From 31be4de489a57564dc26da490e07ee5872366e68 Mon Sep 17 00:00:00 2001 From: Djeex Date: Fri, 15 Nov 2024 12:27:29 +0000 Subject: [PATCH] Minor changes --- content/3.serveex/2.coeur/3.swag.md | 19 ++++++++++++------- content/3.serveex/3.securite/1.wireguard.md | 4 ++-- 2 files changed, 14 insertions(+), 9 deletions(-) diff --git a/content/3.serveex/2.coeur/3.swag.md b/content/3.serveex/2.coeur/3.swag.md index fa97548..5cd044e 100644 --- a/content/3.serveex/2.coeur/3.swag.md +++ b/content/3.serveex/2.coeur/3.swag.md @@ -6,9 +6,6 @@ main: --- :ellipsis{left=0px width=40rem top=10rem blur=140px} # SWAG -[Swag](https://docs.linuxserver.io/general/swag/) est le noyau de ce homelab. C'est un reverse proxy puissant qui permet d'exposer des services sur le net via un ou des noms de domaines, en se chargeant de l'émission des certificats SSL (pour garder des connexions chiffrées), du routage des requêtes et de la sécurisation des accès (par authent HTTP ou par SSO comme Authelia ou Authentik). Toute la doc nécessaire ce [situe ici](https://docs.linuxserver.io/general/swag). - -Ci-dessous, vous trouverez un exemple, exposant Dockge. ::alert{type="info"} 🎯 __Objectifs :__ @@ -19,13 +16,15 @@ Ci-dessous, vous trouverez un exemple, exposant Dockge. - Exposer Dockge :: -::alert{type="info" icon="exclamation-circle"} -:::list{type="info"} -- Ce tutoriel part du principe que vous avez un nom de domaine qui pointe vers votre serveur, et que votre box a une règle NAT qui redirige le port `443` vers l'adresse IP et le port `443` de votre serveur. Le nom de domaine d'exemple sera `mondomaine.fr`. +[Swag](https://docs.linuxserver.io/general/swag/) est le noyau de ce homelab. C'est un reverse proxy puissant qui permet d'exposer des services sur le net via un ou des noms de domaines, en se chargeant de l'émission des certificats SSL (pour garder des connexions chiffrées), du routage des requêtes et de la sécurisation des accès (par authent HTTP ou par SSO comme Authelia ou Authentik). Toute la doc nécessaire ce [situe ici](https://docs.linuxserver.io/general/swag). + +::alert{type="warning"} +:::list{type="warning"} +- SWAG n'a pour utilité que l'exposition de vos services sur internet. C'est à dire, y accéder via une url publique du type `https://service.mondomaine.fr`. Si vous ne souhaitez pas exposer vos services et plutôt utiliser systématiquement un VPN pour vous connecter à vos services à distance, vous pouvez directement aller [par ici](/serveex/securite/wireguard). ::: :: -Nous installerons SWAG, ainsi que le mod dbip servant à bloquer les connexions en fonction de la géoloc, ainsi que le mod dashboard qui permet de piloter le fonctionnement de swag, fail2ban et la géoloc. +Ci-dessous, vous trouverez un exemple, exposant Dockge. Nous installerons SWAG, ainsi que le mod dbip servant à bloquer les connexions en fonction de la géoloc, ainsi que le mod dashboard qui permet de piloter le fonctionnement de swag, fail2ban et la géoloc. **Principe d'un reverse proxy et application dans notre cas :** @@ -34,6 +33,12 @@ Nous installerons SWAG, ainsi que le mod dbip servant à bloquer les connexions ## Installation --- +::alert{type="info" icon="exclamation-circle"} +:::list{type="info"} +- Ce tutoriel part du principe que vous avez un nom de domaine qui pointe vers votre serveur, et que votre box a une règle NAT qui redirige le port `443` vers l'adresse IP et le port `443` de votre serveur. Le nom de domaine d'exemple sera `mondomaine.fr`. +::: +:: + Plan des fichiers que nous allons modifier : ```console diff --git a/content/3.serveex/3.securite/1.wireguard.md b/content/3.serveex/3.securite/1.wireguard.md index a327461..3b6f9b8 100644 --- a/content/3.serveex/3.securite/1.wireguard.md +++ b/content/3.serveex/3.securite/1.wireguard.md @@ -16,7 +16,7 @@ main: ## Introduction --- -L'utilisation d'un VPN permet d'accéder à distance aux ressources locales du serveur sans les exposer sur internet. C'est notamment une manière propre de sécuriser l'accès à la console SSH, plutot que d'exposer le port sur internet. C'est permettre de pouvoir se connecter à son réseau où que l'on soit, de maniere sécuriser, et de faire dialoguer des machines qui sont sur des réseaux différents. +L'utilisation d'un VPN permet d'accéder à distance aux ressources locales du serveur sans les exposer sur internet. C'est notamment une manière propre de sécuriser l'accès à la console SSH, plutot que d'exposer le port sur internet. C'est pouvoir se connecter à son réseau où que l'on soit, de maniere sécurisée, et de faire dialoguer des machines qui sont sur des réseaux différents. Ici nous utiliserons [Wireguard](https://www.wireguard.com/), un serveur VPN sécurisé et très performant, à l'aide des conteneurs : @@ -28,7 +28,7 @@ Il existe aussi des clients Windows, MacOS, iOS et Android. Le principe est le suivant : - Sur internet, n'importe qui peut contacter n'importe quel box internet et donc essayer de contacter n'importe quel serveur exposé. -- Votre serveur est sur votre réseau local. Il est accessible depuis le réseau local mais pas depuis internet, mis à part les services exposés (comme nous l'avons fait avec Dockge). Pour accéder aux ressources non exposées, vous devez etre connecté sur le meme réseau que votre serveur et donc etre chez vous. De plus, vous devez laisser ouvert les ports utilisés par vos services à travers le pare feu de votre serveur. +- Votre serveur est sur votre réseau local. Il est accessible depuis le réseau local mais pas depuis internet, mis à part les services exposés (comme nous l'avons fait avec Dockge). Pour accéder aux ressources non exposées, vous devez être connecté sur le meme réseau que votre serveur et donc etre chez vous. De plus, vous devez laisser ouvert les ports utilisés par vos services à travers le pare feu de votre serveur. - Nous souhaitons ici au contraire, depuis n'importe où, pouvoir accéder de maniere securisée aux services non exposés sur internet du serveur, comme la console SSH qui permet de se connecter à la machine par exemple. - Nous souhaitons aussi accéder aux services d'autres serveurs, et par exemple relier de maniere sécurisée deux instances de Dockge pour tout controler depuis la meme interface.