Cómo instalar y crear un servidor de chat usando Matrix Synapse y Element en Rocky Linux 9

$ sudo firewall-cmd --state
running

$ sudo firewall-cmd --zone=public --list-all

public
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

$ sudo firewall-cmd --zone=public --add-port=8448/tcp
$ sudo firewall-cmd --zone=public --add-service=http
$ sudo firewall-cmd --zone=public --add-service=https

$ sudo firewall-cmd --zone=public --list-all

public
  target: default
  icmp-block-inversion: no
  interfaces: enp1s0
  sources: 
  services: cockpit dhcpv6-client http https ssh
  ports: 8448/tcp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

$ sudo firewall-cmd --runtime-to-permanent
$ sudo firewall-cmd --reload

$ sudo dnf install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-9-x86_64/pgdg-redhat-repo-latest.noarch.rpm

$ sudo dnf -qy module disable postgresql

$ sudo dnf install -y postgresql16-server postgresql16-contrib postgresql16-devel

$ psql --version
psql (PostgreSQL) 16.1

$ sudo /usr/pgsql-16/bin/postgresql-16-setup initdb
Inicializando base de datos ... OK

$ sudo systemctl enable postgresql-16

$ sudo systemctl start postgresql-16

$ sudo systemctl status postgresql-16
? postgresql-16.service - Servidor de base de datos PostgreSQL 16
     Loaded: loaded (/usr/lib/systemd/system/postgresql-16.service; enabled; preset: disabled)
     Active: active (running) since Tue 2024-01-30 11:55:26 UTC; 10s ago
       Docs: https://www.postgresql.org/docs/16/static/
    Process: 9610 ExecStartPre=/usr/pgsql-16/bin/postgresql-16-check-db-dir ${PGDATA} (code=exited, status=0/SUCCESS)
   Main PID: 9615 (postgres)
      Tasks: 7 (limit: 12225)
     Memory: 17.4M
        CPU: 98ms
     CGroup: /system.slice/postgresql-16.service
             ??9615 /usr/pgsql-16/bin/postgres -D /var/lib/pgsql/16/data/
             ??9616 "postgres: logger "
             ??9617 "postgres: checkpointer "
             ??9618 "postgres: background writer "
             ??9620 "postgres: walwriter "
             ??9621 "postgres: autovacuum launcher "
             ??9622 "postgres: logical replication launcher "

Jan 30 11:55:26 matrix.example.com systemd[1]: Starting PostgreSQL 16 database server...
Jan 30 11:55:26 matrix.example.com postgres[9615]: 2024-01-30 11:55:26.482 UTC [9615] LOG:  redirecting log output to logging collector process
Jan 30 11:55:26 matrix.example.com postgres[9615]: 2024-01-30 11:55:26.482 UTC [9615] HINT:  Future log output will appear in directory "log".
Jan 30 11:55:26 matrix.example.com systemd[1]: Started PostgreSQL 16 database server.

$ sudo -su postgres

$ createuser --pwprompt synapse
$ createdb --encoding=UTF8 --locale=C --template=template0 --owner=synapse synapsedb

$ exit

$ sudo dnf install epel-release
$ sudo dnf install --enablerepo=crb libtiff-devel libjpeg-devel libzip-devel \
                 freetype-devel libwebp-devel libxml2-devel libxslt-devel \
                 libpq-devel  python3-virtualenv libffi-devel openssl-devel \
                 python3-devel libicu-devel
$ sudo dnf groupinstall "Development Tools"
$ sudo dnf install postgresql16-devel

$ mkdir -p ~/synapse

$ virtualenv -p python3 ~/synapse/env

$ source ~/synapse/env/bin/activate

(env) $ pip install --upgrade pip
(env) $ pip install --upgrade setuptools

(env) $ pip install "matrix-synapse[postgres]"

(env) $ cd ~/synapse

(env) $ python -m synapse.app.homeserver \
    --server-name matrix.example.com \
    --config-path homeserver.yaml \
    --generate-config \
    --report-stats=[yes|no]

Generando archivo de configuración homeserver.yaml
Generando archivo de configuración de registro /home/navjot/synapse/matrix.example.com.log.config que registrará en /home/navjot/synapse/homeserver.log
Generando archivo de clave de firma /home/navjot/synapse/matrix.example.com.signing.key
Se ha generado un archivo de configuración en 'homeserver.yaml' para el nombre del servidor 'matrix.example.com'. Por favor, revisa este archivo y personalízalo según tus necesidades.

(env) $ synctl start

Este servidor está configurado para usar 'matrix.org' como su servidor de claves de confianza a través de la opción de configuración 'trusted_key_servers'. 'matrix.org' es una buena opción para un servidor de claves ya que es de larga duración, estable y confiable. Sin embargo, algunos administradores pueden desear usar otro servidor para este propósito.

Para suprimir esta advertencia y continuar usando 'matrix.org', los administradores deben establecer 'suppress_key_server_warning' en 'true' en homeserver.yaml.
--------------------------------------------------------------------------------
se ha iniciado synapse.app.homeserver(homeserver.yaml)

(env) $ synctl stop

(env) $ deactivate

$ sudo nano /etc/yum.repos.d/nginx.repo

[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/
gpgcheck=1
enabled=0
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

$ sudo dnf config-manager --enable nginx-mainline

$ sudo dnf install nginx -y

$ nginx -v
nginx version: nginx/1.25.3

$ sudo systemctl enable nginx --now

$ sudo systemctl status nginx
? nginx.service - nginx - servidor web de alto rendimiento
     Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; preset: disabled)
     Active: active (running) since Tue 2024-01-30 12:50:34 UTC; 4s ago
       Docs: http://nginx.org/en/docs/
    Process: 10810 ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf (code=exited, status=0/SUCCESS)
   Main PID: 10811 (nginx)
      Tasks: 3 (limit: 12225)
     Memory: 3.1M
        CPU: 24ms
     CGroup: /system.slice/nginx.service
             ??10811 "nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf"
             ??10812 "nginx: worker process"
             ??10813 "nginx: worker process"

$ sudo dnf install snapd -y

$ sudo systemctl enable snapd --now

$ sudo snap install core
$ sudo snap refresh core

$ sudo ln -s /var/lib/snapd/snap /snap
$ echo 'export PATH=$PATH:/var/lib/snapd/snap/bin' | sudo tee -a /etc/profile.d/snapd.sh

$ sudo snap install --classic certbot

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

$ certbot --version
certbot 2.8.0

$ sudo certbot certonly --nginx --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [email protected] -d matrix.example.com

$ sudo openssl dhparam -dsaparam -out /etc/ssl/certs/dhparam.pem 4096

$ systemctl list-timers

NEXT                        LEFT         LAST                        PASSED      UNIT                         ACTIVATES                   ----------------------------------------------------------------------------------------------------------------------------------  
Tue 2024-01-30 14:37:50 UTC 29min left   Tue 2024-01-30 13:05:13 UTC 1h 3min ago dnf-makecache.timer          dnf-makecache.service
Tue 2024-01-30 15:13:00 UTC 1h 4min left -                           -           snap.certbot.renew.timer     snap.certbot.renew.service
Wed 2024-01-31 00:00:00 UTC 9h left      Tue 2024-01-30 06:35:44 UTC 7h ago      logrotate.timer              logrotate.service

$ sudo certbot renew --dry-run

$ sudo chcon -R -t bin_t /home/username/synapse/env/bin/python

$ sudo setsebool -P httpd_can_network_connect 1

$ sudo setsebool -P httpd_can_network_connect_db 1

$ cd ~/synapse
$ source env/bin/activate
(env) $ synctl stop
(env) $ deactivate

$ sudo nano /etc/systemd/system/matrix-synapse.service

# Esto asume que Synapse ha sido instalado por un usuario llamado username.
# Esto asume que Synapse ha sido instalado en un virtualenv en
# el directorio de inicio del usuario: `/home/username/synapse/env`.

[Unit]
Description=Servidor doméstico Synapse Matrix
After=postgresql-16.service

[Service]
Type=notify
NotifyAccess=main
ExecReload=/bin/kill -HUP $MAINPID
Restart=on-abort

WorkingDirectory=/home/username/synapse
ExecStart=/home/username/synapse/env/bin/python -m synapse.app.homeserver --config-path=/home/username/synapse/homeserver.yaml
SyslogIdentifier=matrix-synapse

# ajusta el factor de caché si es necesario
# Environment=SYNAPSE_CACHE_FACTOR=2.0

[Install]
WantedBy=multi-user.target

$ sudo systemctl daemon-reload

$ sudo systemctl enable matrix-synapse

$ sudo systemctl start matrix-synapse

$ sudo systemctl status matrix-synapse

? matrix-synapse.service - Servidor doméstico Synapse Matrix
     Loaded: loaded (/etc/systemd/system/matrix-synapse.service; enabled; preset: disabled)
     Active: active (running) since Tue 2024-01-30 14:20:20 UTC; 5s ago
   Main PID: 14687 (python)
      Tasks: 8 (limit: 12225)
     Memory: 77.6M
        CPU: 3.527s
     CGroup: /system.slice/matrix-synapse.service
             ??14687 /home/navjot/synapse/env/bin/python -m synapse.app.homeserver --config-path=/home/navjot/synapse/homeserver.yaml

Jan 30 14:20:16 matrix.example.com systemd[1]: Starting Synapse Matrix homeserver...
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: Este servidor está configurado para usar 'matrix.org' como su servidor de claves de confianza a través de la
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: opción de configuración 'trusted_key_servers'. 'matrix.org' es una buena opción para un servidor de claves
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: ya que es de larga duración, estable y confiable. Sin embargo, algunos administradores pueden
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: desear usar otro servidor para este propósito.
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: Para suprimir esta advertencia y continuar usando 'matrix.org', los administradores deben establecer
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: 'suppress_key_server_warning' en 'true' en homeserver.yaml.
Jan 30 14:20:19 matrix.example.com matrix-synapse[14687]: --------------------------------------------------------------------------------
Jan 30 14:20:20 matrix.example.com systemd[1]: Started Synapse Matrix homeserver.

$ echo "registration_shared_secret: '$(cat /dev/urandom | tr -cd '[:alnum:]' | fold -w 256 | head -n 1)'"
registration_shared_secret: '1y75ja0RUxvbWcS6SdZhakenukUwHHEjOXWC9Mu3FpO0QenOnpKRsc6NBZSxuzPcHYsOEuIQziwVjSZcP87dlWK4ZkIGYniurMqNsCYL4xg5xXs4bJDuTJH2CUXab4U9liv399lmkIZFaMpJCLxV9lVWB9mKHILYsjeLgGY5wAARv1SiK07bFsQOwKJGFqIvsUXmxymx5QCNDzTHw8R4ShqZ7elnnZrbdYk4r2f7qogERNHvQaRV7IEYUIOtMhVP'

$ nano ~/synapse/homeserver.yaml

#database:
#  name: sqlite3
#  args:
#    database: /home/navjot/synapse/homeserver.db

database:
  name: psycopg2
  args:
    user: synapse
    password: 'your-password'
    database: synapsedb
    host: localhost
    cp_min: 5
    cp_max: 10

presence:
  enabled: false

$ cd ~/synapse
$ source env/bin/activate
(env) $ register_new_matrix_user -c homeserver.yaml http://localhost:8008
Nuevo usuario localpart [navjot]: navjot
Contraseña: 
Confirmar contraseña: 
Hacer admin [no]: yes
Enviando solicitud de registro...
¡Éxito!
(env) $ deactivate

$ nano ~/synapse/homeserver.yaml

enable_registration: true

registrations_require_3pid:
  - email

email:
  smtp_host: mail.example.com
  smtp_port: 587

  # Si el servidor de correo no tiene autenticación, omite estas 2 líneas
  smtp_user: '[email protected]'
  smtp_pass: 'password'

  # Opcional, requiere cifrado con STARTTLS
  require_transport_security: true

  app_name: 'HowtoForge Example Chat'  # define el valor para %(app)s en notif_from y asunto del correo
  notif_from: "%(app)s <[email protected]>"

enable_registration_without_verification: true

$ sudo systemctl restart matrix-synapse

$ sudo nano /etc/nginx/nginx.conf

server_names_hash_bucket_size 64;

$ sudo nano /etc/nginx/conf.d/synapse.conf

# hacer cumplir HTTPS
server {
    # Puerto del cliente
    listen 80;
    listen [::]:80;
    server_name matrix.example.com;
    return 301 https://$host$request_uri;
}

server {
    server_name matrix.example.com;

    # Puerto del cliente
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;

    # Puerto de federación
    listen 8448 ssl default_server;
    listen [::]:8448 ssl default_server;

    access_log  /var/log/nginx/synapse.access.log;
    error_log   /var/log/nginx/synapse.error.log;

    # Configuración TLS
    ssl_certificate /etc/letsencrypt/live/matrix.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/matrix.example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/matrix.example.com/chain.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
    ssl_session_tickets off;
    ssl_prefer_server_ciphers on;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    resolver 1.1.1.1 1.0.0.1 [2606:4700:4700::1111] [2606:4700:4700::1001] 8.8.8.8 8.8.4.4 [2001:4860:4860::8888] [2001:4860:4860::8844] valid=60s;
    resolver_timeout 2s;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

    tcp_nopush on;
    gzip on;

    location ~ ^(/_matrix|/_synapse/client) {
            proxy_pass http://localhost:8008;
            proxy_http_version 1.1;

            proxy_set_header X-Forwarded-For $remote_addr;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header Host $host;

            # Nginx por defecto solo permite cargas de archivos de hasta 1M de tamaño
            # Aumenta client_max_body_size para que coincida con max_upload_size definido en homeserver.yaml
            client_max_body_size 50M;
    }
}

server {
    server_name example.com;

    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # Configuración TLS
    ssl_certificate /etc/letsencrypt/live/matrix.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/matrix.example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/matrix.example.com/chain.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
    ssl_session_tickets off;
    ssl_prefer_server_ciphers on;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    resolver 1.1.1.1 1.0.0.1 [2606:4700:4700::1111] [2606:4700:4700::1001] 8.8.8.8 8.8.4.4 [2001:4860:4860::8888] [2001:4860:4860::8844] valid=60s;
    resolver_timeout 2s;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;

    # Redirigir
    location ~ ^(/_matrix|/_synapse/client) {
            return 301 "https://matrix.example.com$request_uri";
    }

    # Autodiscovery del servidor doméstico del cliente
    location /.well-known/matrix/client {
        default_type application/json;
        add_header Access-Control-Allow-Origin *;

        return 200 '{ "m.homeserver": { "base_url": "https://matrix.example.com" } }';
    }

    # Delegación de dominio
    location /.well-known/matrix/server {
        default_type application/json;
        add_header Access-Control-Allow-Origin *;

        return 200 '{ "m.server": "matrix.example.com" }';
    }
}

$ sudo nginx -t
nginx: el archivo de configuración /etc/nginx/nginx.conf tiene una sintaxis correcta
nginx: la prueba del archivo de configuración /etc/nginx/nginx.conf fue exitosa

$ sudo systemctl restart nginx

$ sudo dnf install coturn

$ sudo firewall-cmd --zone=public --add-port=3478/{tcp,udp}
$ sudo firewall-cmd --zone=public --add-port=5349/{tcp,udp}
$ sudo firewall-cmd --zone=public --add-port=49152-65535/udp
$ sudo firewall-cmd --runtime-to-permanent
$ sudo firewall-cmd --reload

$ sudo certbot certonly --nginx --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [email protected] -d coturn.example.com

$ echo "static-auth-secret=$(cat /dev/urandom | tr -cd '[:alnum:]' | fold -w 256 | head -n 1)"
static-auth-secret=u3ksgJ9X876sFMO00A8KabXwZvzVwCmV30wWvZ7DzGiepRwNRYSCTYzf2E8olNzdDHu7oO3XpT3l5bv5mVdhXEQ3pnoTWBquSVPFFBJtyD6y9gBxiMaD2TYTD2WohQLE9s7OKJVpkDeKTnZQnkmjrFadE3M9DRxPL1W5Lgdg6XLLKABgb5XGkutRgkJOV0JRH4sBYsot63fWq9mcGTm6nAMdIycvDVDOs7vhoeqRzcTbMF0wsfAHVJNhXpGGFDyZ

$ sudo nano /etc/coturn/turnserver.conf

# Ten en cuenta que use-auth-secret anula algunas partes de lt-cred-mech.
# La función use-auth-secret depende internamente de lt-cred-mech, así que si estableces
# esta opción, entonces habilita automáticamente lt-cred-mech internamente
# como si hubieras habilitado ambos.
#
# Nota que solo puedes usar un mecanismo de autenticación a la vez. Esto se debe a que,
# ambos mecanismos realizan la validación de nombre de usuario y contraseña de diferentes maneras.
#
# Usa ya sea lt-cred-mech o use-auth-secret en la conf
# para evitar cualquier confusión.
#
use-auth-secret

# 'Valor de secreto de autenticación' estático (una cadena) solo para la API REST de TURN.
# Si no se establece, entonces el servidor turn
# intentará usar el valor 'dinámico' en la tabla turn_secret
# en la base de datos de usuarios (si está presente). El valor almacenado en la base de datos puede cambiarse sobre la marcha
# por un programa separado, por lo que este modo se considera 'dinámico'.
#
static-auth-secret=u3ksgJ9X876sFMO00A8KabXwZvzVwCmV30wWvZ7DzGiepRwNRYSCTYzf2E8olNzdDHu7oO3XpT3l5bv5mVdhXEQ3pnoTWBquSVPFFBJtyD6y9gBxiMaD2TYTD2WohQLE9s7OKJVpkDeKTnZQnkmjrFadE3M9DRxPL1W5Lgdg6XLLKABgb5XGkutRgkJOV0JRH4sBYsot63fWq9mcGTm6nAMdIycvDVDOs7vhoeqRzcTbMF0wsfAHVJNhXpGGFDyZ

# El dominio predeterminado que se utilizará para los usuarios cuando no se encuentra una relación
# explícita de origen/dominio en la base de datos, o si el servidor TURN no está utilizando ninguna base de datos
# (solo la configuración de línea de comandos y el archivo de usuario). Debe usarse con el mecanismo de credenciales a largo plazo
# o con la API REST de TURN.
#
# Nota: Si el dominio predeterminado no se especifica, entonces el dominio cae de vuelta al nombre de dominio del host.
#       Si la cadena del nombre de dominio está vacía, o se establece en '(Ninguno)', entonces se inicializa como una cadena vacía.
#
realm=coturn.example.com

# Cuota de asignación por usuario.
# el valor predeterminado es 0 (sin cuota, número ilimitado de sesiones por usuario).
# Esta opción también se puede establecer a través de la base de datos, para un dominio particular.
#
user-quota=12

# Cuota de asignación total.
# el valor predeterminado es 0 (sin cuota).
# Esta opción también se puede establecer a través de la base de datos, para un dominio particular.
#
total-quota=1200

# Descomentar si no se permiten puntos finales de retransmisión TCP.
# Por defecto, los puntos finales de retransmisión TCP están habilitados (como en RFC 6062).
#
no-tcp-relay

# Archivo de certificado.
# Usa una ruta absoluta o una ruta relativa al
# archivo de configuración.
# Usa el formato de archivo PEM.
#
cert=/etc/letsencrypt/live/coturn.example.com/fullchain.pem

# Archivo de clave privada.
# Usa una ruta absoluta o una ruta relativa al
# archivo de configuración.
# Usa el formato de archivo PEM.
#
pkey=/etc/letsencrypt/live/coturn.example.com/privkey.pem

# Bandera que se puede usar para prohibir pares en direcciones de difusión bien conocidas (224.0.0.0 y superiores, y FFXX:*).
# Esta es una medida de seguridad adicional.
#
no-multicast-peers

...............

# Opción para permitir o prohibir direcciones IP específicas o rangos de direcciones IP.
# Si una dirección IP se especifica como permitida y denegada, entonces la dirección IP se
# considera permitida. Esto es útil cuando deseas prohibir un rango de IP
# direcciones, excepto por algunas IP específicas dentro de ese rango.
#
# Esto se puede usar cuando no deseas que los usuarios del servidor TURN puedan acceder
# a máquinas alcanzables por el servidor TURN, pero que de otro modo estarían
# inalcanzables desde Internet (por ejemplo, cuando el servidor TURN está detrás de un NAT)
#
# Ejemplos:
# denied-peer-ip=83.166.64.0-83.166.95.255
# allowed-peer-ip=83.166.68.45

denied-peer-ip=0.0.0.0-0.255.255.255
denied-peer-ip=10.0.0.0-10.255.255.255
denied-peer-ip=100.64.0.0-100.127.255.255
denied-peer-ip=127.0.0.0-127.255.255.255
denied-peer-ip=169.254.0.0-169.254.255.255
denied-peer-ip=172.16.0.0-172.31.255.255
denied-peer-ip=192.0.0.0-192.0.0.255
denied-peer-ip=192.0.2.0-192.0.2.255
denied-peer-ip=192.88.99.0-192.88.99.255
denied-peer-ip=192.168.0.0-192.168.255.255
denied-peer-ip=198.18.0.0-198.19.255.255
denied-peer-ip=198.51.100.0-198.51.100.255
denied-peer-ip=203.0.113.0-203.0.113.255
denied-peer-ip=240.0.0.0-255.255.255.255
denied-peer-ip=::1
denied-peer-ip=64:ff9b::-64:ff9b::ffff:ffff
denied-peer-ip=::ffff:0.0.0.0-::ffff:255.255.255.255
denied-peer-ip=100::-100::ffff:ffff:ffff:ffff
denied-peer-ip=2001::-2001:1ff:ffff:ffff:ffff:ffff:ffff:ffff
denied-peer-ip=2002::-2002:ffff:ffff:ffff:ffff:ffff:ffff:ffff
denied-peer-ip=fc00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
denied-peer-ip=fe80::-febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff

$ sudo systemctl restart coturn

$ nano ~/synapse/homeserver.yaml

turn_uris: [ "turn:coturn.example.com?transport=udp", "turn:coturn.example.com?transport=tcp" ]
turn_shared_secret: 'static-auth-secret'
turn_user_lifetime: 86400000
turn_allow_guests: True

# vim:ft=yaml

$ sudo systemctl restart matrix-synapse

$ sudo mkdir -p /var/www/html/element

$ sudo nano /var/www/html/element/update.sh

#!/bin/sh
set -e

install_location="/var/www/html/element"
latest="
$(curl -I https://github.com/element-hq/element-web/releases/latest | awk -F '/' '/^location/ {print  substr($NF, 1, length($NF)-1)}')"

cd "$install_location"

[ ! -d "archive" ] && mkdir -p "archive"
[ -d "archive/element-${latest}" ] && rm -r "archive/element-${latest}"
[ -f "archive/element-${latest}.tar.gz" ] && rm "archive/element-${latest}.tar.gz"

wget "https://github.com/element-hq/element-web/releases/download/${latest}/element-${latest}.tar.gz" -P "archive"
tar xf "archive/element-${latest}.tar.gz" -C "archive"

[ -L "${install_location}/current" ] && rm "${install_location}/current"
ln -sf "${install_location}/archive/element-${latest}" "${install_location}/current"
ln -sf "${install_location}/config.json" "${install_location}/current/config.json"

$ sudo chmod +x /var/www/html/element/update.sh

$ sudo /var/www/html/element/update.sh

$ sudo cp /var/www/html/element/current/config.sample.json /var/www/html/element/config.json

$ sudo nano /var/www/html/element/config.json

"m.homeserver": {
    "base_url": "https://matrix-client.matrix.org",
    "server_name": "matrix.org"
},

"m.homeserver": {
    "base_url": "https://matrix.example.com",
    "server_name": "example.com"
},

"brand": "HowtoForge Example Chat",

"disable_guests": true,

$ sudo certbot certonly --nginx --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [email protected] -d element.example.com

$ sudo nano /etc/nginx/conf.d/element.conf

server {
    listen 80;
    listen [::]:80;
    server_name element.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;

    server_name element.example.com;

    root /var/www/html/element/current;
    index index.html;

    access_log  /var/log/nginx/element.access.log;
    error_log   /var/log/nginx/element.error.log;

    add_header Referrer-Policy "strict-origin" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "SAMEORIGIN" always;

    # Configuración TLS
    ssl_certificate /etc/letsencrypt/live/element.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/element.example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/element.example.com/chain.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
    ssl_session_tickets off;
    ssl_prefer_server_ciphers on;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    resolver 1.1.1.1 1.0.0.1 [2606:4700:4700::1111] [2606:4700:4700::1001] 8.8.8.8 8.8.4.4 [2001:4860:4860::8888] [2001:4860:4860::8844] valid=60s;
    resolver_timeout 2s;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
}

$ sudo nginx -t
nginx: el archivo de configuración /etc/nginx/nginx.conf tiene una sintaxis correcta
nginx: la prueba del archivo de configuración /etc/nginx/nginx.conf fue exitosa

$ sudo systemctl restart nginx

$ sudo semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/html/element(/.*)?"
$ sudo restorecon -Rv /var/www/html/element/