Wiki de Parinux si:logiciels

si:logiciels:biboumi

2025-04-24T21:22:33+00:00

biboumi

Biboumi est une passerelle XMPP ↔ IRC qui s'installe côté serveur XMPP et permet de rejoindre des salons IRC avec un client XMPP standard (donc sans avoir besoin d'installer un client IRC en plus d'un client XMPP déjà installé).

Au démarrage biboumi se connecte à ejabberd sur un port TCP dédié en tant que composant XMPP et ejabberd proposera alors automatiquement aux clients un service supplémentaire de salons IRC. Pour que ça fonctionne ejabberd et biboumi doivent partager un secret.

Installation

apt install biboumi

Créer le fichier /etc/biboumi/biboumi.cfg :

hostname=biboumi.parinux.org # le vhost XMPP dédié
password=xxxxxxxxxxxx # le secret partagé avec ejabberd
xmpp_server_ip=127.0.0.1 # l'IP de ejabberd
port=8888 # le port d'écoute côté ejabberd
db_name=/var/lib/biboumi/biboumi.sqlite
admin=pitchum@parinux.org
realname_customization=true
realname_from_jid=false
log_level=1
log_file=/var/log/biboumi/biboumi.log
ca_file=

Puis

mkdir /var/log/biboumi/
chown _biboumi: /var/log/biboumi

Contournement spécifique

Je soupçonne que c'est dû au fait que le noyau est trop vieux (3.16.x) même si j'ai pas trouvé d'info précise confirmant cette hypothèse. Bref, le service biboumi n'arrive pas à se lancer et journalctl affiche :

janv. 03 21:59:32 xmpp-1 systemd[1]: Starting Biboumi, XMPP to IRC gateway...
janv. 03 21:59:32 xmpp-1 systemd[7827]: biboumi.service: Failed to apply ambient capabilities (before UID change): Invalid argument
janv. 03 21:59:32 xmpp-1 systemd[7827]: biboumi.service: Failed at step CAPABILITIES spawning /usr/bin/biboumi: Invalid argument
janv. 03 21:59:32 xmpp-1 systemd[1]: biboumi.service: Main process exited, code=exited, status=218/CAPABILITIES

Voici comment j'ai contourné ce problème :

cp /lib/systemd/system/biboumi.service /etc/systemd/system/

Puis j'ai ajouté ces 2 lignes dans /etc/systemd/system/biboumi.service :

[Service]
...
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
NoNewPrivileges=true
...

Puis systemctl daemon-reload et systemctl restart biboumi.

contournement du contournement

En fait, pour une raison que j'ignore, le contournement précédent n'a pas fonctionné lors du restart de biboumi par la suite. J'ai donc mis en place un autre contournement à l'arrache :

identd_port=1113 dans biboumi.cfg et redirection iptables :113 → :1113 sur troll3.

Interfaçage avec ejabberd

Activer l'écoute côté ejabberd

Dans /etc/ejabberd/ejabberd.yml :

...
  - 
    port: 8888
    ip: "127.0.0.1" # l'interface sur laquelle ejabberd accepte les connexions de composants XMPP externes tels que biboumi mais pas seulement
    module: ejabberd_service
    access: all
    shaper: fast # je sais pas à quoi ça sert mais c'est dans la doc alors je le laisse
    hosts:
      "biboumi.parinux.org":
        password: "xxxxxxxxxxxx" # le secret partagé avec biboumi
...

sudo -u ejabberd ejabberdctl reload_config

Suite à quoi on doit voir une ligne comme celle-ci dans /var/log/ejabberd/ejabberd.log :

2019-01-03 21:38:59.735 [info] <0.720.0>@ejabberd_listener:init:143 Start accepting TCP connections at 127.0.0.1:8888 for ejabberd_service

Et lorsque le service biboumi sera lancé on verra ceci dans les logs ejabber :

2019-01-03 21:56:45.767 [info] <0.737.0>@ejabberd_service:handle_auth_success:161 (tcp|<0.737.0>) Accepted external component handshake authentication for biboumi.parinux.org from 127.0.0.1

si:logiciels:codimd

2025-04-24T21:07:33+00:00

CodiMD

Dépôt github

Manuel d'installation

Site de démo

Compte Mastodon

Forum communautaire

Connexion au conteneur

Se connecter au conteneur codimd sur troll3:

  sudo lxc-attach --name codimd

Ou alors directement en SSH après avoir ajouté sa clef SSH dans `/root/.ssh/authorized_keys` du conteneur :

  ssh -J root@troll3.parinux.org root@192.168.1.86

Maintenance

Consulter les logs

journalctl | grep yarn

Arrêter/Démarrer le service

Avec SystemD:

su - codimd
systemctl --user start codimd # Démarrer le service
systemctl --user stop codimd # Arrêter le service

Installation du service CodiMD

Installation des paquets

Paquets standards sous Debian Stretch

apt-get install sqlite curl apt-transport-https git bzip2

Paquets non-standards

NPM

il faut utiliser les backports:

apt-get -t stretch-backport install npm

NodeJs

La version 8.5 ou supérieure étant requise, il passer par une installation manuelle en s’inspirant de cette page:

curl -sSL https://deb.nodesource.com/gpgkey/nodesource.gpg.key | apt-key add -
VERSION=node_13.x # Désignation de la version de NodeJS, ici la dernière au moment de l'écriture de ce wiki
DISTRO=stretch
echo "deb https://deb.nodesource.com/$VERSION $DISTRO main" >> /etc/apt/sources.list.d/nodesource.list
echo "deb-src https://deb.nodesource.com/$VERSION $DISTRO main" >>  /etc/apt/sources.list.d/nodesource.list
apt-get update
apt-get install nodejs

Yarn

D'après cette procédure du projet yarn:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | apt-key add -
echo "deb https://dl.yarnpkg.com/debian/ stable main" >> /etc/apt/sources.list.d/yarn.list
apt update && apt install yarn

Création de l'utilisateur CodiMD

Lancer la commande de création d'utilisateur codimd avec son répertoire /opt/codimd

useradd -m -d /opt/codimd/ -s /bin/bash codimd

Se connecter comme utilisateur codimd

Rester dans la session de l'utilisateur codimd pour la suite:

su - codimd

Récupération du dépôt git

Récupérer le dépôt git sous le répertoire /opt/codimd/

git clone https://github.com/codimd/server.git

Installation des dépendances par yarn

Aller dans le dossier server pour lancer l'installation de ces dépendances:

cd server
bin/setup

Configuration générale du service

Modifier le bloc production du fichier config.json

  "production": {
      "domain": "codimd.parinux.org",
      "email": false,
      "allowEmailRegister": false,
      "protocolUseSSL": true,
      "loglevel": "info",
      "sessionSecret": "<sessionSecret>",
      "allowGravatar": false,

Configuration de l'accès à la base de donnée

Création de l'utilisateur sur Postgres

Se connecter au conteneur postgres et faire la création de l'utilisateur codimd:

su - postgres
createuser --pwprompt codimd # Attention à définir son mot de passe ensuite!
createdb -O codimd codimd

Configuration du service

Sur le conteneur codimd, modifier le bloc db comme suit:

      "db": {
          "password": "<Mot de passe>",
          "database": "codimd",
          "host": "<Nom ou IP de la BDD>",
          "port": "5432",
          "dialect": "postgres"

Mise en place de l'authentification avec Keyclock

Prendre cette page

Configuration de authentification SAML

Prendre cette page

Faire une conf adapté

Configuration de authentification LDAP

D'après cette page cette page:

"ldap": {                                                                                          
    "url": "ldap://<Adresse IP du serveur LDAP>:389",
    "bindDn": "uid=codimd,ou=applications,dc=parinux,dc=org",                                      
    "bindCredentials": "<Mot de passe de la branche>",
    "searchBase": "ou=people,dc=parinux,dc=org",                                                   
    "searchFilter": "(&(objectClass=inetOrgPerson)(|(uid={{username}})(mail={{username}})))",      
    "usernameField": "uid",                                                                        
    "useridField": "uid"                                                                           
    }

Compilation du front-end

yarn --cwd /opt/codimd/server --prod run build

Lancement du serveur en mode manuel

yarn --cwd /opt/codimd/server --prod run start

Lancement du serveur avec SystemD

Ce paragraphe s'est inspiré de cette page. Le wiki de ArchLinux fourni une page détaillée.

Lancer sous root cette commande au préalable pour activer le lancement du service au boot:

loginctl enable-linger codimd

Ensuite, se connecter sous l'utilisateur codimd.

Créer d'abord le fichier /opt/codimd/.config/systemd/user/codimd.service sous l'utilisateur codimd :

[Unit]
Description=CodiMD Server
After=network.target

[Service]
ExecStart=/usr/bin/yarn --cwd /opt/codimd/server --prod run start

[Install]
WantedBy=multi-user.target

Ensuite, activer le service codimd.service:

systemctl --user enable codimd.service

Il ne reste plus qu'à lancer le service:

systemctl --user start codimd.service

Voir les logs du service

Pour avoir l'ensemble des logs du service:

journalctl | grep yarn

Pour des lignes sur une date particulière, avec l'exemple du 24 décembre 2020:

journalctl | sed -n -e '/yarn/{/2020-12-24T/p; }'

# Même chose, mais avec une variable pour éviter d'éditer directement l'expression régulière
date=2020-12-24; journalctl | sed -n -e "/yarn/{/${date}T/p; }"

si:logiciels:ejabberd

2025-04-24T21:31:20+00:00

ejabberd

Le service XMPP de Parinux utilise le logiciel ejabberd (mais pas seulement, autour il y a d'autres logiciels comme biboumi, conversejs, movim).

Déploiement initial

Pour mémoire voici comment il a été déployé dans le conteneur LXC nommé xmpp-1 sur troll3. Un second conteneur LXC nommé xmpp-2 a été créé sur troll4 dans l'espoir de mettre en place un cluster ejabberd un jour… à l'heure où j'écris ces lignes c'est resté au stade d'espoir.

sudo apt install ejabberd erlang-p1-pgsql

TODO pitchum : à détailler, extrait de la configuration, notamment les modules activés et l'interfaçage LDAP

Maintenance

Logs

Pour consulter les logs avec de jolies couleurs :

 tail -f /var/log/ejabberd/ejabberd.log | ccze -A

Il se peut que les logs soient peu détaillés. Si besoin, modifier la variable loglevel dans le fichier /etc/ejabberd/ejabberd.yml pour passer en debug (temporairement hein, parce que ça floode vite) et taper ensuite :

sudo -u ejabberd ejabberdctl reload_config

Sauvegardes

Les seules données utiles à sauvegarder sont :

la configuration /etc/ejabberd/ejabberd.yml
un bout de configuration dans /etc/default/ejabberd
le contenu de la base de données postgresql

TODO pitchum : à détailler, pg_dump toussa

Recharger/Relancer le service

Certaines modifications de configuration sont prises en compte après un simple reload (sans interruption de service donc), mais d'autres nécessiteront carrément un restart. Pour le savoir, lancer un reload et observer les logs, en général il y a un message explicite indiquant que ce n'est pas suffisant et qu'il faudra faire un restart.

pour un simple reload :

sudo -u ejabberd ejabberdctl reload_config

pour un restart :
```
sudo systemctl restart ejabberd
```

si:logiciels:etherpad

2025-04-24T21:09:26+00:00

Etherpad

liste des commandes

installation de etherpad dans /home/etherpad-mypads

cd /home/etherpad-mypads

git clone https://github.com/ether/etherpad-lite.git

cd /home/etherpad-mypads/etherpad-lite

pour faire de l'export dans divers format

apt install libreoffice

liste des modules etherpad du service mes-bn.parinux.org :

author_hover
mypads
comments_page
countable
delete_empty_pads
font_color
font_family
headings2
markdown
pads_stats
page_view
spellcheck
subscript_and_superscript
table_of_contents
warn_too_much_chars

si:logiciels:lstu

2025-04-24T21:21:28+00:00

Installation du raccourcisseur d'url

Installation des paquets :

apt-get install build-essential libssl-dev zlib1g-dev sudo git
sudo apt-get install libpng-dev
sudo cpan Carton
sudo apt-get install memcached
sudo apt-get install libmariadbd-dev

Ajout d'un utilisateur dédié

useradd lstu
groupadd lstu
mkdir -p /var/www/lstu
chown -R lstu:lstu /var/www/lstu
usermod -d /var/www/lstu/ lstu

Récupération du dépôt via git

git clone https://framagit.org/luc/lstu.git

mise à jour

cd  /var/www/lstu
git pull

Installation des dépendance

su lstu -s /bin/bash
carton install
carton install --deployment  --without=test --without=sqlite --without=postgresql --without=ldap

test du service ou mode manuel start

carton exec hypnotoad   script/lstu

stop

carton exec hypnotoad  -s  script/lstu

Paramétrage de la configuration LDAP

démarrage auto

cp utilities/lstu@.service /etc/systemd/system/

vérification des chemins et utilisateurs dans : 
<code>
vim /etc/systemd/system/lstu.service

utilisation du service

systemctl daemon-reload
systemctl enable lstu.service
systemctl start lstu.service
systemctl status lstu.service

vérification du pid

ls -la  /var/www/lstu/script/hypnotoad.pid

au cas ou

chown -R  lstu:www-data /var/www/lstu/script/
chmod -R 774 /var/www/lstu/script/

entrées dans le Vhost Nginx

 location / {
        error_page 404 = /oauth2/auth ;
        proxy_pass http://192.168.1.72:8080;
        proxy_set_header Host      $host;
        proxy_http_version 1.1;
        }

location /oauth2/ {
proxy_pass   http://127.0.0.1:4180;
proxy_set_header Host $host;
proxy_set_header X-Real-IP   $remote_addr;
proxy_set_header X-Scheme $scheme;
proxy_set_header X-Auth-Request-Redirect $request_uri;
# or, if you are handling multiple domains:
# proxy_set_header X-Auth-Request-Redirect $scheme://$host$request_uri;
}

location = /oauth2/auth {
proxy_pass   http://127.0.0.1:4180;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Scheme $scheme;
# nginx auth_request includes headers but not body
proxy_set_header Content-Length   "";
proxy_pass_request_body   off;
}

location  = / {
        auth_request /oauth2/auth;
        error_page 401 = /oauth2/sign_in;
# # pass information via X-User and X-Email headers to backend,
# # requires running with --set-xauthrequest flag
        auth_request_set $user   $upstream_http_x_auth_request_user;
        auth_request_set $email  $upstream_http_x_auth_request_email;
        proxy_set_header X-User  $user;
        proxy_set_header X-Email $email;
# if you enabled --pass-access-token, this will pass the token to the backend
        auth_request_set $token  $upstream_http_x_auth_request_access_token;
        proxy_set_header X-Access-Token $token;
# if you enabled --cookie-refresh, this is needed for it to work with auth_request
        auth_request_set $auth_cookie $upstream_http_set_cookie;
        add_header Set-Cookie $auth_cookie;
# When using the --set-authorization-header flag, some provider's cookies can exceed the 4kb
# limit and so the OAuth2 Proxy splits these into multiple parts.
# Nginx normally only copies the first `Set-Cookie` header from the auth_request to the response,
# so if your cookies are larger than 4kb, you will need to extract additional cookies manually.
        auth_request_set $auth_cookie_name_upstream_1 $upstream_cookie_auth_cookie_name_1;
# Extract the Cookie attributes from the first Set-Cookie header and append them
# to the second part ($upstream_cookie_* variables only contain the raw cookie content)
        if ($auth_cookie ~* "(; .*)") {
                set $auth_cookie_name_0 $auth_cookie;
        set $auth_cookie_name_1 "auth_cookie_name_1=$auth_cookie_name_upstream_1$1";
        }
# Send both Set-Cookie headers now if there was a second part
        if ($auth_cookie_name_upstream_1) {
        add_header Set-Cookie $auth_cookie_name_0;
        add_header Set-Cookie $auth_cookie_name_1;
        }
        proxy_pass http://192.168.1.72:8080;
#       proxy_pass http://127.0.0.1:3000/;
        proxy_set_header Host      $host;
        proxy_http_version 1.1;
    }

si:logiciels:lufi

2025-04-24T21:30:31+00:00

Lufi

Vhost pour le service Fichiers de Parinux

Port 80 avec let's encrypt

server {
listen  192.168.1.60:80;
server_tokens off;


server_name fichiers.parinux.org echanges.parinux.org transfert.parinux.org onenagros.parinux.org fichierslourds.parinux.org ;
access_log /var/log/nginx/fichiers-access.log;
error_log /var/log/nginx/fichiers-error.log;

	location ~ /.well-known/acme-challenge/ {
# Set correct content type. According to this:
# https://community.letsencrypt.org/t/using-the-webroot-domain-verification-method/1445/29
# Current specification requires "text/plain" or no content header at all.
# It seems that "text/plain" is a safe option.
	default_type "text/plain";
# This directory must be the same as in /etc/letsencrypt/cli.ini
# as "webroot-path" parameter. Also don't forget to set "authenticator" parameter
# there to "webroot".
# Do NOT use alias, use root! Target directory is located here:
# /var/www/common/letsencrypt/.well-known/acme-challenge/
	root /var/www/letsencrypt;
	}
	location / {
		return 301 https://transfert.parinux.org$request_uri;
                proxy_pass http://192.168.1.82/;
                proxy_set_header Host  $host;
                proxy_http_version 1.1;
	}
}

Port 443 et SSO via Oauth2 Proxy

on peut concaténer partial|r|download

server {
    listen 192.168.1.60:443;
    server_name fichiers.parinux.org echanges.parinux.org transfert.parinux.org fichierslourds.parinux.org  onenagros.parinux.org ;
    access_log /var/log/nginx/fichiers-access.log;
    error_log /var/log/nginx/fichiers-error.log;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/fichiers.parinux.org/fullchain.pem; 
    ssl_certificate_key /etc/letsencrypt/live/fichiers.parinux.org/privkey.pem;
  server_tokens off;

        index index index.html index.htm index.nginx-debian.html;


 ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES512+EECDH:AES512+EDH;
 ssl_dhparam /etc/nginx/ssl/dhparam.pem;

add_header Strict-Transport-Security "max-age=15552000;preload";

 ssl_session_cache shared:SSL:1m;
 ssl_session_timeout  5m;
 ssl_protocols TLSv1.2;

 ssl_prefer_server_ciphers on;


    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
#    add_header X-Robots-Tag none;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;

location /r {
        proxy_pass http://192.168.1.82:8081;
        # Really important! Lufi uses WebSocket, it won't work without this
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        # If you want to log the remote port of the file senders, you'll need that
        proxy_set_header X-Remote-Port $remote_port;

        proxy_set_header X-Forwarded-Proto $scheme;

        # We expect the downstream servers to redirect to the right hostname, so don't do any rewrites here.
        proxy_redirect     off;

        }


location /partial {
        proxy_pass http://192.168.1.82:8081;
        # Really important! Lufi uses WebSocket, it won't work without this
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        # If you want to log the remote port of the file senders, you'll need that
        proxy_set_header X-Remote-Port $remote_port;

        proxy_set_header X-Forwarded-Proto $scheme;

        # We expect the downstream servers to redirect to the right hostname, so don't do any rewrites here.
        proxy_redirect     off;


        }

location /download {
        proxy_pass http://192.168.1.82:8081;
        # Really important! Lufi uses WebSocket, it won't work without this
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        # If you want to log the remote port of the file senders, you'll need that
        proxy_set_header X-Remote-Port $remote_port;

        proxy_set_header X-Forwarded-Proto $scheme;

        # We expect the downstream servers to redirect to the right hostname, so don't do any rewrites here.
        proxy_redirect     off;


        }

location ~* ^/(img|css|font|js)/ {
        proxy_pass http://192.168.1.82:8081;
        proxy_set_header Host      $host;
        proxy_http_version 1.1;
        add_header Expires "Thu, 31 Dec 2037 23:55:55 GMT";
        add_header Cache-Control "public, max-age=315360000";
}

location /oauth2/ {
	proxy_pass   http://192.168.1.82:4180;
	proxy_set_header Host $host;
	proxy_set_header X-Real-IP   $remote_addr;
	proxy_set_header X-Scheme $scheme;
	proxy_set_header X-Auth-Request-Redirect $request_uri;
	# or, if you are handling multiple domains:
	# proxy_set_header X-Auth-Request-Redirect $scheme://$host$request_uri;
	}

location = /oauth2/auth {
	proxy_pass   http://192.168.1.82:4180;
	proxy_set_header Host $host;
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Scheme $scheme;
	# nginx auth_request includes headers but not body
	proxy_set_header Content-Length   "";
	proxy_pass_request_body   off;
	}

location   / {
	auth_request /oauth2/auth;
	error_page 401 = /oauth2/sign_in;

	# # pass information via X-User and X-Email headers to backend,
	# # requires running with --set-xauthrequest flag
	auth_request_set $user   $upstream_http_x_auth_request_user;
	auth_request_set $email  $upstream_http_x_auth_request_email;
	proxy_set_header X-User  $user;
	proxy_set_header X-Email $email;

	# if you enabled --pass-access-token, this will pass the token to the backend
	auth_request_set $token  $upstream_http_x_auth_request_access_token;
	proxy_set_header X-Access-Token $token;

	# if you enabled --cookie-refresh, this is needed for it to work with auth_request
	auth_request_set $auth_cookie $upstream_http_set_cookie;
	add_header Set-Cookie $auth_cookie;

	# When using the --set-authorization-header flag, some provider's cookies can exceed the 4kb
	# limit and so the OAuth2 Proxy splits these into multiple parts.
	# Nginx normally only copies the first `Set-Cookie` header from the auth_request to the response,
	# so if your cookies are larger than 4kb, you will need to extract additional cookies manually.
	auth_request_set $auth_cookie_name_upstream_1 $upstream_cookie_auth_cookie_name_1;

	# Extract the Cookie attributes from the first Set-Cookie header and append them
	# to the second part ($upstream_cookie_* variables only contain the raw cookie content)
	if ($auth_cookie ~* "(; .*)") {
		set $auth_cookie_name_0 $auth_cookie;
	set $auth_cookie_name_1 "auth_cookie_name_1=$auth_cookie_name_upstream_1$1";
	}

	# Send both Set-Cookie headers now if there was a second part
	if ($auth_cookie_name_upstream_1) {
	add_header Set-Cookie $auth_cookie_name_0;
	add_header Set-Cookie $auth_cookie_name_1;
	}

         # HTTPS only header, improves security
         #add_header Strict-Transport-Security "max-age=15768000";

         # Adapt this to your configuration (port, subdirectory (see below))
         proxy_pass  http://192.168.1.82:8081;

         # Really important! Lufi uses WebSocket, it won't work without this
         proxy_set_header Upgrade $http_upgrade;
         proxy_set_header Connection "upgrade";
         proxy_http_version 1.1;
         proxy_set_header Host $host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

         # If you want to log the remote port of the file senders, you'll need that
         proxy_set_header X-Remote-Port $remote_port;
         proxy_set_header X-Forwarded-Proto $scheme;

         # We expect the downstream servers to redirect to the right hostname, so don't do any rewrites here.
         proxy_redirect     off;
    }
}

si:logiciels:lufim

2025-04-24T21:21:09+00:00

COnfig vhost pour lufim en SSO via oauth2proxy

location / {
        proxy_pass http://192.168.1.84:8080;
        # Really important! Lufi uses WebSocket, it won't work without this
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        # If you want to log the remote port of the file senders, you'll need that
        proxy_set_header X-Remote-Port $remote_port;

        proxy_set_header X-Forwarded-Proto $scheme;

        # We expect the downstream servers to redirect to the right hostname, so don't do any rewrites here.
        proxy_redirect     off;

        }

et pour la partie accueil qui est authentifier le même vhost que lstu avec juste

location = / {
        auth_request /oauth2/auth;
        error_page 401 = /oauth2/sign_in;
        # # pass information via X-User and X-Email headers to backend,
        # # requires running with --set-xauthrequest flag
        auth_request_set $user   $upstream_http_x_auth_request_user;
        auth_request_set $email  $upstream_http_x_auth_request_email;
        proxy_set_header X-User  $user;
        proxy_set_header X-Email $email;

        # if you enabled --pass-access-token, this will pass the token to the backend
        auth_request_set $token  $upstream_http_x_auth_request_access_token;
        proxy_set_header X-Access-Token $token;

        # if you enabled --cookie-refresh, this is needed for it to work with auth_request
        auth_request_set $auth_cookie $upstream_http_set_cookie;
        add_header Set-Cookie $auth_cookie;

        # When using the --set-authorization-header flag, some provider's cookies can exceed the 4kb
        # limit and so the OAuth2 Proxy splits these into multiple parts.
        # Nginx normally only copies the first `Set-Cookie` header from the auth_request to the response,
        # so if your cookies are larger than 4kb, you will need to extract additional cookies manually.
        auth_request_set $auth_cookie_name_upstream_1 $upstream_cookie_auth_cookie_name_1;

        # Extract the Cookie attributes from the first Set-Cookie header and append them
        # to the second part ($upstream_cookie_* variables only contain the raw cookie content)
        if ($auth_cookie ~* "(; .*)") {
                set $auth_cookie_name_0 $auth_cookie;
        set $auth_cookie_name_1 "auth_cookie_name_1=$auth_cookie_name_upstream_1$1";
        }

        # Send both Set-Cookie headers now if there was a second part
        if ($auth_cookie_name_upstream_1) {
        add_header Set-Cookie $auth_cookie_name_0;
        add_header Set-Cookie $auth_cookie_name_1;
        }

         # HTTPS only header, improves security
         #add_header Strict-Transport-Security "max-age=15768000";

         # Adapt this to your configuration (port, subdirectory (see below))
         proxy_pass  http://192.168.1.84:8080;

         # Really important! Lufi uses WebSocket, it won't work without this
         proxy_set_header Upgrade $http_upgrade;
         proxy_set_header Connection "upgrade";
         proxy_http_version 1.1;
         proxy_set_header Host $host;
         proxy_set_header X-Real-IP $remote_addr;
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

         # If you want to log the remote port of the file senders, you'll need that
         proxy_set_header X-Remote-Port $remote_port;
         proxy_set_header X-Forwarded-Proto $scheme;

         # We expect the downstream servers to redirect to the right hostname, so don't do any rewrites here.
         proxy_redirect     off;
    }

si:logiciels:matrix

2025-04-24T21:15:29+00:00

Matrix: instance sur ''troll3''

Conteneur LXC

Nom: matrix
Ports de sortie: 8448

Documentations

Page officielle sur le serveur synapse
Page sur le plugin officielle pour LDAP
Page sur la configuration d'une fédération
Page sur le client riot
Page sur le bridge IRC
Page sur le bridge XMPP (expérimental)

Installation et configuration du serveur 'synapse'

Prérequis

Suivre les instructions a partir du paragraphe de la procédure officielle

Installation des paquets

apt-get install matrix-synapse python-matrix-synapse-ldap3

Pendant l'installation du paquet 'matrix-synapse'

Procédure peut-être à revoir

Mettre le nom du serveur conformement au parametre SRV. Le nom mis ici est parinux.org. Voir le paragraphe concernant la configuration du DNS pour plus de details.

Desactiver l'envoi de statistiques a l'attention des developpeurs.

Configuration du serveur 'synapse'

Fichier de configuration: /etc/matrix-synapse/homeserver.yaml

Paragraphe contenant les parametres pour LDAP:

# password_providers:
     - module: "ldap_auth_provider.LdapAuthProvider"

Configuration de la base de donnée

Voir cette page.

Paquets à installer: python-psycopg2 libpq-dev

Modifier ensuite la section database dans /etc/matrix-synapse/homeserver.yaml:

database:
    name: psycopg2
    args:
        user: synapse_user
        password: <pass>
        database: synapse
        host: <host>
        cp_min: 5
        cp_max: 10

Configuration du DNS

La configuration est faite d'apres les instructions de ce paragraphe.

Idéalement

Record SRV à mettre, en tenant compte que parinux.org est le nom utilise pour communiquer avec la fédération et synapse.parinux.org est l'adresse effective du serveur synapse:

_matrix._tcp.parinux.org 3600 IN SRV 10 0 8448 synapse.parinux.org.

Pour un test

Record SRV à mettre en attendant:

_matrix._tcp.matrix.parinux.org 3600 IN SRV 10 0 443 matrix.parinux.org.

Commande dig à faire passer pour voir le changement:

dig @parinux.org -t srv _matrix._tcp.matrix.parinux.org

Reverse Proxy

D'après la doc officielle, la configuration du reverse proxy s'effectue comme suit pour un nginx:

  server {
      listen 443 ssl;
      listen [::]:443 ssl;
      server_name matrix.parinux.org;

      location /_matrix {
          proxy_pass http://<adresse du conteneur LXC>:8448;
          proxy_set_header X-Forwarded-For $remote_addr;
      }
  }

En l'état actuelle, un utilisateur d'un serveur de la fédération ne peut pas joindre un salon de l'instance de parinux: Invalid signature for server matrix.org with key ed25519:auto: Unable to verify signature for matrix.org . Ce bug a déjà été constatée

Configuration de la VoIP

Il faut d'abord installer un serveur TURN.

Demarrer le serveur

systemctl start matrix-synapse.service

Redirection de port

Redirection de port du reverse proxy sur le port 8008 du conteneur.

Procedure de debug

Voir cette page.

Le fichier de debug est /etc/matrix-synapse/conf.d/ldap_debug.yaml.

Installation et configuration du client 'riot'

Ajouter la ligne suivante dans le fichier /etc/apt/sources.list :

deb https://packages.riot.im/debian stretch main

Faire un paquet debian riot-webapp à partir des releases github. Voir aussi le PKGBUILD d'Archlinux.

Installation des paquets (serveur web):

apt-get install nginx

Mettre en place le répertoir webapps

mkdir -p /opt/webapps/riot/versions

Télécharger et importer de la clé publique

wget https://packages.riot.im/riot-release-key.asc
gpg --import riot-release-key.asc

Télécharger l'archive, sa signature associée, puis vérifier

wget https://github.com/vector-im/riot-web/releases/download/v1.2.2/riot-v1.2.2.tar.gz{.asc,}
gpg --verify riot-v1.2.2.tar.gz{.asc,}

Extraire la dernière version stable de l'archive issue de cette page dans /opt/webapps/riot/versions

tar -C /opt/webapps/riot/versions -xvf riot-v1.2.2.tar.gz

Faire un lien symbolique

ln -s /opt/webapps/riot/versions/riot-v1.2.2 /opt/webapps/riot/main

Renommer le fichier config.json en config.matrix.parinux.org.json

mv /opt/webapps/riot/main/{config.json,config.matrix.parinux.org.json}

Activer le service

systemctl status nginx

Le fichier de configuration du client riot se trouve dans le fichier /etc/nginx/conf.d/riot.conf

Tests

Fédération

Aller sur le site Federation Tester pour vérifier si la fédération est activée.

Clients

Prendre un client riot

L'ouvrir, puis cliquer sur Changer

Modifier le champs URL du serveur d'accueil en https://matrix.parinux.org, puis cliquer sur Suivant

Mettre ses identifiants LDAP en remplissant les champs Nom d'utilisateur et Mot de passe, puis cliquer sur Se connecter

La fenêtre d'une connexion réussie ressemble à ça

si:logiciels:movim

2025-04-24T21:10:57+00:00

Movim

Movim est une appli Web de microblogging et de discussion, un peu comme Mastodon, Diaspora, … La particularité de Movim c'est d'être basé sur le protocole XMPP.

Chez parinux le serveur XMPP est ejabberd.

Maintenance

Logs utiles

journalctl -f -u movim

journalctl -f -u php7.3-fpm

tail -f /var/log/apache2/movim.access.log

Relancer Movim

systemctl restart movim

Données à sauvegarder

Movim ne stocke que très peu de données qui méritent d'être sauvegardées. L'essentiel de données visibles dans Movim sont en réalité publiées sur les serveurs XMPP. La base de données SQL utilisée par Movim sert essentiellement de cache pour éviter de solliciter systématiquement les serveurs XMPP.

Les seules données originales produites par Movim sont les paramètres de configuration qui sont stockés dans la table configuration.

Mettre à jour

Si une nouvelle version est disponible au téléchargement au format .tar.gz voici la procédure simple et générique pour mettre à jour Movim.

Avant toute chose jeter un œil sur la page officielle au cas où il y aurait une procédure particulière pour cette version.

cd /var/www/movim/upstream
curl -JOLs https://github.com/movim/movim/archive/x.xx.x.tar.gz
cd ..
tar xavf upstream/x.xx.x.tar.gz
ln db.inc.php movim-x.xx.x/config/
rm public_html && ln movim-x.xx.x public_html
cd public_html
sudo -u movim composer install
sudo -u movim php vendor/bin/phinx migrate
systemctl restart movim

Installation

Même s'il existe enfin un paquet Debian pour movim, il est loin d'être parfait et l'installation à l'ancienne se passe bien alors voici comment j'ai fait.

J'ai essayé de faire marcher movim avec MySQL car on avait déjà un serveur MySQL opérationnel que j'aurais aimé utiliser, mais Movim fonctionne vraiment très mal avec MySQL, dès l'installation. Donc j'ai craqué et j'ai installé un postgresql en local (sans chercher à voir si on avait déjà un postgresql quelque part, mais c'est pas grave, si besoin on déplacera la BDD là où il faut).

Pré-requis APT

apt install apache2 php-fpm php-pgsql \
 php-curl php-gd php-mbstring php-xml \
 composer php-symfony

Créer un utilisateur système dédié

useradd --system -d /var/www/movim/ --create-home --shell /bin/nologin movim

Préparer une base de données

Installer postgresql si besoin :

apt install postgresql

Puis créer un utilisateur et une base dédiés à Movim.

sudo -u postgres createuser --pwprompt movim
sudo -u postgres createdb -O movim movim

Déployer le code de Movim

cd /var/www/movim
mkdir upstream
cd upstream
curl -JOLs https://github.com/movim/movim/archive/0.14.1.tar.gz
cd ..
tar xavf upstream/movim-0.14.1.tar.gz
ln -s movim-0.14.1 public_html
chown -R movim: /var/www/movim/public_html/
cd public_html
sudo -u movim composer install
cp config/db.example.inc.php config/db.inc.php
edit config/db.inc.php
sudo -u movim php vendor/bin/phinx migrate

(Ré)initialiser le compte admin Movim

sudo -u movim php daemon.php config --username=admin --password=v3rys3cr3t

Ce compte admin permet alors de faire quelques réglages sur la page d'admin Movim.

Créer un service systemd

Créer le fichier /etc/systemd/system/movim.service :

[Unit]
Description=Movim, kick ass social network
After=network.target
 
[Service]
Type=simple
ExecStart=/usr/bin/php daemon.php start --url=https://movim.parinux.org/ --port=8080 --interface=0.0.0.0
User=movim
WorkingDirectory=/var/www/movim/public_html
StandardOutput=syslog
SyslogIdentifier=movim
PIDFile=/run/movim.pid
 
[Install]
WantedBy=default.target

On prévient systemd qu'il y a du nouveau :

systemctl daemon-reload

On lance movim une première en vérifiant son status avant et après parce qu'on aime bien ça :

systemctl status movim
systemctl start movim
systemctl status movim

Configurer apache et php-fpm

Créer le fichier /etc/apache2/sites-available/movim.conf :

<VirtualHost *:80>
  ServerName movim.parinux.org
  DocumentRoot /var/www/movim/public_html
 
  ProxyPreserveHost On
  <LocationMatch .*\.php>
    SetHandler "proxy:unix:/run/php/movim.sock|fcgi://localhost/"
  </LocationMatch>
  ProxyPass /ws/ ws://localhost:8080/
 
  LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" proxy
  CustomLog /var/log/apache2/movim.access.log proxy
  ErrorLog /var/log/apache2/movim.error.log
</VirtualHost>

Activer cette config :

a2ensite movim.conf

Activer quelques modules apache :

a2enmod proxy_wstunnel fcgi

Créer le fichier /etc/php/7.3/fpm/pool.d/movim.conf :

[movim]
user = movim
group = movim
listen = /run/php/movim.sock
listen.owner = www-data
listen.group = www-data
pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

Et relancer php-fpm :

systemctl restart php7.3-fpm

Et vérifier que le fichier /run/php/movim.sock est bien présent et appartient à www-data:www-data.

Relancer apache :

systemctl restart apache2

si:logiciels:nextcloud

2025-04-24T21:14:53+00:00

installation des paquets

 apt install  php7.0-xml php7.0-mysqlnd php7.0-ldap php7.0-gd php7.0-zip php7.0-imagick php7.0-mbstring php7.0-json php7.0-curl php7.0-cli php7.0-fpm nginx-full php7.0-bz2 php7.0-intl wget

téléchargement de nextcloud

cd /var/www
wget https://download.nextcloud.com/server/releases/latest.tar.bz2
adduser  --disabled-login  --disabled-password nextcloud
chown -R nextcloud:www-data /var/www/nextcloud
chmod -R 750 /var/www/nextcloud

coté DB

mysql -u root -p

création de l'utilisateur nextcloud et de la base

CREATE DATABASE nextcloud;
CREATE USER "nextcloud"@"XXXXXXXX" ;
SET password FOR "nextcloud"@"XXXXX" = password('mon_password');
GRANT ALL PRIVILEGES ON nextcloud.* TO "nextcloud"@"XXXXXXX" IDENTIFIED BY "mon_password";
FLUSH PRIVILEGES;

Ajout de la fonctionnalité édition de documents collabora online

ajout d'un dépôt tiers debian
deb https://www.collaboraoffice.com/repos/CollaboraOnline/CODE-debian9 ./

modification du fichier xml pour le chemin des certificats, il est aussi possible de passer en mode non SSL

vim /etc/loolwsd/loolwsd.xml

dans la section

ssl desc="SSL settings"

ajouter le chemin des 3 fichiers (key, cert et ca), ces 3 fichiers doivent être lisible par l'utilisation lool

<cert_file_path desc="Path to the cert file" relative="false">/etc/loolwsd/cert.pem</cert_file_path>
<key_file_path desc="Path to the key file" relative="false">/etc/loolwsd/key.pem</key_file_path>
<ca_file_path desc="Path to the ca file" relative="false">/etc/loolwsd/ca-chain.cert.pem</ca_file_path>

positonner les droits sur les 3 fichiers

chown lool:lool chemin-du-fichier

relancer loolwsd

systemctl restart loolwsd
systemctl status loolwsd

Extensions disponible dans le Nuage de Parinux

Accessibility
Activity
AppOrder
Auditing
Bookmarks
Calendar (caldav)
Collaborative tags
Comments
Contacts (cardav)
Default encryption module
Draw.io
Federation
Parage interne et par courriel
Gallery
GpxPod
LDAP
Log Reader
Markdown Editor

* Mindmaps (cartes mentales)

Notes
Notifications
PDF Viewer
Poll (sondage)
Quotas Warning
QuickNotes (petit papier sur un mur)
Share By Email
Talk (visio spreedme)
Vidéo Player
Collabora Online

si:logiciels:oauth2proxy

2025-04-24T21:33:01+00:00

Oauth2 proxy

cd /opt
wget https://github.com/oauth2-proxy/oauth2-proxy/releases/download/v7.0.1/oauth2-proxy-v7.0.1.linux-amd64.tar.gz
tar xvfz oauth2-proxy-v7.0.1.linux-amd64.tar.gz
ln -s /opt/oauth2-proxy-v7.0.1.linux-amd64 /opt/oauth2-proxy

création du fichier de conf dans /opt/keycloak.cfg

provider = "oidc"
redirect_url = "https://transfert-images.parinux.org/oauth2/callback"
oidc_issuer_url = "https://sso.parinux.org/auth/realms/master"
upstreams = [
    "https://transfert-images.parinux.org"
]
email_domains = [
    "*"
]
client_id = "IDKeycloakduclient"
client_secret = "secretdukeycloakpourceclient"
pass_access_token = true
cookie_secret = "uncookiede32caractéres"
skip_provider_button = true

Tester votre fichier de conf

/opt/oauth2-proxy/oauth2-proxy --config=/opt/keycloak.cfg

corriger les soucis

création du service

Création du fichier /etc/systemd/system/oauth2-proxy.service

[Unit]
Description=oauth2-proxy daemon service
After=syslog.target network.target

[Service]
User=www-data
Group=www-data

ExecStart=/opt/oauth2-proxy/oauth2-proxy --config=/opt/keycloak.cfg
ExecReload=/bin/kill -HUP $MAINPID

KillMode=process
Restart=always

[Install]
WantedBy=multi-user.target

si le reverse proxy n'est pas sur le même serveur il faut qu'il y ait :

ExecStart=/opt/oauth2-proxy/oauth2-proxy --config=/opt/keycloak.cfg --http-address=0.0.0.0:4180

le mettre en exécutable, permettre son lancement, son état et le lancer

chmod +x/etc/systemd/system/oauth2-proxy.service
systemctl enable oauth2-proxy.service
systemctl status oauth2-proxy.service
systemctl start oauth2-proxy.service

doc

https://oauth2-proxy.github.io/oauth2-proxy/docs/configuration/overview/#config-file

https://devopsloggers.com/2020/05/30/oauth2_proxy-google-authentication-using-nginx-on-ubuntu-18-04/

si:logiciels:scrumblr

2025-04-24T21:21:44+00:00

Installation de Sccrumblr alias mur de petit papiers (notes)

installation de nodejs et DB redis local

apt install curl
curl -sL https://deb.nodesource.com/setup_8.x |  bash -
apt-get install -y nodejs
apt-get install redis-server
service redis start

ajout d'un utilisateur

adduser --no-create-home --home /var/www/scrumblr --disabled-login --gecos "Scrumblr" scrumblr

clonage du dépôt

cd /var/www/
git clone https://github.com/aliasaria/scrumblr.git

droit sur le dossier

chown scrumblr: -R /var/www/scrumblr

installation

cd /var/www/scrumblr
su scrumblr -s /bin/bash
npm install

ajout d'un la fonction export/import

git remote add fork https://github.com/ldidry/scrumblr/
git fetch fork
git pull fork master
git config --global user.email  "admin@parinux.org"
git config --global user.name "parinux"
git pull fork master

Création du service

vim /etc/systemd/system/scrumblr.service

[Unit]
Description=Scrumblr service
Documentation=https://github.com/aliasaria/scrumblr/
Requires=network.target
Requires=redis-server.service
After=network.target
After=redis-server.service

[Service]
Type=simple
User=scrumblr
WorkingDirectory=/var/www/scrumblr
ExecStart=/usr/bin/node server.js --port 4242

[Install]
WantedBy=multi-user.target

usage du service

sudo systemctl daemon-reload
sudo systemctl enable scrumblr.service
sudo systemctl start scrumblr.service
sudo systemctl daemon-reload