Bien que Mozilla soit sans doute respectueux de la vie priv\u00e9e, l'id\u00e9e d'un serveur centralis\u00e9 stockant mes donn\u00e9es personnelles me d\u00e9range toujours. Puisque Mozilla permet d'utiliser un serveur Sync chez soi, profitant en pour garder nos marques pages \u00e0 la maison. Tout en s\u00e9curisant les \u00e9changes via SSL.<\/p>\n
Apr\u00e8s 3 essais infructueux pour installer ce serveur \"simple\" d'installation, j'en ressors victorieux \u00e0 la 4e tentative. Cette m\u00e9thode d'installation, si elle n'est pas \"simple\", permet d'avoir un serveur Sync fonctionnel et s\u00e9curis\u00e9.
\n<\/p>\n
Tout d'abord, histoire de savoir de quoi on parle, rendons-nous chez Mozilla<\/a> pour quelques explications sur le service. A pr\u00e9sent nous pouvons commencer. Je n'ai pas test\u00e9 l'usage d'un certificat auto-sign\u00e9, mais je pense que c'est possiblement probl\u00e9matique. Un retour serait utile.<\/p><\/blockquote>\n Nous allons commencer par installer les paquets n\u00e9cessaires:<\/p>\n Nous utiliseront ici mysql pour supporter la base de donn\u00e9e, qui sera plus facile \u00e0 manipuler lorsqu'il s'agira de g\u00e9rer les utilisateurs.<\/p>\n En cas d'usage de sqlite (le choix par d\u00e9faut), il faudra remplacer les paquets pr\u00e9c\u00e9dents par celui-ci. Toutefois, nous n'explorerons pas cette possibilit\u00e9.<\/p>\n Les d\u00e9pendances satisfaites, nous allons pouvoir commencer l'installation. Attention, apr\u00e8s t\u00e9l\u00e9chargement, le dossier ne doit pas \u00eatre d\u00e9plac\u00e9 sous peine de fausser les chemins enregistr\u00e9s par mercurial.<\/p><\/blockquote>\n On se place donc dans le dossier choisi, afin de t\u00e9l\u00e9charger les sources du serveur Sync \u00e0 l'aide de mercurial.<\/p>\n hg clone cr\u00e9era lui-m\u00eame le dossier DOSSIER_SERVEUR_SYNC.<\/p><\/blockquote>\n Puis on se place dans le dossier, pour compiler le serveur.<\/p>\n Enfin, afin de permettre \u00e0 python d'exploiter mysql, nous allons installer Mysql-Python.<\/p>\n Sync utilisant un environnement python d\u00e9di\u00e9, Mysql-Python sera install\u00e9 \u00e0 l'int\u00e9rieur du dossier de Sync, dans DOSSIER_SERVEUR_SYNC\/lib\/python2.7\/site-packages\/ Nous faisons le choix ici d'une base de donn\u00e9e mysql. Mais il est possible \u00e9galement d'utiliser sqlite ou postgres. En utilisant phpmyadmin: En ligne de commande:<\/p>\n Le fichier de configuration de Sync est DOSSIER_SERVEUR_SYNC\/etc\/sync.conf Cette ligne se pr\u00e9sente \u00e0 3 reprises, qui doivent toute \u00eatre modifi\u00e9es et point\u00e9es sur la m\u00eame base de donn\u00e9es. Le quota par d\u00e9faut est de seulement 5mo, ce qui pourrait \u00eatre contraignant. Augmenter cette limite permettra de ne pas avoir de probl\u00e8mes avec \u00e7a.<\/p>\n C'est sans doute la principale source d'erreur de Sync, celle qui renvoi le plus souvent \u00e0 l'erreur \"URL invalide\". Cette ligne devra \u00eatre d\u00e9comment\u00e9e d\u00e9s lors que les utilisateurs d\u00e9sir\u00e9s seront enregistr\u00e9s. Sans quoi nous nous exposerons au risque de voir le serveur Sync squatt\u00e9 par n'importe qui.<\/p>\n Bien \u00e9videmment, on voit SSL, \u00e7a attire l\u2019\u0153il. Toutefois, ceci ne concerne que la connexion \u00e0 reCaptcha. Dans notre cas, \u00e7a n'a pas d'importance.<\/p>\n Sync est \u00e0 pr\u00e9sent configur\u00e9. Bien qu'on pourrait se battre des heures sans succ\u00e8s avec wsgi pour substituer apache au serveur standalone de Sync, on va lui pr\u00e9f\u00e9rer un reverse-proxy efficace et rapide \u00e0 mettre en place. <\/p>\n Nous allons donc pr\u00e9parer apache en lui ajoutant les 2 modules n\u00e9cessaires, mod_proxy et mod_proxy_http.<\/p>\n Puis modifier le virtualhost du domaine en ajoutant, dans la section servant sous le port 443, les lignes suivantes:<\/p>\n Attention, si le proxy n'est pas servi sous SSL en 443 mais sur le port 80, il faut modifier en cons\u00e9quence la ligne fallback_node du fichier DOSSIER_SERVEUR_SYNC\/etc\/sync.conf en retirant le s de https.<\/p><\/blockquote>\n Voyons en d\u00e9tails les r\u00e9glages du proxy:<\/p>\n Interdit l'usage du serveur en tant que proxy ouvert. Cela restera donc un proxy limit\u00e9 \u00e0 l'usage fait ci-apr\u00e8s.<\/p>\n Limite la port\u00e9e des commandes plac\u00e9es entres les balises au proxy.<\/p>\n C'est LA fonction de reverse proxy, qui va rediriger la requ\u00eate re\u00e7u par apache sur monsite.fr\/sync\/ vers le serveur sync, \u00e0 localhost:5000.<\/p>\n Assure les redirections du serveur Sync plac\u00e9 derri\u00e8re le proxy, en corrigeant les adresses renvoy\u00e9s par ce dernier.<\/p><\/blockquote>\n Ainsi configur\u00e9, apache renverra les connexions sur https:\/\/www.monsite.fr\/sync\/ vers http:\/\/localhost:5000\/. Ainsi, les connexions entrantes seront contraintes au SSL sur 443 avant de contacter, en local, le serveur sync qui, lui, n'est pas s\u00e9curis\u00e9.<\/p>\n <\/p>\n On peut d\u00e9s \u00e0 pr\u00e9sent tester le fonctionnement du serveur Sync. Et enfin d\u00e9marrer le serveur Sync afin qu'il r\u00e9ponde aux requ\u00eates renvoy\u00e9es par apache.<\/p>\n A pr\u00e9sent, il suffit de cr\u00e9er un compte \u00e0 l'aide de Sync sur firefox, en choisissant \u201dUtiliser un serveur personnalis\u00e9\u201d au lieu de \u201dserveur Mozilla Firefox Sync\u201d. On indiquera alors https:\/\/www.monsite.fr\/sync\/<\/p>\n Si tout va bien, aucun message d'erreur n'est mentionn\u00e9. Ce que l'ont peut \u00e9galement v\u00e9rifier en se rendant sur about:sync-log<\/a>.<\/p>\n Toutefois, le serveur Sync doit encore \u00eatre d\u00e9marr\u00e9 manuellement, ce qui est bien \u00e9videmment probl\u00e9matique pour un usage courant. Nous allons donc faire d\u00e9marrer Sync comme un service afin qu'il soit automatiquement d\u00e9marr\u00e9 avec la machine.<\/p>\n L'ajout d'un programme au d\u00e9marrage de la machine en tant que service passe par le programme upstart.
\nEt, comme je n'ai rien invent\u00e9, voila la source principale de tout ce que je vais expliquer ici: le how-to de Mozilla<\/a>.<\/p>\n
\nComme \u00e0 l'habitude, nous allons supposer que nous disposons d\u00e9j\u00e0 d'un serveur apache fonctionnel exploitant SSL. (Sinon: Tutoriel apache.<\/a>)<\/p>\nInstallation et compilation<\/h2>\n
sudo apt-get install python-virtualenv python-dev mercurial build-essential<\/pre>\n
sudo apt-get install libmysqlclient-dev mysql-server<\/pre>\n
sudo apt-get install sqlite3<\/pre>\n
\nIl nous faut d'abord choisir le dossier dans lequel nous installerons le serveur Sync. Il est pr\u00e9f\u00e9rable \u00e0 ce moment d'\u00e9viter d'utiliser un dossier situ\u00e9 apr\u00e8s le .htaccess de votre site principal. Mieux vaut placer le serveur Sync \u00e0 l'\u00e9cart, afin d'\u00e9viter toute interf\u00e9rence.<\/p>\nhg clone https:\/\/hg.mozilla.org\/services\/server-full\/ DOSSIER_SERVEUR_SYNC<\/pre>\n
cd DOSSIER_SERVEUR_SYNC\nmake build<\/pre>\n
bin\/easy_install Mysql-Python<\/pre>\n
\nMySQL_python-1.2.4-py2.7-linux-i686.egg<\/p>\nCr\u00e9ation de la base de donn\u00e9e de Sync<\/h2>\n
\nIl est nettement pr\u00e9f\u00e9rable de cr\u00e9er un utilisateur avec un mot de passe g\u00e9n\u00e9r\u00e9 al\u00e9atoirement qui aura acc\u00e8s uniquement \u00e0 la base de donn\u00e9e de Sync. Ceci afin d'\u00e9viter de corrompre d'autres bases de donn\u00e9es si le mot de passe, inscrit en clair dans le fichier de config, venait \u00e0 \u00eatre connu.
\nIl y a 2 mani\u00e8re de cr\u00e9er la base de donn\u00e9es et son utilisateur d\u00e9di\u00e9.<\/p>\n
\nNous nous rendrons dans l'onglet Privil\u00e8ges<\/em> pour Ajouter un utilisateur<\/em>. Apr\u00e8s avoir nomm\u00e9 l'utilisateur et lui avoir donn\u00e9 un mot de passe, nous choisiront de Cr\u00e9er une base portant son nom et donner \u00e0 cet utilisateur tous les privil\u00e8ges sur cette base<\/em>. Nous aurons ainsi une base de donn\u00e9e au nom de son utilisateur.<\/p>\nmysql -u root -p\n\nmysql> CREATE DATABASE BDD_NAME<\/em>;\nmysql> GRANT ALL PRIVILEGES ON BDD_NAME<\/em>.* TO USER<\/em>@localhost IDENTIFIED BY 'MOTDEPASSE<\/em>';\nmysql> quit<\/pre>\n
Configuration du serveur Sync<\/h2>\n
\nNous allons modifier les lignes suivantes:<\/p>\nsqluri = mysql:\/\/USER:MOTDEPASSE@localhost\/BDD_NAME<\/pre>\n
\nCelle-ci stockera les utilisateurs ainsi que les donn\u00e9es synchronis\u00e9es.<\/p>\nquota_size = 25120<\/pre>\n
fallback_node = https:\/\/www.monsite.fr\/sync\/<\/pre>\n
\nCette option indique au client \u00e0 quelle adresse il doit se connecter. Il est important que cette adresse soit identique \u00e0 celle utilis\u00e9e pour contacter le serveur apache qui se placera devant Sync.<\/p>\n#allow_new_users = false<\/pre>\n
use_ssl = false<\/pre>\n
\nNous allons donc nous int\u00e9resser \u00e0 la communication avec l'ext\u00e9rieur. Sync utilise un mini-serveur standalone \u00e9coutant sur le port 5000. Mais utiliser ce serveur tel quel nous obligerait \u00e0 ouvrir le port 5000, ce qui nous couperait la possibilit\u00e9 de passer par SSL. Nous allons donc ins\u00e9rer apache entre Sync et l'ext\u00e9rieur.<\/p>\nConfiguration d'apache en reverse-proxy<\/h2>\n
sudo a2enmod proxy\nsudo a2enmod proxy_http<\/pre>\n
#Reverse proxy pour le mini-server standalone de Firefox sync\n ProxyRequests Off\n <Proxy *monsite.fr\/sync\/*>\n Order deny,allow\n Allow from all\n <\/Proxy>\n ProxyPass \/sync\/ http:\/\/localhost:5000\/\n ProxyPassReverse \/sync\/ http:\/\/localhost:5000\/<\/pre>\n
ProxyRequests Off<\/pre>\n
<Proxy><\/pre>\n
ProxyPass<\/pre>\n
ProxyPassReverse<\/pre>\n
\nNous allons commencer par red\u00e9marrer apache pour prendre en compte les modifications du virtualhost.<\/p>\nsudo \/etc\/init.d\/apache2 restart<\/pre>\n
bin\/paster serve development.ini<\/pre>\n
D\u00e9marrage automatique de Sync<\/h2>\n
\nNous allons donc commencer par \u00e9crire un script upstart pour Sync.
\nCela se passe dans \/etc\/init.d\/.<\/p>\n