[technique] Note d'installation : jitsi-meet sur debian 10 (buster)

Matthieu Herrb matthieu at herrb.eu
Mer 1 Avr 20:30:09 CEST 2020 

On Sat, Mar 28, 2020 at 07:42:31PM +0100, Laurent GUERBY via technique wrote:
> Bonsoir,
> 
> Le projet jitsi vient de passer en "stable" son nouveau videobridge :
> 
> https://community.jitsi.org/t/jvb-2-considered-stable/24314/6
> 
> J'en ai profité avec l'aide de Matthieu Herrb pour reinstaller la VM
> jitsi.tetaneutral.net  et tester la doc d'install officielle :
> 
> https://github.com/jitsi/jitsi-meet/blob/master/doc/quick-install.md
> 
> Creation de la VM sur le cluster openstack (4GB RAM) :
> 
> openstack ttnn create --ip 89.234.156.170 --ssd --disk-size 20 --flavor 4vcpu-4096ram --image debian-buster-scsi jitsi.tetaneutral.net
> 
> Ensuite sur la VM :
> 
> apt-get install --no-install-recommends emacs-nox
> apt-get install gnupg apt-transport-https  curl jq
> echo 'deb https://download.jitsi.org stable/' >> /etc/apt/sources.list.d/jitsi-stable.list
> wget -qO -  https://download.jitsi.org/jitsi-key.gpg.key | apt-key add -
> apt-get update
> apt install jitsi-meet
> /usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh
> 
> Changement de quelques fichiers de configuration :
> 
> # ajouter a la fin
> emacs /etc/systemd/system.conf
> DefaultLimitNOFILE=65000
> DefaultLimitNPROC=65000
> DefaultTasksMax=65000
> 
> # editer JVB_OPTS pour les statistiques
> emacs /etc/jitsi/videobridge/config
> JVB_OPTS="--apis=xmpp,rest"
> 
> systemctl daemon-reload
> systemctl restart jitsi-videobridge2 
> 
> # ajouter listen [::]:443 pour avoir IPv6 actif
> emacs /usr/share/jitsi-meet-turnserver/jitsi-meet.conf
>     server {
>         listen 443;
>         listen [::]:443;
> 
> systemctl reload nginx
> 
> Et voila jitsi a jour, https letsencrypt, ipv4 + ipv6 sur https://jitsi.tetaneutral.net/
> 
> Pour des statistiques :
> 
> curl http://localhost:8080/colibri/stats | jq
> # cf
> https://github.com/jitsi/jitsi-videobridge/blob/master/doc/statistics.md

En fait dans cette config, sur Debian Buster, le service coturn boucle
et ne démarre pas. Le service systemd est un peu trop intelligent et
essayer de lancer turnserver avec un uid != 0. Mais y-z-ont oublié en
route qu'un process non root ne peut pas se binder à un port <
1024. Or turn est configuré pour écouter en 443/UDP (DTLS)....

Il faut donc ajouter un petit
/etc/systemd/system/coturn.service.d/override.conf (via systemctl edit
coturn.service ; systemd daemon-reload) contenant:

[Service]
AmbientCapabilities=CAP_NET_BIND_SERVICE

pour ajouter la « capabilité » qui permet à un process non root de
s'attacher a un port < 1024.

De plus j'ai « donné » /var/lib/turnserver/turndb à l'utilisateur
turnserver pour lui permettre de sauver sa BDD (pas sûr que ça soit
utile): chown turnserver:turnserver /var/lib/turnserver/turndb

Avec ces 2 modifs le process turnserver tourne normalement.

PS: sous Ubuntu le paquet coturn est plus primitif et lance turnserver
en tant que root, donc c'est moins sécurisé mais ça marche au sortir
de la boîte.

-- 
Matthieu Herrb
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 833 octets
Desc: non disponible
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20200401/f69a920b/attachment.sig>

Plus d'informations sur la liste de diffusion technique