]> Sergey Matveev's repositories - public-inbox.git/commitdiff
projects / public-inbox.git / commitdiff
summary | shortlog | log | commit | commitdiff | tree
raw | patch | inline | side by side (from parent 1: 6c89cf6)
doc: update nntpd with NNTPS and STARTTLS examples
authorEric Wong <e@80x24.org>
Sat, 14 Sep 2019 18:28:54 +0000 (18:28 +0000)
committerEric Wong <e@80x24.org>
Sat, 14 Sep 2019 18:31:13 +0000 (18:31 +0000)
NNTPS and STARTTLS seems to be working for several months
without incident on news.public-inbox.org, so consider it a
success and maybe others can try using it.

HTTPS technically works, too, but isn't documented at
the moment since I can't recommend production deployments
without varnish protecting it.

Documentation/public-inbox-daemon.pod patch | blob | history
Documentation/public-inbox-nntpd.pod patch | blob | history
MANIFEST patch | blob | history
examples/public-inbox-nntpd@.service patch | blob | history
examples/public-inbox-nntps.socket [new file with mode: 0644] patch | blob

diff --git a/Documentation/public-inbox-daemon.pod b/Documentation/public-inbox-daemon.pod
index abb84dd7ebaba196d4e1e6b671bf6204748f705f..e8d1ff295fcbea821ff87334e3a8d860c4c6a2ad 100644 (file)
--- a/Documentation/public-inbox-daemon.pod
+++ b/Documentation/public-inbox-daemon.pod
@@ -25,8 +25,6 @@ breaking existing connections during software upgrades.
 These daemons may also utilize multiple pre-forked worker
 processes to take advantage of multiple CPUs.
 
-Native TLS (Transport Layer Security) support is planned.
-
 =head1 OPTIONS
 
 =over
diff --git a/Documentation/public-inbox-nntpd.pod b/Documentation/public-inbox-nntpd.pod
index b56580bf0d352677064831608fef59636d8116c3..4214fd75e1e6ea09125002598461cb7df02c4fa8 100644 (file)
--- a/Documentation/public-inbox-nntpd.pod
+++ b/Documentation/public-inbox-nntpd.pod
@@ -18,6 +18,44 @@ may be run as a different user than the user running
 L<public-inbox-watch(1)>, L<public-inbox-mda(1)>, or
 L<git-fetch(1)>.
 
+=head1 OPTIONS
+
+See common options in L<public-inbox-daemon(8)/OPTIONS>.
+Additionally, NNTP-specific behavior for certain options
+are supported and documented below.
+
+=over
+
+=item -l, --listen PROTO://ADDRESS/?cert=/path/to/cert,key=/path/to/key
+
+In addition to the normal C<-l>/C<--listen> switch described in
+L<public-inbox-daemon(8)>, the protocol prefix (e.g. C<nntp://> or
+C<nntps://>) may be specified to force a given protocol.
+
+For STARTTLS and NNTPS support, the C<cert> and C<key> may be specified
+on a per-listener basis after a C<?> character and separated by C<,>.
+These directives are per-directive, and it's possible to use a different
+cert for every listener.
+
+=item --cert /path/to/cert
+
+The default TLS certificate for optional STARTTLS and NNTPS support
+if the C<cert> option is not given with C<--listen>.
+
+If using systemd-compatible socket activation and a TCP listener on port
+563 is inherited, it is automatically NNTPS when this option is given.
+When a listener on port 119 is inherited and this option is given, it
+automatically gets STARTTLS support.
+
+=item --key /path/to/key
+
+The default private TLS certicate key for optional STARTTLS and NNTPS
+support if the C<key> option is not given with C<--listen>.  The private
+key may concatenated into the path used by C<--cert>, in which case this
+option is not needed.
+
+=back
+
 =head1 CONFIGURATION
 
 These configuration knobs should be used in the
diff --git a/MANIFEST b/MANIFEST
index 777367d045406550b6d642237531eb39d596c7d3..f5290b401c924311ffa4e5dcc07f2e3ce559f0cc 100644 (file)
--- a/MANIFEST
+++ b/MANIFEST
@@ -60,6 +60,7 @@ examples/public-inbox-httpd.socket
 examples/public-inbox-httpd@.service
 examples/public-inbox-nntpd.socket
 examples/public-inbox-nntpd@.service
+examples/public-inbox-nntps.socket
 examples/public-inbox-watch.service
 examples/public-inbox.psgi
 examples/unsubscribe-milter.socket
diff --git a/examples/public-inbox-nntpd@.service b/examples/public-inbox-nntpd@.service
index a879841e6dacde6096c89d666547370cd150f4fe..4dd2f5d7a8862d0abc6809527bef80825d50bf32 100644 (file)
--- a/examples/public-inbox-nntpd@.service
+++ b/examples/public-inbox-nntpd@.service
@@ -7,8 +7,8 @@
 
 [Unit]
 Description = public-inbox NNTP server %i
-Wants = public-inbox-nntpd.socket
-After = public-inbox-nntpd.socket
+Wants = public-inbox-nntpd.socket public-inbox-nntps.socket
+After = public-inbox-nntpd.socket public-inbox-nntps.socket
 
 [Service]
 Environment = PI_CONFIG=/home/pi/.public-inbox/config \
@@ -18,17 +18,20 @@ PERL_INLINE_DIRECTORY=/tmp/.pub-inline
 LimitNOFILE = 30000
 ExecStartPre = /bin/mkdir -p -m 1777 /tmp/.pub-inline
 ExecStart = /usr/local/bin/public-inbox-nntpd \
--1 /var/log/public-inbox/nntpd.out.log
+-1 /var/log/public-inbox/nntpd.out.log \
+--cert /etc/ssl/certs/news.example.com.pem \
+--key /etc/ssl/private/news.example.com.key
 StandardError = syslog
 
 # NonBlocking is REQUIRED to avoid a race condition if running
 # simultaneous services
 NonBlocking = true
-Sockets = public-inbox-nntpd.socket
+
+Sockets = public-inbox-nntpd.socket public-inbox-nntps.socket
 
 KillSignal = SIGQUIT
 User = nobody
-Group = nogroup
+Group = ssl-cert
 ExecReload = /bin/kill -HUP $MAINPID
 TimeoutStopSec = 86400
 KillMode = process
diff --git a/examples/public-inbox-nntps.socket b/examples/public-inbox-nntps.socket
new file mode 100644 (file)
index 0000000..fa67819
--- /dev/null
+++ b/examples/public-inbox-nntps.socket
@@ -0,0 +1,12 @@
+# ==> /etc/systemd/system/public-inbox-nntps.socket <==
+[Unit]
+Description = public-inbox-nntps socket
+
+[Socket]
+ListenStream = 0.0.0.0:563
+BindIPv6Only = ipv6-only
+ListenStream = [::]:563
+Service = public-inbox-nntpd@1.service
+
+[Install]
+WantedBy = sockets.target
My patches to https://public-inbox.org/public-inbox.git