Активисты, независимые медиа и НКО часто сталкиваются с проблемой выбора надежных инструментов для онлайн-коммуникации. Jitsi Meet, бесплатную платформу для видеоконференций, можно установить на собственном сервере. Такой подход позволяет полностью контролировать свои данные и настройки безопасности, что может быть особенно важно при работе с чувствительной информацией или в условиях повышенного внимания к вашей деятельности. В этой статье мы разберем основные аспекты безопасности при самостоятельной установке Jitsi Meet. Надеемся, это поможет заинтересованным читателям создать относительно удобную и защищенную среду для видеозвонков.
Что такое Jitsi Meet?
Jitsi Meet — бесплатное и открытое программное обеспечение для видеоконференций. Его можно запустить и использовать прямо в браузере, но есть и клиент для десктопа и мобильных телефонов. Jitsi Meet позволяет организовывать видеозвонки, поддерживает функции чата, демонстрации экрана, записи встреч и создания комнат с паролем для повышенной безопасности.
У Jitsi Meet есть общедоступная версия на сайте https://meet.jit.si/. Существует возможность установить self-hosted версию (на собственном сервере).
Зачем может быть нужна self-hosted версия?
Во-первых, это повышает контроль и улучшает конфиденциальность. Размещая Jitsi Meet на своем сервере, вы сами контролируете данные, передаваемые через платформу. Это может быть важно для организаций, которые работают с чувствительной информацией и не хотят использовать облачные сервисы третьих сторон.
Во-вторых, на собственной установке, в отличие от общедоступной, вы можете настроить дополнительные меры безопасности, такие как шифрование и разделение на модераторов и обычных участников. На общедоступной установке функции модераторов доступны обычным участникам).
В-третьих, версия meet.jit.si не поддерживает анонимное создание встреч. Создатель встречи должен аутентифицироваться через аккаунт Google, Facebook или GitHub. Это может быть важно для тех команд, которые высоко ценят анонимность.
Наконец, защита от блокировки. Если общедоступная версия Jitsi будет заблокирована, ваш личный сервер это не затронет.
Параметры сервера, документация по установке, где взять последнюю версию
Развернуть self-hosted версию Jitsi Meet может системный администратор. Если у вас в команде нет специалиста с такими компетенциями, то его можно поискать на платформе “IT-волонтёр».
Кроме того, вам понадобится сервер, на котором будет работать ваша установка. Согласно официальной документации, для успешной работы приложения нужны следующие минимальные параметры:
- CPU: минимум 4 ядра.
- Оперативная память: 8 ГБ (для совсем небольших встреч может подойти 4 ГБ).
- Место на диске: 20 ГБ и более (лучше SSD).
- Операционная система: Debian 10 (Buster) или новее, Ubuntu 22.04 (Jammy Jellyfish) или новее.
Аренда сервера с такими параметрами будет стоить от 9 евро в месяц (в зависимости от провайдера).
На сайте Jitsi доступна подробная документация по установке. Последняя версия Jitsi Meet есть на GitHub.
Базовые настройки безопасности
Чтобы обеспечить безопасность при использовании Jitsi Meet на собственном сервере, важно настроить базовые параметры безопасности, узнать особенности ролей пользователей и добавить ограничения определенных действий.
1. Настройка Secure Domain. Эта функция позволяет настроить аутентификацию пользователей на вашем сервере Jitsi Meet. После настройки только авторизованные пользователи смогут создавать новые встречи. При этом к созданным (авторизованным пользователем) встречам смогут присоединяться гости. Гостям не нужно отдельно регистрироваться, достаточно указать имя или псевдоним. Настройка Secure Domain снижает риск создания несанкционированных конференций. Не настраивайте эту функцию, если для вас важно, чтобы модератор (создатель встречи) также участвовал анонимно, без аутентификации.
2. SSL/TLS шифрование. Убедитесь, что соединения с сервером Jitsi Meet защищены с помощью SSL/TLS-сертификатов. Для автоматического получения и обновления сертификатов можно бесплатно использовать Let’s Encrypt.
3. Ограничение доступных портов. Откройте только необходимые порты, такие как 80 (HTTP), 443 (HTTPS), 10000/UDP (WebRTC). Закройте все ненужные порты, чтобы уменьшить вероятность атак.
4. Настройка бэкапов. Делается на стороне провайдера вашего сервера. В случае проблем с установкой вы сможете восстановить все настройки из копии.
Права модераторов и ограничения для участников
Хост встречи/модератор может:
- создавать новые встречи и управлять составом модераторов;
- запрещать включение микрофонов и камер участников (включать только по запросу участника);
- удалять участников из комнаты;
- после создания встречи может включить пароль для комнаты и/или зал ожидания (для ручного подтверждения участников);
- скрывать список участников от всех, кроме модераторов.
Эти права можно настроить на уровне отдельной встречи, а можно внести в конфигурационный файл как поведение по умолчанию (подробнее).
Прочие настройки безопасности
- Сквозное шифрование. Jitsi Meet поддерживает сквозное шифрование для видеозвонков. Пользователи могут включить его, если используют браузерную версию или клиент Electron. Сквозное шифрование в Jitsi носит ограниченный характер: оно распространяется только на аудио и видео, а, например, чат и опросы не шифруются.
- Запись видео. Запись встреч возможна и в стандартной конфигурации Jitsi, но в этом случае записанные видеофайлы сохраняются локально на устройстве записывающего. Вести запись может только модератор. Интеграцию с облачными сервисами и сохранение записей туда можно настроить с помощью компонента Jibri.
- Передача файлов. В Jitsi Meet нет встроенной функции передачи файлов. Для этого можно использовать сторонние инструменты (такие, как Cryptpad).
- Сохранение чатов. По умолчанию комната в Jitsi исчезает после завершения встречи. Вместе с ней пропадает история чата. Ее сохранение можно настроить с помощью дополнительных модулей.
См. также советы разработчика по проведению безопасных встреч.