Ente サーバー
関連記事
Ente サーバー は、Ente (モバイル) クライアントに暗号化されたデータの塊を保存・提供するサーバー部分です。クライアントは暗号化されたデータを送受信し、それが Ente サーバーに届き、ローカルの MinIO オブジェクト ストレージ サービスを通じて保存・読み取りが行われます。
例えば、Ente フォト クライアントを使用すると、クライアントは写真を暗号化し、それらはサーバーに保存されます。後に、クライアントは暗号化された写真を検索し、ローカルで復号できます (エンドツーエンド暗号化)。クライアント、もしくはクライアントが写真を共有した相手のみが暗号鍵を持っているため、データを復号して実際に写真を見ることができるのはその人たちだけであり、サーバーはその鍵の情報を持っていないため見ることができません。
目次
インストール
ente-server-gitAUR パッケージは、デフォルトで提供される Docker 化された Ente サーバーとは異なり、セルフホスティング用に設計されています。Docker 化またはホスティングソリューションが必要な場合は、ente.io を参照してください。
まず、ente-server-gitAUR パッケージをインストールしてください。
セルフホストのサーバー スペースは容量が限られていることが多いため、ente-server-gitAUR パッケージは、古くてリンクされていない Ente サーバー MinIO オブジェクトをより迅速にクリーンアップするように変更されています。デフォルトの Ente サーバーは通常 45 日ごとにオブジェクトをクリーンアップしますが、このパッケージではその期間が 5 分ごとに短縮されています。
Ente サーバーを稼働させるには、PostgreSQL データベース (Ente オブジェクトのメタデータやユーザーデータの保存用) と MinIO バケット (暗号化されたオブジェクトデータの保存用) が必要です。また、Ente サーバーにアクセスするための HTTPS プロキシとして Nginx の使用が推奨されます。最後に、ente-cli ツールを使うと、Ente サーバーのアカウントの容量制限や有効期限の更新が簡単に行えます。
これらの必要なコンポーネントをインストールするには、オプションの依存関係としてリストされているパッケージをインストールすることが推奨されます。同じホストにインストールする場合は、依存パッケージとしてインストールするのが望ましいです。例えば、これらのパッケージをインストールする際、pacman の場合は --asdeps
オプションを使用し、または yayAUR でインストールすることができます。
参考までに、以下のパッケージがオプションの依存関係としてリストされています。
minio
minio-client
nginx
postgresql
設定
MinIO のセットアップ
設定ファイルを以下のように編集してください:
/etc/minio/minio.conf
MINIO_VOLUMES="/srv/minio/data" MINIO_ROOT_USER=minio MINIO_ROOT_PASSWORD='YOUR-STRONG-MINIO-ROOT-PASSWORD' MINIO_OPTS="--address your_public_domain.tld:3200 --console-address 127.0.0.1:3201"
minio.service
を有効化/起動します。
mcli コマンドを使って (minio ユーザーとして) MinIO ente-server バケットを作成します:
# cd /srv/minio/data [minio]$ mcli mb -p ente-server
PostgreSQL setup
Initialize the database as the postgres user:
[postgres]$ initdb --locale en_US.UTF-8 -D '/var/lib/postgres/data' --data-checksums --auth=scram-sha-256 --pwprompt
Configure to only listen on a AF_UNIX socket:
/var/lib/postgres/data/postgresql.conf
listen_addresses = '' # AF_UNIX Socket only
Restrict socket access to PostgreSQL user or group by editing postgresql.service
:
/etc/systemd/system/postgresql.d/socket-access-restriction.conf
[Service] RuntimeDirectoryMode=750
Add ente
to the postgres
user group, then start/enablepostgresql.service
.
Create PostgreSQL database user and a database owned by this user (specify new password twice, then specify postgres password to store new account):
[postgres]$ createuser -P ente
Then specify postgres password to create new database:
[postgres]$ createdb -T template0 -O ente -E unicode ente-server
Running ente-server
Add MinIO bucket details:
/etc/ente-server/local.yaml
b2-eu-cen: key: minio secret: "YOUR-STRONG-MINIO-ROOT-PASSWORD" endpoint: your_public_domain.tld:3200 region: eu-central-2 bucket: ente-server
Add PostgreSQL details:
/etc/ente-server/local.yaml
db: host: /run/postgresql port: 5432 name: ente-server user: ente password: "YOUR-STRONG-ENTE-DATABASE-USER-PASSWORD"
Generate new secret key values using the ente-server-gen-random-keys command and use these values as a replacement of the default values in the /etc/ente-server/local.yaml
configuration file.
Edit ente-server.service
to allow it to access to the IP address of your_public_domain.tld (by default the service only allows access from and to localhost):
[Service] IPAddressAllowテンプレート:=IP_address_of_your_public_domain.tld
Enable/start ente-server.service
.
Configuring Nginx proxy
Copy the example Nginx config and the accompanying HTTP(S) security header config files to the Nginx configuration directory:
# cp -v /usr/lib/ente-server/ente-server-nginx.conf /etc/nginx/ # cp -v /usr/lib/ente-server/http*security_headers.conf /etc/nginx/
Edit this example config, and replace your_public_domain.tld with your actual public domain name
Request a letsencrypt ceritifacte (or a SSL certificate from another provider) if not already done so:
# certbot certonly --email your_email --agree-tos --preferred-challenge http --webroot -w /var/lib/letsencrypt -d your_public_domain.tld
Append an include
statement to the Nginx http
config to include the ente-server config:
/etc/nginx/nginx.conf
http { include /etc/nginx/ente-server-nginx.conf }
Fix permissions:
# chmod 644 /etc/nginx/ente-server-nginx.conf # chmod 644 /etc/nginx/http*security_headers.conf
Restart nginx.service
to apply the changes.
Configuring ente-server and ente-cli
- Install
ente-cli
on the client:- Install the ente-cli-binAUR package
- Add
ente-cli
config on the client:
$ mkdir -p ~/.ente/export
~/.ente/config.yaml
endpoint: api: "https://your_public_domain.tld" >
- Add a user account via the photos mobile app or web app on the client, using a custom endpoint:
- In the photos mobile app:
- Click 7 times on the main screen to enable developers mode
- Define your custom Ente server API endpoint:
- In the photos mobile app:
URL: https://your_public_domain.tld
- In the web app on the client:
$ git clone https://github.com/ente-io/ente.git cd ente/web git submodule update --init --recursive yarn install NEXT_PUBLIC_ENTE_ENDPOINTテンプレート:=https://your_public_domain.tld yarn dev:photos
- Follow the photos app or web app (http://localhost:3000) instructions to create a new user
- Obtain the OTP code:
- Via email:
- Configure the
smtp
section in/etc/ente-server/local.yaml
- Make sure the configure SMTP server is working
- Wait for the mail to arrive and copy the OTP code
- Configure the
- Via the ente-server log:
# journalctl -u ente-server | grep SendEmailOTT | tail -n 1
- Via email:
- Obtain the new users account ID:
# psql -U ente ente-server -c 'select user_id from users order by user_id desc limit 1;'
- Configure this user as the admin:
/etc/ente-server/local.yaml
internal: admin: [ADD_USER_ID_HERE]
- Restart
ente-server.service
to activate the new admin privileges - Configure this admin within
ente-cli
on the client:
$ ente account add photos ~/.ente/export email_address_of_admin_account password_of_admin_account
Increasing user storage and account expiry limit
- Use ente-cli to increase storage limit with 100 TB and expiry with 100 years:
ente admin update-subscription -u "user@domain.tld"
(Optional) Copy and apply AppArmor profile
An AppArmor profile has been provided for those that wish to limit the access the ente-server binary has using AppArmor. Copy and apply this profile as follows (assuming that AppArmor has already been installed and enabled):
# install -Dvm600 -o root -g root /usr/lib/ente-server/usr.bin.ente-server -t /etc/apparmor.d/ # aa-enforce /usr/bin/ente-server
(Optional) Configure Firewall
If a host firewall like iptables or nftables has been enabled and configured, make sure the following is allowed:
- Traffic on
localhost
- Traffic from your Ente (mobile) client to TCP port
443
to reach Nginx - Traffic from your Ente (mobile) client to TCP port
3200
to reach the MinIO API port
Files
The ente-server-gitAUR package contains the ente-server(1) man page that lists and explains all files that are installed by this package.
See also
- Upstream Repository: ente.io Ente Server Repository