Eigenen Firefox Sync Server betreiben

Die Einstellungen, Browserchronik & Lesezeichen des Mozilla Firefox werden, sofern man sich mit einem Firefox Konto angemeldet hat, mittels „Firefox Sync“ synchronisiert. Man vertraut damit der Mozilla Foundation seine Daten an. Die Speicherung der Daten erfolgt dabei meist auf Servern in den USA.

Mozilla bietet einem aber die Möglichkeit einen eigenen Firefox Sync Server zu betreiben.

Hinweis: Der aktuelle Firefox Sync Server in der Version 1.8 basiert auf Python 2. Python 2 ist seit Anfang 2020 End-of-Life. Es ist bereits eine Version des Firefox Sync Servers auf Basis von Rust in Arbeit. Da das für den Sync Server zuständige Entwicklerteam nach eigener Aussage sehr klein ist, dauert die Portierung/Umstellung noch eine Weile. Der aktuelle Zeitplan sieht vor Ende Q2/2020 den Betrieb des neuen Sync Servers aufzunehmen. Nähere Infos im GitHub Issue 189.

Benötigte Software installieren & Firefox Sync Server herunterladen:

sudo apt install make python-dev git-core python-virtualenv g++ libmariadb-dev nginx

cd /opt

sudo git clone https://github.com/mozilla-services/syncserver

cd syncserver

make build

Für die Konfiguration wird ein „Secret“ benötigt. Dieses wird mit dem nachfolgendem Befehl generiert und muss anschließend in der Konfiguration hinterlegt werden.

head -c 20 /dev/urandom | sha1sum

Nun wird die Konfigurationsdatei bearbeitet

sudo nano /opt/syncserver/syncserver.ini

Ihr könnt die Konfiguration so wie

[server:main]
use = egg:gunicorn
host = 127.0.0.1
port = 5000
workers = 1
timeout = 30

[app:main]
use = egg:syncserver

[syncserver]
# This must be edited to point to the public URL of your server,
# i.e. the URL as seen by Firefox.
public_url = https://sync.domain.tld

# By default, syncserver will accept identity assertions issued by
# any BrowserID issuer. The line below restricts it to accept assertions
# from just the production Firefox Account servers. If you are hosting
# your own account server, put its public URL here instead.
identity_provider = https://accounts.firefox.com/

# This defines the database in which to store all server data.
sqluri = sqlite:////opt/syncserver/syncserver.db

# This is a secret key used for signing authentication tokens.
# It should be long and randomly-generated.
# The following command will give a suitable value on *nix systems:
#
# head -c 20 /dev/urandom | sha1sum
#
# If not specified then the server will generate a temporary one at startup.
secret = 4f4ae5cc8aa9b859d725cd0823954a47f4fc841e

# Set this to "false" to disable new-user signups on the server.
# Only requests by existing accounts will be honoured.
# allow_new_users = false

# Set this to "true" to work around a mismatch between public_url and
# the application URL as seen by python, which can happen in certain reverse-
# proxy hosting setups. It will overwrite the WSGI environ dict with the
# details from public_url. This could have security implications if e.g.
# you tell the app that it's on HTTPS but it's really on HTTP, so it should
# only be used as a last resort and after careful checking of server config.
force_wsgi_environ = true

Die rot markierten Einträge müssen von euch angepasst werden. Bei dem Eintrag „allow_new_users“ wird die Raute (#) erst entfernt, wenn ihr bei allen euren Firefox Installationen den Syncserver auf euren eigenen geändert habt.

sudo nano /etc/nginx/conf.d/sync.domain.tld.conf

Nginx Konfiguration:

server {

        listen 80;
        listen [::]:80;
        server_name sync.domain.tld;
 
        root /var/www;
 
        #access_log /var/log/syncserver-access.log;
        #error_log /var/log/syncserver-error.log;

	location / {
		return 301 https://$host$request_uri;
	}


}
 
server {
        listen 443 ssl;
        listen [::]:443 ssl;
        server_name sync.domain.tld;
 
        ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/domain.tld/chain.pem;

        #ssl_protocols TLSv1.3 TLSv1.2; # Für TLS 1.3 wird mindestens Nginx 1.13 benötigt
        #ssl_prefer_server_ciphers on;
        #ssl_ciphers 'TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384';

        #ssl_ecdh_curve secp521r1:secp384r1;
        #ssl_dhparam /etc/nginx/dhparams-4096.pem; # Muss generiert werden mit: openssl dhparam -out /etc/nginx/dhparams-4096.pem 4096
 
        #ssl_stapling on;
        #ssl_stapling_verify on;

        #ssl_session_timeout 24h;
        #ssl_session_cache shared:SSL:50m;
        #ssl_session_tickets off;

        #access_log /var/log/syncserver-access.log;
        #error_log /var/log/syncserver-error.log;
 
        location / {
		proxy_set_header Host $http_host;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_redirect off;
                proxy_read_timeout 120;
                proxy_connect_timeout 10;
                proxy_pass http://127.0.0.1:5000/;
        }


}

Die rot markierten Einträge müssen von euch angepasst werden.

Hinweis: In meinen Nginx Konfigurationen setze ich einige zusätzliche SSL Optionen. Diese habe in der Konfiguration auskommentiert. Wenn ihr diese übernehmen möchtet, einfach die Raute (#) entfernen.

Eigenen User & systemd Service für Firefox Sync anlegen:

sudo useradd firefox-sync -s /bin/false --no-create-home

sudo chown -R firefox-sync:firefox-sync /opt/syncserver

sudo nano /etc/systemd/system/firefox-sync.service

Dort einfügen:

[Unit]
Description=Firefox Sync Server
After=syslog.target network.target remote-fs.target nss-lookup.target
 
[Service]
Type=simple
User=firefox-sync
Group=firefox-sync
Umask=007
Restart=on-abort
ExecStart=/opt/syncserver/local/bin/gunicorn --paste /opt/syncserver/syncserver.ini
 
[Install]
WantedBy=multi-user.target

Nun noch den systemd Service für den automatischen Start aktivieren und starten mit:

sudo systemctl enable --now firefox-sync

Firefox konfigurieren:

Wenn ihr im Firefox mit eurem Firefox Konto angemeldet seid, meldet euch ab.

Gebt in der Adresszeile about:config ein und bestätigt die Warnung.

In der Suche nach identity.sync.tokenserver.uri suchen.

Ändert den Wert mit einem Doppelklick auf https://sync.domain.tld/token/1.0/sync/1.5

Nachdem der neue Sync Server hinterlegt ist, den Firefox neustarten (Also beenden und wieder öffnen).

Ihr könnt nun euer Firefox Konto wieder anmelden.

Beim Firefox und „Firefox Nightly für Entwickler“ für Android funktioniert die Vorgehensweise analog zum Firefox auf dem Desktop.

Sync Server auf bekannte Accounts beschränken:

Der Sync Server ist mit dieser Konfiguration für jeden nutzbar. Wer dies nicht möchte kann den Sync Server auf bekannte Accounts beschränken.

Hierzu

sudo nano /opt/syncserver/syncserver.ini

Dort die Raute (#) vor „allow_new_users = false“ entfernen und die Datei speichern.

Nun noch den Sync Server neustarten mit

sudo systemctl restart firefox-sync

Daten auf den Servern von Mozilla löschen:

Abschließend kann man noch alle Daten auf den Servern von Mozilla entfernen. Hierzu wird ein einfaches Script genutzt.

Hinweis: Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, muss diese für die Löschung der Daten temporär deaktiviert werden. Nach der Löschung der Daten kann die Zwei-Faktor-Authentifizierung wieder aktiviert werden.

sudo apt install python-pip

cd /opt/syncserver

pip install PyFxA

python ./bin/delete_user_data.py mailadresse@domain.tld

Fazit:

Mit etwas Erfahrung ist es meiner Meinung nach relativ einfach einen eigenen Firefox Sync Server aufzusetzen. Hierzu eignet sich auch ein per DynDNS erreichbarer Raspberry Pi.

Ich betreibe den Firefox Sync Server bereits seit einer Weile auf meinem V-Server.

Quelle: decatec.de