تنظیمات سرور برای عملیات دوستانه داده های Phuket Phuket IT Security Blog

1. تنظیم

Jitsi Meet یک سیستم کنفرانس ویدئویی منبع باز ، منبع باز است ، که می تواند به عنوان یک جایگزین برای حفظ حریم خصوصی برای خدمات اختصاصی مانند زوم ، تیم MS ، اسکایپ ، سیسکو وببکس و غیره پشتیبانی شود. و استفاده ساده است و اجازه می دهد تا کنفرانس ویدیویی ناشناس بدون تبلیغات و ردیابی انجام شود. برای استفاده از حساب کاربری لازم نیست فقط یک مرورگر وب (که از WebRTC پشتیبانی می کند) یا برنامه Android یا iOS استفاده کنید. کاربران حساس به حفاظت از داده همچنین می توانند برنامه Jitsi Meet را در فروشگاه F-Droid پیدا کنند.

چند هفته از شیوع بیماری همه گیر تاج می گذرد. بنابراین تعدادی دستورالعمل نصب و بهره برداری از نمونه سلف سرویس از Jitisi Meet وجود دارد. من می خواهم این دستورالعمل ها را دنبال کنم و تنظیمات و نکاتی را در این مقاله ارائه دهم که باعث می شود Jitsi Meet ایمن تر و دوستانه تر از داده باشد.

توجه : نكات مربوط به نصب Jitsi در دبي GNU / Linux است ، اما مي توانيد به بخش هاي Docker يا Ubuntu نيز برويد.

2. دستورالعمل های نصب Jitsi Meet

در زیر پیوندهایی با دستورالعمل نصب Jitsi Meet نصب شده است که در سطح جزئیات ، زبان و تنظیمات آنها متفاوت است. علاوه بر رویکردهای مختلف ، هر راهنما برای پشتیبانی از نمونه شخصی شما از دیدار با جیتسی طراحی شده است:

دریغ نکنید که در مورد دستورالعمل های دیگری که باید ذکر شود یادداشت بگذارید. غیرفعال کردن اتصالات خارجی از gravatar.com و شرکت

با استفاده از فهرست تنظیمات ، Jitsi Meet به شرکت کنندگان امکان می دهد مشخصات یا نام خود را که پس از آن در کنفرانس نمایش داده می شود ، سفارشی کنند. با کلیک بر روی تنظیمات (نماد چرخ) شما را به یک منوی کوچک منتقل خواهید کرد که در آن می توانید دستگاه ها ، مشخصات و دیگر (زبان) خود را پیکربندی کنید. آدرس ایمیل برای Gravatar را می توان در Profile وارد کرد. ورود به آنجا ، به نوبه خود ، اتصال به gravatar.com را راه اندازی می کند:

  https://www.gravatar.com/avatar/ee1bf01414aeaeffbb3fe3d33a2aaf9480؟d=404&size=200 

من شخصاً به یک سرویس شخص ثالثی مانند gravatar.com وصل می شوم. اجتناب شود. این کار با استفاده از پیکربندی به شرح زیر انجام می شود:

  nano / etc. / jitsi / meet / [19459012[-configjs[19659013[disableThirdPartyRequests:true

سپس درخواست های شخص ثالث غیرفعال می شوند. این روی تنظیمات سرور STUN و TURN تأثیر نمی گذارد.

4. محدود کردن ورود به سیستم

به طور پیش فرض ، جیتسی با کشتی هایی با سطح ورود به سیستم INFO ملاقات کرد. در این حالت ، پل ویدئویی آدرس IP شرکت کنندگان را ضبط می کند. از آنجا که نمی خواهم این اطلاعات را جمع آوری و ذخیره کنم ، سطح ورود به سیستم را به هشدار داده ام :

  nano /etc/jitsi/videobridge/logging.propertiesociation19659013ivalslevel=WARNINGociation19659016455 بدون "تبلیغات" برنامه با ماژول های ردیابی  
  متأسفانه ، تلاش برای حذف ماژول های ردیابی از نسخه Jitsi Meet برای iOS و Android تاکنون ناکام مانده است. موضوع مربوط به شماره 5799 متاسفانه بدون بحث بیشتر بسته شد. متأسفانه در حال حاضر عملکرد مطابق با داده در نسخه های iOS و Android امکان پذیر نیست. هر دو نسخه شامل سه ماژول ردیابی هستند: 
 
 
  Google CrashLytics 
 
  Google Firebase Analytics 
 
  Amplitude 
 
 
  بنابراین ، استفاده از برنامه Jitsi از فروشگاه های رسمی اپل و گوگل توصیه نمی شود. درمانی برای اندروید وجود دارد. نسخه F-Droid کاملاً بدون ردیاب است. بنابراین ، این توصیه اعمال می شود: 
 
 
  آیا Jitsi Meet فقط بر روی رایانه (از طریق مرورگر) 
 
 کار می کند یا از نسخه F-Droid در Android استفاده می کند 
 
 
  اما اپراتورهای سرور نیز در ردیابی تأثیر دارند یا می توانند از  سفارشی سازی لینک استفاده کنند  که شرکت کننده هنگام فراخوانی توسط مرورگر روی دستگاه تلفن همراه خود را مشاهده می کند: 
 
   
 
  این پیوند به طور پیش فرض بسته به بستر دستگاه (Android / iOS) به Google Play یا فروشگاه اپل. با تغییر پیکربندی ، اپراتورها می توانند حداقل پیوندی را برای کاربران اندرویدی ایجاد کنند تا بدون پیگیری در فروشگاه F-Droid به نسخه وصل شوند: 
 
  nano /usr/share/jitsi-meet/interface_config.jsociation19659013] SHOW_CHROME_EXTENSION_BANNER: false،

/ **
* برای بارگیری برنامه تلفن همراه آندروید ، یک URL اختصاصی تهیه کنید.
* /
MOBILE_Download_LINK_ANDROID: "https://f-droid.org/fa/packages/org.jitsiociation19659019ociation6SerwerSTUNorTURNroulette19659006] پروتکل STUN مشتریانی را می شناسد که مثلاً پشت روتر یا فایروال هستند و آدرس NAT دارند. با استفاده از یک سرور STUN ، مشتریان Nat می توانند آدرس IP عمومی خود را پیدا کرده و سپس ارتباط مستقیمی بین (دو) شرکت کننده برقرار کنند. برای جلوگیری از ارسال آدرس IP به ارائه دهندگان خارجی ، می توانید سرور STUN / TURN خود را عملی کنید. از طرف دیگر ، البته ، شما به سادگی می توانید سرورهای STUN موجود را که در دسترس عموم است انتخاب کنید. 
 
  6.1 سفارشی سازی سرورهای STUN 
 
  متأسفانه ، فقط چند هفته پیش Jitsi Meet با سرورهای STUN گوگل در پیکربندی استاندارد تحویل داده شد. به عنوان یک اپراتور حساس به حفاظت از داده ، سرور نمونه STUN بنابراین باید اقتباس شود. برای این کار ، پرونده  config.js  را که می توانید در دبیان در مسیر 
 
  / etc / jitsi / meet /  -config.js 
 پیدا کنید ، باز کنید. مدخل های زیر را وارد کنید: 
  stunServers: [
{آدرس: 'stun: stun.l.google.com: 19302'} ،
{آدرس: 'stun1.l.google.com: 19302'}
] 
  شما باید سرور Google STUN را با یک سرور عمومی دیگر STUN جایگزین کنید. به عنوان مثال سرورهای STUN Working: [19659021[stun1und1de:3478[19659022[stunt-online:3478[19659022[stunnextcloudcom:443

  [62Coturnserverserver

  شخصاً ، من سرور STUN / TURN خودم را براساس cot شروع کردم. علاوه بر سرور Jitsi Meet ، من سرور اصلی دیگری را نیز راه اندازی کردم که فقط با وضوح STUN و انتقال داده های صوتی و تصویری از طریق TURN سروکار دارد. سرور TURN مخصوصاً برای مشتریانی که مثلاً در پشت یک فایروال شرکت هستند که بسته های پل ویدیویی را در UDP 10000 اجازه نمی دهد مفید است. 

  من می خواهم تنظیمات coturn را به شرح زیر ارائه دهم: 
  # listen-port = 3478
tls-listen-port = 443
listen-ip = 
رله-ip = 
اثر انگشت
استفاده تایید محرمانه
static-auth-secret = 
قلمرو = stun.kuketz-meet.de
مقدار کل = 100
ظرفیت bps = 0
بدون بی سیم
بدون TCP
stale-nonce = 600
cert = / etc / ssl / certs / stun.kuketz-meet_ecdsa.pem
pkey = / etc / ssl / private / stun.kuketz-meet_ecdsa.key
cipher-list = "ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-A: -GCM-SHA256 "
ec-curve-name = secp384r1
فایل dh = / etc / ssl / certs / dhparam.pem
بدون ورود به سیستم خروجی استاندارد
log-file = / var / log / turnserver.log
یک دفتر خاطرات ساده
بدون همسالان
cli-port = 5766
بدون TLSv1
no-tlsv1_1 
  برای اینکه بعداً از Jitsi Meet بعنوان سرور Coturn استفاده کند ، باید تنظیمات زیر انجام شود: 
  nano / etc / jitsi / tak / / [19459012[-configjs[19659013[stunServers:[
   { urls: 'stun.kuketz-meet.de:443' } ] 
  و در دو مکان پارامتر  useStunTurn  باید حذف یا تنظیم شود  true : 
  useStunTurn: true،

[...]

p2p:
useStunTurn: true، 
  تمام اینها نیست ، زیرا پیکربندی prosod نیز باید تنظیم شود: 
  nano /etc/prosody/conf.avail/roulette19459012roulette.cfg.luaociation19659013 موفقturncredentials_secret = "euerSecret"؛ {
{نوع = "stun" ، host = "stun.kuketz-meet.de" ، بندر = "443"} ،
{نوع = "نوبت" ، میزبان = "stun.kuketz-meet.de" ، بندر = "443" ، حمل و نقل = "udp"} ،
{type = "چرخش" ، host = "stun.kuketz-meet.de" ، port = "443"، transport = "tcp"}}؛ 
  همه خدمات را مجدداً راه اندازی کنید: 
  سرویس راه اندازی مجدد jicofo
راه اندازی مجدد سرویس prosody
سرویس راه اندازی مجدد jitsi-videobridge2 
  سپس Jitsi Meet درخواست های STUN و TURN را به سرور Coturn خود ارسال می کند. 
  7. بیانیه محافظت از داده ها 
  البته هر نمونه از Jitsi Meet باید دارای یک بیانیه محافظت از داده باشد. می توانید از معدن به عنوان الگو استفاده کنید. فقط یک درخواست: 1: 1 را کپی نکنید بلکه اصلاح کنید و شاید ساختار خود را نیز وارد کنید یا آن را با نیازهای خود تطبیق دهید. 
  برای ایجاد پیوند در صفحه زیر صفحه صفحه استقبال از Jitsi ، تصحیح زیر پرونده CSS را از Jitsi ملاقات کنید. به سادگی در پایین فایل قرار داده و ذخیره کنید: 
  nano /usr/share/jitsi-meet/css/all.cssociation19659013ociation.welcome .welcome-watermark {مورد: مطلق؛ عرض: 100٪؛ ارتفاع: خودکار
#footer {margin-top: 20px؛ حاشیه پایین: 20px؛ font-size: 14px} 
  در مرحله بعد ، صفحه یا پیوند را پیوست کنید: 
  nano / usr / share / jitsi-meet /static/welcomePageAdditionalContent.htmlociation19659013ասնزدانه19459021]

 توسط وبلاگ Kuketz  نشر نشر   اطلاع رسانی در مورد حفاظت از داده ها   کمکهای اولیه در صورت بروز مشکلات 
        این نمونه از جیتسی  دوستانه حفظ حریم خصوصی  است و  از سرور گوگل STUN  استفاده نمی کند. 

 
  سپس کافیست nginx یا سرور وب را دوباره فعال کنید: 
  سرویس بارگیری nginx 
  8. اصلاحات کوچک 
  می توانید با استفاده از پرونده config.js    از Jitsi ملاقات کنید: 
  nano / etc / jitsi / meet / 
 [-configjs
  
 
  8.1 تنظیمات اضافی را انجام دهید. 19659060] پیش فرض زبانی: "de" ، 
  8.2 کاهش وضوح تصویر از 720 به 480 
  وضوح: 480 ، 
  متأسفانه ، من قادر به ارزیابی چگونگی کاهش وضوح تصویری نیستم ، که بر عملکرد و پهنای باند تأثیر می گذارد. در سخنرانی عمومی من با تعداد مداوم در حال تغییر شرکت کنندگان و کنفرانس ها ، سنجش آن دشوار است. 
  9. تنظیمات فایروال nftables 
  سرانجام ، من پیکربندی فایروال خود را برای Debian GNU / Linux ارائه می دهم ، که می توانید آن را به پیکربندی خود تنظیم کنید. پروژه دبیان اکنون از iptables به nftables تغییر یافته است. بنابراین ، پیکربندی زیر برای nftables طراحی شده است: 
  #! / Usr / sbin / nft -f

####################
# پاکسازی / گرگرفتگی #
####################
مجموعه ای از قوانین گرگرفتگی

####################
# ترافیک ورودی #
####################
فیلتر جداول جدول {
ورودی رشته {
شیر اولویت ورودی نوع فیلتر 0؛ کاهش سیاست؛

# به بسته ها اجازه برقراری ارتباط / مرتبط را بدهید
ct حالت پایدار ، مربوط به قبول

# اتصالات نامعتبر را حذف کنید
افت نادرست از وضعیت CT

# اجازه رابط حلقه باز
iifname lo قبول کن

# اجازه ICMPv4: درخواستهای پینگ پیام های خطا پیام های انتخاب روتر
پروتکل IP نوع icmp icmp request درخواست echo ، پاسخ اکو ، مقصد غیرقابل دسترسی ، زمان بندی ، مشکل پارامترها ، درخواست روتر ، تبلیغات روتر

# مجاز بودن ترافیک ICMPv6 (https://tools.ietf.org/html/rfc4890#page-18)
ip6 nexthdr icmpv6 icmpv6 نوع {هدف غیرقابل دسترسی ، بسته بسیار بزرگ ، اتمام زمان ، درخواست echo ، مشکل با پارامتر ، پاسخ اکو ، مشکل روتر-solicit ، nd-روتر-تبلیغ کننده ، nd-همسایه-solicit ، nd- همسایه-تبلیغات ، آگهی-همسایه-متقاضی ، تبلیغات همسایه - قبول کنید

# اجازه دسترسی SSH به پورت 22
tcp dport 22 قبول کنید

# اجازه به ترافیک HTTP / HTTPS
tcp dport {http، https، 4443 قبول کنید

# مجاز به ترافیک ویدیوی Bridge
udp dport 10،000 قبول می کند

# سایر بسته ها را دور بیندازید
tcp رد IP با تنظیم مجدد tcp
ip6 nexthdr tcp را با تنظیم مجدد tcp دور کنید
}
####################
# حرکت به جلو #
####################
زنجیر به جلو {
نوع فیلتر قلاب به جلو اولویت 0؛ کاهش سیاست؛
}
####################
# ترافیک خروجی #
####################
خروجی زنجیره ای
قلاب فیلتر نوع اولویت 0؛ سیاست قبول می کند؛

# اجازه رابط حلقه باز
oifname lo قبول کن
}
}

  10. نتیجه گیری 
  حتی اگر Jitsi Meet و گزینه های قابل مقایسه با آن نرم افزار منبع باز باشند ، این به طور خودکار به معنای این نیست که آنها همچنین دوستدار حفظ حریم خصوصی هستند. این اغلب به اصلاحاتی نیاز دارد که من در این مقاله خلاصه کردم. اینها فقط مداخلات جزئی هستند اما تأثیر بزرگی دارند. 
  اگر نکات دیگری را می دانید ، آنها را برای من ارسال کنید یا از عملکرد اظهار نظر استفاده کنید. 
   منابع تصویر : 
  دفتر خانه: photo3idea_studio از www.flaticon.com دارای مجوز CC 3.0 BY 

  درباره نویسنده 
   
  نام من مایك كوكتز است و این وبلاگ را برای امنیت   - و  مباحث مربوط به حفاظت از داده  می نویسم با همه قابل فهم و به اشتراک گذاری آسان تر است. 
  در کارهای مستقل من به عنوان  پنتستر  (Kuketz IT-Security) به نقش "هکر" می پردازم و به دنبال نقاط ضعف در سیستم های IT ، برنامه ها و برنامه های اینترنتی هستم. علاوه بر این ، من  مدرس  امنیت فناوری اطلاعات در دانشگاه مضاعف در کارلسروهه و در میان دیگران به عنوان نویسنده مجله رایانه ج. 
  وبلاگ کوکتز یا شخص من به طور منظم در رسانه ها (heise آنلاین ، Sdedeutsche Zeitung و غیره) ارائه می شود. 
  اطلاعات بیشتر ➡ 

   مرا از طریق 
  مرا دنبال کنید] اگر می خواهید در مورد پست های فعلی مطلع شوید ، روش های مختلفی برای دنبال کردن وبلاگ شما وجود دارد: 
  به روز بمانید ➡