TLS cert kommt hier direkt vom matrix server mit eigener certbot instanz.
  • Der yxorp horcht dann als reverse proxy auf matrix.it-syndik.at:443 mit IPv4 und v6 und schickt das zu synapse.it-syndik.at rein über v6 weiter das TLS cert kommt hier dann aber von seiten yxorp.
  • Unter https://it-syndik.at/.well-known/matrix/client werden clients dazu angehalten doch bitte mit https://matrix.it-syndik.at:443 zu reden wenn sie it-syndikat.at haben wollen.
  • Unter https://it-syndik.at/.well-known/matrix/server werden andere matrix server (federation) ganz nett gefragt doch bitte direkt mit synapse.it-syndik.at:8448 zu reden. Das dass ein anderes TLS cert is als unter matrix.it-syndik.at is wurscht weil die server nicht mit dem client endpoint reden.
4 Likes
#2

So riot/element-web gibts jetzt auch: https://riot.it-syndik.at/

#3

Cool! Und wo trifft man sich? :slight_smile:

#4

Ich hab jetzt mal den #lobby:it-syndik.at public room gemacht mit der intention den dann zum #itsyndikat IRC channel zu bridgen. Da muss aber noch ein OP ein OPt-in machen :slight_smile:

#5

Ist der Matrix Server denn föderiert?
Ich versuch dem Raum zu joinen…

Das Element sagt:
"

#lobbyt:it-syndik.at existert nicht.

Dieser Raum existiert nicht. Bist du sicher dass du hier richtig bist?
"

#6

Typo: “lobby” ohne *t, also: #lobby:it-syndik.at

Aber du solltest es auch bei Explore rooms finden wenn den it-syndik.at server rein tust.

#7

Hab grad bemerkt dass das upgrade von 1.21.2-1~bpo10+1 auf 1.23.0-1~bpo10+1 nicht automatisch passiert is. Turns out: man muss da im Unattended-Upgrade::Origins-Pattern den “Debian Backports” origin auskommentieren, sonst ignoriert unattended-upgrades zeug aus backports einfach.

diff --git a/apt/apt.conf.d/50unattended-upgrades b/apt/apt.conf.d/50unattended-upgrades
index 6abe00b..0c81626 100644
--- a/apt/apt.conf.d/50unattended-upgrades
+++ b/apt/apt.conf.d/50unattended-upgrades
@@ -38,7 +38,7 @@ Unattended-Upgrade::Origins-Pattern {
 //      "o=Debian,a=stable";
 //      "o=Debian,a=stable-updates";
 //      "o=Debian,a=proposed-updates";
-//      "o=Debian Backports,a=${distro_codename}-backports,l=Debian Backports";
+        "o=Debian Backports,a=${distro_codename}-backports,l=Debian Backports";
 };
 
 // Python regular expressions, matching packages to exclude from upgrading
#8

Synapse 1.24.0 is heute im debian-backports gelandet. Mal schauen ob das update diesmal wirklich passiert.

Siehe: https://tracker.debian.org/news/1200918/accepted-matrix-synapse-1240-1bpo101-source-into-buster-backports/

So kann man checken welche version grade läuft:

curl https://matrix.it-syndik.at/_synapse/admin/v1/server_version
#9

Hab element-web gerade auch noch von 1.7.13 auf 1.7.15 geupgraded. In dem release hat sich der tarball name zu element-$v.tar.gz geändert und ich hab das update.sh angepasst.

Die 1.7.14 version haben wir gar übersprungen. Muss noch irgendwas aufsetzen das motzt wenn die version out of date is, oder einfach auch auto-update machen.

Element Web/Riot update script

/var/www/riot/update.sh:

#!/bin/sh

set -eu

IFS=

ver=$1; shift || { echo "Usage $0 NEW_VERSION"; exit 1; }

cd "$(dirname "$0")"

verlte() {
    [  "$1" = "$(printf '%s\n%s\n' "$1" "$2" | sort -V | head -n1)" ]
}

if verlte 1.7.15 $ver; then
	dir=element-v$ver
	tarball=$dir.tar.gz
else
	dir=riot-v$ver
	tarball=$dir.tar.gz
fi

wget -c https://github.com/vector-im/element-web/releases/download/v$ver/$tarball.asc
wget -c https://github.com/vector-im/element-web/releases/download/v$ver/$tarball

if ! gpgv --keyring ${PWD}/trustedkeys.kbx $tarball.asc $tarball; then
	echo
	echo Verifying tarball signature failed! Refusing to unpack.
	echo
	exit 1
fi

tar --one-top-level -xaf $tarball

ln -snf $dir riot-live.tmp
mv -T riot-live.tmp riot-live

echo
echo All good, update is live.
#10

Das update ist jetzt immer noch nicht automatisch passiert. Diesmal hat die APT::Periodic:: config im apt.conf gefehlt. Das kann man entweder mit dpkg-reconfigure unattended-upgrades oder direkt über

/etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

einschalte. dpkg-reconfigure schreibt auch einfach in das file.

Zusätzlich ist mir dann noch eingefallen dass ja der synapse service nicht unbedingt restarted wird bei dem upgrade. Dabei kann warscheinlich needrestart helfen. Da bin ich drauf gestoßen dass das ding ne config option hat für “restart zeug einfach”:
/etc/needrestart/needrestart.conf:

# Restart mode: (l)ist only, (i)nteractive or (a)utomatically.
#   
# ATTENTION: If needrestart is configured to run in interactive mode but is run
# non-interactive (i.e. unattended-upgrades) it will fallback to list only mode$
#
$nrconf{restart} = 'a';

Ich bin noch nicht sicher ob das den synapse dann wirklich neu startet wenn die maschiene nicht sowieso wegen nem kernel update rebootet. Sehen wir beim nächsten update :slight_smile:

Jetzt haben wir auf jeden fall mal synapse 1.24.0.

#11

3 posts were split to a new topic: Matrix/Synapse Server: Upgrade Log

#12

Ich hab heute endlich mal den TURN server fürs VoIP konfiguriert. Der hat jetzt eine eigene public IP und läuft unter turn.it-syndikat.org.

Leider funktioniert das ganze noch nicht so wie es soll. Authentifizierung der TURN requests scheint zu funktionieren aber verbindungen zwischen zwei clients hinter normalem NAT wollen einfach nicht funktionieren. Das ganze ist leider ziemlich schwierig zu debuggen, weils keine gute test software gibt die ich finden kann. Hrmpf.

#13

Kleines update von der reverse proxy front: Turns out nginx macht bei proxy_pass keine TLS validation per default. Hab das mal eingeschaltet. Das ist jetzt nicht unbedingt kritisch weils ja eh nur durchs hypervisor netzwerk geht aber sein muss das trozdem nicht.

commit 350095a548f7c2f510ccb9fbf279a2c736cf8374 (HEAD -> master)
Author: root <root@yxorp.parabox.it-syndikat.org>
Date:   Mon Apr 5 17:01:01 2021 +0200

    Enable ssl verification for synapse client API

diff --git a/nginx/sites-available/it-syndik.at b/nginx/sites-available/it-syndik.at
index 2603972..f1ee1c3 100644
--- a/nginx/sites-available/it-syndik.at
+++ b/nginx/sites-available/it-syndik.at
@@ -69,7 +69,12 @@ server {
 
     location / {
         proxy_pass         https://[2a01:4f8:a0:6171:0:ff:fe00:1b]:8448;
+        proxy_ssl_name     synapse.it-syndik.at;
+        proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
+        proxy_ssl_verify_depth 3;
+        proxy_ssl_verify   on; # This isn't the default!!! --DXLD
         proxy_set_header   X-Forwarded-For  $remote_addr;
+        proxy_set_header   X-Forwarded-Proto $scheme;
         proxy_max_temp_file_size 0;
     }