readme

2026-03-21 00:14:22 +03:00 · 2026-03-21 00:14:22 +03:00 · 41c2f9d07b
commit 41c2f9d07b
parent 2e8c8ebdde
1 changed files with 263 additions and 0 deletions
--- a/README.md
+++ b/README.md
@ -0,0 +1,263 @@
 # Jabogram
 XMPP-сервер для мессенджера с поддержкой голосовых/видеозвонков и хранением медиафайлов в S3.
 **Стек:**
 - [Snikket](https://snikket.org/) (Prosody) — XMPP-сервер
 - PostgreSQL 17 — хранение данных Prosody
 - rclone — монтирование S3-бакета как локальной директории
 - Docker Compose — оркестрация сервисов
 ---
 ## Структура репозитория
 ```
 jabogram/
 ├── server/          # Docker Compose + конфиги Snikket/Prosody
 │   ├── scripts/     # Скрипты управления пользователями
 │   └── ...
 └── s3-mount/        # Скрипты монтирования S3 через rclone
 ```
 ---
 ## Установка с нуля
 ### 1. Требования к серверу
 - Ubuntu 22.04+ (или Debian 12+)
 - Docker + Docker Compose plugin
 - Публичный IP-адрес
 - Домен, указывающий на этот IP
 ### 2. DNS-записи
 Создайте три записи для вашего домена (замените `chat.example.org` на свой):
 | Тип   | Имя                        | Значение           |
 |-------|----------------------------|--------------------|
 | A     | `chat.example.org`         | IP-адрес сервера   |
 | CNAME | `groups.chat.example.org`  | `chat.example.org` |
 | CNAME | `share.chat.example.org`   | `chat.example.org` |
 Записи должны быть активны до первого запуска — они нужны для получения TLS-сертификатов.
 ### 3. Настройка файрвола
 ```bash
 ufw allow 80/tcp
 ufw allow 443/tcp
 ufw allow 5222/tcp     # XMPP client-to-server
 ufw allow 5269/tcp     # XMPP server-to-server (федерация)
 ufw allow 5000/tcp     # Proxy65 (передача файлов)
 ufw allow 3478/udp
 ufw allow 3478/tcp     # STUN/TURN
 ufw allow 5349/tcp
 ufw allow 5349/udp     # TURNS (TURN over TLS)
 ufw allow 49152:65535/udp  # TURN relay (аудио/видео)
 ```
 ### 4. Монтирование S3 через rclone
 S3-бакет монтируется в `/mnt/snikket-files` и пробрасывается в контейнер Snikket — именно туда сохраняются файлы, загруженные через XMPP (XEP-0363 HTTP File Upload).
 #### 4.1. Установка rclone и fuse3
 ```bash
 cd s3-mount
 sudo bash install-rclone.sh
 ```
 Скрипт установит `fuse3`, скачает и установит `rclone`, после чего запустит `rclone config` для интерактивной настройки удалённого хранилища.
 При конфигурации создайте remote с именем `jabogram-vk` (или измените имя в `rclone-snikket.service`), выбрав тип `s3` и указав ключи доступа к вашему S3-совместимому хранилищу.
 #### 4.2. Настройка systemd-сервиса
 Отредактируйте `s3-mount/rclone-snikket.service` при необходимости — проверьте путь к бакету:
 ```ini
 ExecStart=/usr/bin/rclone mount \
    jabogram-vk:jabogram/http_file_share \   # <remote>:<bucket>/<path>
    /mnt/snikket-files \
    ...
 ```
 Установите сервис:
 ```bash
 cd s3-mount
 sudo bash install-service.sh
 ```
 Сервис запустится автоматически и будет стартовать при загрузке системы раньше Docker.
 Проверьте монтирование:
 ```bash
 systemctl status rclone-snikket
 ls /mnt/snikket-files
 ```
 ### 5. Настройка сервера
 ```bash
 cd server
 ```
 #### 5.1. snikket.conf
 ```bash
 cp snikket.conf.example snikket.conf
 ```
 Обязательно задайте:
 ```ini
 SNIKKET_DOMAIN=chat.example.org     # ваш домен (нельзя изменить после первого запуска!)
 SNIKKET_ADMIN_EMAIL=you@example.org # email для Let's Encrypt
 ```
 #### 5.2. prosody.cfg.lua
 ```bash
 cp prosody.cfg.lua.example prosody.cfg.lua
 ```
 Замените `chat.example.org` на свой домен в строке:
 ```lua
 http_upload_external_base_url = "http://chat.example.org:5050/upload/"
 ```
 > Файл монтируется в контейнер Snikket как `/etc/prosody/conf.d/custom.cfg.lua` и задаёт PostgreSQL-бэкенд и внешний обработчик загрузки файлов.
 #### 5.3. secrets.env
 ```bash
 cp secrets.env.example secrets.env
 ```
 Заполните реальными значениями:
 ```ini
 UPLOAD_SECRET=случайная-строка-32-символа
 AWS_ACCESS_KEY_ID=ваш-ключ
 AWS_SECRET_ACCESS_KEY=ваш-секретный-ключ
 POSTGRES_PASSWORD=надёжный-пароль
 ```
 > `UPLOAD_SECRET` должен совпадать с `http_upload_external_secret` в `prosody.cfg.lua` — они уже связаны через `os.getenv("UPLOAD_SECRET")`.
 #### 5.4. docker-compose.yml — путь монтирования файлов
 В `docker-compose.yml` найдите строку вида:
 ```yaml
 - /mnt/snikket-files:/snikket/prosody/share%2ejbr%2ebvn13%2eme/http_file_share
 ```
 Часть `share%2ejbr%2ebvn13%2eme` — это URL-encoded путь вида `share.<домен>`. Замените на свой домен:
 ```yaml
 - /mnt/snikket-files:/snikket/prosody/share%2echat%2eexample%2eorg/http_file_share
 ```
 Правило кодирования: каждая точка `.` заменяется на `%2e`.
 ### 6. Первый запуск
 ```bash
 cd server
 docker compose up -d
 ```
 Подождите ~30 секунд, пока Snikket получит TLS-сертификаты. Затем создайте администратора:
 ```bash
 docker exec snikket create-invite --admin --group default
 ```
 Команда выведет инвайт-ссылку вида `https://chat.example.org/invite/...` — откройте её в браузере для регистрации первого администратора.
 ---
 ## Управление пользователями
 Все скрипты находятся в `server/scripts/` и читают `SNIKKET_DOMAIN` из `snikket.conf`.
 | Скрипт                | Действие                              |
 |-----------------------|---------------------------------------|
 | `invite-new.sh`       | Создать инвайт для обычного пользователя |
 | `invite-new-admin.sh` | Создать инвайт для администратора     |
 | `invite-list.sh`      | Показать список инвайтов              |
 | `invite-revoke.sh`    | Отозвать инвайт                       |
 | `user-delete.sh`      | Удалить пользователя                  |
 | `cmd.sh`              | Выполнить произвольную команду prosodyctl |
 ---
 ## Обновление
 ```bash
 cd server
 docker compose pull
 docker compose up -d
 ```
 ---
 ## Бэкап
 ```bash
 cd server
 # Данные Snikket (аккаунты, сертификаты, настройки)
 docker run --rm \
  -v jabogram_snikket_data:/data \
  -v $(pwd):/backup \
  alpine tar czf /backup/snikket-backup.tar.gz -C /data .
 # База данных PostgreSQL
 docker exec snikket-postgres pg_dump -U snikket snikket \
  | gzip > snikket-pg-backup.sql.gz
 ```
 Медиафайлы хранятся в S3-бакете и бэкапируются отдельно средствами вашего S3-провайдера.
 ---
 ## Архитектура хранения файлов
 ```
 XMPP-клиент
    │
    │ 1. Запрос слота (XEP-0363)
    ▼
 Prosody (mod_http_upload_external)
    │
    │ 2. Выдаёт подписанный URL → http://chat.example.org:5050/upload/...
    ▼
 s3_upload_handler (порт 5050)
    │
    │ 3. Проверяет HMAC, сохраняет файл в S3
    │    (или через /mnt/snikket-files, смонтированный rclone)
    ▼
 S3-бакет
 ```
 ---
 ## Открытые порты
 | Порт          | Протокол | Назначение                     |
 |---------------|----------|--------------------------------|
 | 80            | TCP      | HTTP (ACME, редирект на HTTPS) |
 | 443           | TCP      | HTTPS (веб-портал, файлы)      |
 | 5222          | TCP      | XMPP client-to-server          |
 | 5269          | TCP      | XMPP server-to-server          |
 | 5000          | TCP      | Proxy65 (передача файлов)      |
 | 5050          | TCP      | S3 upload handler              |
 | 3478, 5349    | TCP+UDP  | STUN/TURN (звонки)             |
 | 49152–65535   | UDP      | TURN relay (аудио/видео)       |