[postgres] Permit only local connections from metrics_tracker.

[postgres] Permit only local connections from payments_tracker.

Rename LICENSE to COPYING.

[postgres] Permit only local connections from gym_tracker.

[ansible] Add hosts file.

[matrix] Serve files with nginx.

[git] Serve files with nginx.

[git] Split configuration for public and private git servers.

Disable client certificates.

Update postgres version from 13 to 15.

Increase IMAP idle timeout.

Mail client on MacOS relies on the IMAP idle functionality.

Remove instructions covered by automation from documentation.

[git] Add a configuration file for gitweb.

[postgres] Enable connections from gym_tracker.

[postgres] Trust local connections from 'postgres'.

[ca] Document instructions for certificate renewal.

[dovecot] Require client certificates for IMAP.

[ca] Document instructions for email certificates.

[ca] Document instructions.

[ca] Set default `commonName`.

[ca] Do not require matching CA parameters.

See https://security.stackexchange.com/a/130488.

[ca] Set main paths.

[ca] Generate default configuration.

Update copyright year.

[git] Serve repositories with gitweb.

[postgres] Disable local connections outside dedicated roles.

[postgres] Enable remote connections with certificates.

Client can authenticate with certificates generated by a new
certificate authority.

[matrix] Document user registration.

[matrix] Enable delegation.

A matrix server is typically available under a subdomain eg.
matrix.<domain>. This commit makes it available additionally simply
under <domain>. Users can now be addressed as @<user>:<domain>. Note,
that this does not work when asked explicitly about server's name.

[matrix] Proxy communication through `nginx`.

This commit configures `nginx` to act as a reverse proxy for
matrix. `nginx` receives requests on ports 443 (client) and
8448 (other matrix instances) and forwards them to localhost:8008 for
matrix to process.

[nginx] Configure SSL.

Parameter values taken from Let's Encrypt.

[matrix] Use Postgres as the database.

Matrix automatically generates and populates necessary tables.

[nginx] Generate default configuration.

[matrix] Generate default configuration.

[postfix] Set SMPTd banner.

[postfix] Harden configuration.

[postfix] Require HELO.

[postifx] Relay from addresses found in the address book.

This commit allows sending email only from email addresses (MAIL FROM)
present in the address book.

[git] Document server configuration.

[postfix] Reject unlisted senders.

[postfix] Authenticate with dovecot SASL.

`postfix` authenticates MAIL FROM and RCPT TO addresses. This commit
routes this authentication through `dovecot` SASL. It queries the
address book for credentials.

[postfix] Deliver to addresses found in the address book.

`postfix` relays to local mailbox only if the RCPT TO domain can be
found in `$mydestination` and RCPT TO address can be found in
`$alias_maps`. This commit sets these variables to query the address
book.

[postfix] Relay incoming email to `dovecot` through LMTP.

Local Mail Transfer Protocol (LMTP) is a protocol for transfering
local email.

[dovecot] Document SPF and DMARC DNS records.

SPF DNS records specify which IP addresses may send email on behalf of
the domain. DMARC DNS records specify what happens when mail cannot be
delivered.

[postfix] Filter messages with OpenDKIM.

[opendkim] Listen on localhost:8891.

[opendkim] Require header fields.

[postfix] Fill missing header fields.

Gmail requires a `MessageId` header field. However, not all clients
set this field and gmail reject emails. This commit instructs
`postfix` to add missing headers fields (eg. `MessageId`).

[opendkim] Lookup KeyTable and SigningTable with SQL.

See `man opendkim.conf` for more information on KeyTable and
SigningTable. `opendkim` connects to postgres via ::1/128.

[opendkim] Generate default configuration.

[dovecot] Structure the mailbox.

[dovecot] Enable virtual mailboxes.

Virtual mailboxes are mailboxes created for new users automatically
based on their credentials. Userdb lookups aren't necessary.
Directories for virtual mailboxes are owned by a single system
user (`vmail`). This commit enables virtual mailboxes in `dovecot`:
- Static userdb instead of SQL query.
- Username column as the primary key of the address book. It has to be
unique to prevent virtual mailboxes overlapping.

[dovecot] Ignore domain during authentication.

MacOS Mail App only sends username during login. It fails to
authenticate if `dovecot` checks the domain.

[dovecot] Authenticate users found in the address book.

Table `users` is an address book. User `dovecot` queries it to
authenticate clients and redirect email to mailboxes.

[databases] Define email address book.

`dovecot` and `postfix` can lookup user addresses in a SQL
table. Adding a new address means adding a new record.

[dovecot] Secure connections with TLS.

TLS connections need to be secured with SSL certificates. `dovecot`
generates self-signed SSL certificates. This commit switches `dovecot`
and `postfix` to SSL certificates signed by Let's Encrypt CA.

[dovecot] Restrict number of connections from the same IP.

[postgres] Generate default configuration.

[dovecot] Generate default configuration.

[postfix] Rewrite sender for outgoing email.

`myorigin` specifies the address of outgoing email (user@domain). It
defaults to `$myhostname = gethostname()`. This allows rewriting the
sender of outgoing email without changing configuration.

[postfix] Generate default configuration.

[fail2ban] Extend bans to 1 day.

[fail2ban] Log to `syslog`.

[fail2ban] Enable `sshd` jail.

[fail2ban] Generate default configuration.

[sshd] Document public-key and certificate-based authentication.

[sshd] Disable reverse DNS checks.

By default `sshd` compares the IP address of the client with the
result of a reverse DNS query for that address. However, many clients
do not have reverse DNS records. This commit disables the check.

[sshd] Omit additional configuration files.

[sshd] Limit the number of alive messages.

`sshd` keeps idle connection alive for `ClientAliveInterval` seconds
and then sends `ClientAliveCountMax` alive messages. If client does
not respond, `sshd` terminates the connection. This commit limits the
number of alive messages to 1.

Note: `ClientAliveCountMax` applies only to SSH protocol 2.

[sshd] Require SSH protocol 2.

SSH protocol 1 is an older version with known vulnerabilities. This
commit requires `sshd` to use only the newer SSH protocol 2.

[sshd] Disable root login.

`PermitRootLogin` is set by default to `yes`.

[sshd] Listen on a non-standard port.

By default `sshd` listens on port 22. Most attack scripts are written
for this configuration. This commit changes the port to 72, which is
not used by any other popular service.

[sshd] Disable password authentication.

Client can authenticate with `sshd` through one of following
authentication methods (corresponding sshd_config option in brackets):
- host-based (`HostbasedAuthentication`),
- public key (`PubkeyAuthentication`),
- challenge-response (`ChallengeResponseAuthentication`),
- password (`PasswordAuthentication`).

By default, only `PubkeyAuthentication` and `PasswordAuthentication`
are enabled. This commit disables `PasswordAuthentication`. Users
can now login only using public key authentication.

[sshd] Generate default configuration.

Describe the repository in a README.