[technique] Serveur de messagerie instantanée Jabber opérationnel !

Ludovic Pouzenc ludovic at pouzenc.fr
Jeu 5 Fév 22:05:04 CET 2015


Bonsoir à tous ce qui ont répondu sur ce fil de discussion là (et aux 
autres aussi d'ailleurs :D)

Côté SSL, effectivement dans la conf, pour l'heure j'ai :

-- Force certificate authentication for server-to-server connections?
-- This provides ideal security, but requires servers you communicate
-- with to support encryption AND present valid, trusted certificates.
-- NOTE: Your version of LuaSec must support certificate verification!
-- For more information see http://prosody.im/doc/s2s#security

s2s_secure_auth = true

-- Many servers don't support encryption or have invalid or self-signed
-- certificates. You can list domains here that will not be required to
-- authenticate using certificates. They will be authenticated using DNS.

--s2s_insecure_domains = { "gmail.com" }

Mais je comprends que ça puisse problème.
Est-ce qu'on tente maintenir une listes d'exceptions ? Est-ce qu'on 
désactive le s2s_secure_auth ?

Par ailleurs, un peu fou les dev de prosody, ils dumpent du binaire dans 
les logs si un serveur envoi un "XML invalide" :

Feb 05 11:25:49 s2sin20d8230    warn    Received invalid XML: ^V^C^A^Ae^A^@^Aa^C^C<85><E7>ƚ 3~9b`!^W<A1><AE>S\<80>n^?'L<FA><B7>^^<F5>

Bon j'ai quand même aussi :

Feb 05 12:33:50 mod_s2s warn    Forbidding insecure connection to/from im.saurel.me
Feb 05 12:33:50 s2sin21a9630    info    incoming s2s stream im.saurel.me->chat.jabber.tetaneutral.net closed: Your server's certificate is invalid, expired, or not trusted by chat.jabber.tetaneutral.net
F
Feb 05 12:41:29 mod_s2s warn    Forbidding insecure connection to/from laas.fr
Feb 05 12:41:29 s2sin2251740    info    incoming s2s stream laas.fr->chat.jabber.tetaneutral.net closed: Your server's certificate is invalid, expired, or not trusted by chat.jabber.tetaneutral.net
Feb 05 16:48:38 mod_s2s warn    Forbidding insecure connection to/from nouph.net
Feb 05 16:48:38 s2sin20625c0    info    incoming s2s stream nouph.net->chat.jabber.tetaneutral.net closed: Your server's certificate is invalid, expired, or not trusted by chat.jabber.tetaneutral.net
F

=> bon je désactive le s2s_secure_auth = true


Pour les stats avec SCRAM-SHA*... Je nous propose de laisser la conf 
as-is une semaine ou deux et j'y tapper du "uniq -c" dans les logs.
Hum, moui, enfin prosody ne loggue pas la méthode d'authentification en 
verbosité "info". Et le mode debug est super trash... Snif.
Mé heu j'ai pas envie de recompiler pour ajouter 3 lignes de logs là :P

Bonne nuit,
Ludo

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20150205/44bbf03c/attachment.htm>


Plus d'informations sur la liste de diffusion technique