Ajout d'UpSnap + warning sur l'exposition sans MFA

2025-04-28 18:36:41 +00:00 · 2025-04-28 18:36:41 +00:00 · 1b80dcb88b
commit 1b80dcb88b
parent 1bc006bfcd
9 changed files with 230 additions and 0 deletions
--- a/content/3.serveex/2.coeur/3.swag.md
+++ b/content/3.serveex/2.coeur/3.swag.md
@ -273,6 +273,12 @@ Nous partons du principe que vous avez créé dans votre [zone DNS](/generalites

 Il s'agit maintenant d'exposer Dockge sur internet, afin de pouvoir y accéder et gérer vos conteneurs sans que vous soyez chez vous. Pour cela, nous partons du principe que vous avez configuré un sous domaine `dockge.mondomaine.fr` dans votre zone DNS dont le `CNAME` pointe sur `mondomaine.fr`.

+::alert{type="warning"}
+:::list{type="warning"}
+- Dockge n'utilise pas d'authentification multifacteur. Exposer Dockge sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
 Ouvrez le fichier dockge.subdomain.conf :

 ```shell
--- a/content/3.serveex/4.monitoring/1.uptime-kuma.md
+++ b/content/3.serveex/4.monitoring/1.uptime-kuma.md
@ -71,6 +71,12 @@ Vous n'avez plus qu'à accéder à l'outil via `http://ipdevotreserveur:3200`.
 Nous partons du principe que vous avez le sous-domaine `stats.mondomaine.fr` avec un `CNAME` qui pointe vers `mondomaine.fr` dans votre [zone DNS](/generalites/dns). Et que bien sûr, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), le port `443` de votre box pointe bien sur le port `443` de votre serveur via [les règles NAT](/generalites/nat).
 ::

+::alert{type="warning"}
+:::list{type="warning"}
+- Uptime-Kuma n'utilise pas d'authentification multifacteur. Exposer Uptime-Kuma sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
 Dans les dossiers de Swag, créez le fichier `stats.subdomain.conf`.

 ::alert{type="success"}
--- a/content/3.serveex/4.monitoring/2.dozzle.md
+++ b/content/3.serveex/4.monitoring/2.dozzle.md
@ -69,6 +69,13 @@ Déployez le conteneur et rendez-vous sur `http://ipduserveur:9135`. Et voilà,

 ## Exposer Dozzle avec Swag
 ---
+
+::alert{type="warning"}
+:::list{type="warning"}
+- Dozzle n'utilise pas d'authentification multifacteur. Exposer Dozzle sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
 Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Dozzle via Swag.

 ::alert{type="info"}
--- a/content/3.serveex/4.monitoring/3.speedtest-tracker.md
+++ b/content/3.serveex/4.monitoring/3.speedtest-tracker.md
@ -96,6 +96,12 @@ Nous partons du principe que vous avez créé dans votre [zone DNS](/generalites

 Il s'agit maintenant d'exposer Speedtest Tracker sur internet, afin de pouvoir y accéder sans que vous soyez chez vous. Pour cela, nous partons du principe que vous avez configuré un sous domaine `speedtest.mondomaine.fr` dans votre zone DNS dont le `CNAME` pointe sur `mondomaine.fr`.

+::alert{type="warning"}
+:::list{type="warning"}
+- Speedtest Tracker n'utilise pas d'authentification multifacteur. Exposer Speedtest Tracker sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
 Ouvrez le fichier speedtest.subdomain.conf :

 ```shell
--- a/content/3.serveex/4.monitoring/4.beszel.md
+++ b/content/3.serveex/4.monitoring/4.beszel.md
@ -141,6 +141,13 @@ Déployez la stack sur votre serveur distant. Les informations du serveur distan

 ## Exposer Beszel avec Swag
 ---
+
+::alert{type="warning"}
+:::list{type="warning"}
+- Beszel n'utilise pas d'authentification multifacteur. Exposer Beszel sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
 Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Beszel via Swag.

 ::alert{type="info"}
--- a/content/3.serveex/4.monitoring/5.upsnap.md
+++ b/content/3.serveex/4.monitoring/5.upsnap.md
@ -0,0 +1,183 @@
+---
+navigation: true
+title: UpSnap
+main:
+  fluid: false
+---
+:ellipsis{left=0px width=40rem top=10rem blur=140px}
+# UpSnap
+
+::alert{type="info"}
+🎯 __Objectifs :__
+- Installer UpSnap
+- Exposer UpSnap avec Swag
+::
+
+[UpSnap](https://github.com/seriousm4x/UpSnap) est un conteneur permettant d'allumer, éteindre, ou mettre en veille vos machines à distance. Il utilise essentiellement le systeme de Wake-On-Lan (WoL) par le réseau et dispose d'autres fonctions avancées.
+
+![Beszel](/img/serveex/upsnap.webp)
+
+## Installation
+---
+
+Structure des dossiers
+
+```console
+root
+└── docker
+    └── upsnap
+        └── data
+```
+
+Ouvrez Dockge, cliquez sur `compose`, appelez la stack `upsnap` puis copiez collez ceci :
+
+```yaml
+services:
+  upsnap:
+    container_name: upsnap
+    image: ghcr.io/seriousm4x/upsnap:5
+    network_mode: host
+    restart: unless-stopped
+    volumes:
+      - /docker/upsnap/data:/app/pb_data
+    environment:
+      - TZ=Europe/Paris
+      - UPSNAP_SCAN_RANGE=${SCAN_RANGE}
+      - UPSNAP_SCAN_TIMEOUT=500ms
+      - UPSNAP_PING_PRIVILEGED=true
+    dns:
+      - ${DNS}
+    entrypoint: /bin/sh -c "./upsnap serve --http 0.0.0.0:8095"
+    healthcheck:
+      test: curl -fs "http://localhost:8095/api/health" || exit 1
+      interval: 10s
+```
+
+::alert{type="success"}
+✨ __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour
+
+    ```yaml
+    services:
+      upsnap:
+        #...
+        labels:
+          - com.centurylinklabs.watchtower.enable=true
+::
+
+Renseignez le `.env`, par exemple :
+
+```properties
+RANGE=192.168.1.0/24 # scan toutes les machines sur le réseau local ayant une adresse IP comprise entre 192.168.0.1 et 192.168.1.255
+DNS=192.168.1.1 # IP du dns à utiliser pour résoudre les noms de domaines, ici dans l'exemple c'est généralement l'IP du routeur
+```
+
+Déployez le conteneur et rendez-vous sur `http://ipduserveur:8095`. Vous n'avez plus qu'à suivre les instructions pour créer votre compte !
+
+::alert{type="danger"}
+:::list{type="danger"}
+- __En cas d'échec :__ vérifiez les règles de votre pare-feu.
+:::
+::
+
+## Exposer UpSnap avec Swag
+---
+
+::alert{type="warning"}
+:::list{type="warning"}
+- UpSnap n'utilise pas d'authentification multifacteur. Exposer UpSnap sur internet pourrait compromettre les machines auxquel il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
+Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer UpSnap via Swag.
+
+::alert{type="info"}
+📋 __Au préalable :__
+<br/><br/>
+Nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `upsnap.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat).
+::
+
+Dans Dockge ouvrez la stack `upsnap` et ajoutez le réseau de Swag dans le conteneur. Pour rappel :
+
+```yaml
+services:
+  nomduservice:
+     container_name: #...
+      # ... 
+     networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack 
+      - swag # Nom du réseau déclaré dans la stack
+    
+networks: # Défini le réseau custom
+  swag: # Nom du réseau déclaré dans la stack
+    name: swag_default # Nom véritable du réseau externe
+    external: true # Précise que c'est un réseau à rechercher en externe
+```
+
+Dans les dossiers de Swag, créez le fichier `upsnap.subdomain.conf`.
+
+::alert{type="success"}
+✨ __Astuce :__ vous pouvez utiliser [File Browser](/serveex/files/file-browser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal.
+::
+
+```shell
+sudo vi /docker/swag/config/nginx/proxy-confs/upsnap.subdomain.conf
+```
+Entrez en modification avec la touche `i` et collez la configuration ci-dessous :
+
+```nginx
+## Version 2023/12/19
+
+server {
+    listen 443 ssl;
+    listen [::]:443 ssl;
+
+    server_name upsnap.*;
+
+    include /config/nginx/ssl.conf;
+
+    client_max_body_size 0;
+
+    #if ($lan-ip = yes) { set $geo-whitelist yes; }
+    #if ($geo-whitelist = no) { return 404; }
+    if ($geo-blacklist = no) { return 404; }
+
+    # enable for ldap auth (requires ldap-location.conf in the location block)
+    #include /config/nginx/ldap-server.conf;
+
+    # enable for Authelia (requires authelia-location.conf in the location block)
+    #include /config/nginx/authelia-server.conf;
+
+    # enable for Authentik (requires authentik-location.conf in the location block)
+    #include /config/nginx/authentik-server.conf;
+
+    location / {
+        # enable the next two lines for http auth
+        #auth_basic "Restricted";
+        #auth_basic_user_file /config/nginx/.htpasswd;
+
+        # enable for ldap auth (requires ldap-server.conf in the server block)
+        #include /config/nginx/ldap-location.conf;
+
+        # enable for Authelia (requires authelia-server.conf in the server block)
+        #include /config/nginx/authelia-location.conf;
+
+        # enable for Authentik (requires authentik-server.conf in the server block)
+        #include /config/nginx/authentik-location.conf;
+
+        include /config/nginx/proxy.conf;
+        include /config/nginx/resolver.conf;
+        set $upstream_app upsnap;
+        set $upstream_port 8095;
+        set $upstream_proto http;
+        proxy_pass $upstream_proto://$upstream_app:$upstream_port;
+
+    }
+}
+```
+
+Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`.
+
+Et voilà, vous avez exposé UpSnap !
+
+::alert{type="success"}
+✨ Vous pouvez protéger cette app avec Authentik en ouvrant `upsnap.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy).
+::
--- a/content/3.serveex/5.media/2.qbittorrent.md
+++ b/content/3.serveex/5.media/2.qbittorrent.md
@ -196,6 +196,14 @@ Et voilà ! Lorsque vous lancez un téléchargement, n'oubliez pas de préciser

 ## Exposer la webui
 ---
+
+::alert{type="warning"}
+:::list{type="warning"}
+- Qbitorrent n'utilise pas d'authentification multifacteur. Exposer Qbitorrent sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
+
 Afin de lancer des téléchargement hors de chez vous, sans VPN, vous pouvez exposer la webui de Qbittorent. 

 ::alert{type="info"}
--- a/content/3.serveex/7.files/1.file-browser.md
+++ b/content/3.serveex/7.files/1.file-browser.md
@ -56,6 +56,13 @@ Déployez le conteneur et rendez-vous sur `http://ipduserveur:8010`. Et voilà,

 ## Exposer File Browser avec Swag
 ---
+
+::alert{type="warning"}
+:::list{type="warning"}
+- File Browser n'utilise pas d'authentification multifacteur. Exposer File Browser sur internet pourrait compromettre les machines auxquelles il est relié. Ne le faite que si vous utilisez un systeme d'authentification multifacteur comme [Authentik](/serveex/securite/authentik/). Sinon, n'exposez pas avec SWAG et utilisez plutôt un VPN comme [Wireguard](/serveex/securite/wireguard).
+:::
+::
+
 Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer IT Tools via Swag.

 ::alert{type="info"}
--- a/public/img/serveex/upsnap.webp
+++ b/public/img/serveex/upsnap.webp