Hosta egen säker IRC-server

Satt och experimenterade med ngIRCd igår men var lite väl snabb när jag satte upp den så funderar på att sätta upp en helt ny. Dessutom kom en ny version ut av ngIRCd bara för några dagar sedan, och den versionen jag redan testat är den föregående som har några år på nacken.

Då jag inte är något expert tänkte jag kolla med er om det är något ni spontant tycker att jag missar, men grunden blir:

Arch/Debian Stable eller möjligtvis Tail (noll erfarenhet av Tail)

ngIRCd ska köras i isolerat chroot-miljö med en låg-privilegierad användare och kompileras med PAM stöd och självklart SSL.

Kommer enbart tillåta SSL anslutningar och ändra standardport till något annat.

Förstår att det är betydligt mer att tänka på, men vad anser ni om själva grunden? Något jag missar?

Finns flera sätt att flå den katten på. Jag har själv inte hostat en ircd på 20 år, men hade jag gjort det idag så hade jag nog gjort så här.

Terraform deploy av Fedora CoreOS med SElinux aktiverat, ergo ircd i en container definierad av ignition i systemd.

Terraform och ignition gör att man snabbt kan deploya om vid behov, du bakar även in setup av IP och DNS där så kan du flytta runt din server snabbt utan att någon tappar bort den. Detta är ungefär samma som att köra cloud-init, du konfar allt vid uppstart och när du känner dig redo behöver du inte ens ha SSHd igång.

Fedora CoreOS är ett immutable OS som erbjuder lite högre säkerhet genom att du har ett icke skrivbart root FS och du förväntas inte installera några paket utan köra allt i containers. Ännu högre säkerhet med SElinux mandatory access controls.

Ergo ircd känns lite modernare än något skrivet i C, ren magkänsla. Rust hade ju varit optimalt men ergo är mognare än alla rust alternativ jag hittat. Föredrar absolut att köra det i en container över vanlig chroot. Det är ungefär samma isolering fast erbjuder ytterligare isolering och lättare att drifta eftersom containern uppdateras uppströms. Tänk på att en viktig del av säkerhet är uppdateringar, så lifecycle management ska vara lättskött.

Jag ser ingen poäng med att byta standardporten. Det brukar man göra för SSH främst för att slippa fylla auth loggen med brute force försök. Men för ircd är det väl inget problem? I så fall, testa fail2ban.

På tal om ssh, vill du verkligen ha säkerhet och vet vilka som ska ansluta så kan du ju köra mTLS.

Hur stora är problemen att köra irc-server idag jämfört med förr då det hela tiden skulle ddosas ner och det inte gick att spara felloggar i mer än någon timme innan disken blev full..?

Det var inte alls de problemen när vi körde irc i slutet på 80-talet..

Påtal om IRC finns det några roliga kanaler nuförtiden? Vilka nät är bra att vara på? finns det ett för flashback?

Det är ganska dött. Jag sitter på ett par privata kanaler och på libera, som tog över efter freenode. Mest för att prata lite nördgrejer med andra nördar.

Men känslan är att många projekt som fanns på irc går över till discord, slack, discourse osv, vi som är kvar på IRC är alla troligtvis 40+.

Främsta fördelen med nya alternativ är ju att man kan vara uppkopplad lättare via mobilen. Är det verkligen så bra dock?

Sorry för sent svar, men tack för alla förslag! Var mycket av detta jag inte ens tänkt på. Har låtit projektet vila några dagar, men ska ta upp det snart så fort jag får lite extra tid över.

Tycker trots allt det är lite synd att IRC blivit så dött då det avskalade formatet känns ganska trevligt i jämförelse med exempelvis Discord och allt vad det nu heter.

Efnet, hack.se samlar fortfarande alla välkända svenska profiler från 90-2000-talet =)