[technique] Serveur de messagerie instantanée Jabber opérationnel !
Ludovic Pouzenc
ludovic at pouzenc.fr
Jeu 5 Fév 22:05:04 CET 2015
Bonsoir à tous ce qui ont répondu sur ce fil de discussion là (et aux
autres aussi d'ailleurs :D)
Côté SSL, effectivement dans la conf, pour l'heure j'ai :
-- Force certificate authentication for server-to-server connections?
-- This provides ideal security, but requires servers you communicate
-- with to support encryption AND present valid, trusted certificates.
-- NOTE: Your version of LuaSec must support certificate verification!
-- For more information see http://prosody.im/doc/s2s#security
s2s_secure_auth = true
-- Many servers don't support encryption or have invalid or self-signed
-- certificates. You can list domains here that will not be required to
-- authenticate using certificates. They will be authenticated using DNS.
--s2s_insecure_domains = { "gmail.com" }
Mais je comprends que ça puisse problème.
Est-ce qu'on tente maintenir une listes d'exceptions ? Est-ce qu'on
désactive le s2s_secure_auth ?
Par ailleurs, un peu fou les dev de prosody, ils dumpent du binaire dans
les logs si un serveur envoi un "XML invalide" :
Feb 05 11:25:49 s2sin20d8230 warn Received invalid XML: ^V^C^A^Ae^A^@^Aa^C^C<85><E7>ƚ 3~9b`!^W<A1><AE>S\<80>n^?'L<FA><B7>^^<F5>
Bon j'ai quand même aussi :
Feb 05 12:33:50 mod_s2s warn Forbidding insecure connection to/from im.saurel.me
Feb 05 12:33:50 s2sin21a9630 info incoming s2s stream im.saurel.me->chat.jabber.tetaneutral.net closed: Your server's certificate is invalid, expired, or not trusted by chat.jabber.tetaneutral.net
F
Feb 05 12:41:29 mod_s2s warn Forbidding insecure connection to/from laas.fr
Feb 05 12:41:29 s2sin2251740 info incoming s2s stream laas.fr->chat.jabber.tetaneutral.net closed: Your server's certificate is invalid, expired, or not trusted by chat.jabber.tetaneutral.net
Feb 05 16:48:38 mod_s2s warn Forbidding insecure connection to/from nouph.net
Feb 05 16:48:38 s2sin20625c0 info incoming s2s stream nouph.net->chat.jabber.tetaneutral.net closed: Your server's certificate is invalid, expired, or not trusted by chat.jabber.tetaneutral.net
F
=> bon je désactive le s2s_secure_auth = true
Pour les stats avec SCRAM-SHA*... Je nous propose de laisser la conf
as-is une semaine ou deux et j'y tapper du "uniq -c" dans les logs.
Hum, moui, enfin prosody ne loggue pas la méthode d'authentification en
verbosité "info". Et le mode debug est super trash... Snif.
Mé heu j'ai pas envie de recompiler pour ajouter 3 lignes de logs là :P
Bonne nuit,
Ludo
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20150205/44bbf03c/attachment.htm>
Plus d'informations sur la liste de diffusion technique