Свой xmpp сервер

[CashoutGuy]

Сразу скажу, в этом деле я еще новичек, поэтому не бейте палками плиз.
Есть желание и потребность сделать свой жабосервер и регать на нем аккаунты жабки сколько мне потребуется (желательно так, чтобы другие не смогли зарегать без моего разрешения), а и в идеале это должен быть .onion домен. Я чет гуглил, гуглил а так никаких сервисов, которые бы все за меня сделали так и не нашел, поэтому придется самому...
В общем, если знаете, подскажите плиз как:
1 Найти и купить онион домен (я смотрел в сторону импрезы, но там можно выбрать только первые 5 символов), с впской (как я понял именно на впс нужно будет ставить все)
2 где скачать нужные софтины и как поставить их на впс и настроить, чтоб даже такой тепой как я разобрался
Это вообще выполнимо?
Или может есть сервисы, где можно купить уже готовую впс с нужным мне доменом и установленым xmpp, чтоб типа с коробки, запустил, выбрал настройки и поехал...

 

[admin]

Установите prosody, ejabberd или openfire.
Примеры:
prosody - https://digitalocean.com/community/tutorials/how-to-install-prosody-on-ubuntu-18-04. Или же под tor https://cryptopunks.org/article/jabber_over_tor_on_raspberrypi/
ejabberd - https://docs.ejabberd.im/admin/installation/ или https://digitalocean.com/community/tutorials/how-to-install-ejabberd-xmpp-server-on-ubuntu
Главное, в конфигах внимательно выключите регистрацию новых жаб, иначе получите в сутки по 500-1к ботов, а сервер быстро превратится в спам honeypot =)
Можно прописать и .onion. Но сервер сможет общаться s2s коннектами тоже только с onion адресами (без доп.настроек).
Ssl серты под onion выдает пока только один CA.

1 Найти и купить онион домен (я смотрел в сторону импрезы, но там можно выбрать только первые 5 символов), с впской (как я понял именно на впс нужно будет ставить все)

А зачем? Вы хотите получить именно красивый адрес? Если нет, сгенерируйте сами.

 

[CashoutGuy]

Установите prosody, ejabberd или openfire.
Примеры:
prosody - https://digitalocean.com/community/tutorials/how-to-install-prosody-on-ubuntu-18-04. Или же под tor https://cryptopunks.org/article/jabber_over_tor_on_raspberrypi/
ejabberd - https://docs.ejabberd.im/admin/installation/ или https://digitalocean.com/community/tutorials/how-to-install-ejabberd-xmpp-server-on-ubuntu
Главное, в конфигах внимательно выключите регистрацию новых жаб, иначе получите в сутки по 500-1к ботов, а сервер быстро превратится в спам honeypot =)
Можно прописать и .onion. Но сервер сможет общаться s2s коннектами тоже только с onion адресами (без доп.настроек).
Ssl серты под onion выдает пока только один CA.

А зачем? Вы хотите получить именно красивый адрес? Если нет, сгенерируйте сами.

Спасибо, буду изучать. Да, хотелось бы именно красивый

 

[barklay]

Рекомендую prosody, он очень простой в конфиге

 

[gliderexpert]

Можно прописать и .onion. Но сервер сможет общаться s2s коннектами тоже только с onion адресами (без доп.настроек).
Ssl серты под onion выдает пока только один CA.

Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?

Tor Project | HTTPS for your Onion Service

Defend yourself against tracking and surveillance. Circumvent censorship. | HTTPS for your Onion Service

community.torproject.org

"When visiting a site over the Onion Services protocol, the Tor protocol prevents data in transit from being read or manipulated by man in the middle attacks"
+ сам по себе XMPP имеет возможность OTR/OMEMO.

 

[barklay]

Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?

Tor Project | HTTPS for your Onion Service

Defend yourself against tracking and surveillance. Circumvent censorship. | HTTPS for your Onion Service

community.torproject.org

в голову приходит 3 причины:
Меньше будет проблем с настройкой клиента
Шифрования много не бывает
для s2s нужен

 

[admin]

Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?

Tor Project | HTTPS for your Onion Service

Defend yourself against tracking and surveillance. Circumvent censorship. | HTTPS for your Onion Service

community.torproject.org

"When visiting a site over the Onion Services protocol, the Tor protocol prevents data in transit from being read or manipulated by man in the middle attacks"
+ сам по себе XMPP имеет возможность OTR/OMEMO.

Спорный вопрос =) Где-то на форуме выкладывали интересную графику, сейчас попробую поискать. Там был технический анализ https в onion.
Лично я считаю, что в случае onion ssl серт излишний. Но многие просят и считают, что он должен быть =) Вот даже я на форуме поставил. Как по мне, единственный плюс от https, если служба tor и веб сервер находятся в разных местах.
И правильно подсказал barklay, серт может быть нужен при s2s, когда на других серверах прописаны в конфигах:

s2s_use_starttls: required

Подробнее можно глянуть тут (в случае ejabberd).
Но я не знаю, точнее уже просто не помню, как служба ведет себя с онион доменами (проверка https), нужно потестить.

 

[r1z]

Here's a script that combines the steps mentioned above as admin said into one bash script;

Replace your_onion_domain.onion with your actual .onion domain and /path/to/your_ssl_key and /path/to/your_ssl_certificate with the paths to your SSL key and certificate files respectively.

#!/bin/bash

# Update and install necessary packages
sudo apt update
sudo apt install -y tor prosody

# Configure TOR
cat <<EOT | sudo tee /etc/tor/torrc
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 5222 127.0.0.1:5222
HiddenServicePort 5269 127.0.0.1:5269
HiddenServicePort 80 127.0.0.1:80
EOT

# Restart TOR service
sudo systemctl restart

# Configure Prosody
cat <<EOT | sudo tee -a /etc/prosody/prosody.cfg.lua
VirtualHost "your_onion_domain.onion"
    enabled=true
    allow_registration = false
    ssl={
        key = "/path/to/your_ssl_key";
        certificate = "/path/to/your_ssl_certificate";
    }
EOT

# Restart Prosody service
sudo systemctl restart prosody

# Print .onion domain
echo "Your .onion domain:"
sudo cat /var/lib/tor/hidden_service/hostname

after running the script you can register users as below :

sudo prosodyctl register username your_onion_domain.onion password

If somebody would like to add/modify the code it would be helpfull for others.

 

[Dread Pirate Roberts]

Скажите - возможно, я что-то не понимаю - а для чего нужен SSL, если onion v3 сам по себе обеспечивает шифрование до конечной точки + сам онион адрес является по сути открытым ключом?

ибо хрен его знает, как работает шифрование в этом вашем onion v3, а с SSL можно двумя кликами в браузере проверить фингерпринт сертификата и иметь хоть какую-то надежду, что майора посередине не было.

 

[gliderexpert]

ибо хрен его знает, как работает шифрование в этом вашем onion v3

Да вроде нет сомнений, много кто независимые аудиты onion - системы делал, благо что исходники открыты.

, а с SSL можно двумя кликами в браузере проверить фингерпринт сертификата и иметь хоть какую-то надежду, что майора посередине не было.

Интересная точка зрения. В ТОРе фингерпринтом является сам адрес, его невозможно подменить не сгенерировав заново закрытый ключ. Но... Надо подумать над этим моментом.

 

[Dread Pirate Roberts]

есть (точнее, уже "был") ещё классный плагин для фаерфокса, проверяющий и автоматом уведомляющий о подмене сертификатов: http://patrol.psyced.org/
но, увы, фаерфокс уже не торт, и плагин не работает в новых версиях.