Vytvořte chatovací server pomocí Matrix Synapse a Riot na CentOS 7

Předpoklady

Nainstalujte vývojové nástroje

Nainstalujte Synapse

Instalace a konfigurace PostgreSQL

Konfigurace Synapse

Nastavení Let's Encrypt Certificates

Nastavte Nginx pomocí Let's Encrypt

Nastavení služby Systemd

Pomocí Riotu

Nastavte Riot na svém vlastním serveru.

Matrix je otevřený standardní komunikační protokol pro decentralizovanou komunikaci v reálném čase. Matrix je implementován jako domácí servery, které jsou distribuovány přes internet; proto neexistuje jediný bod kontroly nebo selhání. Matrix poskytuje RESTful HTTP API pro vytváření a správu distribuovaných chatovacích serverů, které zahrnují odesílání a přijímání zpráv, zvaní a správu členů chatovací místnosti, správu uživatelských účtů a poskytování pokročilých chatovacích funkcí, jako jsou VoIP a videohovory atd. Matrix také zavádí zabezpečená synchronizace mezi domácími servery, které jsou distribuovány po celém světě.

Synapse je implementace domovského serveru Matrix napsaná týmem Matrix. Ekosystém Matrix se skládá ze sítě mnoha federovaných domácích serverů distribuovaných po celém světě. Uživatel Matrix používá chatového klienta pro připojení k domovskému serveru, který se zase připojuje k síti Matrix. Homeserver ukládá historii chatu a přihlašovací údaje konkrétního uživatele.

Předpoklady

• Instance serveru Vultr CentOS 7.
• Uživatel sudo .

V tomto tutoriálu budeme používat matrix.example.comjako název domény používaný pro Matrix Synapse. Nahraďte všechny výskyty matrix.example.comvaším skutečným názvem domény, který chcete použít pro svůj domovský server Synapse.

Aktualizujte svůj základní systém pomocí průvodce Jak aktualizovat CentOS 7 . Jakmile je váš systém aktualizován, pokračujte v instalaci Pythonu.

Nainstalujte vývojové nástroje

Matrix Synapse potřebuje ke svému fungování Python 2.7. Python 2.7 je předinstalovaný ve všech instancích serveru CentOS. Můžete zkontrolovat nainstalovanou verzi Pythonu.

python -V

Měli byste dostat podobný výstup.

[user@vultr ~]$ python -V
Python 2.7.5

Změna výchozí verze Pythonu může poškodit správce úložiště YUM. Pokud však chcete nejnovější verzi Pythonu, můžete provést alternativní instalaci, aniž byste nahradili výchozí Python.

Nainstalujte balíčky ve Development toolsskupině, které jsou nutné pro kompilaci instalačních souborů.

sudo yum groupinstall -y "Development tools"

Nainstalujte několik dalších požadovaných závislostí.

sudo yum -y install libtiff-devel libjpeg-devel libzip-devel freetype-devel lcms2-devel libwebp-devel tcl-devel tk-devel redhat-rpm-config python-virtualenv libffi-devel openssl-devel 

Nainstalujte Python pip. Pip je správce závislostí pro balíčky Pythonu.

wget https://bootstrap.pypa.io/get-pip.py
sudo python get-pip.py

Nainstalujte Synapse

Vytvořte virtuální prostředí pro vaši aplikaci Synapse. Virtuální prostředí Python se používá k vytvoření izolovaného virtuálního prostředí pro projekt Python. Virtuální prostředí obsahuje vlastní instalační adresáře a nesdílí knihovny s globálními a jinými virtuálními prostředími.

sudo virtualenv -p python2.7 /opt/synapse

Poskytněte vlastnictví adresáře aktuálnímu uživateli.

sudo chown -R $USER:$USER /opt/synapse/

Nyní aktivujte virtuální prostředí.

source /opt/synapse/bin/activate

Ujistěte se, že máte nejnovější verzi pipa setuptools.

pip install --upgrade pip 
pip install --upgrade setuptools

Nainstalujte nejnovější verzi Synapse pomocí pip.

pip install https://github.com/matrix-org/synapse/tarball/master

Spuštění výše uvedeného příkazu bude nějakou dobu trvat, protože stahuje a instaluje nejnovější verzi Synapse a všechny závislosti z úložiště Github.

Instalace a konfigurace PostgreSQL

Synapse používá SQLite jako výchozí databázi. SQLite ukládá data do databáze, která je uchovávána jako plochý soubor na disku. Použití SQLite je velmi jednoduché, ale nedoporučuje se pro produkci, protože je velmi pomalé ve srovnání s PostgreSQL.

PostgreSQL je objektově relační databázový systém. Do svého systému budete muset přidat úložiště PostgreSQL, protože aplikace není dostupná ve výchozím úložišti YUM.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Nainstalujte databázový server PostgreSQL.

sudo yum -y install postgresql96-server postgresql96-contrib

Inicializujte databázi.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

Upravte /var/lib/pgsql/9.6/data/pg_hba.confpro povolení ověřování založeného na MD5.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Najděte následující řádky a změňte peerna trusta idnetna md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Po aktualizaci by konfigurace měla vypadat takto.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Spusťte PostgreSQL server a povolte jeho automatické spouštění při startu.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Změňte heslo pro výchozího uživatele PostgreSQL.

sudo passwd postgres

Přihlásit se.

sudo su - postgres

Vytvořte nového uživatele PostgreSQL pro Synapse.

createuser synapse

PostgreSQL poskytuje psqlprostředí pro spouštění dotazů na databázi. Spuštěním se přepněte do prostředí PostgreSQL.

psql

Nastavte heslo pro nově vytvořeného uživatele pro databázi Synapse.

ALTER USER synapse WITH ENCRYPTED password 'DBPassword';

Nahraďte DBPasswordsilným heslem a poznamenejte si ho, protože heslo použijeme později. Vytvořte novou databázi pro PostgreSQL databázi.

CREATE DATABASE synapse ENCODING 'UTF8' LC_COLLATE='C' LC_CTYPE='C' template=template0 OWNER synapse;

Vyjděte ze psqlskořápky.

\q

Přepnout na sudouživatele z aktuálního postgresuživatele.

exit

Budete také muset nainstalovat balíčky potřebné pro komunikaci Synapse s databázovým serverem PostgreSQL.

sudo yum -y install postgresql-devel libpqxx-devel.x86_64
source /opt/synapse/bin/activate
pip install psycopg2

Konfigurace Synapse

Synapse vyžaduje před spuštěním konfigurační soubor. V konfiguračním souboru jsou uložena nastavení serveru. Přepněte se do virtuálního prostředí a vygenerujte konfiguraci pro Synapse.

source /opt/synapse/bin/activate
cd /opt/synapse
python -m synapse.app.homeserver --server-name matrix.example.com --config-path homeserver.yaml --generate-config --report-stats=yes

Nahraďte matrix.example.comskutečným názvem domény a ujistěte se, že název serveru lze přeložit na IP adresu vaší instance Vultr. Poskytněte, --report-stats=yespokud chcete, aby servery generovaly sestavy, --report-stats=nozakažte generování sestav a statistik.

Měli byste vidět podobný výstup.

(synapse)[user@vultr synapse]$ python -m synapse.app.homeserver --server-name matrix.example.com --config-path homeserver.yaml --generate-config --report-stats=yes
A config file has been generated in 'homeserver.yaml' for server name 'matrix.example.com' with corresponding SSL keys and self-signed certificates. Please review this file and customise it to your needs.
If this server name is incorrect, you will need to regenerate the SSL certificates

Ve výchozím nastavení homeserver.yamlje nakonfigurován pro použití databáze SQLite. Musíme ji upravit, aby používala databázi PostgreSQL, kterou jsme vytvořili dříve.

Upravte nově vytvořený soubor homeserver.yaml.

nano homeserver.yaml

Najděte existující konfiguraci databáze, která používá SQLite3. Zakomentujte řádky, jak je uvedeno níže. Přidejte také novou konfiguraci databáze pro PostgreSQL. Ujistěte se, že používáte správná databázová pověření.

# Database configuration
#database:
  # The database engine name
  #name: "sqlite3"
  # Arguments to pass to the engine
  #args:
    # Path to the database
    #database: "/opt/synapse/homeserver.db"


database:
    name: psycopg2
    args:
        user: synapse
        password: DBPassword
        database: synapse
        host: localhost
        cp_min: 5
        cp_max: 10

Registration of a new user from a web interface is disabled by default. To enable registration, you can set enable_registration to True. You can also set a secret registration key, which allows anyone to register who has the secret key, even if registration is disabled.

enable_registration: False

registration_shared_secret: "YPPqCPYqCQ-Rj,ws~FfeLS@maRV9vz5MnnV^r8~pP.Q6yNBDG;"

Save the file and exit from the editor. Now you will need to register your first user. Before you can register a new user, though, you will need to start the application first.

source /opt/synapse/bin/activate && cd /opt/synapse
synctl start

You should see the following lines.

2017-09-05 11:10:41,921 - twisted - 131 - INFO - - SynapseSite starting on 8008
2017-09-05 11:10:41,921 - twisted - 131 - INFO - - Starting factory <synapse.http.site.SynapseSite instance at 0x44bbc68>
2017-09-05 11:10:41,921 - synapse.app.homeserver - 201 - INFO - - Synapse now listening on port 8008
2017-09-05 11:10:41,922 - synapse.app.homeserver - 442 - INFO - - Scheduling stats reporting for 3 hour intervals
started synapse.app.homeserver('homeserver.yaml')

Register a new Matrix user.

register_new_matrix_user -c homeserver.yaml https://localhost:8448

You should see the following.

(synapse)[user@vultr synapse]$ register_new_matrix_user -c homeserver.yaml https://localhost:8448
New user localpart [user]: admin
Password:
Confirm password:
Make admin [no]: yes
Sending registration request...
Success.

Finally, before you can use the Homeserver, you will need to allow port 8448 through the Firewall. Port 8448 is used as the secured federation port. Homeservers use this port to communicate with each other securely. You can also use the built-in Matrix web chat client through this port.

sudo firewall-cmd --permanent --zone=public --add-port=8448/tcp
sudo firewall-cmd --reload

You can now log in to the Matrix web chat client by going to https://matrix.example.com:8448 through your favorite browser. You will see a warning about the SSL certificate as the certificates used are self-signed. We will not use this web chat client as it is outdated and not maintained anymore. Just try to check if you can log in using the user account you just created.

Setting up Let's Encrypt Certificates

Instead of using a self-signed certificate for securing federation port, we can use Let's Encrypt free SSL. Let's Encrypt free SSL can be obtained through the official Let's Encrypt client called Certbot.

Install Certbot.

sudo yum -y install certbot

Adjust your firewall setting to allow the standard HTTP and HTTPS ports through the firewall. Certbot needs to make an HTTP connection to verify the domain authority.

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

To obtain certificates from Let's Encrypt CA, you must ensure that the domain for which you wish to generate the certificates is pointed towards the server. If it is not, then make the necessary changes to the DNS records of your domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Now use the built-in web server in Certbot to generate the certificates for your domain.

sudo certbot certonly --standalone -d matrix.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/matrix.example.com/. The SSL certificate will be stored as fullchain.pem and the private key will be stored as privkey.pem.

Copy the certificates.

sudo cp /etc/letsencrypt/live/matrix.example.com/fullchain.pem /opt/synapse/letsencrypt-fullchain.pem

sudo cp /etc/letsencrypt/live/matrix.example.com/privkey.pem /opt/synapse/letsencrypt-privkey.pem

You will need to change the path to the certificates and keys from the homeserver.yaml file. Edit the configuration.

nano /opt/synapse/homeserver.yaml

Find the following lines and modify the path.

tls_certificate_path: "/opt/synapse/letsencrypt-fullchain.pem"

# PEM encoded private key for TLS
tls_private_key_path: "/opt/synapse/letsencrypt-privkey.pem"

Save the file and exit from the editor. Restart the Synapse server so that the changes can take effect.

source /opt/synapse/bin/activate && cd /opt/synapse
synctl restart

Let's Encrypt certificates are due to expire in 90 days, so it is recommended that you setup auto renewal for the certificates using cron jobs. Cron is a system service which is used to run periodic tasks.

Create a new script to renew certificates and copy the renewed certificates to the Synapse directory.

sudo nano /opt/renew-letsencypt.sh  

Populate the file.

#!/bin/sh

/usr/bin/certbot renew --quiet --nginx
cp /etc/letsencrypt/live/matrix.example.com/fullchain.pem /opt/synapse/letsencrypt-fullchain.pem
cp /etc/letsencrypt/live/matrix.example.com/privkey.pem /opt/synapse/letsencrypt-privkey.pem

Provide the execution permission.

sudo chmod +x /opt/renew-letsencypt.sh

Open the cron job file.

sudo crontab -e

Add the following line at the end of the file.

30 5 * * 1 /opt/renew-letsencypt.sh

The above cron job will run every Monday at 5:30 AM. If the certificate is due to expire, it will automatically renew them.

Now you can visit https://matrix.example.com:8448. You will see that there is no SSL warning before connection.

Setup Nginx With Let's Encrypt

Apart from the secured federation port 8448, Synapse also listens to the unsecured client port 8008. We will now configure Nginx as a reverse proxy to the Synapse application.

sudo yum -y install nginx

Create a new configuration file.

sudo nano /etc/nginx/conf.d/synapse.conf

Populate the file with the following content.

server {
    listen 80;
    server_name matrix.example.com;
    return 301 https://$host$request_uri;
}
server {

    listen 443;
    server_name matrix.example.com;

    ssl_certificate           /etc/letsencrypt/live/matrix.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/matrix.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log    /var/log/nginx/synapse.access.log;

    location /_matrix {

      proxy_pass          http://localhost:8008;
      proxy_set_header X-Forwarded-For $remote_addr;

    }
  }

Restart and enable Nginx to automatically start at boot time.

sudo systemctl restart nginx
sudo systemctl enable nginx

Nakonec můžete ověřit, zda lze k Synapse přistupovat přes reverzní proxy.

curl https://matrix.example.com/_matrix/key/v2/server/auto

Měli byste dostat podobný výstup.

[user@vultr ~]$ curl https://matrix.example.com/_matrix/key/v2/server/auto
{"old_verify_keys":{},"server_name":"matrix.example.com","signatures":{"matrix.example.com":{"ed25519:a_ffMf":"T/Uq/UN5vyc4w7v0azALjPIJeZx1vQ+HC6ohUGkTSqiFI4WI/ojGpb2763arwSSQLr/tP/2diCi1KLU2DEnOCQ"}},"tls_fingerprints":[{"sha256":"eorhQj/kubI2PEQZyBZvGV7K1x3EcQ7j/AO2MtZMplw"}],"valid_until_ts":1504876080512,"verify_keys":{"ed25519:a_ffMf":{"key":"Gc1hxkpPmQv71Cvjyk+uzR5UtrpmgV/UwlsLtosawEs"}}}

Nastavení služby Systemd

Ke správě procesu serveru Synapse se doporučuje používat službu Systemd. Použití Systemd zajistí, že se server automaticky spustí při startu systému a selhání.

Vytvořte nový soubor služby Systemd.

sudo nano /etc/systemd/system/matrix-synapse.service

Vyplňte soubor.

[Unit]
Description=Matrix Synapse service
After=network.target

[Service]
Type=forking
WorkingDirectory=/opt/synapse/
ExecStart=/opt/synapse/bin/synctl start
ExecStop=/opt/synapse/bin/synctl stop
ExecReload=/opt/synapse/bin/synctl restart
Restart=always
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=synapse

[Install]
WantedBy=multi-user.target

Nyní můžete rychle spustit server Synapse.

sudo systemctl start matrix-synapse

Chcete-li zastavit nebo restartovat server pomocí následujících příkazů.

sudo systemctl stop matrix-synapse
sudo systemctl restart matrix-synapse

Můžete zkontrolovat stav služby.

sudo systemctl status matrix-synapse

Pomocí Riotu

Server Matrix Synapse je nyní nainstalován a nakonfigurován na vašem serveru. Protože vestavěný webový klient pro Matrix je zastaralý, můžete si vybrat z různých klientských aplikací dostupných pro chat. Riot je nejoblíbenější chatovací klient, který je dostupný téměř na všech platformách. Můžete použít hostovanou verzi webového chatovacího klienta Riot nebo můžete také hostit jeho kopii na svém vlastním serveru. Kromě toho můžete také používat desktopové a mobilní chatovací klienty Riotu, které jsou dostupné pro Windows, Mac, Linux, IOS a Android.

Pokud si přejete hostovat vlastní kopii webového klienta Riot, můžete si přečíst dále pokyny k instalaci Riotu na váš server. U hostovaného, ​​desktopového a mobilního klienta můžete použít své uživatelské jméno a heslo pro přihlášení přímo na váš domácí server. Stačí si vybrat my Matrix IDz rozbalovací nabídky Sign Inmožnosti a zadat uživatelské jméno a heslo, které jste vytvořili při registraci nového uživatele. Klikněte na Custom servera použijte název domény vaší instance Synapse. Protože jsme již nakonfigurovali Nginx, můžeme jej použít pouze https://matrix.example.comjako domovský server a https://matrix.orgjako adresu URL serveru identity.

Příklad přihlášení k Riot

Nastavte Riot na svém vlastním serveru.

Riot je také open source a zdarma k hostování na vašem vlastním serveru. Nevyžaduje žádnou databázi ani závislosti. Protože již máme spuštěný server Nginx, můžeme jej hostovat na stejném serveru.

The domain or subdomain you are using for Synapse and Riot must be different to avoid cross-site scripting. However, you can use two subdomains of the same domain. In this tutorial, we will be using riot.example.com as the domain for the Riot application. Replace all occurrence of riot.example.com with your actual domain or subdomain for the Riot application.

Stáhněte si Riot na svůj server.

cd /opt/
sudo wget https://github.com/vector-im/riot-web/releases/download/v0.12.3/riot-v0.12.3.tar.gz

Odkaz na nejnovější verzi vždy najdete na Riot's Github .

Rozbalte archiv.

sudo tar -xzf riot-v*.tar.gz

Přejmenujte adresář pro usnadnění manipulace.

sudo mv riot-v*/ riot/

Protože jsme již nainstalovali Certbot, můžeme certifikáty vygenerovat přímo. Ujistěte se, že doména nebo subdoména, kterou používáte, směřuje k serveru.

sudo systemctl stop nginx
sudo certbot certonly --standalone -d riot.example.com

Vygenerované certifikáty budou pravděpodobně uloženy v /etc/letsencrypt/live/riot.example.com/adresáři.

Vytvořte virtuálního hostitele pro aplikaci Riot.

sudo nano /etc/nginx/conf.d/riot.conf

Vyplňte soubor.

server {
    listen 80;
    server_name riot.example.com;
    return 301 https://$host$request_uri;
}
server {

    listen 443;
    server_name riot.example.com;

    ssl_certificate           /etc/letsencrypt/live/riot.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/riot.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    root /opt/riot;
    index index.html index.htm;

    location / {
            try_files $uri $uri/ =404;
    }

    access_log    /var/log/nginx/riot.access.log;

  }

Zkopírujte ukázkový konfigurační soubor.

sudo cp /opt/riot/config.sample.json /opt/riot/config.json

Nyní upravte konfigurační soubor a proveďte několik změn.

sudo nano /opt/riot/config.json

Najděte následující řádky.

"default_hs_url": "https://matrix.org",
"default_is_url": "https://vector.im",

Nahraďte hodnotu výchozí adresy URL domovského serveru adresou URL vašeho serveru Matrix. Pro adresu URL serveru identity můžete použít výchozí volbu nebo můžete také poskytnout její hodnotu serveru identity Matrix, což je https://matrix.org.

"default_hs_url": "https://matrix.example.com",
"default_is_url": "https://matrix.org",

Uložte soubor a ukončete. Poskytněte vlastnictví souborů uživateli Nginx.

sudo chown -R nginx:nginx /opt/riot/

Restartujte Nginx.

sudo systemctl restart nginx

K Riotu máte přístup na https://riot.example.com. Nyní se můžete přihlásit pomocí uživatelského jména a hesla, které jste si vytvořili dříve. Můžete se připojit pomocí výchozího serveru, protože jsme již změnili výchozí Matrix server pro naši aplikaci.

Nyní máte spuštěný a spuštěný domovský server Matrix Synapse. Máte také hostovanou kopii Riotu, kterou můžete použít k odeslání zprávy jiným lidem pomocí jejich Matrix ID, e-mailu nebo mobilního čísla. Začněte vytvořením chatovací místnosti na vašem serveru a pozvěte své přátele na Matrixu, aby se připojili k chatovací místnosti, kterou jste vytvořili.