[{"data":1,"prerenderedAt":359},["ShallowReactive",2],{"search-api":3},[4,11,19,29,37,45,53,61,72,81,90,98,108,117,127,137,149,158,166,173,180,187,194,204,213,221,229,236,244,251,260,267,274,285,292,298,306,312,318,325,331,337,343,352],{"id":5,"path":6,"dir":7,"title":8,"description":7,"keywords":9,"body":10},"content:0.index.md","/","","Accueil",[]," Bienvenue sur docu · djeex De la doc, encore de la doc. Des astuces et des expériences. Construisez votre homelab et votre propre NAS. git.djeex.fr Consultez mes bêtises",{"id":12,"path":13,"dir":14,"title":15,"description":7,"keywords":16,"body":18},"content:1.apropos:1.bienvenue.md","/apropos/bienvenue","apropos","Bienvenue",[17],"A propos de la documentation"," docu · quoi ? Docu · djeex est le site regroupant la documentation de mes serveurs, pensé à l'origine pour retrouver facilement mes configurations et commandes. Mon infrastructure est construite autour du duo Debian 13 et docker, pour plus de simplicité à l'export et au déploiement. On remerciera principalement Nipah et Xenio (et d'autres) pour leur patience et écoute. La majeur partie de ce contenu vient de leurs têtes. A propos de la documentation La documentation fournie ici est distribuée à titre expérimentale, dans un esprit de partage d'expérience. Elle n'est en aucun cas faite pour construire une architecture de production ou pour de l'industrialisation. Il est possible qu'elle contienne des erreurs et/ou des approximations. Evidemment l'usage de cette documentation doit strictement se limiter au cadre légal. Documentation disponible ou en cours Serveex Votre homelab à déployer pas à pas Stockeex (à venir) Votre NAS maison à créer chez vous pour stocker vos données et media",{"id":20,"path":21,"dir":22,"title":23,"description":7,"keywords":24,"body":28},"content:2.generalites:1.reseau:1.nat.md","/generalites/reseau/nat","reseau","NAT & DHCP",[25,26,27],"Qu'est-ce qu'un \"port\" ?","La redirection de port","Le DHCP"," Routeur et NAT 🎯 Objectifs : Comprendre le principe de la redirection de port Savoir configurer le NAT de son routeur Savoir émettre des baux DHCP (IP fixes) Qu'est-ce qu'un \"port\" ? Les ports sont différents canaux par lesquels votre routeur envoie et reçoit des données, ce qui permet d'utiliser plusieurs services en meme temps. Lorsqu'il reçoit une donnée via un port, otre routeur transmet ensuite les données à la machine qui : soit a émis la requête de départ soit est configurée pour recevoir les données reçues par un port spécifique du routeur Votre routeur dispose de plus de 65 000 ports à utiliser. Certains programmes et applications sont conçus pour utiliser des ports spécifiques. Par exemple, lorsque votre réseau envoie des données à partir d'une page HTML, le routeur les recevra via le port numéro 80 (non sécurisé) ou 443 (sécurisé via SSL). Le routeur sert donc de plateforme d'aiguillage des données entre internet et votre machine. La redirection de port Rediriger un port , c'est émettre une règle qui spécifie que telle source peut envoyer des données à tel port de votre routeur, qui redirigera les données sur tel port de telle machine . Les sources et la machine de destination sont identifiées par leur adresse IP . Variable Description exemple machine source IP de la machine source (sur internet) All 123.45.67.89 port source Port d'arrivée sur le routeur 443 port de destination Port d'arrivée sur la machine de destination 3000 machine de destination IP de la machine de destination (sur votre réseau local) 192.168.1.50 Selon ce tableau, si on enlève le All et que l'on garde l'ip 123.45.67.89 en provenance d'internet, tout le traffic envoyé depuis cette IP sur le port 443 du routeur sera redirigé vers le port 3000 de l'IP locale 192.168.1.50 . Si on enlève l'IP de l'exemple et qu'on laisse le All , tout le traffic d'internet envoyé au port 443 du routeur sera redirigé vers le port 3000 de l'IP locale 192.168.1.50 . C'est utile si par exemple vous avez un serveur qui a un service qui nécessite d'etre accessible par internet. Par exemple, un site web. Le web utilise le port 80 (non sécurisé) et le port 443 (sécurisé par certificat SSL) pour communiquer. Ainsi, si je veux que mon site internet soit accessible, je vais faire en sorte que lorsqu'on tape le nom de domaine de mon site, le routeur redirige bien vers mon serveur local (avec l'exemple de l'IP locale du tableau). Par exemple, imaginons que mon service est sur le port 3000 de mon routeur (accessible en local via http://192.168.1.50:3000 ), je vais donc rediriger comme dans l'exemple toutes les sources (All) qui passent par le port 443 du routeur vers le port 3000 de mon serveur local. Attention : Si vous avez plusieurs services à rendre accessible, avec par exemple sousdomaine1.mondomaine.fr et sousdomaine2.mondomaine.fr , votre routeur ne peut pas rediriger vers plusieurs port selon la requête. Vous devrez utiliser un Reverse Proxy qui selon la requete redirigera vers le bon service de votre serveur. Le DHCP A chaque fois que vous connectez un appareil sur votre réseau local, votre routeur lui attribue une adresse IP via les règles DHCP. Celle-ci est aléatoire selon des règles prédéfinies. A chaque redémarrage de l'appareil, l'IP peut changer. C'est embetant si vous exposez un service et que vous avez une redirection de port dans votre routeur car si l'IP change, la redirection enverra les données dans le vide. Le serveur DHCP de votre box permet d'attribuer une IP fixe à un appareil. Chaque appareil a une adresse physique dite \"adressse MAC\". Pour fixer l'IP, vous devez connaitre l'adresse physique de votre appareil (visible dans votre routeur si votre machine est connectée au réseau), et lui attribuer une adresse IP fixe, ce qu'on appel un \"bail DHCP fixe\". Ainsi, l'IP de votre machine ne changera jamais et la redirection de port sera toujours effective. Variable Description Exemple IP IP locale fixe à attribuer 192.168.1.50 Adresse Mac Adresse physique de la machine 5E:FF:56:A2:AF:15 Pour plus d'information sur ces sujets, consultez la documentation de votre routeur.",{"id":30,"path":31,"dir":22,"title":32,"description":7,"keywords":33,"body":36},"content:2.generalites:1.reseau:2.dns.md","/generalites/reseau/dns","Zone DNS",[34,35],"Introduction","La zone DNS"," Noms de domaines et zone DNS 🎯 Objectifs : Comprendre le fonctionnement d'un serveur DNS Comprendre comment modifier une zone DNS Introduction Lorsque vous naviguez sur un site, ou une application, des requêtes sont émises vers un ou des domaines afin d'afficher le contenu de votre page. Votre appareil ne connait pas les adresses IP de ces serveurs à joindre. Pour les connaitre, il va contacter un serveur de nom (Domain Name Server) qui lui va lui répondre avec l'adresse IP la plus à jour pour le domaine de la requête. La zone DNS, c'est une sorte de registre avec des panneaux qui redirige vos requêtes vers la bonne destination. La zone DNS Lorsque vous réservez un domaine chez votre registrar (cloudflare, ovh...), ce registrar vous attribue une zone DNS que vous pouvez personnaliser. Vous pouvez rentrer des enregistrements dans cette zone DNS qui permettront d'orienter les requêtes au bon endroit. Vous trouverez plus d'information ici . Exemple d'une zone DNS du domaine mondomaine.fr: @ IN SOA ns1.dns.me. dns.net. (2024051800 86400 3600 3600000 60)\n IN NS ns1.dns.me.\n IN NS ns2.dns.me.\n IN A 203.0.113.0\nwww IN CNAME mondomaine.fr\nsousdomaine IN CNAME mondomaine.fr\n Dans cet exemple : $TTL 3600 indique aux différents serveurs de noms de la planète que les enregistrement sont valides 1h (et qu'au-delà il faudra rev\"rifier). IN SOA ns1.dns.me. dns.net. (2024051800 86400 3600 3600000 60) indique que ns1.dns.me est le serveur dns principal, et les nombres sont des indications de rafraichissement. IN NS ns1.dns.me. et IN NS ns2.dns.me. indique que ns1.dns.me et ns2.dns.me sont des serveurs de noms pour ce domaine. IN A 203.0.113.0 signifie que mondomaine.fr pointe vers l'IP 203.0.113.0 sousdomaine IN CNAME mondomaine.fr signifie que sousdomaine.mondomaine.fr pointe vers mondomaine.fr et donc vers l'IP 203.0.113.0 . Ainsi, si vous choisissez de pointer le domaine mondomaine.fr vers votre serveur, vous pouvez le faire en ajoutant un enregistrement A pointant vers l'IP publique de votre serveur. Attention, Si votre serveur est chez vous : l'IP publique est celle de votre box internet. Assurez-vous auprès de votre opérateur que cette IP est fixe ou configurez un DDNS . assurez-vous d'avoir redirigé le port 443 vers le port d'écoute de votre serveur . Et si vous ajoutez un sous-domaine qui doit pointer vers votre serveur, vous pouvez utiliser un enregistrement CNAME vers mondomaine.fr . Pourquoi ne pas utiliser un enregistrement A pour le sous-domaine ? Si votre sous domaine pointe sur le meme serveur que mondomaine.fr , il vaut mieux utiliser un enregistrement CNAME car en cas de changement d'IP du serveur, il n'y aura aucune autre manipulation à faire. La plupart des registrar proposent des interfaces plus lisbles pour modifier ces informations. Renseignez-vous auprès de la documentation de votre registrar.",{"id":38,"path":39,"dir":22,"title":40,"description":7,"keywords":41,"body":44},"content:2.generalites:1.reseau:3.samba.md","/generalites/reseau/samba","Samba",[42,43],"Partager un dossier réseau","Accéder à un dossier partagé"," Samba Samba est un protocole permettant d'accèder à un dossier situé sur un disque réseau. Il peut être configuré sous Mac, Windows ou Linux. De nombreux tutorials existent pour configurer Samba sous windows ou sur un NAS type Synology, ici nous nous concentrons sur Debian. 🎯 Objectifs : Créer un dossier réseau sur une machine distante Accéder au dossier réseau sur notre serveur Partager un dossier réseau Ici, nous allons partager le dossier /video d'une machine distant que nous appelerons machine-distante . Nous accéderons à ce dossier par la machine nommée machine-locale . L'utilisateur de connexion au disque réseau sera sambauser . Installer le serveur samba sudo apt update && sudo apt upgrade\n sudo apt install samba smbclient cifs-utils\n Créer le dossier /video sudo mkdir /video\n Configuration du partage Ensuite nous allons éditer le fichier /etc/samba/smb.conf ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vim /etc/samba/smb.conf\n Localisez la variable workgroup puis passez en mode modification en appuyant sur i et nommez votre worgroup, par exemple ::::properties workgroup = WORKGROUP Puis allez à la fin du fichier et collez la configuration suivante [video]\n comment = Dossier video\n path = /video\n writable = yes\n guest ok = no\n valid users = @smbshare\n force create mode = 770\n force directory mode = 770\n inherit permissions = yes\n Appuyez sur Echap pour quitter le mode notification puis tapez :x et appuyez sur Entrée pour sauvegarder et quitter. Créer un utilisateur et un groupe pour Samba Comme nous avons configfuré un partage sécurisé, nous allons devoir créer un utilisateur et un groupe pour pouvoir y accéder à distance. Creez le groupe. sudo groupadd smbshare\n Nous allons maintenant permettre au groupe d'avoir le controle sur le dossier /video . sudo chgrp -R smbshare /video\n Et maintenant nous allons donner les permissions nécessaires aux dossiers et fichier hérités. sudo chmod 2775 /video\n A présent nous allons ajouter un utilisateur nologin c'est à dire que cet utilisateur ne pourra pas se connecter sur le serveur pour faire des opérations, mais pourra tout de meme se connecter au service samba. sudo useradd -M -s /sbin/nologin sambauser\n Puis nous ajoutons l'utilisateur au groupe sambashare que nous avons créé précédemment. sudo usermod -aG smbshare sambauser\n Et nous allons configurer un mot de passe. sudo smbpasswd -a sambauser\n Et enfin nous allons activer le compte que nous venons de créer. sudo smbpasswd -e sambauser\n Attention : Si vous utilisez un pare-feu, comme ufw, n'oubliez pas d'autoriser les IP des machines qui accéderont à votre dossier partagé : sudo ufw allow from ipdelamachine to any app Samba\n Accéder à un dossier partagé A présent, nous sommes sur votre machine-locale qui nécessite d'accéder au dossier partagé /video présent sur la machine-distante . Installer les package nécessaires sudo apt update && sudo apt upgrade\n sudo apt install cifs-utils\n Créer le dossier de destination Nous allons créer un dossier sur notre serveur sur lequel sera monté le dossier partagé de notre machine-distante. C'est à dire que dans ce dossier nous retrouverons le contenu du dossier partagé de notre machine-distante . Ici nous appellerons ce dossier /mnt/video`. sudo mkdir /mnt/video\n Préparer le fichier .credentials Afin de ne pas avoir systématiquement à rentrer notre utilisateur et mot de passe, nous allons créer un fichier .credentials` stockant ces informations. Nous allons le créer dans le dossier /smb . sudo mkdir /smb\n sudo vi /smb/.credentials\n Passez en mode modification en appuyant sur i et configurez comme suit : username =smbuser\n password =motdepasse\n smbuser : L'utilisateur que nous avons configuré sur la machine-distante motdepasse : Le mot de passe que nous avons configuré sur la machine-distante Appuyez sur Echap afin de quitter le mode modification, puis tapez :x et appuyez sur Entrée pour sauvegarder et quitter. Nous allons modifier les permissions du dossier afin que seul le propriétaire puis lire et écrire dans ce fichier. sudo chmod 600 /smb/.credentials\n Monter le dossier partager A présent nous allons monter le dossier. sudo mount -t cifs -o credentials=/smb/.credentials //ip-machine-distante/video /mnt/video\n Remplacez ip-machine-distante par l'adresse IP de votre machine-distante Vérifiez que cela a fonctionné en tapant : sudo mount -t cifs\n Vous verrez différentes informations qui confirmerons le succès du montage. Et voilà, à présent vous accédez au dossier /video de votre machine-distante , depuis votre machine-locale ! Automatiser le montage au boot Par défaut, les dossiers pattagés ne sont pas connectés automatiquement au redémarrage. Pour autoamtiser cet aspect, nous allons modifier le fichier /etc/fstab . D'abord, sauvegardons notre fichier fstab . sudo cp /etc/fstab /etc/fstab.bak\n Puis nous allons ajouter une ligne à la fin du fichier comportant les informations de montages dans le fichier fstab . sudo echo //ip-machine-distante/video /mnt/video cifs _netdev,nofail,credentials=/smb/.credentials,x-systemd.automount,x-systemd.device-timeout= 15 0 0 >> /etc/fstab\n Redémarrez. sudo reboot\n Une fois redémarré, vérifiez que le montage est correct sudo mount -t cifs\n Et voilà ! Démonter le dossier partagé sudo umount -t cifs /mnt/video\n .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":46,"path":47,"dir":48,"title":49,"description":7,"keywords":50,"body":52},"content:2.generalites:2.stockage:1.raid.md","/generalites/stockage/raid","stockage","RAID",[51],"Différents types de RAID"," RAID Redundant Array of Independent Disks 🎯 Objectifs : Comprendre ce qu'est un système RAID Comprendre quel type de RAID est adapté aux différents usages En informatique, le RAID (Redundant Array of Independent Disks) est un système permettant de combiner plusieurs disques durs pour améliorer les performances et/ou la fiabilité. Il fonctionne en restructurant et en répartissant les blocs de données entre les disques. À l’origine, les systèmes RAID étaient matériels, ce qui signifiait qu’un contrôleur dédié (une puce spécifique) gérait la distribution des données et les opérations RAID. Aujourd’hui, la plupart des systèmes RAID (ou équivalents) sont logiciels. En fait, de nombreuses technologies logicielles peuvent créer des systèmes de type RAID avec des fonctionnalités indisponibles dans les RAID matériels, comme la réparation automatique (data scrubbing), les instantanés (snapshots), etc. Différents types de RAID Il existe plusieurs types de RAID, chacun ayant ses avantages et inconvénients. Les facteurs qui les influencent sont les suivants : Nombre de disques Capacité totale de stockage Vitesse de lecture Vitesse d’écriture Tolérance aux pannes (résistance aux défaillances matérielles) Le RAID n’est pas un système de sauvegarde mais un système de continuité de service ! Il permet seulement le remplacement à chaud des disques sans interruption du serveur ou restauration depuis une sauvegarde. Vous avez toujours besoin d’un système de sauvegarde externe. Sans RAID \n \n \n Vos disques sans RAID. Les données sont stockées disque par disque. \n Si vous perdez un disque, seules ses données sont perdues. \n La capacité totale est la somme de tous les disques. Utilisez vos disques sans RAID si vous n’avez pas peur de perdre des données et pouvez tolérer une interruption de service entre la panne et la restauration. RAID 0 \n \n \n Le système voit un seul disque. \n Les données sont entrelacées entre tous les disques. \n Si un disque est perdu, toutes les données le sont. \n Excellentes performances en lecture et écriture (multipliées par le nombre de disques). \n La capacité totale est la somme de tous les disques. \n Minimum de 2 disques requis. Utilisez RAID 0 si vous souhaitez privilégier la performance et que la perte de données n’est pas un problème. Idéal pour le stockage temporaire à haute vitesse (montage vidéo, IA, etc). Pas adapté au stockage à long terme. RAID 1 \n \n \n Le système voit un seul disque. \n Tous les disques contiennent les mêmes données. \n Vous pouvez perdre tous les disques tant qu'un seul est en bonne santé. \n Vitesse de lecture améliorée (selon le nombre de disques). \n Capacité totale égale à un seul disque (ex. : 2×10 To = 10 To). \n Minimum de 2 disques requis. Utilisez RAID 1 pour une redondance maximale. Chaque disque contient toutes les données, donc les performances ne sont pas affectées en cas de panne. Une fois les disques remplacés, les données sont rapidement restaurées. Mais la capacité utilisable est limitée à un seul disque, ce qui en fait une solution coûteuse. ✨ Astuce : Vous pouvez combiner le RAID 1 avec d’autres types de RAID pour créer des grappes miroir. RAID 5 \n Le système voit un seul disque. Les données sont entrelacées avec des blocs de parité. Vous pouvez perdre un disque et récupérer les données. Vitesse de lecture améliorée (selon le nombre de disques). Capacité totale = somme des disques – 1 (ex. : 3×10 To = 20 To). Minimum de 3 disques (4 recommandés pour limiter la perte de capacité). Utilisez RAID 5 pour un stockage fiable avec 3 à 5 disques et une perte minimale d’espace. Il tolère une panne, mais la reconstruction peut durer plusieurs jours avec des performances dégradées. RAID 6 \n Le système voit un seul disque. Les données sont entrelacées avec deux blocs de parité. Vous pouvez perdre 2 disques et récupérer les données. Vitesse de lecture améliorée (selon le nombre de disques). Capacité totale = somme des disques – 2 (ex. : 4×10 To = 20 To). Minimum de 4 disques (6 recommandés pour minimiser la perte d’espace). Utilisez RAID 6 dans les mêmes cas que RAID 5, surtout avec 6 disques ou plus. Plus de disques = plus de risque de panne. RAID 6 vous apportera plus de fiabilité en cas de panne simultanée de deux disques. Il n'y a rien de plus frustrant que de perdre un second disque en pleine reconstruction du remplacement du premier.",{"id":54,"path":55,"dir":48,"title":56,"description":7,"keywords":57,"body":60},"content:2.generalites:2.stockage:2.zfs.md","/generalites/stockage/zfs","ZFS",[58,59],"Structure","Pourquoi ZFS vs les autres ?"," ZFS 🎯 Objectifs : Comprendre ce qu'est ZFS et son utilité ZFS est populaire dans le monde des serveurs, des NAS (comme FreeNAS / TrueNAS), de la virtualisation, et même chez les particuliers qui veulent un stockage résilient. C'est est un système de fichier (à l'instar de NTFS pour windows, EXT4, FAT32 etc...) mais également un gestionnaire de volume (comme LVM par exemple). Pour le dire (très) rapidement, un gestionnaire de volume arrange l'espace sur des espaces physiques comme un ou plusieurs disques durs, et un gestionnaire de fichier arrange la maniere dont sont organisés les blocs de données dans ces volumes pour écrire, lire et supprimer les données. ZFS dépasse largement les limites des autres systèmes de fichiers, que cela soit en terme de performance ou de fonctionnalité.\nCe qui nous intéresse le plus : ses fonctionnalités de gestion des instantanés (snaphsot), permettant de rapidement revenir en arrière en cas de problème sa gestion des grappes de disques et ses équivalent au RAID (Z-Mirror, RAIDZ1, RAIDZ2, RAIDZ3) sa reconstruction automatique des données corrumpues (via le scrubbing) ses performance avec son cache RAM (ZFS ARC) ses notifications en cas d'erreur Structure ZFS dispose d'une structure particulière : vdev (virtual device) : une grappe de disques (physiques ou virtuel) zpool : un ensemble de disques physiques ou virtuels en volume simple, Z-mirror ou RAIDZ. Un zpool peut englober plusieurs vdev mais pas l'inverse. dataset : un système de de donnée dans un zpool . Chaque dataset peut avoir ses propres options (compression, quotas, permissions, etc.). Il existe plusieurs types de dataset : file system : un système de fichier, ZFS par défaut, monté comme un volume sans quota de stockage. zvol : un \"disque virtuel\" avec un quota d'espace, que vous pouvez formater/partitionner comme vous le souhaitez. Il sera utilisable comme un disque physique. snapshot : un état figé d’un autre dataset à un instant donné. Ils peuvent etre créés manuellement ou via des outils de sauvegarde. Ils peuvent etre montés pour parcourir les données dans leur état au moment du snapshot. Pourquoi ZFS vs les autres ? Intégrité des données ZFS vérifie automatiquement que les données stockées ne sont pas corrompues. Chaque bloc de données est accompagné d’une empreinte (checksum) qui permet à ZFS de détecter toute altération, même minime. Et s’il y a un problème, il peut souvent le réparer automatiquement, si une copie saine existe ailleurs dans le système. RAID intégré ZFS propose son propre système de gestion de volumes (vdev). Vous pouvez créer un pool de stockage (zpool) en combinant plusieurs disques, un peu comme avec le RAID classique, mais de façon plus souple. Par exemple : Z-mirror => equivalent du RAID 1 RAIDZ1 => équivalent du RAID 5 (tolérance à 1 panne disque) RAIDZ2 => équivalent du RAID 6 (tolérance à 2 pannes disque) RAIDZ3 => (tolérance à 3 pannes disque) ZFS gère cela directement, pas besoin de logiciel RAID externe. Consultez l'article sur le RAID pour en savoir plus sur la solution qui vous convient. Snapshots et clones ZFS permet de créer des snapshots, c’est-à-dire des captures instantanées de l’état d’un système de fichiers à un moment donné. Ces snapshots prennent très peu d’espace et peuvent être créés automatiquement et fréquemment. Vous pouvez aussi faire des clones : des copies modifiables d’un snapshot. Compression et déduplication ZFS peut compresser les données à la volée (transparente pour l’utilisateur), ce qui permet d’économiser de l’espace disque. Il propose aussi la déduplication (éliminer les doublons), mais cette fonctionnalité consomme beaucoup de mémoire et n’est pas recommandée pour tous les usages. Voilà, à présent vous savez pourquoi ZFS est Ze systeme de fichier à déployer sur votre NAS.",{"id":62,"path":63,"dir":64,"title":65,"description":7,"keywords":66,"body":71},"content:2.generalites:3.hardware:1.bases.md","/generalites/hardware/bases","hardware","Les bases",[67,68,69,70],"La carte mère","Le CPU","La RAM","Le GPU"," Les bases d'un serveur 🎯 Objectifs : Comprendre les bases du hardware d'un serveur Un serveur n'est rien d'autre qu'un ordinateur dédié à des taches particulières, ayant vocation à rester accessible en permanence. En soi, sa structure ne diffère pas d'un ordinateur classique, si ce n'est que selon l'usage cible, on fera évoluer certains composants dans un sens ou dans un autre. Dans cet article, vous trouverez un aide mémoire pour comprendre quels sont les composants essentiels d'un serveur et comprendre leur fonction selon vos usages. La carte mère La carte mère est le socle de votre machine. C'est le composant qui relie tous les autres composants. Elle sert à les faire communiquer et à interagir avec vos périphériques (clavier, souris, etc...). Il faut donc la choisir en fonction de vos besoins en terme d'entrées/sorties (I/O) comme le nombre de ports USB, de ports réseau, leur vitesse, etc... Mais il faut également veiller à sa compatibilité avec les autres composants que vous allez brancher dessus. Les composants importants à brancher dessus sont : le CPU la RAM le stockage (HDD et/ou SSD) l'eventuel GPU dédié Il existe plusieurs formats de carte mère grand public : E-ATX : les plus grosses ATX : le standard Micro-ATX : plus petit Mini-ITX : le plus petit Bien sûr, selon la taille, le nombre de ports et de fonctionnalité diffère. D'autre part, les constructeurs de machines déjà assemblées peuvent aussi profiter de formats plus personnalisés. Le CPU \n \n \nLe CPU (Central processor Unit) est la supercalculette de l’ordinateur. Il traite la plupart des tâches logicielles. Aujourd’hui les processeurs comportent plusieurs cœurs, parfois eux même divisé en deux de façon logicielle, afin de mieux répartir la charge de travail et optimiser son fonctionnement. Il nécessite d'etre refroidit avec un dissipateur actif (avec ventilateur) ou passif (sans ventilateur) selon la chaleur qu'iil dégage, et donc selon la puissance en Watt qu'il requiert. Dans le cadre d'un serveur, on veillera donc à le choisir selon les usages que l'on aura. Attention : N'oubliez pas que pour installer un dissipateur tiers, vous devez vous assurer qu'il soit compatible avec le socket de votre processeur, c'est à dire le socle sur lequel il est installé sur la carte mère, et que vous devez également appliquer de la pate thermique sur le CPU avant d'installer le dissipateur. Il faut les juger selon : Leur nombre de coeurs (plus ils en ont, plus il peuvent paralléliser les tâches) La fréquence de ces coeurs en Giga Hertz Ghz Leur consommation en Watt W Dans le cadre d'un homelab/NAS sans calcul intensif, aujourd'hui on se dirigera facilement vers les Intel N100/150 (4 coeurs) et N305/N355 (8 coeurs) qui sont des processeurs performants à très faible consommation (rappelez vous que ces machines sont censées tourner H24). La RAM \n La RAM (Random Access Memory), est une zone de stockage éphémère ultra rapide utilisée par le CPU (et l'iGPU le cas échéant) pour stocker des informations et calculs le temps de les éxecuter. Elle se vide régulièrement selon les sollicitation et se vide également à chaque extinction de la machine. Plus elle est performante, plus les calculs du processeur sont efficaces. Elle prend généralement la forme de barettes, à brancher sur la carte mère. Il en existe plusieurs format selon le type de carte mère, et de plusieurs générations (DDR5 de nos jours). Le GPU Le GPU (Graphical Processor Unit) est un processeur dédié aux calculs graphiques, vidéo, et parfois d'intelligence artificielle. Dans le cadre d'un serveur, il aura son utilité pour tout ce qui touche au media center (Streaming de video comme Plex par exemple), mais aussi en terme d'accélération matérielle pour les calculs d'IA comme la reconnaissance faciale ou la recherche sur des photos (comme via Immich par exemple). Selon la puissance requise, on choisira un GPU dédié avec sa propre VRAM (une carte graphique à brancher sur un port PCIe de la carte mère), ou un iGPU, c'est à dire un GPU compris dans le CPU (comme les N100/N150 et N305/N355), qui utilisera la RAM globale de la machine Le ou les HDD \n Un HDD (Hard Disk Drive) ou disque dur, est un composant servant à stocker des données. Autrefois, c'etait le stockage standard des machines informatiques. Ils sont constitués d'un ou plusieurs disques superposés en plateau, et de têtes de lecture, presque comme une platine vinyle. Si aujourd'hui on arrive à stocker des quantités extraordinaire de données dans un HDD (jusqu'à 30To soit 30 000 Giga-octet de nos jours pour le grand public), ils sont limités dans leur vitesse de lecture et d'écriture par leur caractère mécaniques. Ils sont également volumineux et très lourds. De manière générale, on les privilégiera pour stocker des données qui ne servent pas à des calculs et ne nécessitent pas d'ecriture rapide, comme les media (videos, photos...) ou les cloud drive, stockage d'archives, etc. Ils sont performants dans ces scenario et surtout coutent beaucoup moins cher que des SSD à espace de stockage égal. ✨ Astuce : Vous pouvez combiner plusieurs HDD ensemble en RAID afin d'accroitre les performances de votre machine. Il existe plusieurs formats de HDD : 3.5\" et 2.5\". De manière générale dans un serveur on privilégiera les 3.5, plus fiables. Le ou les SSD \n Un SSD (Solid State Drive) est une petite carte sur laquelle sont soudées des puces de mémoires servant à stocker de l'information. Contrairement à la RAM, ces puces conservent les informations même lorsqu'elles ne sont pas alimentées et donc les conservent après un redémarrage. C'est ce qui sert globalement de stockage pour votre serveur. Contrairement aux HDD, ils ne disposent pas de parties mécaniques, sont très miniaturisés et surtout sont extrêmement rapides, de l'ordre de plusieurs Giga-octets par seconde pour les plus performants. On les trouve dans plusieurs formats, aujourd'hui on priviligiera les versions M.2 NVMe, car ce sont les plus petits et plus rapides, et sont devenu un standard sur les cartes mères. Ils sont en revanche beaucoup plus chers que les disque durs à capacité de stockage égale. Généralement, on y stockera au moins le système d'exploitation de la machine (Operating System ou OS) pour garantir une certaine rapidité d'execution. Dans le cadre d'un serveur, on y stockera aussi si possible les conteneurs type docker et les bases de données. De manière générale, toute données dont un a besoin régulièrement et rapidement pour des calculs (site web, applications, etc...). La carte réseau Une carte réseau sert à faire communiquer votre machine avec votre réseau (dont internet). Elle est composée d'une puce de controle et d'un ou plusieurs port réseau. Ces ports peuvent dits ports ethernet peuvent être dans plusieurs formats physique et dans plusieurs normes de débit : RJ45 Gigabit ethernet 10/100/1000 : le format standard de prise RJ45 permettant de dialoguer à des débit allant de 10Mbps (soit 0,125Mo/s) à 1000Mbps (soit 125Mo/s) RJ45 2.5G : Même prise, pouvant dialoguer jusqu'à 2,5Gpbs soit 2 500Mbps (donc 312,5Mo/s) RJ45 5G : Même prise, pouvant dialoguer jusqu'à 5Gpbs (donc 625Mo/s) RJ45 10G Base T : Même prise pouvant dialoguer jusqu'à 10Gbs (soit 1,25Go/s) SFP 1G : Prise SFP, généralement utilisée pour la fibre optique, pouvant dialoguer jusqu'à 1Gpbs SFP+ 10G : Prise SFP amélioriée, aussi utilisée pour la fibre optique, pouvant dialoguer jusqu'à 10Gbps. Attention : Pensez bien à dimensionner vos appareils réseaux (routeurs, switch, cables...) en fonction du débit que vous souhaitez entre vos appareils. D'autre part, il existe plusieurs normes de cables RJ45 selon la vitesse permise. On privilegiera dans la plupart des cas des cables RJ45 CAT5E, et au delà de 10Gbps, on privilégiera du CAT6A, bien que le CAT5E soit utilisable à ces vitesses à courte distance. Quant à la fibre, c'est tout un sujet (simplex, duplex, transceiver...). La carte réseau est généralement directement intégrée à la carte mère, mais vous pouvez utiliser des cartes réseau dédiées comme par USB par exemple ou via un port d'extension PCIe. De manière générale, sur un serveur, on appréciera d'avoir au moins deux ports ethernet afin d'avoir de la redondance en cas de panne. Entrées et sorties Les ports d'entrées et sorties (Input/Outpout) sont l'ensemble des ports de la machine permettant d'échanger de l'information avec des appareils externes (écrans, clavier, souris, réseau...). Généralement, sur une carte mère on retrouve le ou les ports réseaux, des ports USB de plusieurs formats et vitesse différentes, un ou plusieurs port vidéo, et des ports audio. Selon vos usages, vous devrez choisir votre carte mere et ses éventuelles cartes d'extension en fonction de vos besoin à ce niveau. L'alimentation L'alimentation est le composant qui permet d'alimenter électriquement les composants de votre machine. Elle se compose d'un cable secteur en entrée, et de plusieurs types de cables en sorties. Ces cables se branchent sur la carte mère et différents périphériques le nécessitant, comme les disques dur, ou certaines cartes graphiques dédiées. L'alimentation se caractérise par sa puissance, en Watt, sa modularité (cables attachés ou détachables), et son rendement, en pourcentage. Comprendre qu'une alimentation de 500W avec un rendement de 80% consommera en fait 625W pour fournir ces 500W. Une autre caractéristiques des alimentations sont leur format. Il en existe plusieurs standard, comme ATX L pour les plus grandes jusqu'à SFX pour les plus petites. Il en existe aussi des spécifiques aux serveurs rackables, par définition assez plats. Pour choisir votre alimentation, la convention est d'estimer la puissance electrique demandée par votre machine à usage et de multiplier par deux cette puissance. En effet, le rendement des alimentations se situe environ à 50% de sa charge totale. Le boitier \n \n Le boitier est également un composant essentiel pour votre machine. Il conditionne le refroidissement de cette dernière, avec ses ventilateurs et sa conception gérant les flux d'air, mais aussi le format de votre carte mere, de votre alimentation et de votre éventuel GPU dédié. D'autre part, il conditionne également le nombre de HDD et leur format. Certains boitiers sont dit rackables, c'est à dire qu'ils peuvent etre fixés dans des racks pour des armoires informatiques (baies serveurs). Choisissez consciencieusement votre boitier en fonction de vos besoins.",{"id":73,"path":74,"dir":64,"title":75,"description":7,"keywords":76,"body":80},"content:2.generalites:3.hardware:2.reseau.md","/generalites/hardware/reseau","Réseau",[77,78,79],"Le routeur","Le Switch","Les cables"," Réseau 🎯 Objectifs : Comprendre les bases du matériel réseau Un réseau informatique est indissociable du matériel nécessaire à le mettre en place. Le matériel va conditionner les dimension du réseau, les vitesses de communication et les performances du réseau. Dans cet article, nous nous limiterons au réseau les plus simples, composant généralement ceux que l'on peut retrouver chez soi. Le routeur Le routeur est le point central de votre réseau. C'est lui qui dirige les paquets , c'est à dire les blocs d'informations qui transitent sur votre réseau, de l'émetteur vers le bon destinataire. Il permet à la fois de conditionner le routage de l'information au sein de votre réseau mais aussi vers ou depuis l'exterieur. Globalement, il fait communiquer les appareils entre eux et avec internet. Vous avez tous un routeur chez vous, c'est la box de votre FAI (Fournisseur d'Accès à Internet). Plus généralement, un routeur est composé : d'un port WAN (Wide Area Network) recevant les informations depuis l'internet (ou un réseau de hiérarchie supérieure). Par exemple un port recevant la fibre optique de votre opérateur, ou un port SFP+/RJ45 pour un routeur tiers. d'un switch, c'est à dire d'un hub composé de plusieurs ports LAN (Local Area Network) permettant de connecter plusieurs lignes et appareils à votre routeur. Ils peuvent etre RJ45 ou SFP/SFP+. parfois d'un emetteur/recepteur WiFi Le routeur peut posséder des capacité de firewall , c'est à dire de limiter le traffic d'appareils en particulier, et de NAT (Network Adress Translation) , c'est à dire de redirection de port. Il possède aussi généralement un DHCP (Dynamic Host Configuration Protocol) , servant à attribuer dynamiquement des adresses IP à votre matériel branché au réseau. Le routeur conditionne directement la vitesse de communication entre vos appareils. En effet, le port WAN conditionne le débit qu'il peut recevoir de la part de votre FAI. Si vous avez un abonnement de 5 Gb/s, il vous faudra un port WAN d'au moins 5 Gb/s. Mais il conditionne également la vitesse de communication entre vos équipements. Si vous avez des appareils qui communiquent à 5 Gb/s, il faudra que la partie switch du routeur disposent de ports 5 Gb/s. Enfin, si vous avez du matériel WiFi 7 et que vous souhaitez profiter de ces débits, il faudra également que votre routeur le supporte. Et dans le cas d'une borne Wifi tierce, n'oubliez pas que son port réseau doit disposer d'un débit au moins égale au WiFi qu'il diffuse, et le routeur également. Débit internet, nombre d'équipements à brancher, débit WiFi, débit réseau, ce sont quatre points à regarder avec attention lorsque vous souscrivez à une offre avec une box internet ou lorsque vous achetez votre propre routeur. ✨ Astuce : \nVous pouvez utiliser sans difficulté un routeur tiers pour votre réseau qui remplacera la gestion de votre box internet si celle-ci surpporte le mode Bridge . En France seul l'opérateur Free le permet. C'est également possible avec les opérateurs ne disposant pas de ce mode, mais avec de grandes difficultés et sans toutes les fonctionnalités qu'un routeur tiers pourrait vous apporter. Le Switch Le switch ou commutateur, est un appareil qui permet de brancher plusieurs appareils au réseau. C'est littéralement un hub, qui se connecte directement au routeur ou à un autre switch, jusqu'au routeur. Il permet d'éviter de saturer toutes les prises switch du routeur, ou de délocaliser le matériel dans une autre pièce, sans tirer un cable par appareil vers le routeur. Un autre cas d'usage est de pouvoir séparer plusieurs réseaux gérés par un meme routeur. Il en existe globalement de deux types : Les switch non managés, les plus courants. Ils sont plug-n-play, c'est à dire que vous les branchez et tout est réglé tout seul. Les switchs managés. Ils disposent d'une interface de configuration (en ligne de commande ou via une interface web), servant à affiner les règles de routages asservies au routeur. C'est très efficace pour séparer des réseaux virtuels entre vos appareils, mais généralement nécessite beaucoup de temps de configuration et sont moins pratiques à utiliser qu'un simple switch non managé. Attention : Veillez à bien utiliser un switch avec des ports disposant des débits cohérents avec le matériel de votre réseau Les cables Les cables sont des composants essentiels de votre réseau. Selon leur type et catégorie, ils limiteront le débit entre vos appareils et nécessitent donc d'etre dimensionnés de manière cohérente avec votre réseau. Ils doivent être compatibles avec les ports de vos apapreils. Pour rappel, voici les normes de ports les plus utilisées: RJ45 Gigabit ethernet 10/100/1000 : le format standard de prise RJ45 permettant de dialoguer à des débit allant de 10Mbps (soit 0,125Mo/s) à 1000Mbps (soit 125Mo/s) RJ45 2.5G : Même prise, pouvant dialoguer jusqu'à 2,5Gpbs soit 2 500Mbps (donc 312,5Mo/s) RJ45 5G : Même prise, pouvant dialoguer jusqu'à 5Gpbs (donc 625Mo/s) RJ45 10G Base T : Même prise pouvant dialoguer jusqu'à 10Gb/s (soit 1,25Go/s) SFP 1G : Prise SFP, généralement utilisée pour la fibre optique, pouvant dialoguer jusqu'à 1Gpbs SFP+ 10G : Prise SFP amélioriée, aussi utilisée pour la fibre optique, pouvant dialoguer jusqu'à 10Gb/s. Les cables Ethernet Ces cables en cuivre disposent généralement d'une prise dite RJ45 . C'est la prise la plus standard du matériel réseau, que vous retrouvez sur vos routeurs et vos switch. Ils sont définis en plusieurs catégorie, définissant le débit maximal selon la distance : Débit Type de câble Distance max 10 Gb/s CAT 6A 100 m CAT 6 55 m CAT 5e 30 m 5 Gb/s CAT 6 100 m CAT 5e 30 m 2.5 Gb/s CAT 5e 100 m 1 Gb/s CAT 5e 100 m 100 Mbs CAT 5 100 m Certains de ces cables sont plats, ronds, blindés (à relier à la terre), etc. Choisissez en fonction de votre installation. ce qu'il faut comprendre, c'est que pour relier un appareil qui dispose d'une prise RJ45 ethernet 2.5 Gb/s sur un routeur 2.5G b/s, il faut au moins un cable CAT 5e .\nEn revanche, si votre appareil est limité à 100 Mb/s, vous n'avez besoin que d'un cable CAT 5 . Aujourd'hui, dans les nouvelles construction, la norme est d'installer des cables CAT 6A dans les murs. Ainsi, les prises murales sont prêtes à accepter du 10 Gb/s sur 100 m Les cables optiques Très fins mais très fragile, on commence à les voir de plus en plus dans les installations chez soi. A commencer par le cable opérateur qui est relié entre votre prise fibre et votre box/routeur. Ils ont l'avantage de prendre peu de place, de ne rien consommer comparé à un cable en cuivre qui subit des déperdition d'energie liée à la chauffe, de n'emettre aucun rayonnement (pas besoin de blindage, pas de perturbation du signal) et d'accepter des débits très élevés sur de longue distance. Pour du réseau local, il faut comprendre qu'il existe plusieurs types de cables fibres, conditionnant le débit selon la distance, et conditionnant le type de transceiver à utiliser. En effet, les cables fibres se branchent sur les ports SFP+ de vos appareils, via un petit objet qui traduit le signal lumineux en information électrique, et qui, dans le sens inverse, traduit les informations électrique en signal lumineux. Globalement, pour du réseau local, on évitera de choisir autre chose qu'un cable multimode OM3 avec prise LC, avec un transceiver LC SFP+ 10G. Cela permet de relier des appareils en 10 Gb/s et est compatible avec la plupart des appareils disposant d'un port SFP+. Attention : Veillez à bien utiliser des transceiver compatibles avec vos materiels (routeur, switch ou appareil). Il n'existe pas encore de standard absolu, les constructeurs précisent généralement les marques compatibles. Les cables DAC Ce sont des cables en cuivre fichés dans des transceiver . Ils permettent à deux ports SFP/SFP+ de dialoguer, à courte distance, sans utiliser une fibre plus fragile ou d'adapteteur RJ45. Cependant, ils demandent plus d'énergie, la deperdition dans le cuivre etant non négligeable. Les transceiver SFP+ Il permettent de connecter différents typle de cable à vos ports SFP/SFP+. Il en existe pour fibre optique, pour DAC et pour RJ45. Un transceiver RJ45 consommera beaucoup d'energie due à la deperdition naturelle dans le cuivre, et donc génerera beaucoup de chaleur. Il existe des transceiver basse consommation, consommant moins de 2W. De manière peu intuitive, ils sont généralement indiqués pour des cables plus long (80m au lieu de 30m). Ils sont conseillés plutot que ceux indiqués pour les cables plus court car ces derniers dégagent plus de chaleur et demandent plus d'energie, ce qui peut poser des problemes de compatibilité avec votre matériel, et dégrader votre réseau, voir le couper.",{"id":82,"path":83,"dir":64,"title":84,"description":7,"keywords":85,"body":89},"content:2.generalites:3.hardware:3.prolonas.md","/generalites/hardware/prolonas","Le ProloNAS",[86,87,88],"Pourquoi un NAS ?","Le problème des NAS grands publics","OK mais omment je passe de mon Mini PC Serveex à un ProloNAS ?"," Le ProloNAS Lorsque l'on se lance dans l'aventure de son serveur chez soi, on se pose souvent la question « Avec quoi dois-je commencer ? » , « Cela coûte cher non ? » , et on finit soit par ne pas le faire, soit par acheter un NAS propriétaire qu'on jettera à la poubelle au bout d'un an quand on aura compris que cela n'apporte rien à part des problèmes et de l'argent jeté par la fenêtre. Un serveur, ce n'est pas une armoire. C'est n'importe quel ordinateur capable de faire tourner linux. C'est pour cela que les mini PC à base de processeurs N100 sont populaires. Pour 100-130€ sur des plateformes chinoises on a une machine sous linux capable de tourner H24 des années durant, et d'executer tout ce qu'on attend d'un serveur/cloud chez soi sans perdre en performances. Ce n'est objectivement pas cher et n'importe qui s'intéressant au sujet peut se lancer dans l'aventure. Un Mini PC à 100 balles + un dock USB à 50 balles accueillant des disques durs cela donne une plateforme à 150 balles versus entre 350 et 1200€ chez les constructeurs. C'est tout simplement ça le ProloNAS, un NAS accessible pour les prolo . Charge à vous ensuite de calibrer votre besoin en Disques Durs. En exemple : Mini PC - Attention : prendre 16GB - 512GB : Aliexpress DAS (Direct Attached Storage) - Attention : prendre \"EU plug\" : Aliexpress Alternatives avec ventilateur et plus soigné : Amazon Je précise que cela ne sont pas des liens affiliés, prenez ce que vous voulez. Pourquoi un NAS ? Un NAS (Network Attached Storage), c'est une machine conçue autour d'un espace de stockage ayant vocation a être partagé sur un réseau. L'idée du NAS, c'est d'avoir un stockage fiable et sécurisé sur lequel s'appuie nos usages et nos applicatifs comme des données cloud par exemple (un drive comme Nextcloud , une synchro photo comme Immich . Mais aussi vos media comme vos films (par exemple avec Plex ) ou les videos de vos caméra de surveillance. Mais pourquoi un Mini PC sans DAS ne suffirait il pas ? Bien sûr, un simple mini PC avec ses 1 à 2To de stockage devraient suffire pour la plupart des gens. Et les films pourraient tenir dans un disque dur externe de quelques TB supplémentaire. En revanche ce n'est pas une solution fiable ni extensible de faire tourner ses applications et usages sur du stockage qui au moindre choc, au moindre probleme, fait perdre vos données définitivement. Le vrai NAS est construit autour de la fiabilité du support qui contient vos données. Il nécessite de mettre en place des stratégies de stockages type RAID afin de préserver vos données en cas de panne et de la sauvegarde en cas de corruption (comme les snapshot ZFS ). Vous l'aurez compris, l'idée du NAS c'est de déporter chez vous tout ce que vous confiez actuellement à des tiers, tout en assurant la fiabilité du support et la sauvegarde des données stockées. Le problème des NAS grands publics De nombreuses marques proposent des plateformes prêtes à accueillir vos disques, avec une palanquée de logiciels en Web UI reluisants. Synology, QNAP, Ugreen, j'en passe et des meilleurs. Cela semble plus facile, pourquoi ne pas se laisser tenter ? Beh le prix déjà ! 350€, c'est le prix de départ d'un NAS 2 baies (sans les disques) chez Syno, avec un processeur qui date de 2019, pas de logement pour un SSD pour l'OS, et 2 pauvres giga-octets de RAM. Rappelez vous le ProloNAS : un N100 4 coeurs, 16Go de RAM, un SSD de 512Go, pour 100-130€ et un DAS 4 baies à 55€. Soit deux fois moins que le Syno 2 baies, 4 fois moins que le Syno 4 baies. OS limités « Oui mais ok l'argument du prix, mais au moins tu lances le truc et c'est bon, t'as de jolies applications qui tournent toute seule sans maintenance ». Une année. Une année c'est le temps qu'il m'a fallu pour jeter à la poubelle mon Syno en me disant que j'aurais du dès le départ partir sur mon ProloNAS (devenu un vrai serveur, depuis). Les constructeurs vous mettent à disposition des OS linux customisés à leur sauce, ne partageant pas les catalogues d'applications linux des distributions majeures, avec des noyaux linux datant souvent de l'antiquité, et surtout des OS tres fermés ne vous permettant pas de développer votre NAS exactement selon vos besoins. En gros, soit vous utilisez leurs applications, soit vous rentrer dans un monde de souffrance. Pour donner un exemple, de nombreux conteneurs docker ne fonctionnent pas sur ces NAS constructeurs car le kernel est tellement vieux qu'il ne peut supporter les versions pourtant pas toujours récentes de docker. Dépendance des mises à jours propriétaires « Oui mais moi j'ai pas d'autre usages que ce que leurs applicatifs natifs proposent ». Oui oui, moi aussi j'ai cru ça. Mais 1 an après mon Syno, mes usages ont explosés. Media center, gestion de mot de passe, plateforme git, plateforme de développement, Authentification forte et SSO hébergement web... Pourquoi etre bloqués par les solutions constructeurs jamais excellentes, souvent baclées et compatibles avec rien ? D'autre part, ces applicatifs, vous devenez dépendant de la bonne volonté du constructeur, en terme de sécurité, de mises à jour, et de disponibilités. Je préfère confier cette dépendance à des projets open-source, mis à jour plus régulièrement et ne dépendant pas de la bonne volonté d'un board commercial. Et cela ne s'arrête pas là, qui vous dit que les disques dur que vous avez inséré dans ces NAS proproietaires vont etre supportés ? Synology a rendu incompatible son matériel avec les marques n'ayant pas un partenariat avec eux, afin de booster la vente de leurs propres disques. Qui vous dit que votre media center pourra profiter des performances de l'iGPU de votre processeur pour streamer vos media vers vos appareils ? Synology a désactivé le transcodage matériel de ses NAS . Bref, vous n'avez aucun pouvoir sur un produit qui n'est pas réellement ni ouvert ni à vous. OK mais omment je passe de mon Mini PC Serveex à un ProloNAS ? Comme dit plus haut, avec un DAS (hub disque) + de quoi faire du RAID avec ZFS par exemple.",{"id":91,"path":92,"dir":93,"title":34,"description":7,"keywords":94,"body":97},"content:3.serveex:1.introduction.md","/serveex/introduction","serveex",[95,96],"Un home lab par un débutant pour les débutants","A venir"," Un home lab par un débutant pour les débutants Serveex c'est avant tout un projet personnel visant à héberger chez soi le plus de services possibles du quotidien sans passer par des plateformes propriétaires (Google, Apple, Netflix...). L'idée était d'expérimenter, d'apprendre, et de documenter chaque étape. C'est un projet purement pour la science, et n'a pas vocation à être utilisé en production. Un grand merci à Nipah , pour le partage de ses connaissances infinies, et surtout pour sa patience. Pré-requis : Posséder un VPS en ligne ou une machine locale : idéalement un mini PC (on trouve des N100 pour 100€), mais fonctionne aussi sur laptop ou une machine virtuelle . Les Freebox Delta/Ultra proposent des machines virtuelles . Savoir configurer les règles NAT d'un routeur et attribuer des baux DHCP Savoir configurer la zone DNS d'un nom de domaine L'objectif étant d'etre facilement déployable et facile à migrer, voici sa structure : Le coeur du serveur Système d'exploitation Installer et configurer Debian 13 Moteur de conteneur Installer Docker Docker GUI Installer et déployer Dockge Reverse Proxy Exposez vos services avec SWAG La sécurité VPN Installer et déployer Wireguard SSO & MFA Installer et déployer Authentik Zero Trust Installer et déployer Cloudflared Monitoring Etat des services Installer et déployer Uptime-Kuma Gestion des logs Installer et déployer Dozzle Gestion de la connexion Installer et déployer Speedtest Tracker Etat des ressources Installer et déployer Beszel Wake on Lan Installer et déployer UpSnap Media Media Installer et déployer Plex Seedbox Installer et déployer Qbittorrent Cloud Drive & Photos Drive Installer et déployer Nextcloud Photos Installer et déployer Immich Fichiers & partage Explorateur de fichier Installer et déployer file-browser Partage Installer et déployer Pingvin Outils de développement Visual Studio Code Installer et déployer code-server Git Repository Installer et déployer Gitea Outils Installer et déployer IT Tools Applications utiles DNS anti-pub et filtres Installer et déployer Adguard Home Gestionnaire de mots de passe Installer et déployer Vaultwarden A venir Homepage, pour avoir tout vos services en un coup d'oeil et y accéder facilement Mkdocs pour votre documentation Docus, alternative à Mkdocs UpSnap pour réveiller vos machines à distance",{"id":99,"path":100,"dir":101,"title":102,"description":7,"keywords":103,"body":107},"content:3.serveex:2.coeur:1.installation.md","/serveex/coeur/installation","coeur","Debian 13",[104,105,106],"Installation","CLI apps à avoir près de soi","Fonctions utiles"," Debian 13 🎯 Objectif : Installer Debian 13 et les dépendances principales pour avoir un OS pret à l'emploi, joignable en SSH. Installation Paramètrage BIOS Téléchargement de l'image Debian 13 USB bootable (Rufus) Installer Debian et configurer SSH Installer sudo et ajouter un utilisateur au groupe sudo, pour les privilèges administrateurs\nSe connecter en root : su -\n mettre son mot de passe puis taper : apt install sudo\n Ajouter l'utilisateur au groupe sudo : adduser \u003C nomdutilisateu r > sudo\n La prochaine fois que l'utilisateur se connectera, il pourra utiliser la commande sudo et ainsi executer des commandes avec les privilèges administrateurs. Tout savoir sur la connexion à distance à la console (SSH) Optionnel - UPS client en cas de coupure / et aussi Optionnel - Réveil en cas de coupure de courant -> régler le BIOS S0 state Optionnel - Réveiller le serveur à distance (WoW - WoL) CLI apps à avoir près de soi Quelques app que vous utiliserez forcément à un moment donné, autant les installer dès le départ sudo apt update\n sudo apt upgrade\n sudo apt install vim btop ranger git duf neofetch samba cifs-utils tree unzip\n En plus : gping - Outil graphique de ping lazydocker - Gestion de conteneurs docker en CLI Fonctions utiles Pare-feu ufw Firewalld Partage Samba (accès à un disque réseau distant) Créer et accéder à un partage Samba Transfert de fichier via rsync sudo rsync -avhHSP /source /destination\n Ajoutez --exclude @eaDir si la source est un NAS Synology .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":109,"path":110,"dir":101,"title":111,"description":7,"keywords":112,"body":116},"content:3.serveex:2.coeur:2.docker.md","/serveex/coeur/docker","Docker",[113,114,115],"Installer docker","Installer dockge pour gérer et déployer les conteneurs","Watchtower, pour mettre à jour automatiquement les conteneurs"," Docker Docker, pour installer des services déployables en quelques secondes, et les manager en quelques commandes/clics. 🎯 Objectifs : Installer Docker Installer Dockge pour manager les stacks Installer Watchtower pour mettre à jour les conteneurs Installer docker Installez les repo Docker et la clé GPG # Add Docker's official GPG key:\n sudo apt-get update\n sudo apt-get install ca-certificates curl\n sudo install -m 0755 -d /etc/apt/keyrings\n sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc\n sudo chmod a+r /etc/apt/keyrings/docker.asc\n \n # Add the repository to Apt sources:\n echo \\\n \"deb [arch=$( dpkg --print-architecture ) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian \\\n $( . /etc/os-release && echo \" $VERSION_CODENAME \") stable\" | \\\n sudo tee /etc/apt/sources.list.d/docker.list > /dev/null\n sudo apt-get update\n Installez les package sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin\n Et voilà ! Plus d'options Installer docker pour Debian 12 Dans toute la suite, on part du principe que les stacks sont installées dans le dossier /docker , créé grace à la commande : sudo mkdir /docker\n Installer dockge pour gérer et déployer les conteneurs Dockge est un outil web permettant de créer, configurer, lancer et gérer des conteneurs pour Docker. C'est une interface simple, intuitive, qui est plus légère et plus facile pour les débutants que d'utiliser docker en CLI ou Portainer. Configuration Plan des fichiers que nous allons modifier : root\n └── docker\n └── dockge \n └── compose.yml\n Créez le dossier de la stack : cd /docker\n sudo mkdir dockge\n Puis créez le fichier compose.yml dans ce dossier avec l'outil vim que vous avez installé préalablement (dans les outils CLI) cd /docker/dockge\n sudo vi compose.yml\n Appuyer sur i pour rentrer en modif et copiez-collez ceci. ---\n services :\n dockge :\n image : louislam/dockge:1\n restart : unless-stopped\n container_name : dockge\n ports :\n - 3555:5001 # Le port joignable depuis le LAN sera 3555\n \n volumes :\n - /var/run/docker.sock:/var/run/docker.sock\n - /docker/dockge/data:/app/data\n - /docker:/docker\n environment :\n - DOCKGE_STACKS_DIR=/docker\n Appuyez sur Echap pour quitter le mode modif et tapez :x pour enregistrer et quitter Pour lancer le conteneur, tapez : cd /docker/dockge\n sudo docker compose up -d\n Une fois lancé, tapez dans votre navigateur http://ipduserveur:3555 et vous tomberez sur la page de login. Plus d'info sur dockge et comment l'utiliser Et voilà, vous avez installé docker et un outil facile pour manager vos conteneurs ! Watchtower , pour mettre à jour automatiquement les conteneurs Watchtower est un conteneur qui permet de vérifier les mise à jour et d'installer les nouvelles images sans effort, en ajoutant un simple label dans les fichiers compose.yml de vos conteneurs. Configuration Ouvrez Dockge dans votre navigateur Cliquez sur compose Nommez la stack watchtower Copiez collez la configuration ci-dessous à la place de la configuration par défaut dans Dockge ---\n services :\n watchtower :\n container_name : watchtower\n image : ghcr.io/nicholas-fedor/watchtower:latest\n restart : unless-stopped\n env_file :\n - .env\n environment :\n - TZ=Europe/Paris\n - WATCHTOWER_SCHEDULE=${SCHEDULE}\n - WATCHTOWER_LABEL_ENABLE=true # watchtower scan tous les conteneurs qui ont le label com.centurylinklabs.watchtower.enable=true\n - WATCHTOWER_CLEANUP=true\n - WATCHTOWER_REMOVE_VOLUMES=true\n #Notifications Discord - décommenter si utilisé\n #- WATCHTOWER_NOTIFICATIONS=slack\n #- WATCHTOWER_NOTIFICATION_SLACK_IDENTIFIER=Watchtower\n #- WATCHTOWER_NOTIFICATION_SLACK_HOOK_URL=${WH_URL}\n volumes :\n - /var/run/docker.sock:/var/run/docker.sock\n Puis remplissez les données ci-dessous dans l'encart \".env\" de Dockge SCHEDULE =\n WH_URL =\n Propriété Valeur Exemples SCHEDULE Format cron 0 0 6 * * * (tous les jours à 6h du matin) WH_URL URL du webhook de votre serveur Discord - ajouter /slack à la fin https://serveurdiscord/valeur/slack Pour que Watchtower surveille vos autres conteneurs, ajoutez ceci à vos conteneurs dans leur compose.yml : labels :\n - com.centurylinklabs.watchtower.enable=true\n Puis relancez les stacks modifiés. Et voilà, vous avez une bonne carcasse pour commencer à installer les services qui vous plaisent ! .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":118,"path":119,"dir":101,"title":120,"description":7,"keywords":121,"body":126},"content:3.serveex:2.coeur:3.swag.md","/serveex/coeur/swag","SWAG",[104,122,123,124,125],"Dashboard","DBIP","Exposer Dockge","Exposer un autre service avec SWAG"," SWAG 🎯 Objectifs : Installer Swag Activer le SSL Accéder au tableau de bord Configurer le blocage régional Exposer Dockge Swag est le noyau de ce homelab. C'est un reverse proxy puissant qui permet d'exposer des services sur le net via un ou des noms de domaines, en se chargeant de l'émission des certificats SSL (pour garder des connexions chiffrées), du routage des requêtes et de la sécurisation des accès (par authent HTTP ou par SSO comme Authelia ou Authentik). Toute la doc nécessaire se situe ici . SWAG n'a pour utilité que l'exposition de vos services sur internet. C'est à dire, y accéder via une url publique du type https://service.mondomaine.fr . Si vous ne souhaitez pas exposer vos services et plutôt utiliser systématiquement un VPN pour vous connecter à vos services à distance, vous pouvez directement aller par ici . Ci-dessous, vous trouverez un exemple, exposant Dockge. Nous installerons SWAG, ainsi que le mod dbip servant à bloquer les connexions en fonction de la géoloc, ainsi que le mod dashboard qui permet de piloter le fonctionnement de swag, fail2ban et la géoloc. Principe d'un reverse proxy et application dans notre cas : Installation Ce tutoriel part du principe que vous avez un nom de domaine qui pointe vers votre serveur, et que votre box a une règle NAT qui redirige le port 443 vers l'adresse IP et le port 443 de votre serveur. Le nom de domaine d'exemple sera mondomaine.fr . Plan des fichiers que nous allons modifier : root\n └── docker\n └── swag\n ├── config\n │ ├── dns-conf\n │ │ └── ovh.ini\n │ └── nginx\n │ ├── dbip.conf\n │ ├── nginx.conf\n │ └── proxy-confs\n │ └── dockge.subdomain.conf \n ├── compose.yml\n └── .env\n Ouvrez Dockge dans votre navigateur, cliquez sur compose , nommez la stack swag et copiez la conf ci-dessous ---\n services :\n swag :\n image : lscr.io/linuxserver/swag:latest\n container_name : swag\n cap_add :\n - NET_ADMIN\n env_file :\n - .env\n environment :\n - TZ=Europe/Paris\n - URL=${DOMAIN}\n - EXTRA_DOMAINS=${DOMAINS}\n - SUBDOMAINS=wildcard # couvre les sous-domaines\n - VALIDATION=dns\n - DNSPLUGIN=${PLUGIN}\n - EMAIL=${EMAIL}\n - DOCKER_MODS=linuxserver/mods:swag-dbip|linuxserver/mods:swag-dashboard|linuxserver/mods:swag-auto-reload\n volumes :\n - /docker/swag/config:/config\n ports :\n - 80:80\n - 443:443\n - 81:81 # Nécessaire pour le dashboard\n restart : unless-stopped\n networks :\n - swag\n \n networks :\n swag :\n name : swag_default\n ✨ Astuce : \najoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n swag :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Puis dans le .env : DOMAIN =\n DOMAINS =\n EMAIL =\n PLUGIN =\n Remplissez comme suit Propriété Valeur Exemples DOMAIN Votre domaine (cela couvre aussi tous les sous-domaines) mondomaine.fr DOMAINS Vos éventuels autres domaines monsecondomaine.fr EMAIL Votre email, pour générer le certificat votre@email.fr PLUGIN Le plugin pour générer le certificat, lié à votre fournisseur de zone DNS ovh cloudflare Ici nous partons du principe que votre zone DNS est chez OVH. Déployez la stack une premiere fois. Dans les logs vous verrez qu'il n'arrivera pas à créer de certificat SSL car le fichier ovh.ini renvoi une erreur. Arretez la stack. En CLI, allez dans le dossier dns-conf et éditez le fichier ovh.ini : ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/dns-conf/ovh.ini\n Voici ce qui s'affiche : # Instructions: https://github.com/certbot/certbot/blob/master/certbot-dns-ovh/certbot_dns_ovh/__init__.py#L20\n # Replace with your values\n dns_ovh_endpoint = ovh-eu\n dns_ovh_application_key = \n dns_ovh_application_secret = \n dns_ovh_consumer_key =\n Authentifiez vous et créez votre token ici . Les permissions à configurer sont les suivantes : GET /domain/zone/* PUT /domain/zone/* POST /domain/zone/* DELETE /domain/zone/* Notez les 3 clés temporairement et renseignez le fichier ovh.ini . (avec vim, i pour passer en modif, Echap quand c'est fini, :x pour sauvegarder et quitter) Sauvegardez et quittez le fichier. Configurez aussi swag pour qu'il accède à DBIP, le module de gestion des accès par géolocalisation /Ouvrez le fichier nginx.conf sudo vi /docker/swag/config/nginx/nginx.conf\n Et ajoutez la ligne suivante en dessous de la section http : include /config/nginx/dbip.conf\n Relancez la stack dans Dockge, cette fois le certificat SSL est bien émis ! Vérifiez dans les logs que le serveur est bien ready. Dashboard Accedez au dashboard via votre réseau local en tapant http//ipdevotreserveur:81 \nA gauche, vous trouverez la liste des services actuellement \"proxied\" (aucun pour le moment). A droite, les IP bannies. En-dessous, une liste d'indicateurs. pour le détail, c'est par ici . DBIP DBIP permet de bloquer les connexions en fonction des pays. Il s'appuie sur le fichier de config nommé dbip.conf dans /docker/swag/config/nginx . Plus d'info ici . Dans cet exemple, nous allons le configurer pour bloquer une liste de pays connus pour etre à l'origine de la plupart des connexions malveillantes. Nous allons également configurer une variable au cas où nous souhaiterions permettre au réseau interne du serveur, au réseau local de votre box ainsi qu'à un éventuel vpn en 10.x.x.x de pouvoir accéder à vos services, mais pas directement à internet. La configuration est activable ou désactivable pour chaque service qui sera proxied (voir exemple de Dockge plus bas). Ouvrez dbip.conf : sudo vi /docker/swag/config/nginx/dbip.conf\n Faites vos modifications ( voir documentation ), ou prenez l'exemple suivant: geoip2 /config/geoip2db/dbip-country-lite.mmdb {\n auto_reload 1w;\n $ geoip2_data_continent_code continent code;\n $ geoip2_data_country_iso_code country iso_code;\n }\n \n # Country Codes: https://en.wikipedia.org/wiki/ISO_3166-2\n \n map $geoip2_data_country_iso_code $geo-whitelist {\n # default yes;\n # Example for whitelisting a country, comment out 'default yes;' above and uncomment 'default no;' and the whitelisted country below\n default no;\n FR yes;\n }\n \n map $geoip2_data_country_iso_code $geo-blacklist {\n default yes;\n # Example for blacklisting a country, uncomment the blacklisted country below\n CN no; #China\n RU no; #Russia\n HK no; #Hong Kong\n IN no; #India\n IR no; #Iran\n VN no; #Vietnam\n TR no; #Turkey\n EG no; #Egypt\n MX no; #Mexico\n JP no; #Japan\n KR no; #South Korea\n KP no; #North Korea\n PE no; #Peru\n BR no; #Brazil\n UA no; #Ukraine\n ID no; #Indonesia\n TH no; #Thailand\n }\n \n geo $lan-ip {\n default no;\n 10.0.0.0/ 8 yes;\n 172.16.0.0/ 12 yes;\n 192.168.0.0/ 16 yes;\n 127.0.0. 1 yes;\n }\n Sauvegardez et quittez. Redémarrez la stack. Dans les fichiers de conf des domaines (section suivante), vous pourrez activer ou désactiver la whitelist ou la blacklist ( voir documentation ici ). Dans notre cas, la whitelist laisse uniquement passer les requêtes françaises. La blacklist laisse passer tout le monde sauf la liste de pays mentionnée. On utilisera donc la blacklist, sur ce modèle : server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name some-app.*;\n include /config/nginx/ssl.conf;\n client_max_body_size 0 ;\n \n if ($geo-blacklist = no) { return 404 ; }\n \n location / {\n Exposer Dockge 📋 Prérequis : \nNous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type dockge.mondomaine.fr avec pour CNAME mondomaine.fr et à moins que vous utilisiez Cloudflare Zero Trust , que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Il s'agit maintenant d'exposer Dockge sur internet, afin de pouvoir y accéder et gérer vos conteneurs sans que vous soyez chez vous. Pour cela, nous partons du principe que vous avez configuré un sous domaine dockge.mondomaine.fr dans votre zone DNS dont le CNAME pointe sur mondomaine.fr . Dockge n'utilise pas d'authentification multifacteur. Exposer Dockge sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Ouvrez le fichier dockge.subdomain.conf : sudo vi /docker/swag/config/nginx/proxy-confs/dockge.subdomain.conf\n Paramétrez le comme tel : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n # indique que le sous-domaine doit être dirigé\n server_name dockge.*; \n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n # indique que les pays dans la blacklist sont intedits\n if ($geo-blacklist = no) { return 404 ; } \n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n \n set $upstream_app dockge; # Nom du conteneur\n set $upstream_port 5001 ; # Port interne conteneur\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Sauvegardez et quittez. La configuration va se mettre à jour en quelques secondes. Par défaut, SWAG ne connait pas le nom \"dockge\". Pour qu'il puisse y accéder, vous devez rajouter le réseau de dockge dans le compose.yml de SWAG. Rendez-vous sur la stack de SWAG, puis cliquez sur éditer , et ajouter le réseau de dockge dans le fichier de conf sur ce modele (les champs networks ) : services :\n swag :\n container_name : #...\n # ... \n networks : # Relie le conteneur au réseau custom \n - dockge # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n #...\n dockge : # Nom du réseau déclaré dans la stack\n name : dockge_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de dockge est dockge_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Déployez à nouveau la stack de SWAG. Patientez puis tapez https://dockge.mondomaine.fr dans votre navigateur, vous devriez être redirigé vers dockge. Vous pouvez vérifier le statut du service via le dashboard (depuis votre réseau local, http://ipdevotreserveur:81 ) Exposer un autre service avec SWAG Swag dispose de modeles pour la plupart des services connus, nommés nomduservice.subdomain.conf.sample . Il vous suffit de créer le sous-domaine dans votre zone DNS chez votre registrar (comme OVH par exemple), de le faire pointer sur votre domaine principale (via un enregistrement CNAME) et de copier en renommant nomduservice.subdomain.conf.sample en nomduservice.subdomain.conf . cd /docker/swag/config/proxy-confs\n sudo cp nomduservice.subdomain.conf.sample nomduservice.subdomain.conf\n Si le sous domaine n'est pas redirigé correctement éditez le fichier et vérifiez notamment le nom du conteneur dans set $upstream_app nomduconteneur; vérifiez que vous avez bien ajouté le réseau du conteneur dans le compose.yml de SWAG. Vous pouvez aussi choisir le sous-domaine en changeant la variable server_name votresousdomaine.*; et en renommant le fichier votresousdomaine.subdomain.conf . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":128,"path":129,"dir":130,"title":131,"description":7,"keywords":132,"body":136},"content:3.serveex:3.securite:1.wireguard.md","/serveex/securite/wireguard","securite","Wireguard",[34,133,134,135],"Côté serveur","Sur le serveur client","Autres appareils"," Wireguard 🎯 Objectifs : Installer Wireguard Configurer les clients Accéder au réseau sécurisé Introduction L'utilisation d'un VPN permet d'accéder à distance aux ressources locales du serveur sans les exposer sur internet. C'est notamment une manière propre de sécuriser l'accès à la console SSH, plutot que d'exposer le port sur internet. C'est pouvoir se connecter à son réseau où que l'on soit, de maniere sécurisée, et de faire dialoguer des machines qui sont sur des réseaux différents. Ici nous utiliserons Wireguard , un serveur VPN sécurisé et très performant, à l'aide des conteneurs : wg-easy pour le serveur, qui propose une interface web très simple pour controler les connexions et télécharger les fichiers de conf (notamment par QR code pour les téléphones) Wireguard pour les clients linux Il existe aussi des clients Windows, MacOS, iOS et Android. Le principe est le suivant : Sur internet, n'importe qui peut contacter n'importe quel box internet et donc essayer de contacter n'importe quel serveur exposé. Votre serveur est sur votre réseau local. Il est accessible depuis le réseau local mais pas depuis internet, mis à part les services exposés (comme nous l'avons fait avec Dockge). Pour accéder aux ressources non exposées, vous devez être connecté sur le meme réseau que votre serveur et donc etre chez vous. De plus, vous devez laisser ouvert les ports utilisés par vos services à travers le pare feu de votre serveur. Nous souhaitons ici au contraire, depuis n'importe où, pouvoir accéder de maniere securisée aux services non exposés sur internet du serveur, comme la console SSH qui permet de se connecter à la machine par exemple. Nous souhaitons aussi accéder aux services d'autres serveurs, et par exemple relier de maniere sécurisée deux instances de Dockge pour tout controler depuis la meme interface. Pour cela nous allons créer un réseau privé virtuel , ou VPN, c'est à dire un tunnel sécurisé auquel personne n'a accès à part les machines que vous relierez entre elles. Elles feront partie d'un nouveau réseau et pourront dialoguer entre elle comme dans un réseau local. D'autre part, vous pourrez ajouter votre téléphone, un ordinateur portable ou n'importe quel appareil au réseau pour pouvoir utiliser vos ressources depuis vos appareils quotidiens, où que vous soyiez. Dans cette illustration, la machine 1 est sur deux réseaux : son réseau local (tous les appareils liés à la box, avec une adresse IP du type 192.168.x.x donc ici la machine 1 et la machine 2) le réseau du VPN (tous les appareils reliés au VPN, avec une seconde adresse IP du type 10.8.x.x donc ici la machine 1 et 4) On peut aussi faire en sorte que les machines reliées au réseau virtuel partagent les acces à leur réseau local. Ici nous ne le ferons pas, pour des raisons de sécurité, et de complexité en terme de sous-réseau (si les deux machines distantes ont des machines locales qui utilisent la meme adresse IP locale, par exemple 192.168.1.1 , cela posera des conflits). Ainsi, sur le réseau virtuel, seules les machines directement reliées pourront dialoguer entre elle depuis ce réseau. Elles ne pourront pas dialoguer avec une machine situées sur un autre réseau local et non reliée au VPN. Côté serveur 📋 A vérifier au préalable : Vérifiez si le port 51820 UDP estlibre sur votre serveur, et bien routé dans le NAT de la box Source 51820 UDP -> Destination 51820 UDP -> Serveur . En effet, votre serveur étant derrière votre box, le port de votre box doit etre joignable et rediriger vers le port de votre serveur connecté à votre VPN. Vérifiez aussi que le port 51821 TCP est libre sur le serveur pour accéder à la web ui. Attention : Si votre IP n'est pas fixe, vous devez avoir un nom de domaine redirigeant vers l'IP à jour à l'aide d'un DynDNS . Si votre opérateur internet utilise un CGNAT , vous êtes cuit. Vous devrez utiliser un VPS externe pour ce tuto, et y connecter votre serveur comme client. Structure des dossiers root\n └── docker\n └── wg-easy\n ├── config\n │ └── etc_wireguard\n ├── compose.yaml\n └── .env\n Ouvrez Dockge, cliquez sur compose et nommez la stack wg_easy . Copiez la configuration suivante : ---\n services :\n wg-easy :\n environment :\n - INSECURE=true\n image : ghcr.io/wg-easy/wg-easy:15\n container_name : wg-easy\n networks :\n wg :\n ipv4_address : 10.42.42.42\n ipv6_address : fdcc:ad94:bacf:61a3::2a\n volumes :\n - ./etc_wireguard:/etc/wireguard\n - /lib/modules:/lib/modules:ro\n ports :\n - \"51820:51820/udp\"\n - \"51821:51821/tcp\"\n restart : unless-stopped\n cap_add :\n - NET_ADMIN\n - SYS_MODULE\n sysctls :\n - net.ipv4.ip_forward=1\n - net.ipv4.conf.all.src_valid_mark=1\n - net.ipv6.conf.all.disable_ipv6=0\n - net.ipv6.conf.all.forwarding=1\n - net.ipv6.conf.default.forwarding=1\n \n networks :\n wg :\n driver : bridge\n enable_ipv6 : true\n ipam :\n driver : default\n config :\n - subnet : 10.42.42.0/24\n - subnet : fdcc:ad94:bacf:61a3::/64\n ✨ Astuce : Vous pouvez personnaliser le port de wireguard et de la webui au lieu des ports par défaut. Ajoutez le label de watchtower afin d'automatiser les mises à jour services\n wg-easy :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Puis déployez la stack et connectez vous via le web en local sur http://ipduserveur:51821 En cas d'échec, vérifiez les règles du pare-feu. Une fois connecté, la webui vous guidera : Pour créer votre compte et mot de passe d'accès Pour configurer l'host à utiliser dans les fichiers de conf : utilisez l'IP publique de votre box internet (ou de votre VPS), ou le nom de domaine redirigeant vers l'IP de votre box, le cas écheant. Une fois fait: Cliquez sur « Administrator » > « Admin Panel » > « Config » Modifiez Allowed IPs en remplaçant 0.0.0.0/24 par 10.8.0.0/24 . Cela signifie que seules les requêtes IP de 10.8.0.1 à 10.8.0.255 seront redirigées dans le tunnel (split tunneling), laissant ainsi à l'appareil la possibilité d'etre connecté à d'autres tunnels, et à accéder à internet par lui meme. Si vous voulez tout rediriger dans le tunnel, y compris l'acces à internet, laissez 0.0.0.0/24 . Supprimez l'IPv6, cela n'apportera que des problèmes. Recuperation des fichiers de conf Afin de configurer les clients, vous devez télécharger les fichiers de conf générés par l'host : Connectez vous via le web en local sur http://ipduserveur:51821 Créez un client Modifiez le client en cliquant sur l'icone d'édition Modifiez Server Allowed IPs en ajoutant 10.8.0.0/24 . Cela signifie que le serveur laissera vos clients accéder à toutes les IP 10.8.0.1 à 10.8.0.255 connectées à lui, et donc laissera les clients dialoguer entre eux si nécessaire. Si vous voulez laisser vos clients accéder à tous les appareils réseau connectés autour de votre serveur en local, mettez 0.0.0.0 , à condition de l'avoir fait précédemment dans la configuration générale. (facultatif) Si votre client est un serveur qui doit être connecté en permanence, modifiez Advanced > Persistent Keep Alive en mettant 25 . Sauvegardez Téléchargez le fichier de conf Renommez le en wg0.conf . (Si ce n'est pas le premier, incrémentez: wg1.conf , etc...) Sur le serveur client Nous partons du principe que le serveur client est un serveur linux avec Docker installé Structure des dossiers root\n └── docker\n └── wireguard\n └── config\n │ └── wg_confs\n └── compose.yaml\n Creez le dossier /docker/wireguard/config/wg_confs . ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo mkdir -p /docker/wireguard/config/wg_confs\n Créez le fichier wg0.conf sudo vi /docker/wireguard/config/wg_confs/wg0.conf\n Rentrez en édition en appuyant sur i puis Copiez collez le contenu du wg0.conf que vous avez téléchargé. Puis sortez du mode édition en appuyant sur Echap puis tapez :x . ✨ Astuce : Un autre moyen est de transférer le fichier par sftp dans le dossier /home/nomdutilisateur puis de le copier dans le bon dossier : sudo cp ~/wg0.conf /docker/wireguard/config/wg_confs\n Creez le compose.yaml dans /docker/wireguard : sudo vi /docker/wireguard/compose.yaml\n Appuyez sur i pour rentrer en modification et copiez la configuration ci-dessous services :\n wireguard :\n image : lscr.io/linuxserver/wireguard:latest\n container_name : wireguard\n network_mode : host\n cap_add :\n - NET_ADMIN\n - SYS_MODULE #optional\n environment :\n - TZ=Europe/Paris\n volumes :\n - /docker/wireguard/config:/config\n - /lib/modules:/lib/modules #optional\n restart : unless-stopped\n Appuyez sur Echap puis tapez :x pour quitter et sauvegarder. Lancez le conteneur : cd /docker/wireguard\n sudo docker compose up -d\n A répéter pour chaque client Autres appareils Téléphone : installer wireguard et scanner le QR code via le webui ( http://ipduserveur:51821 ) PC : Installer wireguard client et mettre directement le fichier de conf téléchargé via le webui Attention : Si des machines clientes sont sur le meme réseau local que le serveur (derriere la box), éditez le fichier wg0.conf uploadé sur cette machine en changeant avec l'adresse locale du serveur : Endpoint = ipduserveur:51820 Et voilà ce que cela peut donner ! .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":138,"path":139,"dir":130,"title":140,"description":7,"keywords":141,"body":148},"content:3.serveex:3.securite:2.authentik.md","/serveex/securite/authentik","Authentik",[104,142,143,144,145,146,147],"Exposer authentik","Activer le multifacteur","Protéger une app native","Protéger une app par reverse proxy","Protéger un service sur un serveur distant","Migrer une base authentik"," Authentik 🎯 Objectifs : Installer et exposer Authentik Paramétrer le Multi-Facteur Protéger une app native ou via reverse proxy Authentik est un outil d'authentification unique permettant de vous logger une seule fois sur les plateformes compatibles OpenID. Il permet également de sécuriser l'accès aux services que vous exposez, en s'injectant via SWAG aux requetes vers vos services. Ainsi, si vous exposez Dockge sur internet via dockge.mondomaine.fr , au moment de l'accès à cette page, vous tomberez sur une page de login d'authentik. Si vous avez déjà été identifié sur un autre service sécurisé par authentik auparavant, alors vous serez déjà identifié. cela permet d'avoir à vous identifiez qu'une seule fois par jour sur l'ensemble des services protégés par authentik. Authentik permet aussi d'utiliser le multi-facteur, notamment par TOTP (code généré par une application d'authentification de votre choix. Enfin, authentik permet aussi de se connecter directement via un compte Microsoft ou Google, si vous avez configuré une application d'un de ces services. C'est une bonne manière de se passer de VPN pour exposer vos services, et d'exposer des services qui ne sont pas protégés par du MFA voir pas protégés par des login (comme le dashboard de swag). Authentik dipose d' une doc très fournie et des fabuleux tuto de Cooptonian . Ici, nous montrerons juste les bases, avec l'exemple de l'exposition de Dockge. Deux modes principaux sont à connaitre: Le premier permet à une application qui dispose nativement d'une intégration avec du SSO compatible OpenID de se connecter directement à Authentik. C'est la solution à privilégier car elle permet de laisser l'application décider de ce qui est public et de ce qui est protégé. Le second permet d'injecter une authentification via authentik grace à SWAG avant d'arriver sur le service désiré. Les deux modes son configurables application par application. Installation Structure des dossiers : root\n └── docker\n └── authentik\n ├── .env\n ├── compose.yml\n ├── media\n ├── certs\n ├── custom-template\n └── ssh\n Créez les dossiers : sudo mkdir -p /docker/authentik/media /docker/authentik/certs /docker/authentik/custom-template /docker/authentik/ssh\n Positionnez vous dans le dossier authentik via cd /docker/authentik et générez un mot de passe et une clé secrete que l'on va intégrer dans le .env : sudo echo \"PG_PASS=$( openssl rand 36 | base64 )\" >> .env\n sudo echo \"AUTHENTIK_SECRET_KEY=$( openssl rand 60 | base64 )\" >> .env\n Afin de générer la clé, nous avons créé les dossiers en amont du déploiement via Dockge. Dockge vous empechera de créer une stack du meme nom dans ces dossiers s'il n'existe pas de compose.yml . Il faut donc créer un compose.yml vide afin que ce dernier la reconnaisse comme existante dans les stacks inactives : sudo vi /docker/authentik/compose.yml\n Ouvrez dockge, et cherchez \"authentik\" dans les stack inactives.\nNommez la stack authentik et collez la configuration suivante, en changeant les chiffres de {AUTHENTIK_TAG:-2026.2} par la dernière version de Authentik . ---\n services :\n \n postgresql :\n image : docker.io/library/postgres:16-alpine\n container_name : authentik-postgresql\n restart : unless-stopped\n healthcheck :\n test :\n - CMD-SHELL\n - pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}\n start_period : 20s\n interval : 30s\n retries : 5\n timeout : 5s\n volumes :\n - database:/var/lib/postgresql/data\n environment :\n POSTGRES_PASSWORD : ${PG_PASS:?database password required}\n POSTGRES_USER : ${PG_USER:-authentik}\n POSTGRES_DB : ${PG_DB:-authentik}\n env_file :\n - .env\n \n redis :\n image : docker.io/library/redis:alpine\n container_name : authentik-redis\n command : --save 60 1 --loglevel warning\n restart : unless-stopped\n healthcheck :\n test :\n - CMD-SHELL\n - redis-cli ping | grep PONG\n start_period : 20s\n interval : 30s\n retries : 5\n timeout : 3s\n volumes :\n - redis:/data\n \n server :\n image : ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2026.2}\n container_name : authentik-server\n restart : unless-stopped\n command : server\n environment :\n AUTHENTIK_REDIS__HOST : redis\n AUTHENTIK_POSTGRESQL__HOST : postgresql\n AUTHENTIK_POSTGRESQL__USER : ${PG_USER:-authentik}\n AUTHENTIK_POSTGRESQL__NAME : ${PG_DB:-authentik}\n AUTHENTIK_POSTGRESQL__PASSWORD : ${PG_PASS}\n volumes :\n - ./media:/media\n - ./custom-templates:/templates\n - ./ssh:/authentik/.ssh\n env_file :\n - .env\n ports :\n - ${COMPOSE_PORT_HTTP:-9000}:9000\n - ${COMPOSE_PORT_HTTPS:-9443}:9443\n depends_on :\n - postgresql\n - redis\n \n worker :\n image : ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2026.2}\n container_name : authentik-worker\n restart : unless-stopped\n command : worker\n environment :\n AUTHENTIK_REDIS__HOST : redis\n AUTHENTIK_POSTGRESQL__HOST : postgresql\n AUTHENTIK_POSTGRESQL__USER : ${PG_USER:-authentik}\n AUTHENTIK_POSTGRESQL__NAME : ${PG_DB:-authentik}\n AUTHENTIK_POSTGRESQL__PASSWORD : ${PG_PASS}\n # `user: root` and the docker socket volume are optional.\n # See more for the docker socket integration here:\n # https://goauthentik.io/docs/outposts/integrations/docker\n # Removing `user: root` also prevents the worker from fixing the permissions\n # on the mounted folders, so when removing this make sure the folders have the correct UID/GID\n # (1000:1000 by default)\n user : root\n volumes :\n - /var/run/docker.sock:/var/run/docker.sock\n - ./media:/media\n - ./certs:/certs\n - ./custom-templates:/templates\n - ./ssh:/authentik/.ssh\n env_file :\n - .env\n depends_on :\n - postgresql\n - redis\n \n volumes :\n database :\n driver : local\n redis :\n driver : local\n Dans le point .env , les variables PG_PASS et AUTHENTIK_SECRET_KEY sont déjà remplies.\nDéployez la stack. Vous pouvez alors commencer le set-up d'authentik en tappant http://ipduserveur:9000/if/flow/initial-setup/ . Attention : il est conseillé de créer un nouveau compte admin, et de désactiver le compte admin de base akadmin . Exposer authentik Pour être utilisable hors de chez vous, vous devez exposer authentik. 📋 Au préalable : \nNous partons du principe quer vous avez créé dans votre zone DNS un sous domaine du type auth.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Ouvrez le fichier authentik-server.conf . ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/authentik-server.conf\n Vérifiez que dans chaque cas les variables ci-dessous sont correctes : set $upstream_authentik authentik-server;\n proxy_pass http://$upstream_authentik:9000;\n Si ce n'est pas le cas, passez en mode modification en tapant i et éditez les. Sauvegardez et quittez en tapant sur Echap puis :x . Créez le fichier auth.subdomain.conf sudo vi /docker/swag/config/nginx/proxy-confs/auth.subdomain.conf\n Appuyez sur i pour rentrer en mode modification puis collez la configuration suivante : ## Version 2023/05/31\n # make sure that your authentik container is named authentik-server\n # make sure that your dns has a cname set for authentik\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name auth.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n location / {\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app authentik-server;\n set $upstream_port 9000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/authentik)?/api {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app authentik-server;\n set $upstream_port 9000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Sauvegardez et quittez en appuyant sur Echap puis en tapant :x . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau d'Authentik : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - authentik # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n authentik : # Nom du réseau déclaré dans la stack\n name : authentik_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack et patientez le temps que SWAG soit complètement opérationnel. Et voilà ! Vous pouvez accéder à authentik via https://auth.mondomaine.fr Activer le multifacteur Tout l'intérêt de authentik c'est de disposer du multifacteur pour toutes les apps que l'on protègera. Rendez vous sur https://auth.mondomaine.fr Identifiez-vous Rendez-vous dans paramètres Cliquez sur la section MFA Cliquez sur s'inscrire Choisissez une méthode comme TOTP device ( dans ce cas vous devrez utilisez une app d'authentification telle que Google Authenticator par exemple) Suivez les étapes Et voilà, vous serez invité à saisir un code à usage unique à chaque connexion. Protéger une app native Authentik est compatible nativement avec un certain nombre d'application, vous retrouverez la liste et le support ici Protéger une app par reverse proxy Swag permet d'intercaler la page d'authentik entre la requête et l'accès à votre service. Pour cela il va falloir : Configurer le service d'authentification dans authentik. Configurer le fichier proxy du domaine pour que swag puisse intercaler la page. Pourquoi le faire alors que Dockge a déjà une page d'authentification ? Tout simplement parce que l'authentification HTTP utilisée par Dockge est faible. Avec Authentik, vous aurez directement une authentification forte par MFA, et vous serez loggé automatiquement à toutes vos apps déjà protégées par authentik. Cela permet de sécuriser l'accès à Dockge et aux autres apps que vous protégerez, sans avoir à passer par un VPN. Configuration de Authentik Rendez vous dans Authentik Allez dans le panneau d'administration Sélectionnez application puis créer avec l'assistant Renseignez les champs comme suit : Puis à l'étape suivante choisissez \"Transférer l'authentification (application unique)\" et éditez comme suit (attention aux flow, c'est important) : Ensuite, allez dans le menu à gauche dans Avant-poste et éditez authentik Embedded Outpost Ajoutez l'application dockge en la faisant passer à droite et validez. Configuration de SWAG Ensuite rendez-vous dans le fichier dockge.mondomaine.fr . sudo vi /docker/swag/config/nginx/proxy-confs/dockge.subdomain.conf\n Puis entrez en modification en appuyant sur i et enlevez les # des deux lignes #include /config/nginx/authentik-server.conf; . Appuyez sur Echap puis tapez :x et appuyez sur Entrée pour sauvegarder et quitter. Et voilà ! En tapant https://dockge.mondomaine.fr , vous tomberez à présent sur la mire d'authentification de authentik. ✨ Astuce : dans Dockge, dans les paramètres, vous pouvez désactiver l'authentification de Dockge afin de ne pas avoir à vous identifier deux fois. Attention , cela voudra dire que si vous avez exposé un port sur votre réseau local, il n'y aura plus aucune authentification. Vous pouvez répétez l'opération pour chaque application que vous souhaitez protéger (si elle ne dipose pas d'intégration directe avec Authentik). Voilà votre nouvelle architecture : Protéger un service sur un serveur distant Dans le cas d'une application native (via OAuth 2.0 ou autre), rien ne change. Dans le cas d'une application non native à protéger derrière un reverse proxy, vous devrez déployer un avant-poste . Un avant-poste est un conteneur qui jouera le rôle de proxy local, c'est à dire que c'est vers ce conteneur que les requêtes d'authentification de vos applications seront redirigées. C'est le seul qui est autorisé à dialoguer avec l'API de votre instance authentik. Pré-requis : Avoir installé docker sur votre machine distante hébergeant le service à protéger. Si l'application n'a pas d'intégration native, avoir un reverse proxy compatible. Comme partout ici, nous utiliserons SWAG . Ce conteneur redirigera ensuite les requetes vers votre instance Authentik principale, à travers le web (ou votre réseau local). Le serveur executera les controle et renverra la réponse à l' avant-poste , qui bloquera ou non la connexion à l'app protégée. Configuration d'Authentik Créez vos fournisseurs et applications comme nous l'avons vu plus haut. Puis, dans votre panneau admin, allez dans la rubrique Applications > Avant-postes , puis créez un nouvel avant-poste. Remplissez comme suit : Champs Valeur Nom Le nom que vous souhaitez Type Proxy Intégration Laissez vide Applications Sélectionnez le ou les applications que vous avez créées précédemment Dans la section Paramètres avancés , supprimez l'existant, et complétez comme suit : log_level : info\n docker_labels : null\n authentik_host : https://domaine_de_votre_serveur_authentik/\n object_naming_template : ak-outpost-%(name)s\n authentik_host_insecure : false\n container_image :\n docker_network : null\n docker_map_ports : true\n docker_labels : null\n Enrtegistrez et quittez. Sur l'écran affichant les avant-postes créés, vous verrez le nouvel avant-poste que vous venez de créer. A la fin de la ligne, cliquez sur afficher les informations , et copiez précieusement le jeton d'accès. Configuration de la machine distante Nous partons du principe que vous avez déjà installé Docker et SWAG sur cette machine distante. Sur votre machine distante, à l'aide de Dockge , créez une stack authentik-outpost . Si vous n'avez pas installé Dockge , créez un dossier /docker/authentik-outpost , ou directement en ligne de commande : sudo mkdir -P /docker/authentik-outpost\n ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. Créez le fichier compose.yaml ou copiez la configuration directement dans le champs si vous avez Dockge En ligne de commande : sudo vi /docker/authentik-outpost/compose.yaml\n Entrez en mode modification avec i et collez la configuration suivante, en changeant les chiffres de {AUTHENTIK_TAG:proxy:2024.2.3} par la meme version que celle de votre serveur Authentik. version : \"3.5\"\n services :\n authentik_proxy :\n container_name : authentik-outpost\n image : ghcr.io/goauthentik/proxy:2024.2.3\n # Optionally specify which networks the container should be\n # might be needed to reach the core authentik server\n restart : unless-stopped\n env_file :\n - .env\n # - foo\n ports :\n - 9000:9000\n - 9443:9443\n environment :\n AUTHENTIK_HOST : ${HOST}\n AUTHENTIK_INSECURE : \"false\"\n AUTHENTIK_TOKEN : ${TOKEN}\n # Starting with 2021.9, you can optionally set this too\n # when authentik_host for internal communication doesn't match the public URL\n # AUTHENTIK_HOST_BROWSER: https://external-domain.tld\n Rendez-vous sur la stack de SWAG de la machine distante (ou remplissez directement si vous avez Dockge ) et ajoutez le réseau de authentik-outpost dans le fichier de conf sur ce modele (les champs networks ) : sudo vi /docker/swag/compose.yaml\n services :\n swag :\n container_name : #...\n # ... \n networks : # Relie le conteneur au réseau custom \n - authentik-outpost # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n #...\n authentik-outpost : # Nom du réseau déclaré dans la stack\n name : authentik-outpost_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Appuyez sur Echap puis tapez :x et appuyez sur Entrée pour sauvegarder et quitter. Ici nous partons du principe que le nom du réseau de dockge est authentik-outpost_default . Si vous avez Dockge , relancez SWAG. Sinon, via le terminal : cd /docker/swag/\n sudo docker compose up -d\n Creez (ou remplissez directement si vous avez Dockge ) le fichier .env dans le dossier de l'avant poste authentik : En ligne de commande : sudo vi /docker/authentik-outpost/.env\n Entrez en mode modification avec i et collez la configuration suivante HOST =\n TOKEN =\n Remplissez comme suit Variable Valeur Exemple HOST L'url de votre serveur authentik https://auth.domaine.fr TOKEN Le token que vous avez précédemment copié précieusement Q2pVEqsTNRkJSO9SkJzU3KZ2 Appuyez sur Echap puis tapez :x et appuyez sur Entrée pour sauvegarder et quitter. Si vous avez Dockge , déployez la stack. Sinon, via le terminal : cd /docker/authentik-outpost/\n sudo docker compose up -d\n Le conteneur est en route, vous pouvez vérifier son état dans votre panneau admin de votre instance Authentik, section Applications > Avant-postes . Nous allons a présent configurer SWAG. Ouvrez le fichier authentik-server.conf . sudo vi /docker/swag/config/nginx/authentik-server.conf\n Dans le fichier, passez en mode modification en tapant i et changez authentik-server par authentik-outpost comme suit : set $upstream_authentik authentik-outpost;\n proxy_pass http://$upstream_authentik:9000;\n Sauvegardez et quittez en tapant sur Echap puis :x et sur Entrée . Ensuite, configurez les applications à protéger selon si elles sont natives ou par proxy comme vous l'avez fait sur votre serveur principal. Migrer une base authentik Sur la machine d'origine, dumper la bdd : sudo docker exec authentik-postgres pg_dump -U authentik -F t authentik > /path/to/mydb.tar\n Puis l'envoyer sur la machine cible. Sur la machine cible, copier le fichier dans le container docker cp /path/to/mydb.tar authentik-postgres:/path/to/wherever\n (Optionnel) Purgez les tables existantes : sudo docker exec -i authentik-postgres psql -U authentik -c \"SELECT pg_terminate_backend(pg_stat_activity.pid) FROM pg_stat_activity WHERE pg_stat_activity.datname = 'authentik' AND pid \u003C> pg_backend_pid();\" && \\\n sudo docker exec -i authentik-postgres psql -U authentik -d postgres -c \"DROP DATABASE IF EXISTS authentik;\" && \\\n sudo docker exec -i authentik-postgres psql -U authentik -d postgres -c \"CREATE DATABASE authentik;\" && \\\n Restaurez la bdd sudo docker exec authentik-postgresql pg_restore -U authentik -d authentik /path/to/wherever/mydb.tar\n .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":150,"path":151,"dir":130,"title":152,"description":7,"keywords":153,"body":157},"content:3.serveex:3.securite:3.cloudflare.md","/serveex/securite/cloudflare","Cloudflare Zero Trust",[34,154,155,156],"Configuration Cloudflare","Configuration de Swag","Gérer plusieurs tunnels pour plusieurs serveurs"," Cloudflare Zero Trust 🎯 Objectifs : Comprendre le principe des Tunnels Cloudflare Paramétrer son compte cloudflare Paramétrer SWAG Gérer plusieurs tunnels Introduction L'architecture Zero Trust est la pratique consistant à concevoir des systèmes fondés sur le principe de « ne jamais faire confiance , toujours vérifier » , par opposition au principe traditionnel de « confiance, mais vérifier » . Ce concept est devenu très populaires récemment, à la suite des attaques toujours plus nombreuses concernant les données des utilisateurs. C'est un concept très large, nous nous concentrerons sur l’application du Zero Trust aux services Web que nous hébergeons. Les tunnels Cloudflare offrent un moyen simple d'arriver au Zero Trust , en s'appuyant sur SWAG et Authentik . Pour le dire simplement, les Tunnels Cloudflare permettent notamment de : Masquer l'IP de votre serveur (et donc de votre box s'il est hébergé chez vous). D'authentifier le traffic. De bénéficier des protection de Cloudflare (attaques DDOS, etc, blacklist, requêtes malveillantes, etc...). De bénéficier du CDN, c'est à dire du serveur de cache de Cloudlfare, qui permet d'augmenter les performances de vos sites web. De ne plus avoir besoin de l'ouverture de ports de votre routeur pour les services exposés par SWAG. Ici, nous expliquerons comment associer SWAG aux tunnels Cloudflare. Attention : N'utilisez pas les tunnels Cloudflare pour exposer un serveur mail N'utilisez pas les tunnels Cloudflare pour exposer un service vidéo, comme Plex (si vous avez suivi ce guide , Plex n'est pas exposé, c'est donc valide) N'utilisez pas les tunnels Cloudflare pour utiliser le protocole bittorrent (si vous avez suivi ce guide , tout est bon) Configuration Cloudflare Zone DNS Avant toute chose, vous devez définir Cloudflare comme gestionnaire de votre zone DNS . Si vous avez réservé votre nom de domaine chez Cloudflare, c'est déjà le cas. Sinon, renseignez vous auprès de votre registrar sur comment ajouter des DNS externes. Cloudflare dispose d' une documentation expliquant pas à pas comment paramétrer une Zone DNS , que vous ayez un domaine externe ou reservé chez Cloudflare. Si vous avez qu'un seul serveur à protéger derrière Cloudflare, vous pouvez supprimer l'ensemble des enregistrement DNS existant, par défaut le domaine et tout ses sous-domaines seront directement redirigés vers le tunnel. Si vous avez des sous-domaines à rediriger vers d'autres serveurs, vous pourrez toujours les déclarer dans la zone DNS à l'aide d'un enregistrement A. Si vous avez plusieurs serveurs et donc plusieurs tunnels pour un meme domaine principal, voyez ici . Clé API Pour commencer, nous devons créer un nouveau jeton API pour Cloudflare et récupérer nos identifiants de zone et de compte. Sur le tableau de bord de Cloudflare, dans la page de présentation de votre domaine, vous pouvez voir les identifiants de zone et de compte en bas à droite de l'écran. Copiez précieusement ces deux identifiants. Juste en dessous d'eux, il y a un lien intitulé Obtenez votre jeton API . Cliquez dessus. Le périmètre dont nous avons besoin pour le jeton doit inclure Zone:DNS:Edit et Account:Cloudflare Tunnel:Edit . Assurez-vous que votre page de création de token ressemble à celle illustrée dans la capture d'écran ci-dessous. Une fois que nous aurons enregistré, notre jeton sera affiché une fois. copiez le précieusement, car vous ne pourrez plus le revoir après la fermeture. Cloudflare Zero Trust Vous devez vous inscrire à Cloudflare Teams pour pouvoir accéder au tableau de bord Zero Trust qui gère les tunnels et les politiques d'accès. Il s'agit d'un service premium, mais ils proposent un forfait gratuit pour un maximum de 50 utilisateurs, ce qui devrait suffire pour votre Home Lab. Gardez à l’esprit que puisqu’il s’agit d’une fonctionnalité premium, ils demandent une carte de crédit valide lors de l’inscription, mais avec le forfait gratuit, il n'y aura aucun frais. Inscrivez-vous via ce lien . Configuration de Swag Nous partons du principe que vous avez le domaine mondomaine.fr avec les DNS qui pointent bien vers ceux de Cloudflare, comme vu précédemment. SWAG dispose de deux Docker Mods permettant d'y intégrer : Cloudflared , le conteneur qui permet de créer et de gérer les tunnels Cloudflared Real IP , un conteneur qui permet à SWAG d'obtenir la vraie source IP des requêtes depuis internet plutot que celle de Docker (ce qui pourrait entrer en conflit avec le mod de géolocalisatioN DBIP). Ces deux mods, fusionnés dans le conteneur de SWAG, nécessitent un peu de configuration. Configuration du tunnel Pour configurer les tunnels, nous aurons besoin de créer un fichier tunnelconfig.yml auquel nous ferons appel dans le compose.yaml de SWAG. ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/tunnelconfig.yml\n Entrez en modification avec la touche i et collez la configuration ci-dessous ingress :\n - hostname : mondomaine.fr\n service : https://mondomaine.fr\n - hostname : \"*.mondomaine.fr\"\n service : https://mondomaine.fr\n - service : http_status:404\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Configuration de Cloudflare Real IP A présent, nous allons configurer le bon fonctionnement du mode Cloudflare Real IP Ouvrez le fichier nginx.conf sudo vi /docker/swag/config/nginx/nginx.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous à la fin de la section http real_ip_header X-Forwarded-For;\n real_ip_recursive on ;\n include /config/nginx/cf_real-ip.conf;\n set_real_ip_from 127.0.0.1 ;\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Docker compose Ouvrez Dockge, éditez la stack SWAG avec cette configuration ---\n services :\n swag :\n image : lscr.io/linuxserver/swag:latest\n container_name : swag\n cap_add :\n - NET_ADMIN\n env_file :\n - .env\n environment :\n - DOCKER_MODS=linuxserver/mods:swag-dbip|linuxserver/mods:swag-dashboard|linuxserver/mods:swag-auto-reload|linuxserver/mods:universal-cloudflared|linuxserver/mods:swag-cloudflare-real-ip\n - PUID=${PUID}\n - PGID=${PGID}\n - TZ=Europe/Paris\n - URL=${DOMAIN}\n - SUBDOMAINS=wildcard\n - VALIDATION=dns\n - DNSPLUGIN=${PLUGIN}\n - EMAIL=${EMAIL}\n - CF_ZONE_ID=${ZONE_ID}\n - CF_ACCOUNT_ID=${ACCOUNT_ID}\n - CF_API_TOKEN=${API_TOKEN}\n - CF_TUNNEL_NAME=${TUNNEL_NAME}\n - CF_TUNNEL_PASSWORD=${TUNNEL_PW}\n - FILE__CF_TUNNEL_CONFIG=/config/tunnelconfig.yml\n extra_hosts :\n - ${DOMAIN}:127.0.0.1\n ports :\n - 81:81\n volumes :\n - /docker/swag/config:/config\n - /docker/swag/config/fail2ban/fail2ban.sqlite3:/dashboard/fail2ban.sqlite3:ro\n restart : unless-stopped\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n swag :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Et renseignez le .env les infos que vous avez trouvées et notées tout au long de ce guide PUID =\n PGID =\n DOMAIN =\n PLUGIN =\n EMAIL =\n ZONE_ID =\n ACCOUNT_ID =\n API_TOKEN =\n TUNNEL_NAME =\n TUNNEL_PW =\n Variable Valeur Exemples PUID A renseigner avec les infos de votre user (trouvables via la commande id nomdutilisateur ) 1000 GUID A renseigner avec les infos de votre user (trouvables via la commande id nomdutilisateur ) 1000 DOMAIN Le domaine que vous avez réservé mondomaine.fr PLUGIN Le fournisseur de zone DNS, ici Cloudflare. Pensez à renseigner cloudflare.ini (voir guide de swag ) cloudflare EMAIL Votre email pour le certificat votre@email.fr ZONE_ID L'ID de Zone que vous avez noté précédemment aNhcz1l3JfWbFZo2XMpzQlP2iOqk ACCOUNT_ID L'ID de Compte que vous avez noté précédemment buKsjNHLyzKMM1qYnzOy4s7SHfly API_TOKEN Le jeton d'API que vous avez noté précédemment 53ydYus9TFFk1DOXNdP87iIcJtQjoW TUNNEL_NAME Le nom de votre tunnel mon_tunnel TUNNEL_PW Un mot de passe fort généré aléatoirement iSzKRmP4VbnlsMvdSdgBEJiJi Une fois fait, déployez la stack. Cela prendra un peu de temps, vérifiez les logs, vous devriez arriver à serveur ready Une fois le conteneur en ligne, vérifiez dans cloudflare que votre tunnel est bien présent dans la section Networks > Tunnels de Cloudflare Zero Trust . Par défaut, l'ensemble des sous domaine sont redirigés vers le tunnel, sans avoir besoin de les déclarer dans votre zone DNS . ✨ Astuce: si vous voulez exposer un service sans tunnel, vous pouvez toujours déclarer un enregistrement A dans votre zone DNS . En cas de problème de résolution, désactivez la fonction proxy pour cet enregistrement. Par exemple pour sous.mondomaine.fr Gérer plusieurs tunnels pour plusieurs serveurs Par défaut, l'ensemble des sous domaine de votre nom de domaine pointent vers le tunnel que vous avez créé. Mais si vous avez un second serveur, vous pouvez avoir un second tunnel en changeant seulement le nom de tunnel dans la configuration de l'instance swag de votre serveur. Vous devrez ensuite dans votre zone DNS rediriger les sous domaine souhaité vers le bon tunnel. Pour cela, faites comme suit. Rendez-vous dans dans la section Networks > Tunnels de Cloudflare Zero Trust . Notez les deux ID des tunnels Rendez-vous à présent dans la section DNS de cloudflare , après avoir cliqué sur le nom de domaine concerné. Cliquez sur ajouter un enregistrement et ajoutez deux enregistrements comme suit en ajoutant bien .cfargotunnel.com après vos id de tunnels. Type Nom Cible CNAME sousdomaine1 votreiddetunnel1.cfargotunnel.com CNAME sousdomaine2 votreiddetunnel2.cfargotunnel.com Si vous avez de nombreux sous-domaines, vous pouvez déclarer un seul sous domaine par tunnel comme ci-dessus, puis déclarer vos autres sous domaine en les faisant pointer vers ces sous domaines de référence. Ainsi, en cas de changement d'id de tunnel, vous n'aurez qu'à le changer que pour un seul sous-domaine.\nPar exemple : Le serveur de sousdomaine1 doit egalement etre la cible de sub1, et sub2 : Type Nom Cible CNAME sub1 sousdomaine1 CNAME sub2 sousdomaine1 Le serveur de sousdomaine2 doit egalement etre la cible de sub3, et sub4 : Type Nom Cible CNAME sub3 sousdomaine2 CNAME sub4 sousdomaine2 .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":159,"path":160,"dir":161,"title":162,"description":7,"keywords":163,"body":165},"content:3.serveex:4.monitoring:1.uptime-kuma.md","/serveex/monitoring/uptime-kuma","monitoring","Uptime-Kuma",[104,164],"Exposer avec Swag"," Uptime-Kuma 🎯 Objectifs : Installer et déployer Uptime-Kuma Exposer Uptime Kuma (Optionnel) Protéger Uptime-Kuma avec Authentik Uptime-Kuma est un conteneur dédié au monitoring de services. Le principe est d'envoyer des requêtes régulières à vos services afin de déterminer s'ils sont en lignes ou non, et de vous alerter le cas échéant. Uptime-Kuma est développé par le meme développeur que Dockge. Installation Structure des dossiers root\n └── docker\n └── uptime-kuma\n ├── date\n └── compose.yaml\n Ouvrez Dockge, cliquez sur compose , appelez la stack uptime-kuma puis copiez collez ceci : ---\n services :\n uptime-kuma :\n image : louislam/uptime-kuma:2-slim\n container_name : uptime-kuma\n volumes :\n - /docker/uptime-kuma/uptime-kuma-data:/app/data\n ports :\n - 3200:3001 # \u003CHost Port>:\u003CContainer Port>\n restart : always\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n uptime-kuma :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Vous n'avez plus qu'à accéder à l'outil via http://ipdevotreserveur:3200 . En cas d'échec : vérifiez les règles de votre pare-feu. Exposer avec Swag 📋 Au préalable : \nNous partons du principe que vous avez le sous-domaine stats.mondomaine.fr avec un CNAME qui pointe vers mondomaine.fr dans votre zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur via les règles NAT . Uptime-Kuma n'utilise pas d'authentification multifacteur. Exposer Uptime-Kuma sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Dans les dossiers de Swag, créez le fichier stats.subdomain.conf . ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/stats.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name stats.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app uptime-kuma;\n set $upstream_port 3001 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau d'Uptime-Kuma : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - uptime-kuma # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n uptime-kuma : # Nom du réseau déclaré dans la stack\n name : uptime-kuma_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de Uptime-Kuma est uptime-kuma_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Et voilà, vous avez exposé Uptime-Kuma, vous pouvez y accéder en tapant https://stats.mondomaine.fr ✨ Astuce : \nVous pouvez protéger cette app avec Authentik en ouvrant stats.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . Si vous souhaitez que la page publique de stats soit joignable par tout le monde sans authentification: Editez le fournisseur d'Uptime-Kuma Dans paramètres avancés du protocole > chemins authentifiés , saisissez : ^/$\n ^/status\n ^/assets/\n ^/assets\n ^/icon.svg\n ^/api/.*\n ^/upload/.*\n ^/metrics\n Déployez à nouveau la stack. Uptime-Kuma sera ainsi joignable directement depuis internet en tapant https://stats.mondomaine.fr . ✨ Astuce : Si vous utilisez Authentik et que vous ne craignez pas d'exposer votre panneau admin à votre réseau local, vous pouvez désactiver l'authentification d'Uptime-Kuma via les paramètres, afin de ne garder que celle d'Authentik. .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":167,"path":168,"dir":161,"title":169,"description":7,"keywords":170,"body":172},"content:3.serveex:4.monitoring:2.dozzle.md","/serveex/monitoring/dozzle","Dozzle",[104,171],"Exposer Dozzle avec Swag"," Dozzle 🎯 Objectifs : Installer Dozzle Exposer Dozzle avec Swag Dozzle est un conteneur permettant d'accéder au logs de vos conteneurs et de les afficher en temps réel de via une interface user-friendly. C'est une manière simple de naviguer entre les logs et de retrouver des informations dans l'historique. Installation Structure des dossiers root\n └── docker\n └── dozzle\n └── data\n Ouvrez Dockge, cliquez sur compose , appelez la stack dozzle puis copiez collez ceci : ---\n services :\n dozzle :\n container_name : dozzle\n image : amir20/dozzle:latest\n ports :\n - 9135:8080\n env_file :\n - .env\n environment :\n - DOZZLE_HOSTNAME=${DOMAIN}\n volumes :\n - /var/run/docker.sock:/var/run/docker.sock\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n dozzle :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Renseignez le .env votre nom de domaine, par exemple DOMAIN =dozzle.mondomaine.fr\n Déployez le conteneur et rendez-vous sur http://ipduserveur:9135 . Et voilà, votre instance Dozzle en webui est disponible ! Exposer Dozzle avec Swag Dozzle n'utilise pas d'authentification multifacteur. Exposer Dozzle sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Dozzle via Swag. 📋 Au préalable : \nNous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type dozzle.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau de Dozzle : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - dozzle # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n dozzle : # Nom du réseau déclaré dans la stack\n name : dozzle_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de Dozzle est dozzle_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Dans les dossiers de Swag, créez le fichier dozzle.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/dozzle.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name dozzle.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app dozzle;\n set $upstream_port 8080 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé Dozzle ! ✨ Vous pouvez protéger cette app avec Authentik en ouvrant dozzle.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":174,"path":175,"dir":161,"title":176,"description":7,"keywords":177,"body":179},"content:3.serveex:4.monitoring:3.speedtest-tracker.md","/serveex/monitoring/speedtest-tracker","Speedtest Tracker",[104,178],"Exposer Speedtest Tracker"," Speedtest Tracker 🎯 Objectifs : Installer Speedtest Tracker Exposer Speedtest Tracker avec Swag Speedtest Tracker est un conteneur permettant de programmer des speedtest régulier afin d'historiser l'état de la connexion internet de votre serveur. Installation Nous utiliserons l'image docker maintenue par LinuxServer.io Structure des fichiers root\n └── docker\n └── speedtest-tracker\n └── data\n └── config\n Dans un terminal, générez une clé avec la commande suivante : echo -n 'base64:' ; openssl rand -base64 32 ;\n Notez la clé. Ouvrez Dockge, cliquez sur compose , appelez la stack speedtest-tracker puis copiez collez ceci : ---\n services :\n speedtest-tracker :\n image : lscr.io/linuxserver/speedtest-tracker:latest\n restart : unless-stopped\n container_name : speedtest-tracker\n ports :\n - ${PORT}:80\n environment :\n - PUID=${PUID}\n - PGID=${GUID}\n - TZ=Europe/Paris\n - APP_KEY=${API_KEY}\n - DB_CONNECTION=sqlite\n - SPEEDTEST_SCHEDULE=${SCHEDULE}\n volumes :\n - /docker/speedtest-tracker/data/config:/config\n Trouvez votre PUID et votre GUID en tapant la commande suivante : id nomdutilisateur\n Dans .env renseignez la variable API_KEY avec la clé que vous avez générée et un planning de test au format cron, ainsi que vos PUID et GUID , par exemple : SCHEDULE =15 */6 * * * # toutes les 6h\n API_KEY =base64:zihejehkj8_nzhY/ OjeieR = # votre clé\n PUID =1000\n GUID =1000\n PORT =3225 # port d'accès à la webui\n ✨ Astuce : vous pouvez configurer d'autres variables d'environnements en consultant la documentation officielle . Déployez le conteneur et rendez-vous sur http://ipduserveur:3225 . Connectez vous avec le compte admin@exemple.com et le mot de passe password . N'oubliez pas de changer votre id et votre mot de apsse une fois connecté ! Exposer Speedtest Tracker 📋 Prérequis : \nNous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type speedtest.mondomaine.fr avec pour CNAME mondomaine.fr et à moins que vous utilisiez Cloudflare Zero Trust , que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Il s'agit maintenant d'exposer Speedtest Tracker sur internet, afin de pouvoir y accéder sans que vous soyez chez vous. Pour cela, nous partons du principe que vous avez configuré un sous domaine speedtest.mondomaine.fr dans votre zone DNS dont le CNAME pointe sur mondomaine.fr . Speedtest Tracker n'utilise pas d'authentification multifacteur. Exposer Speedtest Tracker sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Ouvrez le fichier speedtest.subdomain.conf : sudo vi /docker/swag/config/nginx/proxy-confs/speedtest.subdomain.conf\n Paramétrez le comme tel : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n # indique que le sous-domaine doit être dirigé\n server_name speedtest.*; \n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n # indique que les pays dans la blacklist sont intedits\n if ($geo-blacklist = no) { return 404 ; } \n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n \n set $upstream_app speedtest-tracker; # Nom du conteneur\n set $upstream_port 3225 ; # Port interne conteneur\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Sauvegardez et quittez. La configuration va se mettre à jour en quelques secondes. Par défaut, swag ne connait pas le nom \"speedtest-tracker\". Pour qu'il puisse y accéder, vous devez rajouter le réseau de Speedtest Tracker dans le compose.yml de SWAG. Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau de Speedtest Tracker : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - speedtest-tracker # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n speedtest-tracker : # Nom du réseau déclaré dans la stack\n name : speedtest-tracker_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de Speedtest Tracker est speedtest-tracker_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Patientez puis tapez https://speedtest.mondomaine.fr dans votre navigateur, vous devriez être redirigé vers speedtest-tracker. Vous pouvez vérifier le statut du service via le dashboard (depuis votre réseau local, http://ipdevotreserveur:81 ). ✨ Vous pouvez protéger cette app avec Authentik en ouvrant speedtest.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":181,"path":182,"dir":161,"title":183,"description":7,"keywords":184,"body":186},"content:3.serveex:4.monitoring:4.beszel.md","/serveex/monitoring/beszel","Beszel",[104,185],"Exposer Beszel avec Swag"," Beszel 🎯 Objectifs : Installer Beszel Monitorer le serveur local Monitorer un serveur distant Exposer Beszel avec Swag Beszel est un conteneur permettant d'accéder aux informations du hardware de vos serveurs en temps réel et de les historiser. Activité CPU, usages des disques, températures, RAM, vous ne raterez rien de l'état de votre serveur. Beszel permet également de paramétrer des notifications et alertes en cas de dépassement de limites que vous avez choisies. Beszel dispose d'un hub avec une webui et d'un agent qui permet de collecter les données depuis votre serveur ou sur un serveur distant. Installation Structure des dossiers root\n └── docker\n └── beszel\n ├── data\n └── socket\n Ouvrez Dockge, cliquez sur compose , appelez la stack beszel puis copiez collez ceci : ---\n services :\n beszel :\n image : henrygd/beszel:latest\n container_name : beszel\n restart : unless-stopped\n ports :\n - ${PORT}:8090\n volumes :\n - ./data:/beszel_data\n - ./socket:/beszel_socket\n \n beszel-agent :\n image : henrygd/beszel-agent:latest\n container_name : beszel-agent\n restart : unless-stopped\n network_mode : host\n volumes :\n - ./socket:/beszel_socket\n - /var/run/docker.sock:/var/run/docker.sock:ro\n environment :\n LISTEN : /beszel_socket/beszel.sock\n # Do not remove quotes around the key\n KEY : ${KEY}\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n beszel :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Renseignez le .env , par exemple : PORT =8090 # port de la webui\n KEY = # clé privée à récupérer dans Beszel lors que vous ajoutez un système\n Pour la valeur KEY , il faudra lancer Beszel une première fois pour la saisir. Déployez le conteneur et rendez-vous sur http://ipduserveur:8090 . Et voilà, votre instance Beszel en webui est disponible ! En cas d'échec : vérifiez les règles de votre pare-feu. Ajouter les informations du serveur local Maintenant que la webui est accessible, vous devez faire remonter les informations du serveur dedans. Pour cela, il vous suffit d'ajouter une machine dans la webui et de paraméter comme ceci : Note la clé privée et validez. Renseignez la clé dans votre .env dans dockge, et redéployez la stack. Lorsque vous retournerez sur la webui, votre serveur apparaitra : Ajouter les informations d'un serveur distant Vous pouvez également monitorer un serveur distant. Pour cela vous avez juste à faire tourner l'agent sur le serveur distant. Pour cela, ajoutez une nouvelle machine dans Beszel et renseignez : Le nom qui s'affichera dans Beszel pour votre serveur distant L'adresse IP ou le nom de domaine de votre serveur distant Le port d'écoute de votre serveur distant (dans notre exemple cela sera 45876 ) Beszel vous proposera de copier directement le compose.yaml à déployer sur votre serveur distant, ou vous pouvez le configurer comme suit : ---\n services :\n beszel-agent :\n image : henrygd/beszel-agent\n container_name : beszel-agent\n restart : unless-stopped\n network_mode : host\n volumes :\n - /var/run/docker.sock:/var/run/docker.sock:ro\n environment :\n LISTEN : ${PORT}\n KEY : ${KEY}\n Et dans le .env : PORT =45876 # port de communication entre votre hub et l'agent à distance\n KEY = # clé privée à récupérer dans Beszel lors que vous ajoutez un système\n Déployez la stack sur votre serveur distant. Les informations du serveur distant remontront au bout de quelques secondes dans votre webui. En cas d'échec : vérifiez les règles de votre pare-feu. Exposer Beszel avec Swag Beszel n'utilise pas d'authentification multifacteur. Exposer Beszel sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Beszel via Swag. 📋 Au préalable : \nNous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type beszel.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau de Beszel : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - beszel # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n beszel : # Nom du réseau déclaré dans la stack\n name : beszel_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de beszel est beszel_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Dans les dossiers de Swag, créez le fichier beszel.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/beszel.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name beszel.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app beszel;\n set $upstream_port 8090 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé Beszel ! ✨ Vous pouvez protéger cette app avec Authentik en ouvrant beszel.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":188,"path":189,"dir":161,"title":190,"description":7,"keywords":191,"body":193},"content:3.serveex:4.monitoring:5.upsnap.md","/serveex/monitoring/upsnap","UpSnap",[104,192],"Exposer UpSnap avec Swag"," UpSnap 🎯 Objectifs : Installer UpSnap Exposer UpSnap avec Swag UpSnap est un conteneur permettant d'allumer, éteindre, ou mettre en veille vos machines à distance. Il utilise essentiellement le systeme de Wake-On-Lan (WoL) par le réseau et dispose d'autres fonctions avancées. Installation Structure des dossiers root\n └── docker\n └── upsnap\n └── data\n Ouvrez Dockge, cliquez sur compose , appelez la stack upsnap puis copiez collez ceci : ---\n services :\n upsnap :\n container_name : upsnap\n image : ghcr.io/seriousm4x/upsnap:5\n network_mode : host\n restart : unless-stopped\n volumes :\n - /docker/upsnap/data:/app/pb_data\n environment :\n - TZ=Europe/Paris\n - UPSNAP_SCAN_RANGE=${SCAN_RANGE}\n - UPSNAP_SCAN_TIMEOUT=500ms\n - UPSNAP_PING_PRIVILEGED=true\n dns :\n - ${DNS}\n entrypoint : /bin/sh -c \"./upsnap serve --http 0.0.0.0:8095\"\n healthcheck :\n test : curl -fs \"http://localhost:8095/api/health\" || exit 1\n interval : 10s\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n upsnap :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Renseignez le .env , par exemple : RANGE =192.168.1.0/24 # scan toutes les machines sur le réseau local ayant une adresse IP comprise entre 192.168.0.1 et 192.168.1.255\n DNS =192.168.1.1 # IP du dns à utiliser pour résoudre les noms de domaines, ici dans l'exemple c'est généralement l'IP du routeur\n Déployez le conteneur et rendez-vous sur http://ipduserveur:8095 . Vous n'avez plus qu'à suivre les instructions pour créer votre compte ! En cas d'échec : vérifiez les règles de votre pare-feu. Exposer UpSnap avec Swag UpSnap n'utilise pas d'authentification multifacteur. Exposer UpSnap sur internet pourrait compromettre les machines auxquel il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer UpSnap via Swag. 📋 Au préalable : \nNous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type upsnap.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau de UpSnap : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - upsnap # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n upsnap : # Nom du réseau déclaré dans la stack\n name : upsnap_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de upsnap est upsnap_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Dans les dossiers de Swag, créez le fichier upsnap.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/upsnap.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name upsnap.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app upsnap;\n set $upstream_port 8095 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé UpSnap ! ✨ Vous pouvez protéger cette app avec Authentik en ouvrant upsnap.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":195,"path":196,"dir":197,"title":198,"description":7,"keywords":199,"body":203},"content:3.serveex:5.media:1.plex.md","/serveex/media/plex","media","Plex",[200,201,202],"Installer Plex","Paramétrer Plex","Exposer Tautulli avec Swag"," Plex 🎯 Objectifs : Installer Plex Installer Tautulli Accéder aux media depuis l'exterieur Plex est une plateforme de streaming vidéo déployable chez vous, pour manager votre bibliothèque de films ou de série, et les lire en locale ou à distance. Plex dispose d'applications TV, Android, iOS, Window et Mac OS, permettant la lecture de vos bibliothèques, à la Netflix. Avec le plexpass , vous pouvez également organsier et lire vos contenus audio, à la spotify, la différence étant que c'est bien votre contenu qui est hébergé et lu depuis chez vous. On installera également Tautulli , un outil qui permet d'avoir des stats poussées sur Plex. On utilisera, comme dès qu'on le peut, les images de linuxserver.io. Plus d'info sur le conteneur Plex Plus d'info sur le conteneur Tautulli Vous serez amenés à creer un compte Plex.tv . Vous n'avez pas besoin d'exposer votre service Plex, il sera accessible directement par la plateforme. Votre serveur Plex sera gérable directement depuis votre compte. Installer Plex Structure des dossiers : root\n ├── docker\n │ ├── plex \n │ │ ├── compose.yml\n │ │ ├── .env\n │ │ ├── config\n │ │ └── transcode\n │ └── tautulli\n │ └── config\n └── media\n ├── tvseries\n ├── movies\n └── library\n Créez les dossiers movies , tvseries et library dans /media : mkdir -p /media/movies /media/library /media/tvseries\n Ouvrez Dockge dans votre navigeateur, et cliquez sur compose .\nNommez la stack plex et ajoutez la config suivante : ---\n services :\n linuxserver_plex :\n image : ghcr.io/linuxserver/plex:amd64-latest\n container_name : plex\n network_mode : host\n environment :\n - PUID=${PUID}\n - PGID=${GUID}\n - TZ=Europe/Paris\n - VERSION=docker\n volumes :\n - /docker/plex/config:/config\n - /docker/plex/transcode:/transcode\n - /media:/media\n restart : unless-stopped\n mem_limit : 4096m\n mem_reservation : 2048m\n devices :\n - /dev/dri:/dev/dri\n \n tautulli :\n image : lscr.io/linuxserver/tautulli:latest\n container_name : tautulli\n environment :\n - PUID=${PUID}\n - PGID=${GUID}\n - TZ=Europe/Paris\n volumes :\n - /docker/tautulli/config:/config\n ports :\n - 8181:8181\n restart : unless-stopped\n ✨ Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n plex :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n \n tautulli :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Trouvez votre PUID et votre GUID en tapant la commande suivante : id nomdutilisateur\n Et renseignez le .env avec les infos que vous avez trouvées, par exemple : PUID =1000\n GUID =1000\n Déployez la stack. L'interface locale est disponible via http://ipduserveur:32400/web/index.html . L'interface de Tautulli est joignable via http://ipduserveur:8181 . Vous devez impérativement être sur votre réseau local au moment du premier setup de Plex, sans quoi l'url vous renverra sur votre compte Plex sans detecter votre serveur. Un VPN ne vous sauvera pas. Si vous ne pouvez pas faire autrement, vous pouvez gérer l'installation à distance via un tunnel SSH . Paramétrer Plex Plex propose tout une gamme de film/série gratuitement. Après avoir créé votre compte, et pour ne pas polluer votre bibliothèque, je vous conseille de tout désactiver dans la section Services en ligne . Ensuite rendez-vous dans la section Accès à distance et choisissez un port manuellement (ici cela sera 1234 ). Il est préférable de ne pas garder le port d'origine. Sur votre routeur, redirigez le port TCP source 1234 vers le port 32400 , vers l'IP de votre serveur via les règles NAT . Une fois fait, retournez dans Plex afin de vérifier que la connexion est bien opérationnelle En cas d'échec : vérifiez les règles de votre pare-feu et autorisez le port 32400 de votre serveur. Si vous avez un abonnement PlexPass et un GPU ou iGPU, activez l'accélération matérielle dans la section Transcodeur . Dans la section Réglages/bibliothèque , cochez Analyser ma bibliothèque automatiquement . Dans la section Gérer/bibliothèque modifiez ou ajouter les bibliothèque, et choisissez le répertoire /media/movies pour les films et /media/tvseries pour les séries. Et voilà, vous avez un Plex fonctionnel ! Vous n'avez plus qu'a remplir les dossiers /media/movies et /media/tvseries sur votre serveur de vos média favoris. Vous pourrez alors télécharger l'application Plex sur vos appareils et lire vos média favoris, chez vous ou à distance ! Si pour stocker vos média vous utilisez un disque réseau (par exemple un stockage sur un NAS ou un disque dur externe branché ailleurs sur le réseau), veuillez consulter la section montage samba afin que Plex puisse y accéder. Exposer Tautulli avec Swag Plex n'a pas besoin d'etre exposé, étant joignable directement depuis votre compte Plex sur plex.tv. En revanche, vous pouvez désirer exposer Tautulli, afin d'accéder aux stats même si vous n'est pas chez vous, depuis une simple url. Nous partons du principe que vous avez le sous-domaine tautulli.mondomaine.fr avec un CNAME qui pointe vers mondomaine.fr dans zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur dans les règles NAT . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau de Tautulli : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - tautulli # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n tautulli : # Nom du réseau déclaré dans la stack\n name : tautulli_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de Tautulli est tautulli_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Copiez en renommant le fichier tautulli.subdomain.conf.sample en tautulli.subdomain.conf et éditez le : ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo cp /docker/swag/config/nginx/proxy-confs/tautulli.subdomain.conf.sample /docker/swag/config/nginx/proxy-confs/tautulli.subdomain.conf\n sudo vi /docker/swag/config/nginx/proxy-confs/tautulli.subdomain.conf\n Et vérifiez que la configuration correspond bien à ceci, sinon éditez le fichier en appuyant sur i : ## Version 2023/05/31\n # make sure that your tautulli container is named tautulli\n # make sure that your dns has a cname set for tautulli\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name tautulli.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app tautulli;\n set $upstream_port 8181 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/tautulli)?/api {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app tautulli;\n set $upstream_port 8181 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/tautulli)?/newsletter {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app tautulli;\n set $upstream_port 8181 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/tautulli)?/image {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app tautulli;\n set $upstream_port 8181 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n ✨ Vous pouvez protéger cette app avec Authentik en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . Appuyez sur Echap puis sauvegardez et quittez en tappant :x Patientez quelques minutes puis tapez dans votre navigateur http://tautulli.mondomaine.fr . En cas d'échec : vérifiez les règles de votre pare-feu. Et voilà ! .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":205,"path":206,"dir":197,"title":207,"description":7,"keywords":208,"body":212},"content:3.serveex:5.media:2.qbittorrent.md","/serveex/media/qbittorrent","Qbittorrent",[209,210,211],"Configuration","Déploiement","Exposer la webui"," Qbittorrent 🎯 Objectifs : Installer et configurer Qbittorrent Etre relié au réseau bittorent en toute sécurité avec Gluetun et Proton VPN Afin de télécharger vos media favoris en toute sécurité, nous allons monter un système à base de : Qbittorent comme logiciel de téléchargement bittorent Proton VPN Plus , VPN pour sécuriser vos échanges, auquel vous devez souscrire (il y a de nombreux codes promo) pour accéder au protocole Bittorent, mais vous pouvez également en choisir un autre, à condition qu'il propose le protocole bittorent. Gluetun Qbittorrent port update pour mettre automatiquement à jour le port de votre VPN (qui change régulièrement). Et le mode vuetorrent pour une interface moderne et intuitive. Nous monterons ici le système ci-dessous : Configuration Structure des dossiers root\n ├── docker\n │ └── seedbox\n │ ├── qbittorrent\n │ │ └── config\n │ ├── gluetun\n │ ├── compose.yaml\n │ └── .env\n │ \n └── media #relié à plex et Qbittorrent\n ├── downloads #vos téléchargements génériques, à selectionner dans les parametres\n ├── movies #à selectionner dans l'interface pour télécharger vos films\n └── tvseries #à selectionner dans l'interface pour télécharger vos séries\n Si ce n'est pas déjà fait, créez le dossier downloads dans /media : mkdir -P /media/downloads\n Ouvrez Dockge, cliquez sur compose et nommez la stack seedbox . Collez la config ci-dessous : ---\n services :\n qbit :\n image : ghcr.io/linuxserver/qbittorrent:libtorrentv1\n container_name : qbittorrent\n restart : unless-stopped\n network_mode : service:gluetun\n mem_limit : 4g\n environment :\n - DOCKER_MODS=ghcr.io/gabe565/linuxserver-mod-vuetorrent|ghcr.io/t-anc/gsp-qbittorent-gluetun-sync-port-mod:main\n - TZ=Europe/Paris\n - PUID=${PUID}\n - PGID=${GUID}\n - WEBUI_PORT=${UI_PORT}\n - GSP_GTN_API_KEY=${GSP_KEY}\n - GSP_QBT_USERNAME=${ID}\n - GSP_QBT_PASSWORD=${PW}\n volumes :\n - /docker/seedbox/qbittorrent/config:/config\n - /media:/media\n depends_on :\n - gluetun\n \n gluetun :\n image : qmcgaw/gluetun:v3.40.1\n container_name : gluetun\n restart : unless-stopped\n mem_limit : 4g\n volumes :\n - /docker/gluetun/config.toml:/gluetun/auth/config.toml:ro\n devices :\n - /dev/net/tun:/dev/net/tun\n ports :\n - ${UI_PORT}:5695 # Port de la web-ui\n - 8000:8000 # Port de controle de Gluetun\n cap_add :\n - NET_ADMIN\n environment :\n - TZ=Europe/Paris\n - VPN_SERVICE_PROVIDER=protonvpn\n - VPN_PORT_FORWARDING=on\n - VPN_PORT_FORWARDING_PROVIDER=protonvpn\n - VPN_TYPE=wireguard\n - WIREGUARD_PRIVATE_KEY=${PR_KEY}\n - SERVER_COUNTRIES=France\n - PORT_FORWARD_ONLY=on\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n qbittorrent :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n gluetun :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Avant de renseigner le .env dans Dockge, nous allons configurer la mise à jour du port de téléchargement. En effet, Proton, et la plupart des VPN, changent régulièrement le port de téléchargement, et celui-ci doit etre communiqué à Qbitorrent. Pour ce faire, nous avons ajouté le mod ghcr.io/t-anc/gsp-qbittorent-gluetun-sync-port-mod dans le conteneur. Il faut à présent permettre au mod de récupérer l'information via Gluetun, qui n'accepte que les communications chiffrées via son API. A cet effet, ouvrez un terminal. Nous allons à présent générer une clé d'authentification : sudo docker run --rm qmcgaw/gluetun genkey\n Notez la clé. Puis créez le dossier /docker/gluetun sudo mkdir /docker/gluetun\n Et créez le fichier config.toml sudo vi /docker/gluetun/config.toml\n Entrez en modification en tapant i et éditez le comme suit en ajoutant la clée que vous avez générée : [[roles]]\n name = \"t-anc/GSP-Qbittorent-Gluetun-sync-port-mod\"\n routes = [\"GET /v1/openvpn/portforwarded\"]\n auth = \"apikey\"\n apikey = \"votre_clée\" # clée que vous avez générée précédemment\n Appuyez sur échap et quittez en sauvegardant en tapant :x . Rendez-vous dans Dockge, et renseignez les variables dans .env : PUID =\n GUID =\n UI_PORT =\n PR_KEY =\n GSP_KEY = # la clé que vous avez générée et renseignée dans config.toml\n ID =\n PW =\n En détails : Variable Valeur Exemples PUID A renseigner avec les infos de votre user (trouvables via la commande id nomdutilisateur ) 1000 GUID A renseigner avec les infos de votre user (trouvables via la commande id nomdutilisateur ) 1000 UI_PORT Le port d'accès à la web ui, elle sera joignable via http//ipduserveur:port 5695 PR_KEY La clée privée fournie par Proton buKsjNHLyzKMM1qYnzOy4s7SHfly GSP_KEY Clé que vous avez générée pour la mise à jour du port MnBa47MeVmk7xiv ID username que vous utilisez pour vous logger dans l'interface de Qbittorrent user PW mot de passe que vous utilisez pour vous logger dans l'interface de Qbittorrent password Déploiement Une fois fait, déployez le conteneur. Dans les logs de lancement, vous trouverez un mot de passe temporaire pour l'utilisateur admin Loggez vous sur http://ipduserveur:5695 (ou le port que vous avez configuré). En cas d'échec : vérifiez les règles de votre pare-feu. Changez votre nom d'utilisateur et votre mot de passe dans les paramètres \"webui\". Et voilà ! Dans les paramètres de Qbittorrent, dans \"téléchargements\" selectionnez /media/downloads comme chemin par défaut pour télécharger vos media. Lorsque vous lancez un téléchargement, n'oubliez pas de préciser le bon répertoire de téléchargement afin que Plex puisse synchroniser correctement sa bibliothèque ( /media/movies et /media/tvseries ). Vous pouvez aussi l'automatiser en créant une catégorie et un répertoire associé. Exposer la webui Qbitorrent n'utilise pas d'authentification multifacteur. Exposer Qbitorrent sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Afin de lancer des téléchargement hors de chez vous, sans VPN, vous pouvez exposer la webui de Qbittorrent. Nous partons du principe que vous avez le sous-domaine seedbox.mondomaine.fr avec un CNAME qui pointe vers mondomaine.fr dans zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur dans les règles NAT . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau de Gluetun : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - seedbox # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n seedbox : # Nom du réseau déclaré dans la stack\n name : seedbox_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de la seedbox est seedbox_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Puis nous allons créer et éditer le fichier seedbox.subdomain.conf . ✨ Astuce pour les allergiques au terminal : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/seedbox.subdomain.conf\n Entrez en modification en appuyant sur i et copiez la configuration ci-dessous, en prenant soin de vérifier le port : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name seedbox.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app gluetun;\n set $upstream_port 5555 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n ✨ Vous pouvez protéger cette app avec Authentik en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . Appuyez sur Echap puis sauvegardez et quittez en tapant :x . Patientez quelques minutes puis tapez dans votre navigateur https://seedbox.mondomaine.fr , vous arriverez sur l'interface de Qbittorrent. Et voilà, vous avez un mediacenter pret à l'emploi ! .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":214,"path":215,"dir":197,"title":216,"description":7,"keywords":217,"body":220},"content:3.serveex:5.media:3.servarr.md","/serveex/media/servarr","Automatisation",[218,219],"Installer les apps","Exposer Overseerr avec Swag"," Servarr 🎯 Objectifs : Automatiser les téléchargements de films et de séries avec Radarr, Sonarr, Bazarr, Prowlarr et Overseerr. Servarr est une collection d'applications développées dans le but d'automatiser le téléchargement, la mise à jour et la gestions des media. Ici nous allons porter notre attention sur les films et séries avec comme objectif : Pouvoir choisir un film dans un catalogue via une interface web N'avoir plus rien à faire à part en profiter quelques minutes plus tard sur Plex Simple. Je vous propose de déployer la stack puis nous verrons par la suite la configuration de chacune des apps et leur fonctionnement. Installer les apps Docker compose Structure des dossiers : root\n ├── docker\n │ ├── plex \n │ │ ├── compose.yml\n │ │ ├── config\n │ │ └── transcode\n │ ├── tautulli\n │ │ └── config\n │ ├── sonarr\n │ │ └── config\n │ ├── radarr\n │ │ └── config\n │ ├── bazarr\n │ │ └── config\n │ ├── prowlarr\n │ │ └── config\n │ └── overseerr\n │ └── config\n └── media\n ├── downloads\n ├── tvseries\n ├── movies\n └── library\n Attention : Respectez bien ce type de structure de fichier, notamment le dossier media . Ce dossier doit etre monté de la même manière dans les compose de Qbittorrent ( /votre/chemin/media:/media ) et des arr . Sans cela, les arr risquent de ne pas trouver le chemin fourni par Qbittorrent et de ne pas créer de hardlinks . Sans hardlink, les arr copieront les films et cela doublera l'espace utilisé sur votre stockage. Ouvrez dockge et votre stack plex . Modifiez le compose comme ceci : ---\n services :\n linuxserver_plex :\n image : ghcr.io/linuxserver/plex:latest\n container_name : plex\n network_mode : host\n environment :\n - PUID=${PUID}\n - PGID=${PGID}\n - TZ=Europe/Paris\n - VERSION=docker\n - PLEX_CLAIM= #optional\n volumes :\n - /docker/plex/config:/config\n - /docker/plex/transcode:/transcode #optional\n - ${MEDIA_PATH}:/media\n labels :\n - com.centurylinklabs.watchtower.enable=true\n restart : unless-stopped\n mem_limit : 4096m\n mem_reservation : 2048m\n devices :\n - /dev/dri:/dev/dri\n \n tautulli :\n image : lscr.io/linuxserver/tautulli:latest\n container_name : tautulli\n environment :\n - TZ=Europe/Paris\n volumes :\n - /docker/tautulli/config:/config\n ports :\n - 8181:8181\n restart : unless-stopped\n \n sonarr :\n image : lscr.io/linuxserver/sonarr:latest\n container_name : sonarr\n environment :\n - PUID=${PUID}\n - PGID=${PGID}\n - TZ=Europe/Paris\n volumes :\n - /docker/sonarr/config:/config\n - ${MEDIA_PATH}:/media\n ports :\n - 8989:8989\n restart : unless-stopped\n \n radarr :\n image : lscr.io/linuxserver/radarr:latest\n container_name : radarr\n environment :\n - PUID=${PUID}\n - PGID=${PGID}\n - TZ=Europe/Paris\n volumes :\n - /docker/radarr/config:/config\n - ${MEDIA_PATH}:/media\n ports :\n - 7878:7878\n restart : unless-stopped\n \n prowlarr :\n image : lscr.io/linuxserver/prowlarr:latest\n container_name : prowlarr\n environment :\n - PUID=${PUID}\n - PGID=${PGID}\n - TZ=Europe/Paris\n volumes :\n - /docker/prowlarr/data:/config\n ports :\n - 9696:9696\n restart : unless-stopped\n \n overseerr :\n image : lscr.io/linuxserver/overseerr:latest\n container_name : overseerr\n dns :\n - 1.1.1.1\n - 8.8.8.8\n environment :\n - PUID=${PUID}\n - PGID=${PGID}\n - TZ=Europe/Paris\n volumes :\n - /docker/overseerr/config:/config\n ports :\n - 5055:5055\n restart : unless-stopped\n \n bazarr :\n image : lscr.io/linuxserver/bazarr:latest\n container_name : bazarr\n restart : unless-stopped\n environment :\n - PUID=1000\n - PGID=1000\n - TZ=Europe/Paris\n volumes :\n - /docker/bazarr/config:/config\n - ${MEDIA_PATH}:/media\n ports :\n - 6767:6767\n ✨ Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n plex :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n \n tautulli :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Renseignez le .env avec les variables ci-dessous PUID =\n GUID =\n MEDIA_PATH =\n Variable Valeur Exemples PUID A renseigner avec les infos de votre user (trouvables via la commande id nomdutilisateur ) 1000 GUID A renseigner avec les infos de votre user (trouvables via la commande id nomdutilisateur ) 1000 MEDIA_PATH le chemin vers votre dossier media, ici : /media . Attention, il doit correspondre aussi à celui qu'utilise Qbittorrent. /media Déployez la stack. Paramétrer Radarr Radarr est une app qui permet de requêter à votre place vos sources de torrent et de définir quel type de release vous souhaitez télécharger en priorité. Radarr permet aussi de mettre à jour vos films si une meilleure version est disponible. Maintenant que vous avez déployé la stack, vous pouvez vous rendre sur http://ipduserveur:7878 . En cas d'échec : vérifiez les règles de votre pare-feu. Créez vous un compte, choisissez bien forms login . Ajouter un root folder Dans le menu à gauche, cliquez sur Settings > Media Management . Ajoutez un root folder , choisisez /media/movies Attention : Si vous avez déjà des films dans movies issus de Qbittorrent, ne les ajoutez pas dans Sonarr si ce dernier vous le propose. Radarr risque de les modifier ce qui entrainerait l'arrêt du seed par Qbittorrent. Configurer les profils Dans le menu Settings > Profiles , vous trouverez les profils par défaut de Radarr. Comprendre que lorsque vous faites une requete, vous demandez un de ces profils. Ainsi, radarr va chercher en priorité le parametre le plus élevé, puis s'il ne trouve pas, il va passer à celui d'en dessous etc. Vous pouvez par exemple régler comme ceci pour le profile \"any\", en décochant tout sauf ce qui est sur l'image, et en les mettant dans le même ordre. Avec ce profil \"any\", Radarr va chercher en priorité du 4K REMUX (meilleure qualité), puis s'il ne trouve pas, il va passer au critère du dessous. Ajouter Qbittorrent Dans Settings > Downloads Clients vous allez ajouter Qbittorrent. Renseignez le Host avec l'IP de votre serveur et précisez le port de la webui, si vous avez suivi mon tuto c'est le 5695 . Renseignez le Username et le Password de votre interface Qbittorrent. Cliquez sur test . Si tout est ok, cliquez sur save . Connecter à Plex Dans Settings > Connect , ajoutez une nouvelle connexion, choisissez Plex Media Server . Dans Host mettez plex ou l'adresse IP de votre serveur. Dans port mettez 32400 . Cliquez sur le bouton bleu \"authenticate with Plex.tv\" et authentifiez vous avec votre compte Plex. Appuyez sur le bouton test . Si tout est ok, appuyez sur le bouton save . Récupérer la clé API pour Prowlarr et Overserr Dans Settings > General , copiez la API Key et notez la précieusement. Paramétrer Sonarr Sonarr est une app qui permet de requêter à votre place vos sources de torrent et de définir quel type de release vous souhaitez télécharger en priorité. Radarr permet aussi de mettre à jour vos séries si une meilleure version est disponible. Rendez-vous sur http://ipduserveur:8989 . Suivez exactement les mêmes étapes que pour Radarr, et en root folder mettez /media/tvseries . En cas d'échec : vérifiez les règles de votre pare-feu. Paramétrer Prowlarr Prowlarr est un proxy qui permet de gérer vos sources de torrents et de les passer à Radarr et Sonarr. Rendez-vous sur http://ipduserveur:9696 et créez vous un compte en choisissant bien forms login . En cas d'échec : vérifiez les règles de votre pare-feu. Ajouter une source Dans la section Indexers , ajoutez l'indexer de votre source de torrent. Ajouter Radarr et Sonarr Dans la section Settings > Apps , ajoutez Radarr et Sonarr avec les informations ci-dessous : Prowlarr Server : http://prowlarr:9696 (ou remplacez prowlarr par l'IP de votre serveur) Sonarr / Radarr Server : http://sonarr:8989 ou http://radarr:7878 (ou remplacez sonarr/radarr par l'IP de votre serveur) API Key, la clé que vous avez notée pour Radarr et celle de Sonarr. Appuyez sur Test . Si tout va bien, appuyez sur Save . Paramétrer Bazarr Bazarr est une app qui permet de chercher automatiquement les bons sous-titre dans les langues souhaitez pour tout les films et séries que Radarr et Sonarr ajoutent pour vous. Rendez-vous sur http://ipduserveur:6767 . En cas d'échec : vérifiez les règles de votre pare-feu. Rendez-vous dans Settings > General et créez un identifiant et un mot de passe en utilisant le forms login . Ajouter un profil de langage Dans Settings > Languages cliquez sur le bouton rose Add new profile et nommez le. Cliquez sur le bouton rose Add Languages et ajoutez les langues que vous souhaitez, par exemple French et English . Sauvegardez et quittez. En bas de l'ecran dans Default Language For Newly Added Show , cochez les deux cases et renseignez le profil que vous venez de créer.\n Enregistrez avec le bouton tout en haut de l'écran. Ajouter des fournisseurs de sous-titre Dans Settings > Providers , ajoutez vos fournisseurs favoris, comme par exemple : Enregistrez avec le bouton tout en haut de l'écran. Ajouter Radarr et Sonarr Rendez-vous dans Settings > Sonarr Dans Adress , mettez sonarr ou l'adresse IP du serveur. Dans Port mettez 8989 . Dans API Key mettez la clé API de Sonarr. Cliquez sur Test . Enregistrez avec le bouton tout en haut de l'écran. Faites de même avec Radarr. Paramétrer Overseerr Overseerr est une application qui permet de naviguer dans un catalogue de film et de faire des requetes à Sonarr et à Radarr. Il suffit de naviguer dans les films ou séries, puis de cliquer sur Demander , et le film ou la série sera automatiquement téléchargée selon les paramètres de Radarr ou de Sonarr. Si le film ou la série n'est pas sortie, cela sera automatiquement téléchargé lorsque cela sera disponible. Ainsi, les épisodes d'une séerie arrivent automatiquement au fur et à mesure dans Plex sans aucune intervention manuelle. Rendez-vous sur http://ipduserveur:5055 et authentifiez vous avec votre compte Plex. En cas d'échec : vérifiez les règles de votre pare-feu. Ajouter Radarr et Sonarr Lorsque cela vous est demandé, ajoutez un serveur radarr : Cochez serveur par défaut . Nom du serveur : Radarr Nom d'hôte ou adresse IP : radarr ou l'adresse IP de votre serveur Port : 7878 . Clé d'API : la clé API de Radarr. Cliquez sur Tester en bas. Si tout va bien, continuez à renseigner les champs. Profil de qualité : celui que vous avez configuré (par exemple, any ). Dossier racine : le dossier de plex. Dans nos exemples : /media/movies . Disponibilité minimale : Annoncé . Ainsi, si un film n'est pas sorti, vous pouvez le demander et il sera automatiquement récupéré à sa sortie. Cochez les 3 cases du bas. Sauvegardez et continuez. Puis faites de même avec Sonarr : Cochez serveur par défaut . Nom du serveur : Radarr Nom d'hôte ou adresse IP : sonarr ou l'adresse IP de votre serveur Port : 8989 . Clé d'API : la clé API de Sonarr. Cliquez sur Tester en bas. Si tout va bien, continuez à renseigner les champs. Profil de qualité : celui que vous avez configuré (par exemple, any ). Dossier racine : le dossier de plex. Dans nos exemples : /media/tvseries . Profil de langue : Deprecated . Cochez les 4 cases du bas. Sauvegardez et continuez. Et voilà ! Vous n'avez plus qu'à faire une demande d'un film et d'une serie, puis de vérifier dans qbittorrent ou dans radarr/sonarr que tout va bien. Dans quelques minutes, votre media sera sur Plex ! Exposer Overseerr avec Swag Il peut etre intéressant d'exposer Overseerr, si vous souhaitez pouvoir faire des requêtes depuis l'exterieur sans VPN, ou si vous avez partagé votre Bibliothèque Plex à des utilisateurs et que vous souhaitez qu'ils aient accès à Overseerr. Nous partons du principe que vous avez le sous-domaine films.mondomaine.fr avec un CNAME qui pointe vers films.fr dans zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur dans les règles NAT . Rendez-vous dans dockge, et éditez le compose de SWAG en ajoutant le réseau d'overseer, qui est celui de Plex car dans la stack Plex : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - plex # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n plex : # Nom du réseau déclaré dans la stack\n name : plex_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Ici nous partons du principe que le nom du réseau de Tautulli est plex_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Créez le fichier films.subdomain.conf et éditez le : ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/films.subdomain.conf\n Rentrez en édition en appuyant sur i : ## Version 2024/07/16\n # make sure that your overseerr container is named overseerr\n # make sure that your dns has a cname set for overseerr\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name films.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app overseerr;\n set $upstream_port 5055 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/overseerr)?/api {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app overseerr;\n set $upstream_port 5055 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tappant :x Patientez quelques minutes puis tapez dans votre navigateur http://films.mondomaine.fr . En cas d'échec : vérifiez les règles de votre pare-feu. Et voilà, vous avez exposé Overseerr ! .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":222,"path":223,"dir":224,"title":225,"description":7,"keywords":226,"body":228},"content:3.serveex:6.cloud:1.immich.md","/serveex/cloud/immich","cloud","Immich",[104,227],"Exposer Immich avec Swag"," Immich 🎯 Objectifs : installer Immich pour gérer vos photos sur tout vos appareils. Immich est une solution de gestion de photos et de vidéos que vous pouvez installer directement sur votre serveur. Cette solution remplace les clouds type Google Photo ou iCloud. Elle dispose de nombreuse fonctionnalités comme la reconnaissance de visage ou la géolocalisation. Installation Structure des dossiers root\n └── docker\n └── immich\n ├── library\n ├── compose.yaml\n └── .env\n Ouvrez Dockge, cliquez sur compose , appelez la stack immich puis copiez collez le contenu du dernier docker-compose.yml publié ici . Attention : n'ajoutez pas le label de Watchtower à la stack d'Immich. Immich étant une solution en perpetuelle évolution, des mises à jour automatiques risqueraient de casser votre installation. Configurer le .env en copiant collant le contenu de la dernière version publiée ici et suivez les commentaires indiqués dans le fichier. Si vous avez un NAS ou un disque réseau partagé via samba pour stocker vos données, remplacez la valeur de UPLOAD_LOCATION par le chemin d'accès de votre dossier partagé. ✨ Astuce : si votre CPU/iGPU/GPU le supporte, Immich permet d'utiliser l'accélération matérielle pour lire les vidéos ou pour la reconnaissance d'images. Ces fonctionnalités peuvent tripler les performances d'Immich. Plus d'infos sur le Transcoding et sur le Machine learning . Déployez le conteneur. Et voilà, vous pouvez vous connecter et suivre les instructions sur http://ipduserveur:2283 Exposer Immich avec Swag Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Immich via Swag. 📋 Au préalable : \nNous partons du principe que vous avez le sous-domaine immich.mondomaine.fr avec un CNAME qui pointe vers mondomaine.fr dans votre zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur via les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de immich : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - immich # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n immich : # Nom du réseau déclaré dans la stack\n name : immich_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de immich est immich_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier immich.subdomain.conf . Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/immich.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name immich.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app immich_server;\n set $upstream_port 3001 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/immich)?/api {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app immich_server;\n set $upstream_port 3001 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé Immich ! N'oubliez pas d'installer les applications iOS / Android afin de synchroniser vos appareils. ✨ Astuce : Vous pouvez protéger cette app avec Authentik de façon native en suivant ces instructions . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":230,"path":231,"dir":224,"title":232,"description":7,"keywords":233,"body":235},"content:3.serveex:6.cloud:2.nextcloud.md","/serveex/cloud/nextcloud","Nextcloud",[104,234],"Exposer Nextcloud avec Swag"," Nextcloud 🎯 Objectifs : installer Nextcloud pour gérer vos photos sur tout vos appareils. Nextcloud est une solution qui vous permet d'accéder à vos données sur tout vos appareils, et de les synchroniser. Nexctloud dispose également de fonctionnalités de collaboration, de calendrier et bien d'autres. Cette solution remplace des solutions du type Google Drive, iCloud, ou encore OneDrive. Installation Nous utiliserons l'image docker maintenue par LinuxServer.io Structure des fichiers root\n └── docker\n └── nextcloud\n ├── config\n ├── data\n ├── compose.yaml\n └── .env\n Ouvrez Dockge, cliquez sur compose , appelez la stack nextcloud puis copiez collez ceci : ---\n services :\n nextcloud :\n image : lscr.io/linuxserver/nextcloud:latest\n container_name : nextcloud\n environment :\n - PUID=${PUID}\n - PGID=${GUID}\n - TZ=Etc/UTC\n volumes :\n - /docker/nextcloud/config:/config\n - /docker/nextcloud/data:/data\n ports :\n - ${PORT}:443\n restart : unless-stopped\n Si vous avez un NAS ou un disque réseau partagé via samba pour stocker vos données, remplacez /docker/nextcloud/data par le chemin d'accès de votre dossier partagé. Trouvez votre PUID et votre GUID en tapant la commande suivante : id nomdutilisateur\n Et renseignez le .env avec le port souhaité, et les infos que vous avez trouvées, par exemple : PUID =1000\n GUID =1000\n PORT =4545\n Déployez la stack et rendez-vous sur http://ipduserveur:4545 et suivez les instructions. En cas d'échec : vérifiez les règles de votre pare-feu. Exposer Nextcloud avec Swag Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Nextcloud via Swag. Nous partons du principe que vous avez le sous-domaine nextcloud.mondomaine.fr avec un CNAME qui pointe vers mondomaine.fr dans votre zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur via les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de nextcloud : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - nextcloud # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n nextcloud : # Nom du réseau déclaré dans la stack\n name : nextcloud_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de nextcloud est nextcloud_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les fichiers de nextcloud, éditez le fichier config.php . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/nextcloud/config/www/nextcloud/config/config.php\n Entrez en modification avec la touche i et copiez les informations suivantes avant ); . 'trusted_proxies' => [ gethostbyname ( 'swag' )], 'overwrite.cli.url' => 'https://nextcloud.example.com/' ,\n 'overwritehost' => 'nextcloud.example.com' ,\n 'overwriteprotocol' => 'https' ,\n Ajoutez également votre nom de domaine dans la section array , cela devrait ressembler à ceci array (\n 0 => '192.168.0.1:444' , # Cette ligne est surement différente chez vous, ne la modifiez pas !\n 1 => 'nextcloud.mondomaine.fr' , # Renseignez votre domaine\n ),\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Dans les dossiers de Swag, créez le fichier nextcloud.subdomain.conf . sudo vi /docker/swag/config/nginx/proxy-confs/nexctloud.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2024/04/25\n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name nextcloud.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n location / {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app nextcloud;\n set $upstream_port 443 ;\n set $upstream_proto https;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n # Hide proxy response headers from Nextcloud that conflict with ssl.conf\n # Uncomment the Optional additional headers in SWAG's ssl.conf to pass Nextcloud's security scan\n proxy_hide_header Referrer-Policy;\n proxy_hide_header X-Content-Type-Options;\n proxy_hide_header X-Frame-Options;\n proxy_hide_header X-XSS-Protection;\n \n # Disable proxy buffering\n proxy_buffering off ;\n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé Nextcloud ! Et n'oubliez pas d'installer les applications pour ordinateurs et mobiles . ✨ Astuce : Vous pouvez protéger cette app avec Authentik de façon native en suivant ces instructions . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":237,"path":238,"dir":239,"title":240,"description":7,"keywords":241,"body":243},"content:3.serveex:7.files:1.file-browser.md","/serveex/files/file-browser","files","File Browser",[104,242],"Exposer File Browser avec Swag"," File Browser 🎯 Objectifs : Installer File Browser Exposer File Browser avec Swag File Browser est une interface permettant d'accéder aux fichiers de votre serveur et de les éditer. Installation Ouvrez Dockge, cliquez sur compose , appelez la stack filebrowser puis copiez collez ceci : ---\n services :\n filebrowser :\n container_name : filebrowser\n volumes :\n - /docker/filebrowser/config:/config/\n - /chemin/vers/vos/dossiers:/vosdossiers #ajoutez ici les dossiers que vous voulez voir apparaitre dans filebrowser\n ports :\n - 8010:80\n image : filebrowser/filebrowser:s6\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n filebrowser :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Déployez le conteneur et rendez-vous sur http://ipduserveur:8010 . Et voilà, votre instance File Browser en webui est disponible ! En cas d'échec : vérifiez les règles de votre pare-feu. Exposer File Browser avec Swag File Browser n'utilise pas d'authentification multifacteur. Exposer File Browser sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme Authentik . Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme Wireguard . Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer IT Tools via Swag. Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type files.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de filebrowser : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - filebrowser # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n filebrowser : # Nom du réseau déclaré dans la stack\n name : filebrowser_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de filebrowser est filebrowser_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier files.subdomain.conf . sudo vi /docker/swag/config/nginx/proxy-confs/files.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name files.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app filebrowser;\n set $upstream_port 80 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé File Browser ! ✨ Astuce : vous pouvez protéger cette app avec Authentik en ouvrant files.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":245,"path":246,"dir":239,"title":247,"description":7,"keywords":248,"body":250},"content:3.serveex:7.files:2.pingvin.md","/serveex/files/pingvin","Pingvin",[104,227,249],"Sécuriser Pingvin avec Authentik"," Pingvin 🎯 Objectifs : Installer Pingvin Exposer Pingvin Pingvin est un outil permettant de partager rapidement des fichiers, à la manière de WeTransfer. Ses nombreuses options de partage (mot de passe, durée d'expiration, personnalisation du lien...) en font l'outil idéal pour partager rapidement des fichiers. Pingvin permet également de créer des demandes de dépot , c'est à dire un lien partageable à envoyer à quelqu'un de votre choix pour qu'il puisse téléverser ses fichiers afin que vous puissiez les récupérer. Installation Ouvrez Dockge, cliquez sur compose , appelez la stack pingvin puis copiez collez ceci : ---\n services :\n pingvin-share :\n container_name : pingvin\n image : stonith404/pingvin-share\n restart : unless-stopped\n ports :\n - 3600:3000\n volumes :\n - /docker/pingvin/data:/opt/app/backend/data\n - /docker/pingvin/data/img:/opt/app/frontend/public/img\n - /docker/pingvin/uploads:/opt/app/backend/uploads # chemin du dossier dans lequel vous souhaitez stocker les fichiers uploadés dans pingvin. A changer selon vos préférences.\n depends_on :\n clamav :\n condition : service_healthy\n networks :\n - swag\n \n clamav : #antivirus pour les fichiers\n restart : unless-stopped\n image : clamav/clamav\n Ici nous partons du principe que le nom du réseau de Swag est swag_default . ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n filebrowser :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n \n clamav :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Déployez le conteneur et rendez-vous sur http://ipduserveur:3600 . Et voilà, votre instance File Browser en webui est disponible ! En cas d'échec : vérifiez les règles de votre pare-feu. Exposer Immich avec Swag Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Pingvin via Swag. 📋 Au préalable : \nNous partons du principe que vous avez le sous-domaine pingvin.mondomaine.fr avec un CNAME qui pointe vers mondomaine.fr dans votre zone DNS . Et que bien sûr, à moins que vous utilisiez Cloudflare Zero Trust , le port 443 de votre box pointe bien sur le port 443 de votre serveur via les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de pingvin : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - pingvin # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n pingvin : # Nom du réseau déclaré dans la stack\n name : pingvin_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de pingvin est pingvin_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier pingvin.subdomain.conf . Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/pingvin.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name pingvin.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app pingvin;\n set $upstream_port 3000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée`. Et voilà, vous avez exposé Pingvin ! Sécuriser Pingvin avec Authentik Vous pouvez protéger cette app avec Authentik de façon native en suivant les instructions ci-dessous. Dans votre espace admin authentik, créez un fournisseur OAuth2/OpenID. Remplissez chaque section comme suit en remplaçant mondomaine.fr par votre domaine. Copiez quelque part le contenu des champs ID du client et Secret du client . Enregistrez et créez une application pingvin comme suit. Enregistrez et aller dans la liste de vos avant-postes. Ajoutez le fournisseur pingvin` à votre avant-poste. Quittez authentik, et allez dans l'interface d'administration de Pingvin. Dans la section « Identifiant social » renseignez les champs suivant : URI de découverte OpenID avec https://pingvin.mondomaine.fr/application/o/pingvin/.well-known/openid-configuration (n'oubliez pas de remplacer mondomaine.fr par votre domaine) Revendication du nom d’utilisateur OpenID avec preferred_username ID du client OpenID avec l'ID que vous avez copié en étape 2. Secret du client OpenID avec le token que vous avez copié en étape 2. Et voilà, désormais lorsque vous vous connectez à Pingvin, un bouton \"Open ID\" sera disponible en dessous de la mire de connexion. .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":252,"path":253,"dir":254,"title":255,"description":7,"keywords":256,"body":259},"content:3.serveex:8.development:1.code-server.md","/serveex/development/code-server","development","Code-Serveur",[104,257,258],"Monter des dossiers","Exposer code-server avec Swag"," Code-Server 🎯 Objectifs : Installer code-server Monter des dossiers dans vscode Exposer code-server avec Swag code-server est un conteneur permettant d'accéder à vscode en web-ui dans un environnement linux. C'est littéralement vscode et vos projets directement dans votre poche, disponibles partout. Installation Pour cette installation nous utiliserons l'image maintenue par LinuxServer.io . Structure des dossiers root\n ├── docker\n │ └── code-server\n │ └── config\n └── #n'importe quel dossier à monter dans vscode\n Ouvrez Dockge, cliquez sur compose , appelez la stack code-server puis copiez collez ceci : ---\n services :\n code-server :\n image : lscr.io/linuxserver/code-server:latest\n container_name : code-server\n environment :\n - PUID=${PUID}\n - PGID=${GUID}\n - TZ=Etc/UTC\n - HASHED_PASSWORD=${PW}\n volumes :\n - /docker/code-server/config:/config\n # ajoutez vos dossier à monter dans vscode\n # - /chemin/vers/dossier:/dossier\n ports :\n - 8443:8443\n restart : unless-stopped\n ✨ Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n code-server :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Choisissez un mot de passe et générez un hash echo -n \"votremotdepasse\" | npx argon2-cli -e\n Notez précieusement le résultat. Trouvez votre PUID et votre GUID en tapant la commande suivante : id nomdutilisateur\n Et renseignez le .env avec les infos que vous avez trouvées, par exemple : PW = '$argon2i$v=19$m=4096,t=3,p=1$wST5QhBgk2lu1ih4DMuxvg$LS1alrVdIWtvZHwnzCM1DUGg+5DTO3Dt1d5v9XtLws4'\n PUID =1000\n GUID =1000\n Attention : Pensez à mettre un guillemet simple ' au debut et à la fin du hash Déployez le conteneur et rendez-vous sur http://ipduserveur:8443 . Et voilà, votre instance code-server en webui est disponible ! En cas d'échec : vérifiez les règles de votre pare-feu. Monter des dossiers Vous pouvez monter les dossiers à partager dans vscode en ajoutant les volumes concernés dans le compose.yaml (ou via dockge), et en redéployant le conteneur. services :\n code-server :\n #...\n volumes :\n - /chemin/vers/dossier:/dossier\n Une fois dans vscode, vous pourrez accéder au dossier. Exposer code-server avec Swag Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer coder-server via Swag. Au préalable : Nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type code.mondomaine.fr avec pour CNAME mondomaine.fr et à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de code-server : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - code-server # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n code-server : # Nom du réseau déclaré dans la stack\n name : code-serveur # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de code-server est code-server_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier code.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/code.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name code.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app code-server;\n set $upstream_port 8443 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé code-server ! ✨ Astuce : Vous pouvez protéger cette app avec Authentik en ouvrant code.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; .N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":261,"path":262,"dir":254,"title":263,"description":7,"keywords":264,"body":266},"content:3.serveex:8.development:2.gitea.md","/serveex/development/gitea","Gitea",[104,265],"Exposer Gitea avec Swag"," Gitea 🎯 Objectifs : Installer Gitea Exposer Gitea avec Swag Gitea est une plateforme DevOps, permettant de gérer des dépots, à la manière de GitHub mais chez vous en selfhost. Installation Structure des dossiers root\n └── docker\n └── gitea\n └── data\n Ouvrez Dockge, cliquez sur compose , appelez la stack gitea puis copiez collez ceci : ---\n networks :\n gitea :\n external : false\n services :\n server :\n image : gitea/gitea:1.22.0\n container_name : gitea\n environment :\n - USER_UID=${UID}\n - USER_GID=${GID}\n - TZ=Europe/Paris\n restart : unless-stopped\n networks :\n - gitea\n volumes :\n - ./data:/data\n ports :\n - 3333:3000\n - 222:22\n Et renseignez le .env avec les infos que vous avez trouvées, par exemple : UID =1000\n GID =1000\n Déployez le conteneur et rendez-vous sur http://ipduserveur:3333 . Et voilà, votre instance Gitea est disponible ! En cas d'échec : vérifiez les règles de votre pare-feu. Exposer Gitea avec Swag Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Gitea via Swag. Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type gitea.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de gitea : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - gitea # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n gitea : # Nom du réseau déclaré dans la stack\n name : gitea_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de gitea est gitea_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier gitea.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/gitea.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name gitea.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app gitea;\n set $upstream_port 3000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/gitea)?/info/lfs {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app gitea;\n set $upstream_port 3000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Ouvrez le fichier app.ini dans les fichiers du conteneur sudo vi /docker/gitea/data/gitea/conf/app.ini\n Entrez en modification avec la touche i et et modifiez la section serveur avec les infos de votre domaine [server]\n DOMAIN = gitea.mondomaine.fr\n SSH_DOMAIN = gitea.mondomaine.fr\n ROOT_URL = https://gitea.mondomaine.fr/\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Relancez le conteneur. Et voilà, vous avez exposé Gitea ! ✨ Astuce : Vous pouvez protéger cette app avec Authentik de façon native en suivant ces instructions . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":268,"path":269,"dir":254,"title":270,"description":7,"keywords":271,"body":273},"content:3.serveex:8.development:3.it-tools.md","/serveex/development/it-tools","IT-Tools",[104,272],"Exposer IT Tools avec Swag"," IT Tools 🎯 Objectifs : Installer IT-Tools Exposer IT Tools avec Swag IT Tools est un conteneur exposant une page web permettant d'accéder à un grand nombre d'outil de développement. Installation Ouvrez Dockge, cliquez sur compose , appelez la stack it-tools puis copiez collez ceci : ---\n services :\n it-tools :\n container_name : it-tools\n restart : unless-stopped\n image : corentinth/it-tools:latest\n ports :\n - 3222:80\n ✨ Astuce : ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n it-tools :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Déployez le conteneur et rendez-vous sur http://ipduserveur:3222 . Et voilà, votre instance IT Tools en webui est disponible ! En cas d'échec : vérifiez les règles de votre pare-feu. Exposer IT Tools avec Swag Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer IT Tools via Swag. Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type tools.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de it-tools : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - it-tools # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n it-tools : # Nom du réseau déclaré dans la stack\n name : it-tools_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de it-tools est it-tools_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Ici nous partons du principe que le nom du réseau de Swag est swag_default . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier tools.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/tools.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : ## Version 2023/12/19\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name tools.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app it-tools;\n set $upstream_port 80 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé it-tools ! ✨ Astuce : Vous pouvez protéger cette app avec Authentik en ouvrant tools.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":275,"path":276,"dir":277,"title":278,"description":7,"keywords":279,"body":284},"content:3.serveex:9.apps:1.adguard.md","/serveex/apps/adguard","apps","Adguard Home",[104,280,281,282,283],"Exposer Adguard avec Swag","Configurer le chiffrement SSL/TLS","Configurer les appareils","Ajouter des filtres"," Adguard Home 🎯 Objectifs : Installer et déployer Adguard Exposer Adguard Sécuriser les requêtes avec SSL/TLS Configurer les appareils clients AdGuard Home est un serveur DNS anti-pub et anti-traçage qui fonctionne au niveau du système. Une fois configuré, il couvrira TOUS vos appareils domestiques et vous n'aurezbesoin d'aucun logiciel côté client pour cela. Il fonctionne comme un serveur DNS qui redirige les domaines de suivi vers un «black hole», empêchant ainsi vos appareils de se connecter à ces serveurs. En pratique, une fois en place, il vous faudra juste configurer les serveurs DNS de vos appareils, pour que ces derniers l'utilisent. Rappel sur le fonctionnement d'un DNS : Lorsque vous naviguez sur un site, ou une application, des requêtes sont émises vers un ou des domaines afin d'afficher le contenu de votre page. Les publicités notamment. Votre appareil ne connait pas les adresses IP de ces serveurs à joindre. Pour les connaitre, il va contacter un serveur de nom (Domain Name Server) qui lui va lui répondre avec l'adresse IP la plus à jour pour le domaine de la requête. Par défaut, votre appareil utilise le serveur votre fournisseur d'accès, paramétré dans votre box ou directement sur le CGNAT de votre opérateur si appareil mobile. Cela peut etre changé directement dans les réglages de votre navigateur, mais aussi dans le système de votre appareil, et parfois directement dans votre box si votre FAI le permet. Adguard lui, va s'intercaler entre le serveur de nom et votre appareil. Si vous paramétrez vos appareil, ils contacteront d'abord adguard qui filtrera les requetes, via des listes régulièrement mises à jour : Si le domaine n'est pas dans une blocklist, il contactera des serveurs de noms génériques (dit upstreams) et répondra vers vos appareils avec l'adresse IP recherchée. Si le domaine est dans une blocklist, il ne contactera pas les DNS upstream et ne répondre pas à vos appareils. Le contenu affilié à cette requete ne s'affichera pas. C'est ainsi que les pubs et domaines malveillants sont bloqués : leurs domaines sont présents dans la blocklist, le reste de la page lui charge correctement. Installation Structure des dossiers : root\n └── docker\n └── adguard\n ├── confdir\n ├── workdir\n ├── compose.yaml\n └── .env\n Nous monterons aussi le dossier /docker/swag/config/etc/letsencrypt afin d'avoir accès au certificat SSL de Swag. Ouvrez Dockge, et cliquez sur compose Nommez la stack adguardhome et copiez la configuration ci-dessous ---\n services :\n \n adguardhome :\n container_name : adguard\n image : adguard/adguardhome\n restart : unless-stopped\n ports :\n - 53:53/udp\n - 8080:80/tcp\n - 4443:443/tcp\n - 853:853/tcp\n - 3000:3000/tcp\n volumes :\n - /docker/adguardhome/confdir:/opt/adguardhome/conf\n - /docker/adguardhome/workdir:/opt/adguardhome/work\n - /docker/swag/config/etc/letsencrypt:/swag-ssl:ro\n ✨ Astuce : Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n adguardhome :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Déployez la stack. Rendez-vous sur http//ipduserveur:3000 et suivez les instructions Et voilà, vous avez déployé Adguard ! Exposer Adguard avec Swag Pour être utilisable hors de chez vous, vous devez exposer Adguard Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type adguard.mondomaine.fr avec pour CNAME mondomaine.fr et que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Redirigez également le port 53 et le port 853 vers votre serveur. Ces ports serviront à router les requêtes DNS. N'utilisez pas les tunnels cloudflare pour exposer Adguard, et désactivez tout proxy. Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau d'adguard : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - adguard # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n adguard : # Nom du réseau déclaré dans la stack\n name : adguard_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau d'adguard est adguard_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Créez et ouvrez le fichier adguard.subdomain.conf ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/adguard.subdomain.conf\n Editez le fichier en appuyant sur i puis copiez la configuration ci-dessous : ## Version 2023/05/31\n # make sure that your adguard container is named adguard\n # make sure that your dns has a cname set for adguard\n \n server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name adguard.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 0 ;\n \n #if ($lan-ip = yes) { set $geo-whitelist yes; }\n #if ($geo-whitelist = no) { return 404; }\n if ($geo-blacklist = no) { return 404 ; }\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app adguard;\n set $upstream_port 3000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location /control {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app adguard;\n set $upstream_port 3000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location /dns-query {\n # to properly use this please set `allow_unencrypted_doh: true` and `force_https: false` in adguard\n # see https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configuration-file\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app adguard;\n set $upstream_port 3000 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n ✨ Astuce : \nVous pouvez protéger cette app avec Authentik en ouvrant adguard.subdomain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . n'oubliez pas de créer une application et un fournisseur dans Authentik . Il vous faudra exclure l'url https://adguard.mondomaine.fr/dns-query de l'authentification : Editez le fournisseur d'Adguard Dans paramètres avancés du protocole > chemins authentifiés , saisissez ^/dns-query Appuyez sur Echap puis sauvegardez et quittez en tapant :x Et voilà, vous exposez Adguard à présent ! Configurer le chiffrement SSL/TLS Le chiffrement est essentiel si vous souhaitez garder privées les requêtes que vous faites vers adguard. Chiffrer ces requêtes c'est vous assurez que personne, meme votre FAI ne connaissent votre historique. C'est aussi vous assurer que personne d'autre que votre serveur vous répond. Afin de configurer le chiffrement : Allez dans paramètre puis dans chiffrement . Parametrez comme suit Puis en dessous, dans la section certificats cochez Définir un emplacement de fichier du certificat Dans le champs de saisie, mettez /swag-ssl/live/mondomaine.fr/fullchain.pem en remplaçant mondomaine.fr par votre domaine principal. Dans clé privée cochez Définir un fichier pour la clef privée Dans le champs de saisie, mettez /swag-ssl/live/mondomaine.fr/privkey.pem en remplaçant mondomaine.fr par votre domaine principal. Validez Et voilà ! Vous avez protégé vos futures requêtes DNS ! Configurer les appareils Pour configurer vos appareils, vous avez plusieurs choix (que vous pouvez cumuler). Sécuriser le réseau local Vous pouvez sécuriser votre réseau local avec adguard en configurant votre box pour que chaque requête DNS soit dirigée par défaut vers adguard plutot que les services de votre FAI. Attention, votre box doit pouvoir permettre le changement de DNS (Orange ne le permet pas). Généralement cette option est dans les paramètres DHCP de votre box. Pensez bien à ajouter un serveur secondaire tel que : Cloudlare : 1.1.1.1 Google : 8.8.8.8 En effet, sans cela, si votre serveur tombe, vos appareils n'arriveraient plus à se connecter à internet. Des appareils peuvent avoir un autre DNS paramétré et ne pas utiliser ceux de la box. Forcer un navigateur à utiliser Adguard Dans votre navigateur, vous pouvez configurer un DNS pour le forcer à utiliser adguard home.\nDans les paramètres, il vous faudra renseigner l'adresse https://adguard.mondomaine.fr/dns-query Windows, paramétrer Adguard au niveau système Dans windows, vous devez paramétrer Adguard pour chaque carte réseau que vous souhaitez utiliser. Rendez vous dans accueil > Réseau et internet > et choisissez votre carte réseau à modifier Cliquez sur modifier les DNS (parfois dans propriété du matériel ) Choisissez Manuel Activez IPv4 Renseignez l'IP publique de votre serveur (celle accessible depuis internet) Activez DNS sur HTTPS (modèle manuel) Désactivez retour au texte en clair Enregistrez Tous les programmes de votre machine utilisant cette carte réseau seront filtrés par Adguard. Ajouter des filtres Allez dans les paramètres et changez les filtres. .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":286,"path":287,"dir":277,"title":288,"description":7,"keywords":289,"body":291},"content:3.serveex:9.apps:2.vaultwarden.md","/serveex/apps/vaultwarden","Vaultwarden",[104,290],"Exposer Vaultwarden avec SWAG"," Vaultwarden 🎯 Objectifs : Installer Vaultwarden pour gérer vos mot de passe sur tout vos appareils (remplace la gestion de mot de passe Google ou Apple). Vaultwarden est une solution de gestion de vos mot de passe (génération, saisie semi-automatique...) que vous pouvez installer directement sur votre serveur. Cette solution remplace les gestionnaires comme Google, Apple ou Keepass. Cette solution permet de synchroniser tout vos mots de passe sur vos différentes machines, avec un chiffrement de bout en bout. Vaultwarden est un fork de la solution Bitwarden . Installation Structure des dossiers root\n └── docker\n └── vaultwarden\n ├── data\n ├── compose.yaml\n └── .env\n Ouvrez Dockge, cliquez sur compose , appelez la stack vaultwarden puis copiez collez ceci : ---\n services :\n vaultwarden :\n container_name : vaultwarden\n image : vaultwarden/server:latest\n restart : unless-stopped\n env_file :\n - .env\n volumes :\n - ./data/:/data/\n ports :\n - 3050:80\n environment :\n - DOMAIN=${URL}\n - LOGIN_RATELIMIT_MAX_BURST=10\n - LOGIN_RATELIMIT_SECONDS=60\n - ADMIN_RATELIMIT_MAX_BURST=10\n - ADMIN_RATELIMIT_SECONDS=60\n - ADMIN_TOKEN=${TOKEN}\n - SENDS_ALLOWED=true\n - EMERGENCY_ACCESS_ALLOWED=true\n - WEB_VAULT_ENABLED=true\n - SIGNUPS_ALLOWED=false\n - SIGNUPS_VERIFY=true\n - SIGNUPS_VERIFY_RESEND_TIME=3600\n - SIGNUPS_VERIFY_RESEND_LIMIT=5\n ✨ Astuce : Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour services :\n vaultwarden :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Nous allons maintenant générer un hash de mot de passe, qu'il faudra renseigner dans la variable TOKEN du .env echo -n 'votremotdepasse' | argon2 \"$( openssl rand -base64 32 )\" -e -id -k 65540 -t 3 -p 4\n Copiez le résultat précieusement et gardez en tête le mot de passe que vous avez choisi. Dans le .env , renseignez les variables suivantes : URL =\n TOKEN =\n Variable Valeur Exemple URL L'url de votre serveur vaultwarden https://vault.domaine.fr TOKEN Le token que vous avez précédemment copié précieusement '$argon2id$v=19$m=65540,t=3,p=4$bXBGME Puis déployez le conteneur. Depuis quelques temps, Vaultwarden ne permet pas d'etre accéder sans certificat SSL, ce qui empeche d'y accéder via son IP local. Nous y accèderons donc après l'avoir exposé avec SWAG, qui ajoute lui même un certificat SSL. En cas d'échec : vérifiez les règles de votre pare-feu. Exposer Vaultwarden avec SWAG Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Vaultwarden via SWAG . ✨ Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type vault.mondomaine.fr avec pour CNAME mondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust , que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT . Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de vaultwarden : services :\n swag :\n container_name : # ...\n # ... \n networks : # Relie le conteneur au réseau custom \n # ... \n - vaultwarden # Nom du réseau déclaré dans la stack\n \n networks : # Définit le réseau custom\n # ...\n vaultwarden : # Nom du réseau déclaré dans la stack\n name : vaultwarden_default # Nom véritable du réseau externe\n external : true # Précise que c'est un réseau à rechercher en externe\n Ici nous partons du principe que le nom du réseau de vaultwarden est vaultwarden_default . Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81 . Relancez la stack en cliquant sur \"déployer\" et patientez le temps que SWAG soit complètement opérationnel. Dans les dossiers de Swag, créez le fichier vault.subdomain.conf . ✨ Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo vi /docker/swag/config/nginx/proxy-confs/vault.subdomain.conf\n Entrez en modification avec la touche i et collez la configuration ci-dessous : server {\n listen 443 ssl;\n listen [::]:443 ssl;\n \n server_name vault.*;\n \n include /config/nginx/ssl.conf;\n \n client_max_body_size 128M ;\n \n # enable for ldap auth (requires ldap-location.conf in the location block)\n #include /config/nginx/ldap-server.conf;\n \n # enable for Authelia (requires authelia-location.conf in the location block)\n #include /config/nginx/authelia-server.conf;\n \n # enable for Authentik (requires authentik-location.conf in the location block)\n #include /config/nginx/authentik-server.conf;\n \n location / {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app vaultwarden;\n set $upstream_port 80 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ ^(/vaultwarden)?/admin {\n # enable the next two lines for http auth\n #auth_basic \"Restricted\";\n #auth_basic_user_file /config/nginx/.htpasswd;\n \n # enable for ldap auth (requires ldap-server.conf in the server block)\n #include /config/nginx/ldap-location.conf;\n \n # enable for Authelia (requires authelia-server.conf in the server block)\n #include /config/nginx/authelia-location.conf;\n \n # enable for Authentik (requires authentik-server.conf in the server block)\n #include /config/nginx/authentik-location.conf;\n \n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app vaultwarden;\n set $upstream_port 80 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/vaultwarden)?/api {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app vaultwarden;\n set $upstream_port 80 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n \n location ~ (/vaultwarden)?/notifications/hub {\n include /config/nginx/proxy.conf;\n include /config/nginx/resolver.conf;\n set $upstream_app vaultwarden;\n set $upstream_port 80 ;\n set $upstream_proto http;\n proxy_pass $upstream_proto://$upstream_app:$upstream_port;\n \n }\n }\n Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée . Et voilà, vous avez exposé Vaultwarden ! Accédez au panneau d'administration via https://vault.mondomaine.fr/admin et collez le mot de passe que vous avez choisi pour générer l' ADMIN_TOKEN . Plus d'info sur les fonctionnalités de Bitwarden . N'oubliez pas d'installer les extensions Bitwarden (elles sont compatibles avec Vaultwarden) pour Chrome ou pour Firefox ainsi que les applications iOS et Android afin de synchroniser vos mot de passe. ✨ Astuce : vous pouvez protéger cette app avec Authentik en ouvrant tools.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf; . N'oubliez pas de créer une application et un fournisseur dans Authentik . .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":293,"path":294,"dir":295,"title":34,"description":7,"keywords":296,"body":297},"content:4.stockeex:1.introduction.md","/stockeex/introduction","stockeex",[]," Stockeex \n ",{"id":299,"path":300,"dir":301,"title":302,"description":7,"keywords":303,"body":305},"content:5.betises:1.python:1.nvidia-stock-bot.md","/betises/python/nvidia-stock-bot","python","Nvidia Stock Bot",[304],"🤖 Nvidia Stock Bot"," Scripts python Mes cochonneries en python 🤖 Nvidia Stock Bot Depuis déjà 4 ans, la pénurie de materiel electronique fait rage. Et les cartes graphiques ne sont pas épargnées. En 2020, j'ai du attendre 2 mois pour obtenir mon exemplaire de RTX 3080, et pour cela j'ai du m'inscrire sur JV Hardware où une poignée de geek avait mis en place un bot qui envoyait un ping lorsqu'elles étaient disponibles. 4 ans après et 5000 abonnés plus tard, vient la sortie des RTX 5000. Et là aucun bot dispo sur le marché ne semble fonctionner correctement. Je ne parle même pas d'un certain \"influenceur\" qui se permet de faire payer l'accès à son bot qui ne fonctionne meme pas. Il copie à la main les alertes provenant d'autres serveurs, comme le notre qui ont résolu le problème. Quoiqu'il en soit, désireux d'obtenir une RTX 5090 pour ma machine dédiée à l'IA, je me suis dit qu'il était peut etre le temps de plonger dans le monde de python et de ChatGPT pour m'épauler. A l'aide d'un autre membre du serveur, KevOut, qui a principalement guidé sur le principe de départ et les sources des différentes API, j'ai réussi à obtenir un bot propre, fonctionnel, qui envoie différents types d'alertes via Discord. Avec un simple conteneur docker à déployer. Après moult déconvenues, je suis passé de ceci : à cela : Et plus récemment : J'ai également eu la chance d'être référencé dans la fameuse newsletter selfhost ! Plus d'infos directement sur le repo : 🐋 Nvidia Stock Bot Robot d'alerte de stock de GPU Nvidia",{"id":307,"path":308,"dir":301,"title":309,"description":7,"keywords":310,"body":311},"content:5.betises:1.python:2.adguard-cidre.md","/betises/python/adguard-cidre","Adguard CIDRE",[]," 🤖 Adguard CIDRE Sync Adguard Home est une solution merveilleuse pour filter ses requêtes DNS et ainsi se débarasser de la publicité ou des DNS des fournisseurs d'accès, ou encore réécrire des requetes. Quand c'est en local, c'est très chouette. Mais quand on veut que tout ses appareils en profitent même à l'exterieur, on est obligé de l'exposer sur le net. Et n'importe qui peut s'en servir et saturer le petit remote à 1€ qu'on a pris pour l'heberger. Adguard permet d'avoir des listes de clients autorisés ou bloqués. Problème, pour autoriser un client il faut son IP, et dans le cas d'un téléphone sur le réseau mobile, beh elle change régulièrement. L'idée est donc plutot de bloquer des listes générales plutot que d'autoriser des IP qui de toute façon changent régulièrement. CIDRE est un outil qui permet de synchroniser des listes de plages IP géolocalisées mises à jour régulièrement avec un pare feu. Plutot que de faire tourner CIDRE sur le remote complet avec des règles de pare feu complexes, je me suis dit qu'il fallait simplement s'arranger pour ajouter les plages IP à jour que CIDRE propose au systeme de block list d'adguard, selon les pays que l'on souhaite bloquer. C'est ainsi qu'est né Adguard CIDRE Sync, un conteneur qui synchronise régulièrement la block list d'Adguard avec les plages IP recensées par CIDRE à la fréquence que vous voulez. L'idée etant de : Backup le fichier de conf d'Adguard au premier lancement (le fichier jamais touché par le robot est ainsi conservé au cas où) Télécharger la liste des pays selectionnés via une variable d'environnement Permettre d'ajouter soi-meme des IP \"à la main\" dans un fichier Concaténer le tout, backup le fichier de conf (dernière update), et injecter la liste dans la bonne section du fichier de conf d'Adguard Recharger Adguard en relançant le container (accès au socket via docker socket proxy pour limiter les permissions) Tout ceci de manière complètement autonome, avec une fréquence choisie en variable d'environnement dans la conf du compose. Plus d'infos directement sur le repo : 🐋 Adguard CIDRE Sync Robot de synchronisation de la blocklist d'Adguard",{"id":313,"path":314,"dir":301,"title":315,"description":7,"keywords":316,"body":317},"content:5.betises:1.python:3.lumeex.md","/betises/python/lumeex","Lumeex",[]," \n Yet another minimalist, lightweight photo gallery static site generator. \n Amateur de photographie, j'ai passé plusieurs semaines à chercher un framework avec une galerie photo qui rende mieux qu'Instagram. Je souhaitais quelque chose qui mette en avant les photos plutot que l'auteur, et qui rend chaque visite unique en rendant le chargement des photos aleatoire. Tout en pouvant filtrer et trier par tag ou association de tag. Finalement, je n'ai rien trouvé qui faisait exactement ce que je voulais, et lorsque cela s'en approchait c'etait toujours via de lourds CMS. J'ai alors décidé de faire un site statique, à la main, avec Notepad++ à l'ancienne. Me debrouillant assez bien en HTML/CSS et un peu en javascript, je suis vité tombé sur un résultat sympa, durant mes vacances entre deux sessions à la plage. Après tout, un bon ouvrier doit avoir de bons outils, et il n'y a pas de meilleurs outils que ceux que l'on crée soit-même. Puis je me suis dit qu'il serait peut etre pas mal d'automatiser certaines actions, comme les formats de favicons, le resize et la conversion des images, la génération de la gallerie au lieu de tout saisir à la main, la création des robots.txt et sitemap... Et je me suis remis à Python. Finalement, après avoir obtenu de bons résultats, je me suis dit autant aller jusqu'au bout: un framework complet permettant de générer une galerie sur un site statique, en remplissant juste les informations du site dans un fichier de config et avec un peu de customisations visuelle sans rentrer dans le code. C'est ainsi qu'est né Lum eex \n Et voilà le bousin Documentation Accéder à la doc Repository Accéder au repo Demo Explorer la demo",{"id":319,"path":320,"dir":321,"title":322,"description":7,"keywords":323,"body":324},"content:5.betises:2.bash:1.servarr-doublons.md","/betises/bash/servarr-doublons","bash","Doublons servarr",[]," Detection de doublons et remplacement par des hardlinks Six mois après avoir téléchargé des térabytes de media, je me suis rendu compte que Sonarr et Radarr les copaient dans ma biblio Plex au lieu de créer des hardlinks. C'est dû à un mécanisme contre intuitif qui est que si vous montez plusieurs dossiers dans Sonarr/Radarr, il les voit comme deux systemes de fichiers différents. Et ne peut donc pas créer de hardlinks. C'est pour cela qu'il ne faut monter qu'un seul dossier parent, qui contient tous les enfants ( downloads , movies , tvseries dans le dossier parent media par exemple). J'ai donc restructuré mes dossiers, remis à la main chaque chemin dans Qbittorrent, Plex, et autres. Il restait à trouver un moyen de détecter les doublons existants et d'automatiquement les supprimer et de créer des hardlinks à la place, pour économiser de l'espace. Mes dossiers : .\n └── media\n ├── seedbox\n ├── radarr\n │ └── tv-radarr\n ├── movies\n └── tvseries\n Mes dossiers originaux sont dans seedbox , et il ne faut surtout pas les modifier pour qu'ils continuent d'etre \"seed\". Les copies, et donc doublons, sont dans movies et tvseries . Mais pour complexifier la chose, j'ai aussi des media uniques originaux déposés par ailleurs dans movies et tvseries , sinon cela serait trop facile. Et dans ces deux dossiers, il peut y avoir des sous dossiers, des sous-sous dossiers, etc. L'idée est donc de : lister les originaux dans seedbox lister les fichiers dans movies comparer les deux listes et isoler les chemins des doublons supprimer les doublons hardlinker les originaux dans les dossiers des doublons supprimés Alors oui j'ai demandé à ChatGPT et à Qwen3 (que j'héberge sur une machine dédiée à l'IA). Et evidemment ils m'ont conseillé les rfind, rdfind, dupes, rdupes, rmlint... Mais comparer les hash de 30TB de media, faudrait plusieurs jours, j'ai vite abandonné. Au final, je n'ai que des .mkv à chercher et les doublons ont exactement les mêmes noms que les originaux, ce qui simplifie grandement la tâche. Un simple script bash devait donc être suffisant. Je vous passe les incessantes questions réponses avec ChatGPT, je suis assez déçu. Qwen3 a été bien plus propre. ChatGPT n'a pas cessé de mettre des solutions type awk, qui pètent la lecture des chemins au moindre espace. En faisant relire à Qwen, et en lui demandant de se passer de awk, le résultat a été immediatement plus qualitatif. Pour tester, j'ai d'abord demandé un script qui ne fait que lister et comparer : #!/bin/bash\n \n # Créer un tableau associatif pour stocker les doublons\n declare -A seen\n \n # Trouver tous les fichiers .mkv uniquement (exclure les dossiers)\n find /media/seedbox /media/movies /media/tvseries -type f -name \"*.mkv\" -print0 | \\\n while IFS = read -r -d '' file ; do\n # Obtenir l'inode du fichier et son chemin\n inode = $( stat --format= \"%i\" \" $file \" )\n filename = $( basename \" $file \" )\n \n # Si ce nom de fichier a déjà été vu\n if [[ -n \"${ seen [ $filename ]}\" ]]; then\n # Vérifier si l'inode est différent du précédent\n if [[ \"${ seen [ $filename ]}\" != \" $inode \" ]]; then\n # Ajouter le doublon à la sortie en affichant les chemins complets\n echo \"Doublons pour \\\" $filename \\\" :\"\n echo \"${ seen [\" $filename \"]} ${ seen [\" $filename :full_path\"]}\"\n echo \" $inode $file \"\n echo\n fi\n else\n # Si c'est la première fois qu'on rencontre ce nom de fichier\n seen[$filename] = \" $inode \"\n seen[ \" $filename :full_path\" ] = \" $file \"\n fi\n done\n J'ai ainsi obtenu ce type de réponse : Doublons pour \"episode1.mkv\" :\n1234567 /media/seedbox/sonarr/Serie 1/Season1/episode1.mkv\n2345678 /media/tvseries/Serie 1/Season1/episode1.mkv\n Avec \"awk\", il se serait arrêté à /media/seedbox/sonarr/Serie . Je ne suis absolument pas un pro, mais Qwen3 a été plus performant et m'a expliqué de A à Z pourquoi et comment faire. Une fois que j'ai vu que cela fonctionnait bien, j'ai demandé un script qui fait l'intégralité de la cinématique, de la comparaison aux hardlinks en passant par la suppression des doublons.\nEncore une fois ChatGPT a été décevant. Malgré mes demandes, il créait d'abord les hardlinks et ensuite il supprimait les doublons. Ce qui.. suprimme aussi le lien (meme si cela conserve l'originale). Idiot.\nPetit détour par Qwen3, et ma RTX 5090 en PLS, et paf un résultat bien plus propre. Bon il a gardé les emoji de ChatGPT qui peut pas s'empecher d'en mettre partout, mais voilà : #!/bin/bash\n \n echo \"🔍 Étape 1 : Indexation des fichiers originaux dans /media/seedbox...\"\n declare -A seen\n \n # Indexe tous les .mkv dans seedbox\n while IFS = read -r -d '' file ; do\n filename = $( basename \" $file \" )\n seen[ \" $filename \" ] = \" $file \"\n done \u003C \u003C( find /media/seedbox -type f -name \"*.mkv\" -print0 )\n \n echo \"📦 Étape 2 : Remplacement automatique des doublons...\"\n total_doublons = 0\n total_ko_economises = 0\n \n while IFS = read -r -d '' file ; do\n filename = $( basename \" $file \" )\n original = \"${ seen [ $filename ]}\"\n \n if [[ -n \" $original \" && \" $original \" != \" $file \" ]]; then\n inode_orig = $( stat -c %i \" $original \" )\n inode_dupe = $( stat -c %i \" $file \" )\n \n if [[ \" $inode_orig \" != \" $inode_dupe \" ]]; then\n size_kb = $( du -k \" $file \" | cut -f1 )\n echo \"🔁 Remplacement :\"\n echo \" Doublon : $file \"\n echo \" Original : $original \"\n echo \" Taille : ${ size_kb } Ko\"\n \n rm \" $file \" && ln \" $original \" \" $file \" && echo \"✅ Hardlink créé.\"\n \n total_doublons = $(( total_doublons + 1 ))\n total_ko_economises = $(( total_ko_economises + size_kb ))\n fi\n fi\n done \u003C \u003C( find /media/movies /media/tvseries -type f -name \"*.mkv\" -print0 )\n \n echo \"\"\n echo \"🧾 Résumé :\"\n echo \" 🔗 Doublons remplacés par hardlink : $total_doublons \"\n echo \" 💾 Espace disque économisé approximatif : ${ total_ko_economises } Ko (~$(( total_ko_economises / 1024 )) Mo)\"\n echo \"✅ Terminé.\"\n Bilan j'ai : appris pas mal de subtilité bash appris qu'il ne faut jamais copier coller un script généré ChatGPT sans le comprendre et sans le tester en dry-run appris que Qwen sur une RTX 5090 est plus cohérent que ChatGPT 4o sur des fermes de serveurs (je vous passe les résultats de la version \"normale\"). appris que même quand on a 100TB d'espace, monitorer ce dernier m'aurait permis de voir beaucoup plus tot que j'avais 12TB de doublons qui trainent. .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":326,"path":327,"dir":321,"title":328,"description":7,"keywords":329,"body":330},"content:5.betises:2.bash:2.luks-backup.md","/betises/bash/luks-backup","Luks backup",[]," Backup des headers luks pour disques/volumes chiffrés Je me suis rendu compte il y a peu qu'il ne suffisait pas d'avoir le mot de passe pour deverouiller un volume luks apres une panne ou une corruption. J'ai ainsi appris à dump les headers luks des disques/volumes et à utiliser les numéros de série + noms de partitions pour pouvoir bien identifier quel header correspond à quel disque/partition (j'en ai 10 !). Après avoir bien galéré à la main, j'avoue avoir demandé à Qwen3 (llm hebergé sur ma RTX 5090) de me faire un script qui automatise le listing et identification des disques, dump les headers et les stock dans une archive chiffrée prete à etre backupée sur mon serveur de sauvegarde. Ainsi, ce script : Liste et identifie les disques avec leur numéro de série Liste les partition Dump les headers dans un dossier dans /root (dossier sécurisé) Cree une archive temporaire Prompt pour saisir un mot de passe Chiffre avec le mot de passe Détruit l'archive non chiffrée #!/bin/bash\n\n# Directory where LUKS headers will be backed up\nDEST=\"/root/luks-headers-backup\"\nmkdir -p \"$DEST\"\n\necho \"🔍 Searching for LUKS containers on all partitions...\"\n\n# Loop through all possible disk partitions (including NVMe and SATA)\nfor part in /dev/sd? /dev/sd?? /dev/nvme?n?p?; do\n # Skip if the device doesn't exist\n if [ ! -b \"$part\" ]; then\n continue\n fi\n\n # Check if the partition is a LUKS encrypted volume\n if cryptsetup isLuks \"$part\"; then\n # Find the parent disk device (e.g. nvme0n1p4 → nvme0n1)\n disk=$(lsblk -no pkname \"$part\" | head -n 1)\n full_disk=\"/dev/$disk\"\n\n # Get the serial number of the parent disk\n SERIAL=$(udevadm info --query=all --name=\"$full_disk\" | grep ID_SERIAL= | cut -d= -f2)\n if [ -z \"$SERIAL\" ]; then\n SERIAL=\"unknown\"\n fi\n\n # Extract the partition name (e.g. nvme0n1p4)\n PART_NAME=$(basename \"$part\")\n\n # Build the output filename with partition name and disk serial\n OUTPUT=\"$DEST/luks-header-${PART_NAME}__${SERIAL}.img\"\n\n echo \"🔐 Backing up LUKS header of $part (Serial: $SERIAL)...\"\n\n # Backup the LUKS header to the output file\n cryptsetup luksHeaderBackup \"$part\" --header-backup-file \"$OUTPUT\"\n if [[ $? -eq 0 ]]; then\n echo \"✅ Backup successful → $OUTPUT\"\n else\n echo \"❌ Backup failed for $part\"\n fi\n fi\ndone\n\n# Create a timestamped compressed tar archive of all header backups\nARCHIVE_NAME=\"/root/luks-headers-$(date +%Y%m%d_%H%M%S).tar.gz\"\necho \"📦 Creating archive $ARCHIVE_NAME...\"\ntar -czf \"$ARCHIVE_NAME\" -C \"$DEST\" .\n\n# Encrypt the archive symmetrically using GPG with AES256 cipher\necho \"🔐 Encrypting the archive with GPG...\"\ngpg --symmetric --cipher-algo AES256 \"$ARCHIVE_NAME\"\nif [[ $? -eq 0 ]]; then\n echo \"✅ Encrypted archive created: ${ARCHIVE_NAME}.gpg\"\n # Remove the unencrypted archive for security\n rm -f \"$ARCHIVE_NAME\"\nelse\n echo \"❌ Encryption failed\"\nfi\n Ne pas oublier de backup /etc/fstab et /etc/crypttab !",{"id":332,"path":333,"dir":321,"title":334,"description":7,"keywords":335,"body":336},"content:5.betises:2.bash:3.socat-proxy.md","/betises/bash/socat-proxy","Socat Proxy",[]," Socat Proxy Ce projet répond à un cas d'usage problématique : J'ai Beszel , un conteneur de monitoring en mode host, nécessitant d'exposer le socket de Docker afin qu'il récupère les stats des conteneurs Afin de ne pas laisser le socket complètement ouvert pour Beszel, j'ai Docker Socket Proxy , un conteneur qui se place entre le scoket de docker et le conteneur qui en a besoin, et qui filtre le requêtes en paramétrant les bonnes permissions pour ne pas tout exposer au conteneur qui l'utilise. Problème, si Beszel est en mode host, il doit contacter Docker Socket Proxy directement sur un port de l'host, c'est à dire en exposant un port de Docker Socket Proxy . Ce qui fait que n'importe quel conteneur/application sur mon host peut l'appeler et utiliser le socket docker. C'est là qu'intervient Socat Proxy . Ce dernier est un conteneur qui : Crée un socket UNIX Ecoute ce socket Envoie les requetes vers Docker Socket Proxy et vice versa Permet de remplacer le vrai socket docker en exposant le socket proxy créé, dans le conteneur final via un bind mount (ici, Beszel) Ainsi, un filtre comme Docker Socket Proxy dialogue avec Socat Proxy dans leur propre réseau isolé (en mode bridge), et le bind mount du socket UNIX créé est localisé sur l'host dans un dossier avec les permissions nécessaires pour ne pas etre visible des autres conteneurs/applicatifs. En gros : Par exemple, pour Beszel cela rendrait comme ceci : services :\n socat-proxy :\n image : git.djeex.fr/djeex/socat-proxy:latest\n container_name : socat-proxy-beszel\n environment :\n - TARGET_HOST=${TARGET_HOST}\n - TARGET_PORT=${TARGET_PORT}\n - UNIX_SOCKET_PATH=${UNIX_SOCKET_PATH}\n - HOST_SOCKET_PATH=${HOST_SOCKET_PATH}\n - UNIX_SOCKET_NAME=${UNIX_SOCKET_NAME}\n volumes :\n - ${HOST_SOCKET_PATH}:${UNIX_SOCKET_PATH}\n restart : unless-stopped\n depends_on :\n - ${TARGET_HOST}\n \n socket-proxy :\n image : lscr.io/linuxserver/socket-proxy:latest\n container_name : ${TARGET_HOST}\n security_opt :\n - no-new-privileges:true\n environment :\n - CONTAINERS=1\n - INFO=1\n volumes :\n - /var/run/docker.sock:/var/run/docker.sock:ro\n restart : unless-stopped\n read_only : true\n tmpfs :\n - /run\n \n beszel-agent :\n image : henrygd/beszel-agent:latest\n container_name : beszel-agent\n restart : unless-stopped\n network_mode : host\n security_opt :\n - no-new-privileges:true\n volumes :\n - ${HOST_SOCKET_PATH}/${UNIX_SOCKET_NAME}:/var/run/docker.sock:ro\n environment :\n - #... your Beszel environment var \n depends_on :\n - socat-proxy\n Plus d'infos directement sur le repo : 🐋 Socat Proxy A lighteweight bind mount socket proxy .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":338,"path":339,"dir":321,"title":340,"description":7,"keywords":341,"body":342},"content:5.betises:2.bash:4.hotdisk.md","/betises/bash/hotdisk","HotDisk",[]," HotDisk Quand on a un NAS avec plusieurs disques dans une buanderie, les températures peuvent vite grimper. Or, un disque dur est très sensible aux températures et peut subir de gros dommages s'il dépasse une température seuil pendant un certain temps. Après un été très chaud qui a fournit son lot de sueur froide en regardant la température de mes disques, j'ai cherché un moyen de pouvoir automatiser l'extinction du serveur en cas de dépassement prolonger de la température maximale supportée par mes disques. N'ayant rien trouvé de convaincant, je l'ai donc fait moi-même. Le script lit la température SMART de tous les disques SATA chaque minute. Il compte le nombre de minutes consécutives où la température est au-dessus ou en dessous du seuil. Il envoie des notifications Discord si le seuil est dépassé ou si la température redescend. Il déclenche l’arrêt du système si la température dépasse la limite pendant la durée configurée. Il enregistre toutes les températures et l’état des compteurs, et effectue automatiquement la rotation des journaux. Puis tant qu'on y est, j'ai ajouté un script d'installation qui installe le script, le rend éxecutable, crée un service systemd et un timer systemd et l'active. Le script d'installation permet aussi de régler les différentes variables: Variable Description Valeur par défaut MAX_TEMP Température maximale autorisée (°C) avant le début du compte à rebours d’arrêt 60 HOT_DURATION Minutes consécutives au-dessus de MAX_TEMP avant l’arrêt du système 5 COOL_RESET_DURATION Minutes consécutives en dessous de MAX_TEMP pour réinitialiser les compteurs 5 LOG_FILE Chemin du fichier journal principal /var/log/hdd_temp_monitor.log LOG_ROTATE_COUNT Nombre de fichiers journaux à conserver 7 LOG_ROTATE_PERIOD Période de rotation des journaux ( daily ou weekly ) daily DISCORD_WEBHOOK URL du webhook Discord pour les notifications Obligatoire Il execute aussi un autre script qui paramètre le logrotate avec les éléments configurés prédédemment. Et enfin, le script d'installation peut etre executé via un simple curl + execution d'un dernier script pour les plus flemmard. Il a fallu également gérer le sujet du root sans sudo, du sudo seul, de l'utilisateur sans sudo, les divers cas d'erreur (dépendances manquantes, erreur dans les permissions, créations de fichier, de lecture des données des disques, etc...) Et l'acces concurrent au fichier de statuts. Plus d'infos directement sur le repo : 📜 HotDisk Gardez vos disques au frais !",{"id":344,"path":345,"dir":321,"title":346,"description":7,"keywords":347,"body":351},"content:5.betises:2.bash:5.backrest-docker-stop.md","/betises/bash/backrest-docker-stop","Backrest Docker Stop",[348,349,350],"Faire communiquer Backrest et Docker en toute sécurité","Les scripts","Le label"," Backrest Docker Stop Backrest est un formidable outil de backup. Dans le cas de Serveex , la majeure partie des données à sauvegarder sont des conteneurs, et souvent ces conteneurs possèdent des bases de données. Le problème ? On ne peut pas sauvegarder proprement une BDD qui est en route. Alors, il existe plein de solutions complexe à base de dump des bases de données, mais souvent le plus simple cela reste de stopper les conteneurs, de sauvegarder, et de redémarrer les conteneurs. Backrest ne propose pas de solutions native, mais il propose d'executer des scripts customisés à déclencher sur des évenements, comme le démarrage et la fin de la sauvegarde par exemple. Notre besoin est donc de stopper les conteneurs dont on veut sauvegarder la BDD, à chaque démarrage du plan de sauvegarde, et de les redémarrer à la fin de l'execution du plan de sauvegarde. Pour cela nous allons avoir besoin d'un script bash et de connecter Backrest au socker de Docker, afin d'avoir la cinématique suivante : Le plan de sauvegarde se met en route L'evenement déclenche l'execution d'un script custom Le script contacte docker et demande la liste des conteneurs qui comportent le label backrest.backup.stop=true Il récupère cette liste et leur envoie une commande d'extinction Le plan de sauvegarde s'arrête L'evenement déclenche l'execution d'un script custom Le script contacte docker et demande la liste des conteneurs qui comportent le label backrest.backup.stop=true Il récupère cette liste et leur envoie une commande de démarrage Faire communiquer Backrest et Docker en toute sécurité Pour faire communiquer Backrest et Docker en toute sécurité, nous utiliserons Docker Socket Proxy , afin de n'accorder que les droits nécessaires plutot que d'exposer l'intégralité du socket à Docker. Voici donc la stack : ---\n services :\n backrest :\n image : garethgeorge/backrest:latest\n container_name : backrest\n hostname : backrest\n security_opt :\n - no-new-privileges:true\n volumes :\n - ... # vos volumes\n environment :\n - ... # vos variables\n - DOCKER_HOST=tcp://socket-proxy-backrest:2375\n restart : unless-stopped\n ports :\n - ... # vos ports\n depends_on :\n - socket-proxy\n \n socket-proxy :\n image : lscr.io/linuxserver/socket-proxy:latest\n container_name : socket-proxy-backrest\n security_opt :\n - no-new-privileges:true\n environment :\n - CONTAINERS=1\n - ALLOW_START=1\n - ALLOW_STOP=1\n volumes :\n - /var/run/docker.sock:/var/run/docker.sock:ro\n restart : unless-stopped\n read_only : true\n tmpfs :\n - /run\n Et voilà, Backrest pourra ainsi communiquer avec Docker en toute sécurité. Les scripts Vous trouverez ci-dessous les scripts à renseigner en action pour les évèvenements de démarrage et d'arrêt de la sauvegarde dans Backrest . #!/usr/bin/env bash\n \n BACKUP_LABEL = \"backrest.backup.stop=true\"\n BACKUP_CONTAINERS = $( docker ps -aqf \"label= $BACKUP_LABEL \" )\n for BC in $BACKUP_CONTAINERS\n do\n docker stop \" $BC \"\n done\n sleep 10\n #!/usr/bin/env bash\n \n BACKUP_LABEL = \"backrest.backup.stop=true\"\n BACKUP_CONTAINERS = $( docker ps -aqf \"label= $BACKUP_LABEL \" )\n for BC in $BACKUP_CONTAINERS\n do\n docker start \" $BC \"\n done\n sleep 10\n Le label Une fois les scripts renseignés et paramétrés pour les bons hooks dans Backrest , vous n'avez plus qu'à ajouter le libellé backrest.backup.stop=true dans les fichiers compose.yaml des conteneurs à éteindre et rallumer durant les sauvegardes : services :\n votre_service :\n ...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Et voilà, à la prochaine sauvegarde, les conteneurs correctement labelisés s'arreteront pendant la sauvegarde et redémarreront tout seuls à la fin. .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",{"id":353,"path":354,"dir":355,"title":356,"description":7,"keywords":357,"body":358},"content:6.Poubelle:1.obsolete:1.wireguard-14.md","/poubelle/obsolete/wireguard-14","obsolete","Wireguard 14",[34,133,134,135]," Wireguard 🎯 Objectifs : Installer Wireguard Configurer les clients Accéder au réseau sécurisé Introduction L'utilisation d'un VPN permet d'accéder à distance aux ressources locales du serveur sans les exposer sur internet. C'est notamment une manière propre de sécuriser l'accès à la console SSH, plutot que d'exposer le port sur internet. C'est pouvoir se connecter à son réseau où que l'on soit, de maniere sécurisée, et de faire dialoguer des machines qui sont sur des réseaux différents. Ici nous utiliserons Wireguard , un serveur VPN sécurisé et très performant, à l'aide des conteneurs : wg-easy pour le serveur, qui propose une interface web très simple pour controler les connexions et télécharger les fichiers de conf (notamment par QR code pour les téléphones) Wireguard pour les clients linux Il existe aussi des clients Windows, MacOS, iOS et Android. Le principe est le suivant : Sur internet, n'importe qui peut contacter n'importe quel box internet et donc essayer de contacter n'importe quel serveur exposé. Votre serveur est sur votre réseau local. Il est accessible depuis le réseau local mais pas depuis internet, mis à part les services exposés (comme nous l'avons fait avec Dockge). Pour accéder aux ressources non exposées, vous devez être connecté sur le meme réseau que votre serveur et donc etre chez vous. De plus, vous devez laisser ouvert les ports utilisés par vos services à travers le pare feu de votre serveur. Nous souhaitons ici au contraire, depuis n'importe où, pouvoir accéder de maniere securisée aux services non exposés sur internet du serveur, comme la console SSH qui permet de se connecter à la machine par exemple. Nous souhaitons aussi accéder aux services d'autres serveurs, et par exemple relier de maniere sécurisée deux instances de Dockge pour tout controler depuis la meme interface. Pour cela nous allons créer un réseau privé virtuel , ou VPN, c'est à dire un tunnel sécurisé auquel personne n'a accès à part les machines que vous relierez entre elles. Elles feront partie d'un nouveau réseau et pourront dialoguer entre elle comme dans un réseau local. D'autre part, vous pourrez ajouter votre téléphone, un ordinateur portable ou n'importe quel appareil au réseau pour pouvoir utiliser vos ressources depuis vos appareils quotidiens, où que vous soyiez. Dans cette illustration, la machine 1 est sur deux réseaux : son réseau local (tous les appareils liés à la box, avec une adresse IP du type 192.168.x.x donc ici la machine 1 et la machine 2) le réseau du VPN (tous les appareils reliés au VPN, avec une seconde adresse IP du type 10.8.x.x donc ici la machine 1 et 4) On peut aussi faire en sorte que les machines reliées au réseau virtuel partagent les acces à leur réseau local. Ici nous ne le ferons pas, pour des raisons de sécurité, et de complexité en terme de sous-réseau (si les deux machines distantes ont des machines locales qui utilisent la meme adresse IP locale, par exemple 192.168.1.1 , cela posera des conflits). Ainsi, sur le réseau virtuel, seules les machines directement reliées pourront dialoguer entre elle depuis ce réseau. Elles ne pourront pas dialoguer avec une machine situées sur un autre réseau local et non reliée au VPN. Côté serveur 📋 A vérifier au préalable : Vérifiez si le port 51820 UDP estlibre sur votre serveur, et bien routé dans le NAT de la box Source 51820 UDP -> Destination 51820 UDP -> Serveur . En effet, votre serveur étant derrière votre box, le port de votre box doit etre joignable et rediriger vers le port de votre serveur connecté à votre VPN. Vérifiez aussi que le port 51821 TCP est libre sur le serveur pour accéder à la web ui. Attention : Cette documentation utilise la version 14 de wg-easy . La version 15 comporte des breaking changes qui ne sont pas compatibles avec les configurations proposées ici. Structure des dossiers root\n └── docker\n └── wg-easy\n ├── config\n │ └── etc_wireguard\n ├── compose.yaml\n └── .env\n Le conteneur sera en mode HOST , c'est à dire qu'il occupera les ports de votre host comme s'il n'etait pas dans un conteneur mais directement installé sur la machine, sans passer par un sous-réseau. Ouvrez Dockge, cliquez sur compose et nommez la stack wg_easy . Copiez la configuration suivante : ---\n services :\n wg-easy :\n network_mode : host\n env_file :\n - .env\n environment :\n - LANG=en\n - WG_HOST=${HOST}\n - PASSWORD_HASH=${PW}\n - WG_DEFAULT_ADDRESS=${ADDRESS}\n - WG_HIDE_KEYS=never\n - WG_ALLOWED_IPS=${IPS}\n - WG_DEFAULT_DNS=\n - UI_TRAFFIC_STATS=true\n - UI_CHART_TYPE=1\n image : ghcr.io/wg-easy/wg-easy:14\n container_name : wg-easy\n volumes :\n - /docker/wg_easy/config/etc_wireguard:/etc/wireguard\n restart : unless-stopped\n cap_add :\n - NET_ADMIN\n - SYS_MODULE\n ✨ Astuce : Vous pouvez personnaliser le port de wireguard avec WG_PORT au lieu du port par defaut 51820 Ajoutez le label de watchtower afin d'automatiser les mises à jour services\n wg-easy :\n #...\n labels :\n - com.centurylinklabs.watchtower.enable=true\n Dans .env : HOST =\n PW =\n ADDRESS =\n IPS =\n Variable Valeur Exemples HOST IP publique de votre box internet (elle doit etre fixe) 80.72.136.27 PW Hash du mot de passe, à générer ici . ATTENTION: doubler les $ $$2a$$12$$FF6T4QqSP9Ho ADDRESS Plage d'adresse que le DHCP du VPN peut attribuer, le x doit etre présent, on peut changer les autres chiffres ou les remplacer par x aussi 10.8.0.x IPS les IPs qui doivent etre routées par les clients vers le VPN. Dans notre cas, on veut que seul le traffic vers le serveur et clients du VPN soit routé, on veut pas de leurs réseau local et on veut conserver l'accès à internet direct sans passer par le VPN.Si vous voulez tout de meme ajouter toutes les machines connectées aux appareils en local, ajoutez la plage 192.168.0.0/16 en séparant les deux plages par une virgule. 10.8.0.0/24 Puis déployez la stack. Activation du forwarding depuis l'host Pour que l'host autorise les clients à communiquer entre eux, vous devez activer les paramèttres suivants : sudo sysctl net.ipv4.ip_forward= 1\n sudo sysctl net.ipv4.conf.all.src_valid_mark= 1\n Recuperation des fichiers de conf Afin de configurer les clients, vous devez télécharger les fichiers de conf générés par l'host : Connectez vous via le web en local sur http://ipduserveur:51821 Créez un client Téléchargez le fichier de conf Renommez le en wg0.conf En cas d'échec, vérifiez les règles du pare-feu. Sur le serveur client Nous partons du principe que le serveur client est un serveur linux avec Docker installé Structure des dossiers root\n └── docker\n └── wireguard\n └── config\n │ └── wg_confs\n └── compose.yaml\n Creez le dossier /docker/wireguard/config/wg_confs . ✨ Astuce pour les allergiques au terminal : \nvous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. sudo mkdir -p /docker/wireguard/config/wg_confs\n Copiez le fichier wg0.conf téléchargé précédemment. ✨ Astuce : Le moyen le plus simple est de transférer le fichier par sftp dans le dossier /home/nomdutilisateur puis de le copier dans le bon dossier : sudo cp ~/wg0.conf /docker/wireguard/config/wg_confs\n Creez le compose.yaml dans /docker/wireguard : sudo vi /docker/wireguard/compose.yaml\n Appuyez sur i pour rentrer en modification et copiez la configuration ci-dessous services :\n wireguard :\n image : lscr.io/linuxserver/wireguard:latest\n container_name : wireguard\n network_mode : host\n cap_add :\n - NET_ADMIN\n - SYS_MODULE #optional\n environment :\n - TZ=Europe/Paris\n volumes :\n - /docker/wireguard/config:/config\n - /lib/modules:/lib/modules #optional\n restart : unless-stopped\n Appuyez sur Echap puis tapez :x pour quitter et sauvegarder. Lancez le conteneur : cd /docker/wireguard\n sudo docker compose up -d\n A répéter pour chaque client Autres appareils Téléphone : installer wireguard et scanner le QR code via le webui ( http://ipduserveur:51821 ) PC : Installer wireguard client et mettre directement le fichier de conf téléchargé via le webui Attention : Si des machines clientes sont sur le meme réseau local que le serveur (derriere la box), éditez le fichier wg0.conf uploadé sur cette machine en changeant avec l'adresse locale du serveur : Endpoint = ipduserveur:51820 Et voilà ce que cela peut donner ! .dark .shiki,html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}.shiki,html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}",1773230642890]