Jabber startet nicht, wenn SSL-Zertifikat angegeben ist

[AnonymusChaotic]

Hallo,

Ich bin gerade dabei, Jabber aufzusetzen. Unter dieser Konfiguration: 39485 ist ein Start von Prosody möglich, allerdings kann ich mich mit Clients nicht verbinden:
Und Fehler treten im /var/log/prosody/prosody.err 39487 und /var/log/prosody/prosody.log 39486
(Dass Prosody das Default-Zertifikat nicht finden kann ist verwunderlich, schlussendlich ist es dort verlinkt.

Code: Alles auswählen

lrwxrwxrwx 1 root root      37 Jän 30  2016 localhost.cert -> ../../ssl/certs/ssl-cert-snakeoil.pem
lrwxrwxrwx 1 root root      39 Jän 30  2016 localhost.key -> ../../ssl/private/ssl-cert-snakeoil.key

Wenn ich allerdings in der Konfigurationsdatei den Eintrag für die SSL-Zertifikatsdateien (erstellt durch den LetsEncrypt-Automatismus) auskommentiere und durch meine zertifizierten ersetze (auf die Prosody garantiert Vollzugriff hat, mit sudo -u prosody nano DATEI getestet), bekomme ich folgende Fehlermeldung:

Wenn ich allerdings in der Konfigurationsdatei den default-Eintrag für die default-SSL-Zertifikatsdateien auskommentiere und durch meine LetsEncrypt-zertifizierten ersetze (erstellt durch den LetsEncrypt-Automatismus, auf die Prosody garantiert Vollzugriff hat, mit sudo -u prosody nano DATEI getestet), bekomme ich folgende Fehlermeldung:

Geänderter Teil der Config:

Code: Alles auswählen

-- These are the SSL/TLS-related settings. If you don't want
-- to use SSL/TLS, you may comment or remove this
--ssl = {
--	key = "/etc/prosody/certs/localhost.key";
--	certificate = "/etc/prosody/certs/localhost.crt";
--}

ssl = {
	key = "/etc/letsencryptprosody/privkey.pem";
	certificate = "/etc/letsencryptprosody/fullchain.pem";
}
-- Force clients to use encrypted connections? This option will
-- prevent clients from authenticating unless they are using encryption.

c2s_require_encryption = true

-- Force certificate authentication for server-to-server connections?
-- This provides ideal security, but requires servers you communicate
-- with to support encryption AND present valid, trusted certificates.
-- NOTE: Your version of LuaSec must support certificate verification!
-- For more information see http://prosody.im/doc/s2s#security

s2s_secure_auth = true

Code: Alles auswählen

root@SERVER:/etc/prosody# service prosody restart
Job for prosody.service failed. See 'systemctl status prosody.service' and 'journalctl -xn' for details.
root@SERVER:/etc/prosody# systemctl status prosody.service
● prosody.service - LSB: Prosody XMPP Server
   Loaded: loaded (/etc/init.d/prosody)
   Active: failed (Result: exit-code) since Die 2016-09-06 14:24:45 CEST; 8s ago
     Docs: file:///etc/insserv/overrides/prosody
  Process: 29307 ExecStop=/etc/init.d/prosody stop (code=exited, status=0/SUCCESS)
  Process: 28840 ExecReload=/etc/init.d/prosody reload (code=exited, status=0/SUCCESS)
  Process: 29871 ExecStart=/etc/init.d/prosody start (code=exited, status=1/FAILURE)

Sep 06 14:24:45 SERVER prosody[29871]: Starting Prosody XMPP Server: prosodylua5.1: /usr/lib/prosody/core/certmanager.lua:94: attempt to index field 'context' (a nil value)
Sep 06 14:24:45 SERVER prosody[29871]: stack traceback:
Sep 06 14:24:45 SERVER prosody[29871]: /usr/lib/prosody/core/certmanager.lua:94: in function 'create_context'
Sep 06 14:24:45 SERVER prosody[29871]: /usr/bin/prosody:274: in function 'init_global_state'
Sep 06 14:24:45 SERVER prosody[29871]: /usr/bin/prosody:396: in main chunk
Sep 06 14:24:45 SERVER prosody[29871]: [C]: ?
Sep 06 14:24:45 SERVER prosody[29871]: failed!
Sep 06 14:24:45 SERVER systemd[1]: prosody.service: control process exited, code=exited status=1
Sep 06 14:24:45 SERVER systemd[1]: Failed to start LSB: Prosody XMPP Server.
Sep 06 14:24:45 SERVER systemd[1]: Unit prosody.service entered failed state.
root@SERVER:/etc/prosody# journalctl -xn
-- Logs begin at Don 2016-08-18 21:17:01 CEST, end at Die 2016-09-06 14:25:08 CEST. --
Sep 06 14:24:45 SERVER prosody[29871]: failed!
Sep 06 14:24:45 SERVER systemd[1]: prosody.service: control process exited, code=exited status=1
Sep 06 14:24:45 SERVER systemd[1]: Failed to start LSB: Prosody XMPP Server.
-- Subject: Unit prosody.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit prosody.service has failed.
-- 
-- The result is failed.
Sep 06 14:24:45 SERVER systemd[1]: Unit prosody.service entered failed state.
Sep 06 14:25:01 SERVER CRON[29885]: pam_unix(cron:session): session opened for user root by (uid=0)
Sep 06 14:25:01 SERVER CRON[29884]: pam_unix(cron:session): session opened for user munin by (uid=0)
Sep 06 14:25:01 SERVER CRON[29886]: (root) CMD (if [ -x /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 12 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then /etc/munin/plugins/apt
Sep 06 14:25:01 SERVER CRON[29885]: pam_unix(cron:session): session closed for user root
Sep 06 14:25:01 SERVER CRON[29887]: (munin) CMD (if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi)
Sep 06 14:25:08 SERVER CRON[29884]: pam_unix(cron:session): session closed for user munin
lines 1-18/18 (END)

Im /var/log/prosody/prosody.err und .log werden nun keine Fehler geloggt.

Eine Verbindung versuchen Conversations sowie Empathy aufzubauen, dies schlägt aber fehl.

Vielleicht findet irgendwer den Fehler? Bitte um Hilfe!

[rendegast]

... -> ../../ssl/private/ssl-cert-snakeoil.key

Bei mir

Code: Alles auswählen

# ls -ld private/ private/ssl-cert-snakeoil.key
drwx--x--- 2 root ssl-cert 4096 Sep 26  2013 private/
-rw-r----- 1 root ssl-cert 1679 Jan 15  2012 private/ssl-cert-snakeoil.key

Damit kann prosody, wenn es nicht als root läuft, den priv-Key nicht lesen.

[AnonymusChaotic]

Damit kann prosody, wenn es nicht als root läuft, den priv-Key nicht lesen.

Aber prosody läuft ja nicht als root, kann daher nie auf den key zugreifen und hätte dann ein Problem?

Das eigentliche Problem, dass Prosody nicht startet, wird damit auch nicht behoben - bei einer Vergabe der Dateiberechtigungen von 777 (testweise) dürfte die Lesbarkeit der Dateien keine Probleme bereiten?

[rendegast]

bei einer Vergabe der Dateiberechtigungen von 777 (testweise) dürfte die Lesbarkeit der Dateien keine Probleme bereiten?

Es gibt Programme, die das lösen indem sie höherberechtigt starten, meist als root, um zBsp. solche Zertififikate einzulesen, und dann zu einem weniger berechtigten Account umschalten.
Falls prosody nicht so ein Kandidat ist, ginge das Hinzufügen des entsprechenden Benutzers zur Guppe ssl-cert,
der dann aber wirklich nur für das Betreiben von prosody sein sollte.
Also nicht ein Desktop-User.

Alternativ das Erstellen eines Key/Zertifikats nur für prosody, mit entsprechendem Verteilen des public-Teils davon.




----------------------------------------------------------------------------------------------------
Das Paket prosody macht in der postinst das Hinzufügen zur Gruppe ssl-cert:

Code: Alles auswählen

case "$1" in
  configure)
        if ! getent passwd prosody >/dev/null; then
          adduser --disabled-password --quiet --system \
            --home "/var/lib/prosody" --no-create-home \
            --gecos "Prosody XMPP Server" --group prosody
        fi

        # Adding prosody user to the ssl-cert group to use the snakeoil
        # SSL certificate
        if getent group ssl-cert >/dev/null ; then
            adduser --quiet prosody ssl-cert
        fi

Code: Alles auswählen

getent group ssl-cert

resp.
egrep "ssl-cert|prosody" /etc/passwd /etc/group

?
Falls das Zertifikat woanders hinterlegt ist,
muß das Folgen des Links / Pfads für den Benutzer 'prosody' möglich sein.

[AnonymusChaotic]

Ich kann mit Bestimmtheit sagen, dass Prosody auf das SSL-Zertifikat zugreifen kann. Sobald Prosody allerdings auf das SSL-Zertifikat zugreifen kann, restartet das Programm nicht mehr.

Wenn ich allerdings in der Konfigurationsdatei den Eintrag für die SSL-Zertifikatsdateien (erstellt durch den LetsEncrypt-Automatismus) auskommentiere und durch meine zertifizierten ersetze (auf die Prosody garantiert Vollzugriff hat, mit sudo -u prosody nano DATEI getestet), bekomme ich folgende Fehlermeldung:

Wenn ich allerdings in der Konfigurationsdatei den default-Eintrag für die default-SSL-Zertifikatsdateien auskommentiere und durch meine LetsEncrypt-zertifizierten ersetze (erstellt durch den LetsEncrypt-Automatismus, auf die Prosody garantiert Vollzugriff hat, mit sudo -u prosody nano DATEI getestet), bekomme ich folgende Fehlermeldung:

Geänderter Teil der Config:
CODE: ALLES AUSWÄHLEN
-- These are the SSL/TLS-related settings. If you don't want
-- to use SSL/TLS, you may comment or remove this
--ssl = {
--   key = "/etc/prosody/certs/localhost.key";
--   certificate = "/etc/prosody/certs/localhost.crt";
--}

ssl = {
   key = "/etc/letsencryptprosody/privkey.pem";
   certificate = "/etc/letsencryptprosody/fullchain.pem";
}
-- Force clients to use encrypted connections? This option will
-- prevent clients from authenticating unless they are using encryption.

c2s_require_encryption = true

-- Force certificate authentication for server-to-server connections?
-- This provides ideal security, but requires servers you communicate
-- with to support encryption AND present valid, trusted certificates.
-- NOTE: Your version of LuaSec must support certificate verification!
-- For more information see http://prosody.im/doc/s2s#security

s2s_secure_auth = true


CODE: ALLES AUSWÄHLEN
root@SERVER:/etc/prosody# service prosody restart
Job for prosody.service failed. See 'systemctl status prosody.service' and 'journalctl -xn' for details.
root@SERVER:/etc/prosody# systemctl status prosody.service
● prosody.service - LSB: Prosody XMPP Server
   Loaded: loaded (/etc/init.d/prosody)
   Active: failed (Result: exit-code) since Die 2016-09-06 14:24:45 CEST; 8s ago
     Docs: file:///etc/insserv/overrides/prosody
  Process: 29307 ExecStop=/etc/init.d/prosody stop (code=exited, status=0/SUCCESS)
  Process: 28840 ExecReload=/etc/init.d/prosody reload (code=exited, status=0/SUCCESS)
  Process: 29871 ExecStart=/etc/init.d/prosody start (code=exited, status=1/FAILURE)

Sep 06 14:24:45 SERVER prosody[29871]: Starting Prosody XMPP Server: prosodylua5.1: /usr/lib/prosody/core/certmanager.lua:94: attempt to index field 'context' (a nil value)
Sep 06 14:24:45 SERVER prosody[29871]: stack traceback:
Sep 06 14:24:45 SERVER prosody[29871]: /usr/lib/prosody/core/certmanager.lua:94: in function 'create_context'
Sep 06 14:24:45 SERVER prosody[29871]: /usr/bin/prosody:274: in function 'init_global_state'
Sep 06 14:24:45 SERVER prosody[29871]: /usr/bin/prosody:396: in main chunk
Sep 06 14:24:45 SERVER prosody[29871]: [C]: ?
Sep 06 14:24:45 SERVER prosody[29871]: failed!
Sep 06 14:24:45 SERVER systemd[1]: prosody.service: control process exited, code=exited status=1
Sep 06 14:24:45 SERVER systemd[1]: Failed to start LSB: Prosody XMPP Server.
Sep 06 14:24:45 SERVER systemd[1]: Unit prosody.service entered failed state.
root@SERVER:/etc/prosody# journalctl -xn
-- Logs begin at Don 2016-08-18 21:17:01 CEST, end at Die 2016-09-06 14:25:08 CEST. --
Sep 06 14:24:45 SERVER prosody[29871]: failed!
Sep 06 14:24:45 SERVER systemd[1]: prosody.service: control process exited, code=exited status=1
Sep 06 14:24:45 SERVER systemd[1]: Failed to start LSB: Prosody XMPP Server.
-- Subject: Unit prosody.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/li ... temd-devel
--
-- Unit prosody.service has failed.
--
-- The result is failed.
Sep 06 14:24:45 SERVER systemd[1]: Unit prosody.service entered failed state.
Sep 06 14:25:01 SERVER CRON[29885]: pam_unix(cron:session): session opened for user root by (uid=0)
Sep 06 14:25:01 SERVER CRON[29884]: pam_unix(cron:session): session opened for user munin by (uid=0)
Sep 06 14:25:01 SERVER CRON[29886]: (root) CMD (if [ -x /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 12 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then /etc/munin/plugins/apt
Sep 06 14:25:01 SERVER CRON[29885]: pam_unix(cron:session): session closed for user root
Sep 06 14:25:01 SERVER CRON[29887]: (munin) CMD (if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi)
Sep 06 14:25:08 SERVER CRON[29884]: pam_unix(cron:session): session closed for user munin
lines 1-18/18 (END)


Im /var/log/prosody/prosody.err und .log werden nun keine Fehler geloggt.

Mich interessiert hauptsächlich, warum prosody dann nicht mehr startet.

Die Tatsache, dass Prosody auf die im certs-ordner verlinkten Programme keinen Zugriff hat ist verwunderlich, möglicherweise ein bug, aber für mich kein Problem.

[rendegast]

... /usr/lib/prosody/core/certmanager.lua:94: attempt to index field 'context' (a nil value)

Scheint ein Programmfehler, vielleicht verursacht durch die Struktur des erzeugten crt/key.


Versuch mit anderem prosody?

prosody 0.9.10 stretch/testing ließe sich wohl auch ob der im Paket steckenden ELF-libs in jessie installieren,
hier:

Code: Alles auswählen

$ aptitude -s install prosody --without-recommends
Die folgenden NEUEN Pakete werden zusätzlich installiert:
  lua-expat{a} [1.3.0-2]  lua-filesystem{a} [1.6.2-3]  lua-socket{a} [3.0~rc1-3]  lua5.1{a} [5.1.5-7.1]  prosody [0.9.7-2+deb8u3]  
Die folgenden Pakete werden EMPFOHLEN, aber NICHT installiert:
  lua-event  lua-sec  
0 Pakete aktualisiert, 5 zusätzlich installiert, 0 werden entfernt und 8 nicht aktualisiert.
379 kB an Archiven müssen heruntergeladen werden. Nach dem Entpacken werden 1.964 kB zusätzlich belegt sein.
Möchten Sie fortsetzen? [Y/n/?] 


$ aptitude -s install prosody/stretch 
Die folgenden NEUEN Pakete werden zusätzlich installiert:
  libssl1.0.2{a} [1.0.2h-1]  lua-event{a} [0.4.3-1]  lua-expat{a} [1.3.0-2]  lua-filesystem{a} [1.6.2-3]  lua-sec{a} [0.5-1]  lua-socket{a} [3.0~rc1-3]  
  lua5.1{a} [5.1.5-7.1]  prosody [0.9.10-1]  
0 Pakete aktualisiert, 8 zusätzlich installiert, 0 werden entfernt und 8 nicht aktualisiert.
1.705 kB an Archiven müssen heruntergeladen werden. Nach dem Entpacken werden 5.955 kB zusätzlich belegt sein.
Möchten Sie fortsetzen? [Y/n/?] 



# Auch die lua-Helfer aus stretch

$ aptitude -s install prosody -t stretch --without-recommends
Die folgenden NEUEN Pakete werden zusätzlich installiert:
  libssl1.0.2{a} [1.0.2h-1]  lua-expat{a} [1.3.0-3]  lua-filesystem{a} [1.6.3-1]  lua-sec{a} [0.5.1-1]  lua-socket{a} [3.0~rc1+git+321c0c9-1]  
  lua5.1{a} [5.1.5-8.1]  prosody [0.9.10-1]  
Die folgenden Pakete werden EMPFOHLEN, aber NICHT installiert:
  lua-event  
0 Pakete aktualisiert, 7 zusätzlich installiert, 0 werden entfernt und 1794 nicht aktualisiert.
1.698 kB an Archiven müssen heruntergeladen werden. Nach dem Entpacken werden 5.917 kB zusätzlich belegt sein.
Möchten Sie fortsetzen? [Y/n/?]


$ aptitude -s install prosody -t stretch 
Die folgenden NEUEN Pakete werden zusätzlich installiert:
  libssl1.0.2{a} [1.0.2h-1]  lua-event{a} [0.4.3-2]  lua-expat{a} [1.3.0-3]  lua-filesystem{a} [1.6.3-1]  lua-sec{a} [0.5.1-1]  
  lua-socket{a} [3.0~rc1+git+321c0c9-1]  lua5.1{a} [5.1.5-8.1]  prosody [0.9.10-1]  
0 Pakete aktualisiert, 8 zusätzlich installiert, 0 werden entfernt und 1794 nicht aktualisiert.
1.712 kB an Archiven müssen heruntergeladen werden. Nach dem Entpacken werden 5.974 kB zusätzlich belegt sein.
Möchten Sie fortsetzen? [Y/n/?] 

Beim Hinzufügen des stretch-Repo entsprechendes apt-pinning setzen,
oder die Pakete herunterladen und händisch ('dpkg -i *.deb') installieren.

[AnonymusChaotic]

Nachdem das ein Produktivsystem ist, will ich da nicht allzuviel experimentieren.
Habe keine Lust, mir das System zu zerschießen...

Ich werde dann demnächst einen Bugreport erstellen.

Vielleicht gibt es eine Jabber-Serversoftware, die wie Telegram die Nachrichten am Server abspeichert und dadurch von mehreren Geräten zugänglich macht?

Bisher habe ich das vergeblich gesucht

[rendegast]

Ich habe gesucht und etwas derart gefunden, ein Fehler
"/usr/lib/prosody/net/xmppserver_listener.lua:105: attempt to index field 'conn' (a nil value)"
https://bugs.debian.org/cgi-bin/bugrepo ... bug=656579

Der Fehler selbst wurde nicht lokalisiert,
die "Lösung" bestand in Upgrade prosody 0.8.2 -> 0.9.7.

[AnonymusChaotic]

Ich habe jetzt zwischenzeitlich mal ejabberd ausprobiert, das ich mit müh und Not zum laufen gebracht habe, allerdings konnte ich mich mit Apps von meinem Mobiltelefon nicht verbinden (Server nicht gefunden)!, was nicht besonders sinnvoll ist, da ich xmpp als mobilmessenger nutzen möchte.
Aus diesem Grund ejabberd wieder runtergeworfen (ich kann ja jederzeit wieder neu installieren und die Config einfügen).

Anschließend habe ich das Prosody aus den Quellen von https://prosody.im/download/package_repository installiert, was nur in weiteren Errors geendet hat:

• Offensichtlich gibt es ein Problem mit IPv6, das mein Server nicht unterstützt - ein ipv6-Kernelmodul zu installieren, ohne dass mein Provider IPv6 anbietet, führt vermutlich in Zukunft zu weiteren Fehlern?
• Die Verfügbarkeit der von der Installationsroutine erzeugten zertifikate bewirkt in weiterer Folge Fehler in apt-get, sodass die Installation fehlschlägt - Allerdings lässt sich Prosody starten, wenn man die Zertifikate verschiebt (was nicht Ziel der Übung ist, schließlich will ich ja mit Verschlüsselung kommunizieren.)
• Die vorgeschlagenen Pakete lua-event liblua5.1-event0 liblua5.1-event-prosody0 sind teilweise nicht verfügbar.

Installations-Log von Prosody: 39492
service prosody status: 39493
systemctl status prosody.service: 39495
journalctl -xn: 39494
tail -f --lines 100 /var/log/syslog: 39496

Ich habe mehrmals versucht, den Server zu installieren (und dann wieder mit apt-get purge prosody entfernt).
Die Ergebnisse unterscheiden sich voneinander nicht nennenswert.

EDIT:
Ich habe, nachdem apt mit einem Fehler geendet hat, die Zertifikatspfade auf nicht existente Dateien geleitet, wodurch die Installation abgeschlossen werden konnte und Prosody startet - der Fehler besteht aber weiterhin.

EDIT2:
Auch mit den LetsEncrypt-Zertifikaten funktioniert das nicht.

EDIT3:

Code: Alles auswählen

root@niemeczek:/etc/prosody# prosodyctl about
Prosody 0.9.10

# Prosody directories
Data directory:  	/var/lib/prosody
Plugin directory:	/usr/lib/prosody/modules/
Config directory:	/etc/prosody
Source directory:	/usr/lib/prosody

# Lua environment
Lua version:             	Lua 5.1

Lua module search paths:
  /usr/lib/prosody/?.lua
  /usr/local/share/lua/5.1/?.lua
  /usr/local/share/lua/5.1/?/init.lua
  /usr/local/lib/lua/5.1/?.lua
  /usr/local/lib/lua/5.1/?/init.lua
  /usr/share/lua/5.1/?.lua
  /usr/share/lua/5.1/?/init.lua

Lua C module search paths:
  /usr/lib/prosody/?.so
  /usr/local/lib/lua/5.1/?.so
  /usr/lib/x86_64-linux-gnu/lua/5.1/?.so
  /usr/lib/lua/5.1/?.so
  /usr/local/lib/lua/5.1/loadall.so

LuaRocks:        	Not installed

# Lua module versions
lfs:     	LuaFileSystem 1.6.2
lxp:     	LuaExpat 1.3.0
pposix:  	0.3.6
socket:  	LuaSocket 3.0-rc1
ssl:     	0.5.PR

[DeletedUserReAsG]

Nachdem ich gestern selbst mal versucht habe, meinen Prosody mit dem Let’sEncrypt-Kram zum laufen zu bringen (unabhängig von diesem Thread, hab’ allgemein mit LE rumgespielt): mit fullchain.pem als Cert startet’s auch hier nicht, mit cert.pem tut’s das zwar, aber die Clients werfen ein „unknown issuer“ und man muss es bestätigen → da kann man auch beim selbstsignierten Cert bleiben. Getestet mit Prosody 0.9.10-2 (wie’s derzeit in Arch enthalten ist) und Gajim 0.16.5.

Wenn ich eine Lösung finden sollte, melde ich mich hier wieder. Da’s allerdings keine zu hohe Priorität bei mir hat, kann das etwas dauern oder auch gar nicht passieren.