Skapa en chattserver med Matrix Synapse och Riot på CentOS 7

Förutsättningar

Installera utvecklingsverktyg

Installera Synapse

Installera och konfigurera PostgreSQL

Konfigurera Synapse

Konfigurera Let's Encrypt Certificates

Ställ in Nginx med Let's Encrypt

Konfigurera Systemd-tjänsten

Använder Riot

Installera Riot på din egen server.

Matrix är ett öppet standardkommunikationsprotokoll för decentraliserad realtidskommunikation. Matrix implementeras som hemmaservrar som distribueras över internet; därför finns det ingen enda punkt för kontroll eller misslyckande. Matrix tillhandahåller ett RESTful HTTP API för att skapa och hantera de distribuerade chattservrarna som inkluderar att skicka och ta emot meddelanden, bjuda in och hantera chattrumsmedlemmar, underhålla användarkonton och tillhandahålla avancerade chattfunktioner som VoIP och videosamtal, etc. Matrix upprättar också en säker synkronisering mellan hemservrar som är distribuerade över hela världen.

Synapse är implementeringen av Matrix-hemserver skriven av Matrix-teamet. Matrix-ekosystemet består av nätverket av många federerade hemservrar distribuerade över hela världen. En Matrix-användare använder en chattklient för att ansluta till hemservern, som i sin tur ansluter till Matrix-nätverket. Homeserver lagrar chatthistoriken och inloggningsinformationen för just den användaren.

Förutsättningar

• En Vultr CentOS 7-serverinstans.
• En sudo-användare .

I den här handledningen kommer vi att använda matrix.example.comsom domännamn som används för Matrix Synapse. Ersätt alla förekomster av matrix.example.commed ditt faktiska domännamn som du vill använda för din Synapse-hemserver.

Uppdatera ditt bassystem med hjälp av guiden Hur man uppdaterar CentOS 7 . När ditt system har uppdaterats, fortsätt att installera Python.

Installera utvecklingsverktyg

Matrix Synapse behöver Python 2.7 för att fungera. Python 2.7 kommer förinstallerat i alla CentOS-serverinstanser. Du kan kontrollera den installerade versionen av Python.

python -V

Du bör få en liknande utgång.

[user@vultr ~]$ python -V
Python 2.7.5

Om du ändrar standardversionen av Python kan YUM-förvarshanteraren bryta. Men om du vill ha den senaste versionen av Python kan du göra en alternativ installation utan att ersätta standard Python.

Installera paketen i Development toolsgruppen som krävs för att kompilera installationsfilerna.

sudo yum groupinstall -y "Development tools"

Installera några fler nödvändiga beroenden.

sudo yum -y install libtiff-devel libjpeg-devel libzip-devel freetype-devel lcms2-devel libwebp-devel tcl-devel tk-devel redhat-rpm-config python-virtualenv libffi-devel openssl-devel 

Installera Python pip. Pip är beroendehanteraren för Python-paket.

wget https://bootstrap.pypa.io/get-pip.py
sudo python get-pip.py

Installera Synapse

Skapa en virtuell miljö för din Synapse-applikation. Python virtuell miljö används för att skapa en isolerad virtuell miljö för ett Python-projekt. En virtuell miljö innehåller sina egna installationskataloger och delar inte bibliotek med globala och andra virtuella miljöer.

sudo virtualenv -p python2.7 /opt/synapse

Ge den aktuella användaren äganderätten till katalogen.

sudo chown -R $USER:$USER /opt/synapse/

Aktivera nu den virtuella miljön.

source /opt/synapse/bin/activate

Se till att du har den senaste versionen av pipoch setuptools.

pip install --upgrade pip 
pip install --upgrade setuptools

Installera den senaste versionen av Synapse med pip.

pip install https://github.com/matrix-org/synapse/tarball/master

Kommandot ovan kommer att ta lite tid att köra när det hämtar och installerar den senaste versionen av Synapse och alla beroenden från Github-förvaret.

Installera och konfigurera PostgreSQL

Synapse använder SQLite som standarddatabas. SQLite lagrar data i en databas som hålls som en platt fil på disk. Att använda SQLite är väldigt enkelt, men rekommenderas inte för produktion eftersom det är väldigt långsamt jämfört med PostgreSQL.

PostgreSQL är ett relationsdatabassystem för objekt. Du måste lägga till PostgreSQL-förvaret i ditt system, eftersom programmet inte är tillgängligt i standardförvaret YUM.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Installera PostgreSQL-databasservern.

sudo yum -y install postgresql96-server postgresql96-contrib

Initiera databasen.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

Redigera för /var/lib/pgsql/9.6/data/pg_hba.confatt aktivera MD5-baserad autentisering.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Hitta följande rader och ändra peertill trustoch idnettill md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

När den väl har uppdaterats bör konfigurationen se ut så här.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Starta PostgreSQL-servern och låt den starta automatiskt vid uppstart.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Ändra lösenordet för standardpostgreSQL-användaren.

sudo passwd postgres

Logga in.

sudo su - postgres

Skapa en ny PostgreSQL-användare för Synapse.

createuser synapse

PostgreSQL tillhandahåller psqlskalet för att köra frågor på databasen. Byt till PostgreSQL-skalet genom att köra.

psql

Ställ in ett lösenord för den nyskapade användaren för Synapse-databasen.

ALTER USER synapse WITH ENCRYPTED password 'DBPassword';

Ersätt DBPasswordmed ett starkt lösenord och anteckna det eftersom vi kommer att använda lösenordet senare. Skapa en ny databas för PostgreSQL-databasen.

CREATE DATABASE synapse ENCODING 'UTF8' LC_COLLATE='C' LC_CTYPE='C' template=template0 OWNER synapse;

Gå ut ur psqlskalet.

\q

Växla till sudoanvändaren från nuvarande postgresanvändare.

exit

Du måste också installera de paket som krävs för att Synapse ska kunna kommunicera med PostgreSQL-databasservern.

sudo yum -y install postgresql-devel libpqxx-devel.x86_64
source /opt/synapse/bin/activate
pip install psycopg2

Konfigurera Synapse

Synapse kräver en konfigurationsfil innan den kan startas. Konfigurationsfilen lagrar serverinställningarna. Byt till den virtuella miljön och generera konfigurationen för Synapse.

source /opt/synapse/bin/activate
cd /opt/synapse
python -m synapse.app.homeserver --server-name matrix.example.com --config-path homeserver.yaml --generate-config --report-stats=yes

Ersätt matrix.example.commed ditt faktiska domännamn och se till att servernamnet går att lösa till IP-adressen för din Vultr-instans. Ange --report-stats=yesom du vill att servrarna ska generera rapporterna, ange för --report-stats=noatt inaktivera genereringen av rapporter och statistik.

Du bör se en liknande utgång.

(synapse)[user@vultr synapse]$ python -m synapse.app.homeserver --server-name matrix.example.com --config-path homeserver.yaml --generate-config --report-stats=yes
A config file has been generated in 'homeserver.yaml' for server name 'matrix.example.com' with corresponding SSL keys and self-signed certificates. Please review this file and customise it to your needs.
If this server name is incorrect, you will need to regenerate the SSL certificates

Som standard är den homeserver.yamlkonfigurerad att använda en SQLite-databas. Vi måste modifiera den för att använda PostgreSQL-databasen som vi har skapat tidigare.

Redigera den nyskapade homeserver.yaml.

nano homeserver.yaml

Hitta den befintliga databaskonfigurationen som använder SQLite3. Kommentera raderna enligt nedan. Lägg också till den nya databaskonfigurationen för PostgreSQL. Se till att du använder rätt databasuppgifter.

# Database configuration
#database:
  # The database engine name
  #name: "sqlite3"
  # Arguments to pass to the engine
  #args:
    # Path to the database
    #database: "/opt/synapse/homeserver.db"


database:
    name: psycopg2
    args:
        user: synapse
        password: DBPassword
        database: synapse
        host: localhost
        cp_min: 5
        cp_max: 10

Registrering av en ny användare från ett webbgränssnitt är inaktiverat som standard. För att aktivera registrering kan du ställa in enable_registrationtill True. Du kan också ställa in en hemlig registreringsnyckel, som gör att alla kan registrera vem som har den hemliga nyckeln, även om registreringen är inaktiverad.

enable_registration: False

registration_shared_secret: "YPPqCPYqCQ-Rj,ws~FfeLS@maRV9vz5MnnV^r8~pP.Q6yNBDG;"

Spara filen och avsluta redigeraren. Nu måste du registrera din första användare. Innan du kan registrera en ny användare måste du dock starta applikationen först.

source /opt/synapse/bin/activate && cd /opt/synapse
synctl start

Du bör se följande rader.

2017-09-05 11:10:41,921 - twisted - 131 - INFO - - SynapseSite starting on 8008
2017-09-05 11:10:41,921 - twisted - 131 - INFO - - Starting factory <synapse.http.site.SynapseSite instance at 0x44bbc68>
2017-09-05 11:10:41,921 - synapse.app.homeserver - 201 - INFO - - Synapse now listening on port 8008
2017-09-05 11:10:41,922 - synapse.app.homeserver - 442 - INFO - - Scheduling stats reporting for 3 hour intervals
started synapse.app.homeserver('homeserver.yaml')

Registrera en ny Matrix-användare.

register_new_matrix_user -c homeserver.yaml https://localhost:8448

Du bör se följande.

(synapse)[user@vultr synapse]$ register_new_matrix_user -c homeserver.yaml https://localhost:8448
New user localpart [user]: admin
Password:
Confirm password:
Make admin [no]: yes
Sending registration request...
Success.

Slutligen, innan du kan använda hemmaservern, måste du tillåta port 8448 genom brandväggen. Port 8448används som säkrad federationsport. Hemservrar använder denna port för att kommunicera med varandra på ett säkert sätt. Du kan också använda den inbyggda Matrix webbchattklienten via denna port.

sudo firewall-cmd --permanent --zone=public --add-port=8448/tcp
sudo firewall-cmd --reload

You can now log in to the Matrix web chat client by going to https://matrix.example.com:8448 through your favorite browser. You will see a warning about the SSL certificate as the certificates used are self-signed. We will not use this web chat client as it is outdated and not maintained anymore. Just try to check if you can log in using the user account you just created.

Setting up Let's Encrypt Certificates

Instead of using a self-signed certificate for securing federation port, we can use Let's Encrypt free SSL. Let's Encrypt free SSL can be obtained through the official Let's Encrypt client called Certbot.

Install Certbot.

sudo yum -y install certbot

Adjust your firewall setting to allow the standard HTTP and HTTPS ports through the firewall. Certbot needs to make an HTTP connection to verify the domain authority.

sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload

To obtain certificates from Let's Encrypt CA, you must ensure that the domain for which you wish to generate the certificates is pointed towards the server. If it is not, then make the necessary changes to the DNS records of your domain and wait for the DNS to propagate before making the certificate request again. Certbot checks the domain authority before providing the certificates.

Now use the built-in web server in Certbot to generate the certificates for your domain.

sudo certbot certonly --standalone -d matrix.example.com

The generated certificates are likely to be stored in /etc/letsencrypt/live/matrix.example.com/. The SSL certificate will be stored as fullchain.pem and the private key will be stored as privkey.pem.

Copy the certificates.

sudo cp /etc/letsencrypt/live/matrix.example.com/fullchain.pem /opt/synapse/letsencrypt-fullchain.pem

sudo cp /etc/letsencrypt/live/matrix.example.com/privkey.pem /opt/synapse/letsencrypt-privkey.pem

You will need to change the path to the certificates and keys from the homeserver.yaml file. Edit the configuration.

nano /opt/synapse/homeserver.yaml

Find the following lines and modify the path.

tls_certificate_path: "/opt/synapse/letsencrypt-fullchain.pem"

# PEM encoded private key for TLS
tls_private_key_path: "/opt/synapse/letsencrypt-privkey.pem"

Save the file and exit from the editor. Restart the Synapse server so that the changes can take effect.

source /opt/synapse/bin/activate && cd /opt/synapse
synctl restart

Let's Encrypt certificates are due to expire in 90 days, so it is recommended that you setup auto renewal for the certificates using cron jobs. Cron is a system service which is used to run periodic tasks.

Skapa ett nytt skript för att förnya certifikat och kopiera de förnyade certifikaten till Synapse-katalogen.

sudo nano /opt/renew-letsencypt.sh  

Fyll i filen.

#!/bin/sh

/usr/bin/certbot renew --quiet --nginx
cp /etc/letsencrypt/live/matrix.example.com/fullchain.pem /opt/synapse/letsencrypt-fullchain.pem
cp /etc/letsencrypt/live/matrix.example.com/privkey.pem /opt/synapse/letsencrypt-privkey.pem

Ge exekveringstillståndet.

sudo chmod +x /opt/renew-letsencypt.sh

Öppna cron-jobbfilen.

sudo crontab -e

Lägg till följande rad i slutet av filen.

30 5 * * 1 /opt/renew-letsencypt.sh

Ovanstående cron-jobb kommer att köras varje måndag kl. 05.30. Om certifikatet ska upphöra att gälla förnyas det automatiskt.

Nu kan du besöka https://matrix.example.com:8448. Du kommer att se att det inte finns någon SSL-varning före anslutning.

Ställ in Nginx med Let's Encrypt

Förutom den säkrade federationsporten 8448lyssnar Synapse också på den osäkrade klientporten 8008. Vi kommer nu att konfigurera Nginx som en omvänd proxy till Synapse-applikationen.

sudo yum -y install nginx

Skapa en ny konfigurationsfil.

sudo nano /etc/nginx/conf.d/synapse.conf

Fyll filen med följande innehåll.

server {
    listen 80;
    server_name matrix.example.com;
    return 301 https://$host$request_uri;
}
server {

    listen 443;
    server_name matrix.example.com;

    ssl_certificate           /etc/letsencrypt/live/matrix.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/matrix.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log    /var/log/nginx/synapse.access.log;

    location /_matrix {

      proxy_pass          http://localhost:8008;
      proxy_set_header X-Forwarded-For $remote_addr;

    }
  }

Starta om och aktivera Nginx att starta automatiskt vid uppstart.

sudo systemctl restart nginx
sudo systemctl enable nginx

Slutligen kan du verifiera om Synapse kan nås via den omvända proxyn.

curl https://matrix.example.com/_matrix/key/v2/server/auto

Du bör få liknande resultat.

[user@vultr ~]$ curl https://matrix.example.com/_matrix/key/v2/server/auto
{"old_verify_keys":{},"server_name":"matrix.example.com","signatures":{"matrix.example.com":{"ed25519:a_ffMf":"T/Uq/UN5vyc4w7v0azALjPIJeZx1vQ+HC6ohUGkTSqiFI4WI/ojGpb2763arwSSQLr/tP/2diCi1KLU2DEnOCQ"}},"tls_fingerprints":[{"sha256":"eorhQj/kubI2PEQZyBZvGV7K1x3EcQ7j/AO2MtZMplw"}],"valid_until_ts":1504876080512,"verify_keys":{"ed25519:a_ffMf":{"key":"Gc1hxkpPmQv71Cvjyk+uzR5UtrpmgV/UwlsLtosawEs"}}}

Konfigurera Systemd-tjänsten

Det rekommenderas att använda Systemd-tjänsten för att hantera Synapse-serverprocessen. Att använda Systemd kommer att säkerställa att servern startas automatiskt vid systemstart och fel.

Skapa en ny Systemd-tjänstfil.

sudo nano /etc/systemd/system/matrix-synapse.service

Fyll i filen.

[Unit]
Description=Matrix Synapse service
After=network.target

[Service]
Type=forking
WorkingDirectory=/opt/synapse/
ExecStart=/opt/synapse/bin/synctl start
ExecStop=/opt/synapse/bin/synctl stop
ExecReload=/opt/synapse/bin/synctl restart
Restart=always
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=synapse

[Install]
WantedBy=multi-user.target

Nu kan du snabbt starta Synapse-servern.

sudo systemctl start matrix-synapse

För att stoppa eller starta om servern med följande kommandon.

sudo systemctl stop matrix-synapse
sudo systemctl restart matrix-synapse

Du kan kontrollera tjänstens status.

sudo systemctl status matrix-synapse

Använder Riot

Matrix Synapse-servern är nu installerad och konfigurerad på din server. Eftersom den inbyggda webbklienten för Matrix är föråldrad kan du välja bland de olika klientapplikationerna som är tillgängliga för chatt. Riot är den mest populära chattklienten, som är tillgänglig på nästan alla plattformar. Du kan använda den hostade versionen av Riots webbchattklient, eller så kan du även ha en kopia av den på din egen server. Utöver detta kan du även använda Riots stationära och mobila chattklienter, som är tillgängliga för Windows, Mac, Linux, IOS och Android.

Om du vill ha ditt eget exemplar av Riot webbklient kan du läsa vidare för instruktionerna för att installera Riot på din server. För värd, stationär och mobil klient kan du använda ditt användarnamn och lösenord för att logga in direkt på din hemmaserver. Välj bara my Matrix IDfrån rullgardinsmenyn för Sign Inalternativet och ange användarnamnet och lösenordet du skapade under registreringen av en ny användare. Klicka på Custom serveroch använd domännamnet för din Synapse-instans. Eftersom vi redan har konfigurerat Nginx kan vi bara använda https://matrix.example.comsom hemserver och https://matrix.orgsom URL för identitetsserver.

Riot Inloggningsexempel

Installera Riot på din egen server.

Riot är också öppen källkod och gratis att hosta på din egen server. Det kräver ingen databas eller beroenden. Eftersom vi redan har en Nginx-server igång kan vi vara värd för den på samma server.

The domain or subdomain you are using for Synapse and Riot must be different to avoid cross-site scripting. However, you can use two subdomains of the same domain. In this tutorial, we will be using riot.example.com as the domain for the Riot application. Replace all occurrence of riot.example.com with your actual domain or subdomain for the Riot application.

Ladda ner Riot på din server.

cd /opt/
sudo wget https://github.com/vector-im/riot-web/releases/download/v0.12.3/riot-v0.12.3.tar.gz

Du kan alltid hitta länken till den senaste versionen på Riots Github .

Extrahera arkivet.

sudo tar -xzf riot-v*.tar.gz

Byt namn på katalogen för att underlätta hanteringen.

sudo mv riot-v*/ riot/

Eftersom vi redan har installerat Certbot kan vi generera certifikaten direkt. Se till att domänen eller underdomänen du använder pekar mot servern.

sudo systemctl stop nginx
sudo certbot certonly --standalone -d riot.example.com

De genererade certifikaten kommer sannolikt att lagras i /etc/letsencrypt/live/riot.example.com/katalogen.

Skapa en virtuell värd för Riot-applikationen.

sudo nano /etc/nginx/conf.d/riot.conf

Fyll i filen.

server {
    listen 80;
    server_name riot.example.com;
    return 301 https://$host$request_uri;
}
server {

    listen 443;
    server_name riot.example.com;

    ssl_certificate           /etc/letsencrypt/live/riot.example.com/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/riot.example.com/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    root /opt/riot;
    index index.html index.htm;

    location / {
            try_files $uri $uri/ =404;
    }

    access_log    /var/log/nginx/riot.access.log;

  }

Kopiera exempel på konfigurationsfilen.

sudo cp /opt/riot/config.sample.json /opt/riot/config.json

Redigera nu konfigurationsfilen för att göra några ändringar.

sudo nano /opt/riot/config.json

Hitta följande rader.

"default_hs_url": "https://matrix.org",
"default_is_url": "https://vector.im",

Ersätt värdet på standardhemserverns URL med URL:en för din Matrix-server. För identitetsserverns URL kan du använda standardalternativet, eller så kan du också ange dess värde till Matrix-identitetsservern, som är https://matrix.org.

"default_hs_url": "https://matrix.example.com",
"default_is_url": "https://matrix.org",

Spara filen och avsluta. Ge äganderätten till filerna till Nginx-användaren.

sudo chown -R nginx:nginx /opt/riot/

Starta om Nginx.

sudo systemctl restart nginx

Du kan komma åt Riot på https://riot.example.com. Du kan nu logga in med det användarnamn och lösenord som du har skapat tidigare. Du kan ansluta med standardservern eftersom vi redan har ändrat standard Matrix-servern för vår applikation.

Du har nu en Matrix Synapse-hemserver igång. Du har också en värdkopia av Riot, som du kan använda för att skicka ett meddelande till andra personer med deras Matrix ID, e-post eller mobilnummer. Börja med att skapa ett chattrum på din server och bjud in dina vänner på Matrix att gå med i chattrum du har skapat.