From edfc4480c37478a02ea6af1685a7dff8b9c6f3a1 Mon Sep 17 00:00:00 2001 From: Djeex Date: Wed, 13 Nov 2024 19:42:08 +0000 Subject: [PATCH] All pages --- assets/css/extra.css | 33 +- content/0.index.md | 30 +- content/1.apropos/1.bienvenue.md | 40 + content/1.apropos/_dir.yml | 3 + content/1.serveex/2.project-structure.md | 21 - content/1.serveex/3.writing-pages.md | 41 -- content/1.serveex/4.configuration.md | 149 ---- content/2. generalites/1.nat.md | 66 ++ content/2. generalites/2.dns.md | 67 ++ content/2. generalites/3.samba.md | 230 ++++++ content/2. generalites/_dir.yml | 2 + content/2.api/1.components.md | 693 ------------------ content/2.api/2.composables.md | 88 --- content/2.api/3.layouts.md | 43 -- content/2.api/_dir.yml | 2 - .../1.introduction.md | 43 +- .../2.coeur/1.installation.md | 8 +- .../2.coeur/2.docker.md | 1 + .../2.coeur/3.swag.md | 6 +- .../{1.serveex => 3.serveex}/2.coeur/_dir.yml | 0 .../3.securite/1.wireguard.md | 9 +- content/3.serveex/3.securite/2.authentik.md | 564 ++++++++++++++ content/3.serveex/3.securite/3.cloudflare.md | 273 +++++++ .../3.securite/_dir.yml | 0 .../3.serveex/4.monitoring/1.uptime-kuma.md | 192 +++++ content/3.serveex/4.monitoring/2.dozzle.md | 169 +++++ .../4.monitoring/_dir.yml | 0 content/3.serveex/5.media/1.plex.md | 309 ++++++++ content/3.serveex/5.media/2.qbittorrent.md | 303 ++++++++ .../{1.serveex => 3.serveex}/5.media/_dir.yml | 0 content/3.serveex/6.cloud/1.immich.md | 172 +++++ content/3.serveex/6.cloud/2.nextcloud.md | 195 +++++ .../{1.serveex => 3.serveex}/6.cloud/_dir.yml | 0 .../3.serveex/7.development/1.code-server.md | 223 ++++++ content/3.serveex/7.development/2.gitea.md | 199 +++++ content/3.serveex/7.development/3.it-tools.md | 161 ++++ .../7.development/_dir.yml | 0 content/3.serveex/8.apps/1.file-browser.md | 156 ++++ content/3.serveex/8.apps/2.adguard.md | 294 ++++++++ content/3.serveex/8.apps/3.vaultwarden.md | 236 ++++++ .../{1.serveex => 3.serveex}/8.apps/_dir.yml | 0 content/{1.serveex => 3.serveex}/_dir.yml | 2 +- public/img/global/dns.svg | 13 + public/img/global/lab.svg | 13 + public/img/global/nat.svg | 13 + public/img/global/smb.svg | 13 + public/img/global/ssh.svg | 13 + 47 files changed, 3981 insertions(+), 1107 deletions(-) create mode 100644 content/1.apropos/1.bienvenue.md create mode 100644 content/1.apropos/_dir.yml delete mode 100644 content/1.serveex/2.project-structure.md delete mode 100644 content/1.serveex/3.writing-pages.md delete mode 100644 content/1.serveex/4.configuration.md create mode 100644 content/2. generalites/1.nat.md create mode 100644 content/2. generalites/2.dns.md create mode 100644 content/2. generalites/3.samba.md create mode 100644 content/2. generalites/_dir.yml delete mode 100644 content/2.api/1.components.md delete mode 100644 content/2.api/2.composables.md delete mode 100644 content/2.api/3.layouts.md delete mode 100644 content/2.api/_dir.yml rename content/{1.serveex => 3.serveex}/1.introduction.md (76%) rename content/{1.serveex => 3.serveex}/2.coeur/1.installation.md (91%) rename content/{1.serveex => 3.serveex}/2.coeur/2.docker.md (99%) rename content/{1.serveex => 3.serveex}/2.coeur/3.swag.md (96%) rename content/{1.serveex => 3.serveex}/2.coeur/_dir.yml (100%) rename content/{1.serveex => 3.serveex}/3.securite/1.wireguard.md (97%) create mode 100644 content/3.serveex/3.securite/2.authentik.md create mode 100644 content/3.serveex/3.securite/3.cloudflare.md rename content/{1.serveex => 3.serveex}/3.securite/_dir.yml (100%) create mode 100644 content/3.serveex/4.monitoring/1.uptime-kuma.md create mode 100644 content/3.serveex/4.monitoring/2.dozzle.md rename content/{1.serveex => 3.serveex}/4.monitoring/_dir.yml (100%) create mode 100644 content/3.serveex/5.media/1.plex.md create mode 100644 content/3.serveex/5.media/2.qbittorrent.md rename content/{1.serveex => 3.serveex}/5.media/_dir.yml (100%) create mode 100644 content/3.serveex/6.cloud/1.immich.md create mode 100644 content/3.serveex/6.cloud/2.nextcloud.md rename content/{1.serveex => 3.serveex}/6.cloud/_dir.yml (100%) create mode 100644 content/3.serveex/7.development/1.code-server.md create mode 100644 content/3.serveex/7.development/2.gitea.md create mode 100644 content/3.serveex/7.development/3.it-tools.md rename content/{1.serveex => 3.serveex}/7.development/_dir.yml (100%) create mode 100644 content/3.serveex/8.apps/1.file-browser.md create mode 100644 content/3.serveex/8.apps/2.adguard.md create mode 100644 content/3.serveex/8.apps/3.vaultwarden.md rename content/{1.serveex => 3.serveex}/8.apps/_dir.yml (100%) rename content/{1.serveex => 3.serveex}/_dir.yml (66%) create mode 100644 public/img/global/dns.svg create mode 100644 public/img/global/lab.svg create mode 100644 public/img/global/nat.svg create mode 100644 public/img/global/smb.svg create mode 100644 public/img/global/ssh.svg diff --git a/assets/css/extra.css b/assets/css/extra.css index cb026e7..fd9c1d6 100644 --- a/assets/css/extra.css +++ b/assets/css/extra.css @@ -10,13 +10,32 @@ --shiki-dark-bg: #00000000 !important; --shiki-default-bg: #00000000 !important; } - -.alert.success[data-v-756a9723] .alert-content code { - color: var(--elements-state-success-color-primary) !important; +.dark .shiki { background-color: #00000000 !important; } -.alert.info[data-v-756a9723] .alert-content code { - color: var(--elements-state-success-color-primary) !important; - background-color: #00000000 !important; -} \ No newline at end of file +html .dark .shiki span, html.dark .shiki span { + background-color: var(--prose-code-block-backgroundColor) !important; + } + + +.alert.success[data-v-756a9723] .prose-code[data-v-9e7ad4dd], .alert.success[data-v-756a9723] .shiki span { + background-color: var(--elements-state-success-backgroundColor-secondary) !important; + border-color: #00361f !important; +} + +.alert.info[data-v-756a9723] .prose-code[data-v-9e7ad4dd], .alert.info[data-v-756a9723] .shiki span { + background-color: var(--elements-state-info-backgroundColor-secondary) !important; + border-color: #00304a !important; +} + +.alert.warning[data-v-756a9723] .prose-code[data-v-9e7ad4dd], .alert.warning[data-v-756a9723] .shiki span { + background-color: var(--elements-state-warning-backgroundColor-secondary) !important; + border-color: #382d00 !important; +} + +.alert.danger[data-v-756a9723] .prose-code[data-v-9e7ad4dd], .alert.danger[data-v-756a9723] .shiki span { + background-color: var(--elements-danger-info-backgroundColor-secondary) !important; + border-color: #00304a !important; +} + diff --git a/content/0.index.md b/content/0.index.md index e8f36b9..6685229 100644 --- a/content/0.index.md +++ b/content/0.index.md @@ -12,7 +12,7 @@ main: --- cta: - Accéder à la doc - - /serveex/introduction + - /a-propos secondary: - Discord → - https://discord.gg/jvhardware @@ -48,32 +48,4 @@ Docudjeex est le site regroupant la documentation de mes serveurs, pensé à l'o :: :: -::card-grid -#title -Documentation disponible ou en cours - -#root -:ellipsis{left=0px width=40rem top=10rem blur=140px} - -#default - ::card{icon=noto:microscope} - #title - Serveex - #description - Votre homelab à déployer pas à pas - :: - - ::card{icon=noto:computer-disk} - #title - Stockeex - #description - Votre NAS maison à créer chez vous pour stocker vos données et media (à venir) - :: -:: - -## A propos de la documentation - -La documentation fournie ici est distribuée à titre expérimentale, dans un esprit de partage d'expérience. Elle n'est en aucun cas faite pour construire une architecture de production ou pour de l'industrialisation. Il est possible qu'elle contienne des erreurs et/ou des approximations. - -Evidemment l'usage de cette documentation doit strictement se limiter au cadre légal. diff --git a/content/1.apropos/1.bienvenue.md b/content/1.apropos/1.bienvenue.md new file mode 100644 index 0000000..d9144dd --- /dev/null +++ b/content/1.apropos/1.bienvenue.md @@ -0,0 +1,40 @@ +--- +title: A propos +main: + fluid: false +--- +:ellipsis{right=0px width=75% blur=150px} + +# Bienvenue sur Docudjeex + +Docudjeex est le site regroupant la documentation de mes serveurs, pensé à l'origine pour retrouver facilement mes configurations et commandes. Mon infrastructure est construite autour du duo Debian 12 et docker, pour plus de simplicité à l'export et au déploiement. + +## A propos de la documentation + +La documentation fournie ici est distribuée à titre expérimentale, dans un esprit de partage d'expérience. Elle n'est en aucun cas faite pour construire une architecture de production ou pour de l'industrialisation. Il est possible qu'elle contienne des erreurs et/ou des approximations. + +Evidemment l'usage de cette documentation doit strictement se limiter au cadre légal. + +::card-grid +#title +Documentation disponible ou en cours + +#root +:ellipsis{left=0px width=40rem top=10rem blur=140px} + +#default + ::card{icon=noto:microscope} + #title + Serveex + #description + [Votre homelab à déployer pas à pas](/serveex/introduction) + :: + + ::card{icon=noto:computer-disk} + #title + Stockeex + #description + *(à venir)* Votre NAS maison à créer chez vous pour stocker vos données et media + :: +:: + diff --git a/content/1.apropos/_dir.yml b/content/1.apropos/_dir.yml new file mode 100644 index 0000000..d04579b --- /dev/null +++ b/content/1.apropos/_dir.yml @@ -0,0 +1,3 @@ +icon: noto:star +navigation.title: Bienvenue +navigation.redirect: /apropos/bienvenue diff --git a/content/1.serveex/2.project-structure.md b/content/1.serveex/2.project-structure.md deleted file mode 100644 index 1446a52..0000000 --- a/content/1.serveex/2.project-structure.md +++ /dev/null @@ -1,21 +0,0 @@ -# Project Structure - -Docus is a Nuxt theme that provides a ready-to-use documentation website, if you are familiar with Nuxt, you will feel right at home. - -## Directory Structure - -This is the minimal directory structure to get an up and running Docus website. - -```bash -content/ - index.md -app.config.ts -nuxt.config.ts -``` - -The `content/` directory is where you [write Markdown pages](/introduction/writing-pages). - -The `app.config.ts` is where you [configure Docus](/introduction/configuration) to fit your branding and design. - - -The `nuxt.config.ts` is your [Nuxt configuration](https://nuxt.com/docs/getting-started/configuration). diff --git a/content/1.serveex/3.writing-pages.md b/content/1.serveex/3.writing-pages.md deleted file mode 100644 index 1770ac8..0000000 --- a/content/1.serveex/3.writing-pages.md +++ /dev/null @@ -1,41 +0,0 @@ -# Writing Pages - -Docus is made to let you write all your content in Markdown and Vue components with the MDC syntax. - -Each Markdown page in the `content/` folder will be mapped to a route. - -| File | Generated route | -| ------------------------ | :-------------------- | -| `index.md` | `/` | -| `about.md` | `/about` | -| `blog/index.md` | `/blog` | -| `blog/hello.md` | `/blog/hello` | -| `1.guide/2.installation` | `/guide/installation` | - -## Frontmatter - -Docus supports multiple Front-matter attributes for pages. - -```md [index.md] ---- -title: "Get Started" -description: "Let's learn how to use my amazing module." ---- -``` - -| **Key** | **Type** | **Default** | **Description** | -| ----------------------- | --------- | ----------- | ------------------------------------------------------------- | -| `layout` | `string` | `default` | Use any layout name like you would in `definePageMeta()` | -| `title` | `string` | | Defines the page title and H1 in docs pages | -| `description` | `string` | | Defines the page description and excerpt in docs pages | -| `redirect` | `string` | | A route path to redirect | -| `image` | `object` | | OpenGraph cover image | -| **Docs layout options** | | | | -| `aside` | `boolean` | | Toggles the visibility of aside navigation | -| `toc` | `boolean` | | Toggles the visibility of table of contents | -| `header` | `boolean` | | Toggles the visibility of the page header | -| `bottom` | `boolean` | | Toggles the visibility of page bottom section | -| **Navigation options** | | | | -| `navigation` | `boolean` | | Toggles the visibility of the page or directory in navigation | -| `navigation.title` | `string` | | Changes the name of the page or directory in navigation | -| `navigation.icon` | `string` | | Changes the icon of the page or directory in navigation | diff --git a/content/1.serveex/4.configuration.md b/content/1.serveex/4.configuration.md deleted file mode 100644 index d7d8e1a..0000000 --- a/content/1.serveex/4.configuration.md +++ /dev/null @@ -1,149 +0,0 @@ -# Configuration - -Learn how to configure Docus. - -::code-group - -```ts [Minimal app.config.ts] -export default defineAppConfig({ - docus: { - title: 'Docus', - description: 'My Docus Project', - url: 'http://docus.dev' - } -}) -``` - -```ts [Complete app.config.ts] -export default defineAppConfig({ - docus: { - title: 'Docus', - description: 'My Docus Project', - url: 'http://docus.dev', - image: '/social-card-preview.png', - socials: { - twitter: '@nuxt_js', - github: 'nuxt-themes/docus', - }, - github: { - root: 'content', - edit: true, - contributors: false - }, - layout: 'default', - aside: { - level: 1, - filter: [], - }, - header: { - title: false, - logo: true, - showLinkIcon: false - }, - footer: { - credits: { - icon: 'IconDocus', - text: 'Powered by Docus', - href: 'https://docus.dev', - }, - textLinks: [ - { - text: 'Nuxt', - href: 'https://nuxt.com', - target: '_blank', - rel: 'noopener' - } - ], - iconLinks: [ - { - label: 'NuxtJS', - href: 'https://nuxtjs.org', - component: 'IconNuxtLabs', - }, - { - label: 'Vue Telescope', - href: 'https://vuetelescope.com', - component: 'IconVueTelescope', - }, - ], - } - } -}) -``` - -:: - -| **Key** | **Type** | **Default** | **Description** | -| ---------------------------- | ---------- | --------------------- | ---------------------------------------------------------------------------------------------------- | -| `title` | `string` | Docus | Website title | -| `titleTemplate` | `string` | Docus | Website title template | -| `description` | `string` | My Docus Project | Website description | -| `url` | `string` | | Website URL | -| `layout` | `string` | default | Fallback layout to use (supports `default` or `page`) | -| **Socials** | | | | -| `socials` | `object` | `{}` | Social links | -| `socials.github` | `string` | | The repository to use on GitHub links | -| `socials.twitter` | `string` | | The account to use on Twitter links | -| `socials.youtube` | `string` | | The channel to use on Youtube links | -| `socials.instagram` | `string` | | The account to use on Instagram links | -| `socials.facebook` | `string` | | The account to use on Facebook links | -| `socials.medium` | `string` | | The account to use on Medium links | -| `socials.[social]` | `object` | | Override social or display custom one | -| `socials.[social].label` | `string` | | A label to use for the social | -| `socials.[social].icon` | `string` | | A icon to use for the social | -| `socials.[social].href` | `string` | | A link to use for the social | -| `socials.[social].rel` | `string` | `noopener noreferrer` | A space-separated list of [link types](https://developer.mozilla.org/en-US/docs/Web/HTML/Link_types) | -| **Header** | | | | -| `header` | `object` | | Header configuration | -| `header.logo` | `boolean` | | Whether or not to use `Logo.vue` as the header logo | -| `header.title` | `string` | | If set to a string, will be used in the header | -| `header.showLinkIcon` | `boolean` | | If set to `true` links icons will show in the header | -| `header.exclude` | `string[]` | | An array of path to exclude out from the header navigation | -| `header.fluid` | `boolean` | `true` | Make header `Container` fluid | -| **Main** | | | | -| `main` | `object` | | Main configuration | -| `main.fluid` | `boolean` | `true` | Make main content `Container` fluid | -| `main.padded` | `boolean` | `true` | Make main content `Container` padded | -| **Aside** | | | | -| `aside` | `object` | | Aside configuration | -| `aside.level` | `string` | 0 | Aside base level of nesting | -| `aside.collapsed` | `boolean` | | Will be used as default value for collapsible navigation categories | -| `aside.exclude` | `string[]` | | An array of path to exclude out from the aside navigation | -| **Footer** | | | | -| `footer` | `object` | | Footer configuration | -| `footer.credits` | `object` | | An object defining the bottom left credits | -| `footer.credits.icon` | `object` | | The icon to use for the credits | -| `footer.credits.text` | `object` | | The text to use for the credits | -| `footer.textLinks` | `array` | `[]` | An array of texts to display at the center of footer | -| `footer.textLinks[0].text` | `string` | | The text to display | -| `footer.textLinks[0].href` | `string` | | A link to use for the text | -| `footer.textLinks[0].target` | `string` | `_self` | Where to display the linked URL, as the name for a browsing context | -| `footer.textLinks[0].rel` | `string` | `noopener noreferrer` | A space-separated list of [link types](https://developer.mozilla.org/en-US/docs/Web/HTML/Link_types) | -| `footer.iconLinks` | `array` | `[]` | An array of icons to display in the footer | -| `footer.iconLinks[0].label` | `string` | | A label to use for the icon | -| `footer.iconLinks[0].href` | `string` | | A link to use for the icon | -| `footer.iconLinks[0].icon` | `string` | | The icon to use (can be a component name) | -| `footer.iconLinks[0].rel` | `string` | `noopener noreferrer` | A space-separated list of [link types](https://developer.mozilla.org/en-US/docs/Web/HTML/Link_types) | -| `footer.fluid` | `boolean` | `true` | Make footer `Container` fluid | -| **GitHub** | | | | -| `github` | `object` | `false` | GitHub integration configuration | -| `github.dir` | `string` | | Directory containing the files to be edited | -| `github.branch` | `string` | | Branch to start editing | -| `github.repo` | `string` | | Name of the GitHub repo to edit files | -| `github.owner` | `string` | | Owner of the repo | -| `github.edit` | `boolean` | | Toggle "Edit this page on Github" component on documentation pages | -**Search** |||| -| `fuse` | `object` || useFuse [options](https://vueuse.org/integrations/useFuse/) | - - -## Customizing the logo - -To update the logo in the header, create a component in `components/Logo.vue` with your own logo. - -In this example, the image is located at `/public/img`. - -```vue [components/Logo.vue] - -``` diff --git a/content/2. generalites/1.nat.md b/content/2. generalites/1.nat.md new file mode 100644 index 0000000..2c963a4 --- /dev/null +++ b/content/2. generalites/1.nat.md @@ -0,0 +1,66 @@ +--- +navigation: true +title: NAT & DHCP +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Routeur et NAT +::alert{type="info"} +__Objectifs :__ +- Comprendre le principe de la redirection de port +- Savoir configurer le NAT de son routeur +- Savoir émettre des baux DHCP (IP fixes) +:: + +![picture](/img/global/nat.svg) + +## Qu'est-ce qu'un "port" ? +--- +Les ports sont différents canaux par lesquels votre routeur envoie et reçoit des données, ce qui permet d'utiliser plusieurs services en meme temps. Lorsqu'il reçoit une donnée via un port, otre routeur transmet ensuite les données à la machine qui : +- soit a émis la requête de départ +- soit est configurée pour recevoir les données reçues par un port spécifique du routeur + +Votre routeur dispose de plus de 65 000 ports à utiliser. + +Certains programmes et applications sont conçus pour utiliser des ports spécifiques. Par exemple, lorsque votre réseau envoie des données à partir d'une page HTML, le routeur les recevra via le port numéro 80 (non sécurisé) ou 443 (sécurisé via SSL). + +Le routeur sert donc de plateforme d'aiguillage des données entre internet et votre machine. + +## La redirection de port +--- +Rediriger un `port`, c'est émettre une règle qui spécifie que telle `source` peut envoyer des données à tel `port` de votre routeur, qui redirigera les données sur tel `port` de telle `machine`. Les `sources` et la `machine de destination` sont identifiées par leur `adresse IP`. + +| Variable | Description | exemple | +|--------------------------|----------------------------------------------------------|-------------------------| +| `machine source` | IP de la machine source (sur internet) | `All`
`123.45.67.89` | +| `port source` | Port d'arrivée sur le routeur | `443` | +| `port de destination` | Port d'arrivée sur la machine de destination | `3000` | +| `machine de destination` | IP de la machine de destination (sur votre réseau local) | `192.168.1.50` | + +Selon ce tableau, si on enlève le `All` et que l'on garde l'ip `123.45.67.89` en provenance d'internet, tout le traffic envoyé depuis cette IP sur le port `443` du routeur sera redirigé vers le port `3000` de l'IP locale `192.168.1.50`. + +Si on enlève l'IP de l'exemple et qu'on laisse le `All`, tout le traffic d'internet envoyé au port `443` du routeur sera redirigé vers le port `3000` de l'IP locale `192.168.1.50`. + +C'est utile si par exemple vous avez un serveur qui a un service qui nécessite d'etre accessible par internet. Par exemple, un site web. Le web utilise le port `80` (non sécurisé) et le port 443 (sécurisé par certificat SSL) pour communiquer. Ainsi, si je veux que mon site internet soit accessible, je vais faire en sorte que lorsqu'on tape le nom de domaine de mon site, le routeur redirige bien vers mon serveur local (avec l'exemple de l'IP locale du tableau). Par exemple, imaginons que mon service est sur le port `3000` de mon routeur (accessible en local via `http://192.168.1.50:3000`), je vais donc rediriger comme dans l'exemple toutes les sources (All) qui passent par le port `443` du routeur vers le port `3000` de mon serveur local. + +::alert{type="warning"} +:::list{type="warning"} +- __Attention :__ Si vous avez plusieurs services à rendre accessible, avec par exemple `sousdomaine1.mondomaine.fr` et `sousdomaine2.mondomaine.fr`, votre routeur ne peut pas rediriger vers plusieurs port selon la requête. Vous devrez utiliser un [Reverse Proxy](../../serveex/coeur/swag) qui selon la requete redirigera vers le bon service de votre serveur. +::: +:: + +## Le DHCP +--- +A chaque fois que vous connectez un appareil sur votre réseau local, votre routeur lui attribue une adresse IP via les règles DHCP. Celle-ci est aléatoire selon des règles prédéfinies. A chaque redémarrage de l'appareil, l'IP peut changer. C'est embetant si vous exposez un service et que vous avez une redirection de port dans votre routeur car si l'IP change, la redirection enverra les données dans le vide. Le serveur DHCP de votre box permet d'attribuer une IP fixe à un appareil. + +Chaque appareil a une adresse physique dite "adressse MAC". Pour fixer l'IP, vous devez connaitre l'adresse physique de votre appareil (visible dans votre routeur si votre machine est connectée au réseau), et lui attribuer une adresse IP fixe, ce qu'on appel un "bail DHCP fixe". + +Ainsi, l'IP de votre machine ne changera jamais et la redirection de port sera toujours effective. + +| Variable | Description | Exemple | +|---------------|--------------------------------|---------------------| +| `IP` | IP locale fixe à attribuer | `192.168.1.50` | +| `Adresse Mac` | Adresse physique de la machine | `5E:FF:56:A2:AF:15` | + +Pour plus d'information sur ces sujets, consultez la documentation de votre routeur. \ No newline at end of file diff --git a/content/2. generalites/2.dns.md b/content/2. generalites/2.dns.md new file mode 100644 index 0000000..cb7d4c5 --- /dev/null +++ b/content/2. generalites/2.dns.md @@ -0,0 +1,67 @@ +--- +navigation: true +title: Zone DNS +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Noms de domaines et zone DNS + +::alert{type="info"} +__Objectifs :__ +- Comprendre le fonctionnement d'un serveur DNS +- Comprendre comment modifier une zone DNS +:: + +## Introduction +--- +Lorsque vous naviguez sur un site, ou une application, des requêtes sont émises vers un ou des domaines afin d'afficher le contenu de votre page. Votre appareil ne connait pas les adresses IP de ces serveurs à joindre. Pour les connaitre, il va contacter un _serveur de nom_ (Domain Name Server) qui lui va lui répondre avec l'adresse IP la plus à jour pour le domaine de la requête. + +La zone DNS, c'est une sorte de registre avec des panneaux qui redirige vos requêtes vers la bonne destination. + +![Picture](/img/global/dns.svg) + +## La zone DNS +--- +Lorsque vous réservez un domaine chez votre registrar (cloudflare, ovh...), ce registrar vous attribue une zone DNS que vous pouvez personnaliser. + +Vous pouvez rentrer des _enregistrements_ dans cette zone DNS qui permettront d'orienter les requêtes au bon endroit. Vous trouverez [plus d'information ici](https://help.ovhcloud.com/csm/fr-dns-servers-general-information?id=kb_article_view&sysparm_article=KB0051661). + +Exemple d'une zone DNS du domaine mondomaine.fr: + +``` +@ IN SOA ns1.dns.me. dns.net. (2024051800 86400 3600 3600000 60) + IN NS ns1.dns.me. + IN NS ns2.dns.me. + IN A 203.0.113.0 +www IN CNAME mondomaine.fr +sousdomaine IN CNAME mondomaine.fr +``` + +Dans cet exemple : + +- `$TTL 3600` indique aux différents serveurs de noms de la planète que les enregistrement sont valides 1h (et qu'au-delà il faudra rev"rifier). +- `IN SOA ns1.dns.me. dns.net. (2024051800 86400 3600 3600000 60)` indique que `ns1.dns.me` est le serveur dns principal, et les nombres sont des indications de rafraichissement. +- `IN NS ns1.dns.me.` et `IN NS ns2.dns.me.` indique que `ns1.dns.me` et `ns2.dns.me` sont des serveurs de noms pour ce domaine. +- `IN A 203.0.113.0` signifie que `mondomaine.fr` pointe vers l'IP `203.0.113.0` +- `sousdomaine IN CNAME mondomaine.fr` signifie que `sousdomaine.mondomaine.fr` pointe vers `mondomaine.fr` et donc vers l'IP `203.0.113.0`. + +Ainsi, si vous choisissez de pointer le domaine `mondomaine.fr` vers votre serveur, vous pouvez le faire en ajoutant un enregistrement `A` pointant vers l'IP publique de votre serveur. + +::alert{type="warning"} +:::list{type="warning"} +- __Attention,__ Si votre serveur est chez vous : +::: +- l'IP publique est celle de votre box internet. Assurez-vous auprès de votre opérateur que cette IP est fixe ou configurez un [DDNS](https://aws.amazon.com/fr/what-is/dynamic-dns/). +- assurez-vous d'avoir [redirigé le port 443 vers le port d'écoute de votre serveur](/generalites/nat). +:: + +Et si vous ajoutez un sous-domaine qui doit pointer vers votre serveur, vous pouvez utiliser un enregistrement `CNAME` vers `mondomaine.fr`. + +::alert{type="info"} +:::list{type="info"} +- __Pourquoi ne pas utiliser un enregistrement `A` pour le sous-domaine ?__ Si votre sous domaine pointe sur le meme serveur que `mondomaine.fr`, il vaut mieux utiliser un enregistrement `CNAME` car en cas de changement d'IP du serveur, il n'y aura aucune autre manipulation à faire. +::: +:: + +La plupart des registrar proposent des interfaces plus lisbles pour modifier ces informations. Renseignez-vous auprès de la documentation de votre registrar. diff --git a/content/2. generalites/3.samba.md b/content/2. generalites/3.samba.md new file mode 100644 index 0000000..87d8665 --- /dev/null +++ b/content/2. generalites/3.samba.md @@ -0,0 +1,230 @@ +--- +navigation: true +title: Samba +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Samba + +Samba est un protocole permettant d'accèder à un dossier situé sur un disque réseau. Il peut être configuré sous Mac, Windows ou Linux. + +De nombreux tutorials existent pour configurer Samba sous windows ou sur un NAS type Synology, ici nous nous concentrons sur Debian. + +::alert{type="info"} +__Objectifs :__ +- Créer un dossier réseau sur une machine distante +- Accéder au dossier réseau sur notre serveur +:: + +![samba](/img/global/smb.svg) + +## Partager un dossier réseau +--- +::alert{type="info"} +:::list{type="info"} +- Ici, nous allons partager le dossier `/video` d'une machine distant que nous appelerons `machine-distante`. Nous accéderons à ce dossier par la machine nommée `machine-locale`. L'utilisateur de connexion au disque réseau sera `sambauser`. +::: +:: + + +### Installer le serveur samba + +```shell +sudo apt update && sudo apt upgrade +sudo apt install samba smbclient cifs-utils +``` + +### Créer le dossier `/video` + +```shell +sudo mkdir /video +``` + +### Configuration du partage + +Ensuite nous allons éditer le fichier `/etc/samba/smb.conf` + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vim /etc/samba/smb.conf +``` + +Localisez la variable `workgroup` puis passez en mode modification en appuyant sur `i` et nommez votre worgroup, par exemple `::::properties workgroup = WORKGROUP` + +Puis allez à la fin du fichier et collez la configuration suivante + +```properties +[video] + comment = Dossier video + path = /video + writable = yes + guest ok = no + valid users = @smbshare + force create mode = 770 + force directory mode = 770 + inherit permissions = yes +``` +Appuyez sur `Echap` pour quitter le mode notification puis tapez `:x` et appuyez sur `Entrée` pour sauvegarder et quitter. + +### Créer un utilisateur et un groupe pour Samba + +Comme nous avons configfuré un partage sécurisé, nous allons devoir créer un utilisateur et un groupe pour pouvoir y accéder à distance. + +Creez le groupe. +```shell +sudo groupadd smbshare +``` + +Nous allons maintenant permettre au groupe d'avoir le controle sur le dossier `/video`. + +```shell +sudo chgrp -R smbshare /video +``` + +Et maintenant nous allons donner les permissions nécessaires aux dossiers et fichier hérités. + +```shell +sudo chmod 2775 /public +``` + +A présent nous allons ajouter un utilisateur nologin c'est à dire que cet utilisateur ne pourra pas se connecter sur le serveur pour faire des opérations, mais pourra tout de meme se connecter au service samba. + +```shell +sudo useradd -M -s /sbin/nologin sambauser +``` + +Puis nous ajoutons l'utilisateur au groupe `sambashare` que nous avons créé précédemment. + + +```shell +sudo usermod -aG smbshare sambauser +``` +Et nous allons configurer un mot de passe. + +```shell +sudo smbpasswd -a sambauser +``` +Et enfin nous allons activer le compte que nous venons de créer. + +```shell +sudo smbpasswd -e sambauser +``` +::alert{type="warning"} +:::list{type="warning"} +- __Attention :__ Si vous utilisez un pare-feu, comme ufw, n'oubliez pas d'autoriser les IP des machines qui accéderont à votre dossier partagé : +::: + ```shell + sudo ufw allow from ipdelamachine to any app Samba +:: + + +## Accéder à un dossier partagé +--- +::alert{type="info"} +:::list{type="info"} +- A présent, nous sommes sur votre `machine-locale` qui nécessite d'accéder au dossier partagé `/video` présent sur la `machine-distante`. +::: +:: + +### Installer les package nécessaires + +```shell +sudo apt update && sudo apt upgrade +sudo apt install cifs-utils +``` +### Créer le dossier de destination + +Nous allons créer un dossier sur notre serveur sur lequel sera monté le dossier partagé de notre `machine-distante. C'est à dire que dans ce dossier nous retrouverons le contenu du dossier partagé de notre `machine-distante`. Ici nous appellerons ce dossier `/mnt/video`. + +```shell +sudo mkdir /mnt/video +``` + +### Préparer le fichier .credentials + +Afin de ne pas avoir systématiquement à rentrer notre utilisateur et mot de passe, nous allons créer un fichier .credentials` stockant ces informations. + +Nous allons le créer dans le dossier `/smb`. + +```shell +sudo mkdir /smb +sudo vi /smb/.credentials +``` +Passez en mode modification en appuyant sur `i` et configurez comme suit : + +```properties +username=smbuser +password=motdepasse +``` + +- `smbuser` : L'utilisateur que nous avons configuré sur la `machine-distante` +- `motdepasse` : Le mot de passe que nous avons configuré sur la `machine-distante` + +Appuyez sur `Echap` afin de quitter le mode modification, puis tapez `:x` et appuyez sur `Entrée` pour sauvegarder et quitter. + +Nous allons modifier les permissions du dossier afin que seul le propriétaire puis lire et écrire dans ce fichier. + +```shell +sudo chmod 600 /smb/.credentials +``` + +### Monter le dossier partager + +A présent nous allons monter le dossier. + +```shell +sudo mount -t cifs -a credentials=/smb/.credentials //ip-machine-distante/video /mnt/video +``` + +Remplacez `ip-machine-distante` par l'adresse IP de votre `machine-distante` + +Vérifiez que cela a fonctionné en tapant : + +```shell +sudo mount -t cifs +``` +Vous verrez différentes informations qui confirmerons le succès du montage. + +Et voilà, à présent vous accédez au dossier /video de `votre machine-distante`, depuis votre `machine-locale` ! + +### Automatiser le montage au boot + +Par défaut, les dossiers pattagés ne sont pas connectés automatiquement au redémarrage. Pour autoamtiser cet aspect, nous allons modifier le fichier `/etc/fstab`. + +D'abord, sauvegardons notre fichier `fstab`. + +```shell +sudo cp /etc/fstab /etc/fstab.bak +``` + +Puis nous allons ajouter une ligne à la fin du fichier comportant les informations de montages dans le fichier `fstab`. + +```shell +sudo echo //ip-machine-distante/video /mnt/video cifs _netdev,nofail,credentials=/smb/.credentials,x-systemd.automount,x-systemd.device-timeout=15 0 0 >> /etc/fstab +``` + +Redémarrez. + +```shell +sudo reboot +``` + +Une fois redémarré, vérifiez que le montage est correct + +```shell +sudo mount -t cifs +``` + +Et voilà ! + +### Démonter le dossier partagé + +```shell +sudo umount -t cifs /mnt/video +``` \ No newline at end of file diff --git a/content/2. generalites/_dir.yml b/content/2. generalites/_dir.yml new file mode 100644 index 0000000..891970f --- /dev/null +++ b/content/2. generalites/_dir.yml @@ -0,0 +1,2 @@ +icon: noto:open-book +navigation.title: Généralités diff --git a/content/2.api/1.components.md b/content/2.api/1.components.md deleted file mode 100644 index 74b17d8..0000000 --- a/content/2.api/1.components.md +++ /dev/null @@ -1,693 +0,0 @@ -# Components - -Discover every component you can use in your content. - - -## `` - -::code-group - - ::code-block{label="Preview" preview} - ::alert{type="info" style="margin-top: 0;"} - Check out an **info** alert with `code` and a [link](/). - :: - - ::alert{type="success"} - Check out a **success** alert with `code` and a [link](/). - :: - - ::alert{type="warning"} - Check out a **warning** alert with `code` and a [link](/). - :: - - ::alert{type="danger" style="margin-bottom: 0;"} - Check out a **danger** alert with `code` and a [link](/). - :: - :: - - ```md [Code] - ::alert{type="info"} - Check out an **info** alert with `code` and a [link](/). - :: - - ::alert{type="success"} - Check out a **success** alert with `code` and a [link](/). - :: - - ::alert{type="warning"} - Check out a **warning** alert with `code` and a [link](/). - :: - - ::alert{type="danger"} - Check out a **danger** alert with `code` and a [link](/). - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/Alert.vue" ---- -:: - ---- - -## `` - -`` support same types as ``. - -::code-group - - ::code-block{label="Preview" preview} - ::div{style="display:flex; gap: 1rem;"} - :badge[v1.2] - - :badge[Deprecated]{type="warning"} - - ::badge{type="danger"} - Not found! - :: - :: - :: - - ```md [Code] - :badge[v1.2] - - :badge[Deprecated]{type="warning"} - - ::badge{type="danger"} - Not found! - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/Badge.vue" ---- -:: - ---- - -## `` - -::code-group - - ::code-block{label="Preview"} - ::block-hero - --- - cta: - - Get started - - /introduction/getting-started - secondary: - - Open on GitHub → - - https://github.com/nuxtlabs/docus - snippet: npx nuxi@latest init docus-app -t nuxtlabs/docus-starter - --- - #title - Document-driven framework - - #description - Docus reconciles content creators and developers by offering to both the best tools to create and scale content-based websites. - :: - :: - - ```md [Code] - ::block-hero - --- - cta: - - Get started - - /get-started - secondary: - - Open on GitHub → - - https://github.com/nuxtlabs/docus - snippet: npx nuxi@latest init docus-app -t nuxtlabs/docus-starter - --- - #title - Document-driven framework - - #description - Docus reconciles content creators and developers by offering to both the best tools to create and scale content-based websites. - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/BlockHero.vue" ---- -:: - ---- - -## `` -::code-group - - ::code-block{label="Preview" preview} - :button-link[Play on StackBlitz]{icon="IconStackBlitz" href="https://stackblitz.com/github/nuxtlabs/docus-starter" blank} - :: - - ```md [Code] - :button-link[Play on StackBlitz]{icon="IconStackBlitz" href="https://stackblitz.com/github/nuxtlabs/docus-starter" blank} - ``` - -:: - - - -::source-link ---- -source: "components/content/ButtonLink.vue" ---- -:: - ---- - -## `` - -`` support same types as ``. - -::code-group - - ::code-block{label="Preview"} - ::callout - #summary - This is a callout! Click me to open. - - #content - This is the content of the callout. - :: - - ::callout{type="warning"} - #summary - This is a callout! Click me to open. - - #content - This is the content of the callout. - :: - :: - - ```md [Code] - ::callout - #summary - This is a callout! Click me to open. - - #content - This is the content of the callout. - :: - - ::callout{type="warning"} - #summary - This is a callout! Click me to open. - - #content - This is the content of the callout. - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/Callout.vue" ---- -:: - ---- - -## `` - -::code-group - - ::code-block{label="Preview"} - ::card - --- - icon: logos:nuxt-icon - --- - #title - Nuxt Architecture. - #description - Based on **Nuxt 3** and **Nuxt Content**. :br - Use Nuxt to build a static site, or a serverless app. - :: - :: - - ```md [Code] - ::card{icon="logos:nuxt-icon"} - #title - Nuxt Architecture. - #description - Based on **Nuxt 3** and **Nuxt Content**. :br - Use Nuxt to build a static site, or a serverless app. - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/Card.vue" ---- -:: - ---- - -## `` - -::code-group - - ::code-block{label="Preview"} - ::card-grid - #title - What's included? - - #root - :ellipsis - - #default - ::card - #title - Nuxt Architecture. - #description - Harness the full power of Nuxt and the Nuxt ecosystem. - :: - ::card - #title - Vue Components. - #description - Use built-in components (or your own!) inside your content. - :: - ::card - #title - Write Markdown. - #description - Enjoy the ease and simplicity of Markdown and discover MDC syntax. - :: - :: - :: - - ```md [Code] - ::card-grid - #title - What's included - - #root - :ellipsis - - #default - ::card - #title - Nuxt Architecture. - #description - Harness the full power of Nuxt and the Nuxt ecosystem. - :: - ::card - #title - Vue Components. - #description - Use built-in components (or your own!) inside your content. - :: - ::card - #title - Write Markdown. - #description - Enjoy the ease and simplicity of Markdown and discover MDC syntax. - :: - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/CardGrid.vue" ---- -:: - ---- - -## `` - -This component uses `slots` to create a tab panel of your code examples or preview. - -::code-group - - ::code-block{label="Preview" preview} - ::code-group - ```bash [Yarn] - yarn add docus - ``` - - ```bash [NPM] - npm install docus - ``` - :: - :: - - ```md [Code] - ::code-group - ```bash [Yarn] - yarn add docus - ``` - ```bash [NPM] - npm install docus - ``` - :: - ``` - -:: - -::source-link ---- -source: "components/content/CodeGroup.vue" ---- -:: - ---- - -## `` - -To be used inside a `` component to display a preview of some rendered code. - -::code-group - -::code-block{label="Preview" preview} - ::badge - Hello World! - :: -:: - -```md [Code] -/* Added as a child of `` */ - -::code-block{label="Preview" preview} - ::badge - Hello World! - :: -:: -``` - -:: - - - -::source-link ---- -source: "components/content/CodeBlock.vue" ---- -:: - ---- - -## `` - - -::code-group - -::code-block{label="Preview" preview} - :copy-button{content="hey!"} -:: - -```md [Code] -:copy-button{content="hey!"} -``` - -:: - - - -::source-link ---- -source: "components/content/CopyButton.vue" ---- -:: - ---- - -## `` - -Icon component gives you access to all **100,000+** icons from [icones.js.org](https://icones.js.org). - -::code-group - - ::code-block{label="Preview" preview} - :icon{name="logos:nuxt-icon"} - :icon{name="logos:vue"} - :icon{name="logos:nuxt-icon"} - :: - - ```md [Code] - :icon{name="logos:nuxt-icon"} - :icon{name="logos:vue"} - :icon{name="logos:nuxt-icon"} - ``` - -:: - - - -::source-link ---- -source: "components/content/Icon.vue" ---- -:: - ---- - -## `` - -::code-group - - ::code-block{label="Preview" preview} - ::list{type="primary"} - - **Important** - - Always - :: - - ::list{type="success"} - - Amazing - - Congrats - :: - - ::list{type="info"} - - Do you know? - - You can also do this - :: - - ::list{type="warning"} - - Be careful - - Use with precautions - :: - - ::list{type="danger"} - - Drinking too much - - Driving drunk - :: - - :: - - ```md [Code] - ::list{type="primary"} - - **Important** - - Always - :: - - ::list{type="success"} - - Amazing - - Congrats - :: - - ::list{type="info"} - - Do you know? - - You can also do this - :: - - ::list{type="warning"} - - Be careful - - Use with precautions - :: - - ::list{type="danger"} - - Drinking too much - - Driving drunk - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/List.vue" ---- -:: - - -## `` - -Embed CodeSandbox/StackBlitz easily in your documentation with great performances. - -Using the [IntersectionObserver](https://developer.mozilla.org/en-US/docs/Web/API/Intersection_Observer_API) to load when visible in the viewport. - -::code-group - - ::code-block{label="Preview" preview} - :sandbox{src="https://codesandbox.io/embed/nuxt-content-l164h?hidenavigation=1&theme=dark"} - :: - - ```md [Code] - :sandbox{src="https://codesandbox.io/embed/nuxt-content-l164h?hidenavigation=1&theme=dark"} - ``` - -:: - - - -::source-link ---- -source: "components/content/Sandbox.vue" ---- -:: - ---- - -## `` - -::code-group - - ::code-block{label="Preview" preview} - :terminal{content="nuxi build"} - :: - - ```md [Code] - :terminal{content="nuxi build"} - ``` - -:: - - - -::source-link ---- -source: "components/content/Terminal.vue" ---- -:: - ---- - -## `` - -::code-group - - ::code-block{label="Preview" preview} - ::div - :video-player{src="https://www.youtube.com/watch?v=o9e12WbKrd8"} - :: - :: - - ```md [Code] - ::div - :video-player{src="https://www.youtube.com/watch?v=o9e12WbKrd8"} - :: - ``` - -:: - - - -::source-link ---- -source: "components/content/VideoPlayer.vue" ---- -:: diff --git a/content/2.api/2.composables.md b/content/2.api/2.composables.md deleted file mode 100644 index 4c0bea2..0000000 --- a/content/2.api/2.composables.md +++ /dev/null @@ -1,88 +0,0 @@ -# Composables - -Discover the Docus composables to use in your custom Vue components and pages. - -## `useDocus()` - -`useDocus()`{lang=ts} gives access to docus runtime config, all default values and your custom config from `app.config.ts` - -- `config` refers to the merged config of the current page. - -`main`, `header`, `aside`, `footer` and `titleTemplate` can be set from `_dir.yml` and any `page.md` file. - -The configs in `app.config` file will be used as defaults. - -```vue - - - -``` - -- `tree` refers to the current navigation tree that is displayed in the `aside` component. - -```vue - - - -``` - -::source-link ---- -source: "composables/useDocus.ts" ---- -:: - -## `useMenu()` - -`useMenu()` gives access to `$menu` plugin controlling mobile navigation globally. - -```ts -const { - // Is menu visible - visible, - // Close menu function - close, - // Open menu function - open, - // Toggle menu function - toggle -} = useMenu() -``` - -::source-link ---- -source: "composables/useMenu.ts" ---- -:: - -## `useScrollspy()` - -`useScrollspy()` is used in `docs` layout to make the ToC display the currently visible headings. - -```ts -const { - // Headings on the page - visibleHeadings, - // Active headings (for the current page) - activeHeadings, - // Update headings (an array of DOM nodes) - updateHeadings -} = useScrollspy() -``` - -::source-link ---- -source: "composables/useScrollspy.ts" ---- -:: diff --git a/content/2.api/3.layouts.md b/content/2.api/3.layouts.md deleted file mode 100644 index 25dc458..0000000 --- a/content/2.api/3.layouts.md +++ /dev/null @@ -1,43 +0,0 @@ -# Layouts -Docus provides multiple built-in layouts for displaying your Markdown pages. - -## `default` - -The default layout for every page created in the project. This layout renders multiple section alongside the content: - -- Aside navigation menu (togglable with `aside: false/true`) -- Page bottom section (togglable with `bottom: false/true`) -- Table of content (togglable with `toc: false/true`) - -```md [index.md] ---- -aside: true -bottom: true -toc: false ---- - -Your awesome content -``` - -Current page is live sample of default layout. - -## `page` - -`page` layout is content focused layout. This layout does not render aside menu of table of contents. - - -This layout accept some configuration from content front-matter. - -- `fluid`: By setting `fluid: true` in content front-matter the content will be rendered in full width. -- `constrainedClass`: Using this option you can modify layout container look. Like constraining layout width of changing the background. -- `padded`: Setting `padded: true` in front-matter will add horizontal padding in the layout. - -```md [index.md] ---- -title: Home -layout: page -fluid: true ---- -``` - -Check [Home page](/) as live sample of page layout diff --git a/content/2.api/_dir.yml b/content/2.api/_dir.yml deleted file mode 100644 index b340141..0000000 --- a/content/2.api/_dir.yml +++ /dev/null @@ -1,2 +0,0 @@ -title: 'API' -icon: heroicons-outline:bookmark-alt diff --git a/content/1.serveex/1.introduction.md b/content/3.serveex/1.introduction.md similarity index 76% rename from content/1.serveex/1.introduction.md rename to content/3.serveex/1.introduction.md index 6f0bc7e..9b8c2c4 100644 --- a/content/1.serveex/1.introduction.md +++ b/content/3.serveex/1.introduction.md @@ -4,6 +4,7 @@ title: Introduction main: fluid: false --- +:ellipsis{left=0px width=40rem top=10rem blur=140px} ## Un home lab par un débutant pour les débutants

@@ -17,8 +18,8 @@ Un grand merci à **Nipah**, pour le partage de ses connaissances infinies, et s **Pré-requis :** :::list{type="primary"} - Posséder [un VPS en ligne](https://www.it-connect.fr/les-serveurs-prives-virtuels-vps-pour-les-debutants/) ou une machine locale : idéalement un mini PC (on trouve des N100 pour 100€), mais fonctionne aussi sur laptop ou [une machine virtuelle](https://openclassrooms.com/fr/courses/2035806-virtualisez-votre-architecture-et-vos-environnements-de-travail/6313946-installez-virtualbox). Les [Freebox Delta/Ultra proposent des machines virtuelles](https://next.ink/3493/machines-virtuelles-et-freebox-delta-comment-heberger-votre-premiere-page-web/). - - Savoir configurer les [règles NAT d'un routeur et attribuer des baux DHCP](../../nat) - - Savoir configurer la [zone DNS d'un nom de domaine](../../dns) + - Savoir configurer les [règles NAT d'un routeur et attribuer des baux DHCP](/generalites/nat) + - Savoir configurer la [zone DNS d'un nom de domaine](/generalites/dns) ::: :: @@ -37,28 +38,28 @@ Le coeur du serveur #title __Système d'exploitation__ #description - [Installer et configurer Debian 12](#) + [Installer et configurer Debian 12](/serveex/coeur/installation) :: ::card{icon=logos:docker-icon} #title __Moteur de conteneur__ #description - [Installer Docker](#) + [Installer Docker](/serveex/coeur/docker) :: ::card{icon=carbon:container-registry style="color: rgb(41, 194, 243);" } #title __Docker GUI__ #description - [Installer et déployer Dockge](#) + [Installer et déployer Dockge](/serveex/coeur/docker#installer-dockge-pour-gérer-et-déployer-les-conteneurs) :: ::card{icon=noto:globe-showing-americas} #title __Reverse Proxy__ #description - [Exposez vos services avec SWAG](#) + [Exposez vos services avec SWAG](/serveex/coeur/swag) :: :: @@ -75,21 +76,21 @@ La sécurité #title __VPN__ #description - [Installer et déployer Wireguard](#) + [Installer et déployer Wireguard](/serveex/securite/wireguard) :: ::card{icon=noto:key} #title __SSO & MFA__ #description - [Installer et déployer Authentik](#) + [Installer et déployer Authentik](/serveex/securite/authentik) :: ::card{icon=logos:cloudflare-icon} #title __Zero Trust__ #description - [Installer et déployer Cloudflared](#) + [Installer et déployer Cloudflared](/serveex/securite/cloudflare) :: :: @@ -106,14 +107,14 @@ Monitoring #title __Etat des services__ #description - [Installer et déployer Uptime-Kuma](#) + [Installer et déployer Uptime-Kuma](/serveex/monitoring/uptime-kuma) :: ::card{icon=lucide:logs style="color: #1AD6FF;"} #title __Gestion des logs__ #description - [Installer et déployer Dozzle](#) + [Installer et déployer Dozzle](/serveex/monitoring/dozzle) :: :: @@ -130,14 +131,14 @@ Media #title __Media__ #description - [Installer et déployer Plex](#) + [Installer et déployer Plex](/serveex/media/plex) :: ::card{icon=cbi:qbittorrent style="color: rgb(#2f67ba);"} #title __Seedbox__ #description - [Installer et déployer Qbittorrent](#) + [Installer et déployer Qbittorrent](/serveex/media/qbittorrent) :: :: @@ -154,14 +155,14 @@ Cloud Drive & Photos #title __Drive__ #description - [Installer et déployer Nextcloud](#) + [Installer et déployer Nextcloud](/serveex/cloud/nextcloud) :: ::card{icon=simple-icons:immich style="color: #ed79b5;"} #title __Photos__ #description - [Installer et déployer Immich](#) + [Installer et déployer Immich](/serveex/cloud/immich) :: :: @@ -178,21 +179,21 @@ Outils de développement #title __Visual Studio Code__ #description - [Installer et déployer code-server](#) + [Installer et déployer code-server](/serveex/development/code-server) :: ::card{icon=simple-icons:gitea style="color: #9ee773;"} #title __Git Repository__ #description - [Installer et déployer Gitea](#) + [Installer et déployer Gitea](/serveex/development/gitea) :: ::card{icon=noto:hammer-and-wrench } #title __Outils__ #description - [Installer et déployer IT Tools](#) + [Installer et déployer IT Tools](/serveex/development/it-tools) :: :: @@ -209,21 +210,21 @@ Applications utiles #title __DNS anti-pub et filtres__ #description - [Installer et déployer Adguard Home](#) + [Installer et déployer Adguard Home](/serveex/apps/adguard) :: ::card{icon=noto:open-file-folder } #title __Explorateur de fichier__ #description - [Installer et déployer Filebrowser](#) + [Installer et déployer Filebrowser](/serveex/apps/file-browser) :: ::card{icon=cbi:bitwarden style="color: rgb(25 128 255);"} #title __Gestionnaire de mots de passe__ #description - [Installer et déployer Vaultwarden](#) + [Installer et déployer Vaultwarden](/serveex/apps/vaultwarden) :: :: diff --git a/content/1.serveex/2.coeur/1.installation.md b/content/3.serveex/2.coeur/1.installation.md similarity index 91% rename from content/1.serveex/2.coeur/1.installation.md rename to content/3.serveex/2.coeur/1.installation.md index 51c275c..3ee9aea 100644 --- a/content/1.serveex/2.coeur/1.installation.md +++ b/content/3.serveex/2.coeur/1.installation.md @@ -4,12 +4,10 @@ title: Debian 12 main: fluid: false --- +:ellipsis{left=0px width=40rem top=10rem blur=140px} # Debian 12 ::alert{type="info"} -:::list{type="primary"} -- __Objectif :__ -::: -- Installer Debian 12 et les dépendances principales pour avoir un OS pret à l'emploi, joignable en SSH. +__Objectif :__ Installer Debian 12 et les dépendances principales pour avoir un OS pret à l'emploi, joignable en SSH. :: ![picture](/img/serveex/server.svg) @@ -63,7 +61,7 @@ En plus : - [Firewalld](https://linuxcapable.com/how-to-install-firewalld-on-debian-linux/) ### Partage Samba (accès à un disque réseau distant) -- [Créer et accéder à un partage Samba](../../samba) +- [Créer et accéder à un partage Samba](/generalites/samba) ### Transfert de fichier via rsync diff --git a/content/1.serveex/2.coeur/2.docker.md b/content/3.serveex/2.coeur/2.docker.md similarity index 99% rename from content/1.serveex/2.coeur/2.docker.md rename to content/3.serveex/2.coeur/2.docker.md index 92df0ef..7b6f7c2 100644 --- a/content/1.serveex/2.coeur/2.docker.md +++ b/content/3.serveex/2.coeur/2.docker.md @@ -4,6 +4,7 @@ title: Docker main: fluid: false --- +:ellipsis{left=0px width=40rem top=10rem blur=140px} # Docker Docker, pour installer des services déployables en quelques secondes, et les manager en quelques commandes/clics. diff --git a/content/1.serveex/2.coeur/3.swag.md b/content/3.serveex/2.coeur/3.swag.md similarity index 96% rename from content/1.serveex/2.coeur/3.swag.md rename to content/3.serveex/2.coeur/3.swag.md index c7924ae..c2984f7 100644 --- a/content/1.serveex/2.coeur/3.swag.md +++ b/content/3.serveex/2.coeur/3.swag.md @@ -4,7 +4,7 @@ title: SWAG main: fluid: false --- - +:ellipsis{left=0px width=40rem top=10rem blur=140px} # SWAG [Swag](https://docs.linuxserver.io/general/swag/) est le noyau de ce homelab. C'est un reverse proxy puissant qui permet d'exposer des services sur le net via un ou des noms de domaines, en se chargeant de l'émission des certificats SSL (pour garder des connexions chiffrées), du routage des requêtes et de la sécurisation des accès (par authent HTTP ou par SSO comme Authelia ou Authentik). Toute la doc nécessaire ce [situe ici](https://docs.linuxserver.io/general/swag). @@ -128,7 +128,7 @@ En CLI, allez dans le dossier dns-conf et éditez le fichier `ovh.ini` : ::alert{type="success"} :::list{type="success"} - __Astuce pour les allergiques au terminal :__ -vous pouvez utiliser [File Browser](/serveex/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. ::: :: @@ -267,7 +267,7 @@ Dans les fichiers de conf des domaines (section suivante), vous pourrez activer --- ::alert{type="info"} __Prérequis :__ -- Nous partons du principe que vous avez créé dans votre [zone DNS](../../dns) un sous domaine du type `dockge.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](../../nat). +- Nous partons du principe que vous avez créé dans votre [zone DNS](/generalitésdns) un sous domaine du type `dockge.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](generalites/nat). :: Il s'agit maintenant d'exposer Dockge sur internet, afin de pouvoir y accéder et gérer vos conteneurs sans que vous soyez chez vous. Pour cela, nous partons du principe que vous avez configuré un sous domaine `dockge.mondomaine.fr` dans votre zone DNS dont le `CNAME` pointe sur `mondomaine.fr`. diff --git a/content/1.serveex/2.coeur/_dir.yml b/content/3.serveex/2.coeur/_dir.yml similarity index 100% rename from content/1.serveex/2.coeur/_dir.yml rename to content/3.serveex/2.coeur/_dir.yml diff --git a/content/1.serveex/3.securite/1.wireguard.md b/content/3.serveex/3.securite/1.wireguard.md similarity index 97% rename from content/1.serveex/3.securite/1.wireguard.md rename to content/3.serveex/3.securite/1.wireguard.md index 414ea33..cf932e2 100644 --- a/content/1.serveex/3.securite/1.wireguard.md +++ b/content/3.serveex/3.securite/1.wireguard.md @@ -4,6 +4,7 @@ title: Wireguard main: fluid: false --- +:ellipsis{left=0px width=40rem top=10rem blur=140px} # Wireguard ::alert{type="info"} @@ -48,9 +49,9 @@ Ainsi, sur le réseau virtuel, seules les machines directement reliées pourront ## Côté serveur --- -::alert{type="info" icon="exclamation-circle"} +::alert{type="info"} :::list{type="info"} -- A vérifier au préalable" +- __A vérifier au préalable :__ ::: - Vérifiez si le port `51820 UDP` est libre sur votre serveur, et bien routé dans le NAT de la box `Source 51820 UDP -> Destination 51820 UDP -> Serveur`. En effet, votre serveur étant derrière votre box, le port de votre box doit etre joignable et rediriger vers le port de votre serveur connecté à votre VPN. - Vérifiez aussi que le port `51821 TCP` est libre sur le serveur pour accéder à la web ui. @@ -159,7 +160,7 @@ Afin de configurer les clients, vous devez télécharger les fichiers de conf g ## Sur le serveur client --- -::alert{type="info" icon="exclamation-circle"} +::alert{type="info"} :::list{type="info"} - Nous partons du principe que le serveur client est un serveur linux avec Docker installé ::: @@ -181,7 +182,7 @@ Creez le dossier `/docker/wireguard/config/wg_confs`. ::alert{type="success"} :::list{type="success"} - __Astuce pour les allergiques au terminal :__ -vous pouvez utiliser [File Browser](/serveex/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. ::: :: diff --git a/content/3.serveex/3.securite/2.authentik.md b/content/3.serveex/3.securite/2.authentik.md new file mode 100644 index 0000000..aa47609 --- /dev/null +++ b/content/3.serveex/3.securite/2.authentik.md @@ -0,0 +1,564 @@ +--- +navigation: true +title: Authentik +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Authentik + +::alert{type="info"} +__Objectifs :__ +- Installer et exposer Authentik +- Paramétrer le Multi-Facteur +- Protéger une app native ou via reverse proxy +:: + +[Authentik](https://goauthentik.io) est un outil d'authentification unique permettant de vous logger une seule fois sur les plateformes compatibles OpenID. Il permet également de sécuriser l'accès aux services que vous exposez, en s'injectant via SWAG aux requetes vers vos services. + +Ainsi, si vous exposez Dockge sur internet via `dockge.mondomaine.fr`, au moment de l'accès à cette page, vous tomberez sur une page de login d'authentik. Si vous avez déjà été identifié sur un autre service sécurisé par authentik auparavant, alors vous serez déjà identifié. cela permet d'avoir à vous identifiez qu'une seule fois par jour sur l'ensemble des services protégés par authentik. + +Authentik permet aussi d'utiliser le multi-facteur, notamment par TOTP (code généré par une application d'authentification de votre choix. Enfin, authentik permet aussi de se connecter directement via un compte Microsoft ou Google, si vous avez configuré une application d'un de ces services. + +C'est une bonne manière de se passer de VPN pour exposer vos services, et d'exposer des services qui ne sont pas protégés par du MFA voir pas protégés par des login (comme le dashboard de swag). + +Authentik dipose d'[une doc très fournie](https://docs.goauthentik.io/docs/installation/docker-compose) et des [fabuleux tuto de Cooptonian](https://www.youtube.com/@cooptonian). Ici, nous montrerons juste les bases, avec l'exemple de l'exposition de Dockge. + +Deux modes principaux sont à connaitre: + +- Le premier permet à une application qui dispose nativement d'une intégration avec du SSO compatible OpenID de se connecter directement à Authentik. C'est la solution à privilégier car elle permet de laisser l'application décider de ce qui est public et de ce qui est protégé. + +![Picture](/img/serveex/auth-native.svg) + +- Le second permet d'injecter une authentification via authentik grace à SWAG avant d'arriver sur le service désiré. + +![Picture](/img/serveex/auth-proxy.svg) + +Les deux modes son configurables application par application. + + + +## Installation +--- +Structure des dossiers : +```console +root +└── docker + └── authentik + ├── .env + ├── compose.yml + ├── media + ├── certs + ├── custom-template + └── ssh +``` + +Créez les dossiers : + +```shell +sudo mkdir -p /docker/authentik/media /docker/authentik/certs /docker/authentik/custom-template /docker/authentik/ssh +``` + +Positionnez vous dans le dossier `authentik` et générez un mot de passe et une clé secrete que l'on va intégrer dans le .env : + +```shell +sudo echo "PG_PASS=$(openssl rand 36 | base64)" >> .env +sudo echo "AUTHENTIK_SECRET_KEY=$(openssl rand 60 | base64)" >> .env +``` +::alert{type="info"} +:::list{type="info"} +- Afin de générer la clé, nous avons créé les dossiers en amont du déploiement via Dockge. Dockge vous empechera de créer une stack du meme nom dans ces dossiers s'il n'existe pas de `compose.yml`. Il faut donc créer un `compose.yml` vide afin que ce dernier la reconnaisse comme existante dans les stacks inactives : +::: + ```shell + sudo vi /docker/authentik/compose.yml +:: + +Ouvrez dockge, et cherchez "authentik" dans les stack inactives. +Nommez la stack authentik et collez la configuration suivante, en changeant les chiffres de `{AUTHENTIK_TAG:-2024.2.3}`{lang=properties} par [la dernière version de Authentik](https://version-2024-6.goauthentik.io/docs/releases). + +```yaml +version: "3.4" +services: + + postgresql: + image: docker.io/library/postgres:12-alpine + container_name: authentik-postgresql + restart: unless-stopped + healthcheck: + test: + - CMD-SHELL + - pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER} + start_period: 20s + interval: 30s + retries: 5 + timeout: 5s + volumes: + - database:/var/lib/postgresql/data + environment: + POSTGRES_PASSWORD: ${PG_PASS:?database password required} + POSTGRES_USER: ${PG_USER:-authentik} + POSTGRES_DB: ${PG_DB:-authentik} + env_file: + - .env + networks: + - swag + + redis: + image: docker.io/library/redis:alpine + container_name: authentik-redis + command: --save 60 1 --loglevel warning + restart: unless-stopped + healthcheck: + test: + - CMD-SHELL + - redis-cli ping | grep PONG + start_period: 20s + interval: 30s + retries: 5 + timeout: 3s + volumes: + - redis:/data + networks: + - swag + + server: + image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2024.2.3} + container_name: authentik-server + restart: unless-stopped + command: server + environment: + AUTHENTIK_REDIS__HOST: redis + AUTHENTIK_POSTGRESQL__HOST: postgresql + AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik} + AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik} + AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS} + volumes: + - ./media:/media + - ./custom-templates:/templates + - ./auth.css:/web/dist/custom.css + - ./ssh:/authentik/.ssh + env_file: + - .env + ports: + - ${COMPOSE_PORT_HTTP:-9000}:9000 + - ${COMPOSE_PORT_HTTPS:-9443}:9443 + depends_on: + - postgresql + - redis + networks: + - swag + + worker: + image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2024.2.3} + container_name: authentik-worker + restart: unless-stopped + command: worker + environment: + AUTHENTIK_REDIS__HOST: redis + AUTHENTIK_POSTGRESQL__HOST: postgresql + AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik} + AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik} + AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS} + # `user: root` and the docker socket volume are optional. + # See more for the docker socket integration here: + # https://goauthentik.io/docs/outposts/integrations/docker + # Removing `user: root` also prevents the worker from fixing the permissions + # on the mounted folders, so when removing this make sure the folders have the correct UID/GID + # (1000:1000 by default) + user: root + volumes: + - /var/run/docker.sock:/var/run/docker.sock + - ./media:/media + - ./certs:/certs + - ./custom-templates:/templates + - ./auth.css:/web/dist/custom.css + - ./ssh:/authentik/.ssh + env_file: + - .env + depends_on: + - postgresql + - redis + networks: + - swag + +volumes: + database: + driver: local + redis: + driver: local +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le réseau de Swag est `swag_default`. +::: +:: + +Dans le point `.env`, les variables `PG_PASS` et `AUTHENTIK_SECRET_KEY` sont déjà remplies. +Déployez la stack. + +Vous pouvez alors commencer le set-up d'authentik en tappant `http://ipduserveur:9000/if/flow/initial-setup/`. + +::alert{type="warning"} +:::list{type="warning"} +- __Attention :__ il est conseillé de créer un nouveau compte admin, et de **désactiver** le compte admin de base `akadmin`. +::: +:: + +## Exposer authentik +--- +Pour être utilisable hors de chez vous, vous devez exposer authentik. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe quer vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `auth.mondomaine.fr` avec pour CNAME `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Ouvrez le fichier `authentik-server.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce pour les allergiques au terminal :__ +vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/authentik-server.conf +``` + +Vérifiez que dans chaque cas les variables ci-dessous sont correctes : + +```nginx +set $upstream_authentik authentik-server; +proxy_pass http://$upstream_authentik:9000; +``` + +Si ce n'est pas le cas, passez en mode modification en tapant `i` et éditez les. Sauvegardez et quittez en tapant sur `Echap` puis `:x`. + +Créez le fichier `auth.subdomain.conf` + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/auth.subdomain.conf + +``` + +Appuyez sur `i` pour rentrer en mode modification puis collez la configuration suivante : + +```nginx +## Version 2023/05/31 +# make sure that your authentik container is named authentik-server +# make sure that your dns has a cname set for authentik + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name auth.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + location / { + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app authentik-server; + set $upstream_port 9000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/authentik)?/api { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app authentik-server; + set $upstream_port 9000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Sauvegardez et quittez en appuyant sue `Echap` puis en tapant `:x` + +Et voilà ! Vous pouvez accéder à authentik via `https://auth.mondomaine.fr` + +## Activer le multifacteur +--- +Tout l'intérêt de authentik c'est de disposer du multifacteur pour toutes les apps que l'on protègera. + +- Rendez vous sur `https://auth.mondomaine.fr` +- Identifiez-vous +- Rendez-vous dans _paramètres_ +- Cliquez sur la section _MFA_ +- Cliquez sur _s'inscrire_ +- Choisissez une méthode comme _TOTP device_ ( dans ce cas vous devrez utilisez une app d'authentification telle que Google Authenticator par exemple) +- Suivez les étapes + +Et voilà, vous serez invité à saisir un code à usage unique à chaque connexion. + +## Protéger une app native +--- +Authentik est compatible nativement avec un certain nombre d'application, vous retrouverez la liste et [le support ici](https://docs.goauthentik.io/integrations/services/) + +## Protéger une app par reverse proxy +--- +Swag permet d'intercaler la page d'authentik entre la requête et l'accès à votre service. Pour cela il va falloir : + +- Configurer le service d'authentification dans authentik. +- Configurer le fichier proxy du domaine pour que swag puisse intercaler la page. + +Pourquoi le faire alors que Dockge a déjà une page d'authentification ? Tout simplement parce que l'authentification HTTP utilisée par Dockge est faible. Avec Authentik, vous aurez directement une authentification forte par MFA, et vous serez loggé automatiquement à toutes vos apps déjà protégées par authentik. Cela permet de sécuriser l'accès à Dockge et aux autres apps que vous protégerez, sans avoir à passer par un VPN. + +### Configuration de Authentik + +- Rendez vous dans Authentik +- Allez dans le panneau d'administration +- Sélectionnez _application_ puis _créer avec l'assistant_ +- Renseignez les champs comme suit : + +![Picture](/img/serveex/auth1.png) + +- Puis à l'étape suivante choisissez "Transférer l'authentification (application unique)" et éditez comme suit (attention aux flow, c'est important) : + +![Picture](/img/serveex/auth2.png) + +- Ensuite, allez dans le menu à gauche dans _Avant-poste_ et éditez _authentik Embedded Outpost_ + +![Picture](/img/serveex/auth3.png) + +- Ajoutez l'application `dockge` en la faisant passer à droite et validez. + +### Configuration de SWAG + +Ensuite rendez-vous dans le fichier `dockge.mondomaine.fr`. + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/dockge.subdomain.conf +``` + +Puis entrez en modification en appuyant sur `i` et enlevez les `#` des deux lignes `#include /config/nginx/authentik-server.conf;`{lang=nginx}. + +Appuyez sur `Echap` puis tapez `:x` et appuyez sur `Entrée` pour sauvegarder et quitter. + +Et voilà ! En tapant `https://dockge.mondomaine.fr`, vous tomberez à présent sur la mire d'authentification de authentik. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ dans Dockge, dans les paramètres, vous pouvez désactiver l'authentification de Dockge afin de ne pas avoir à vous identifier deux fois. **Attention**, cela voudra dire que si vous avez exposé un port sur votre réseau local, il n'y aura plus aucune authentification. +::: +:: + +::alert{type="info"} +:::list{type="info"} +- Vous pouvez répétez l'opération pour chaque application que vous souhaitez protéger (si elle ne dipose pas d'intégration directe avec Authentik). +::: +:: + +Voilà votre nouvelle architecture : + +![Picture](/img/serveex/authentik.svg) + +## Protéger un service sur un serveur distant +--- +Dans le cas d'une application [native](/serveex/securite/authentik#protéger-une-app-native) (via OAuth 2.0 ou autre), rien ne change. + +Dans le cas d'une application non native à protéger derrière un reverse proxy, vous devrez déployer un __avant-poste__. Un avant-poste est un conteneur qui jouera le rôle de proxy local, c'est à dire que c'est vers ce conteneur que les requêtes d'authentification de vos applications seront redirigées. C'est le seul qui est autorisé à dialoguer avec l'API de votre instance authentik. + + +::alert{type="info"} +Pré-requis : +- Avoir installé [docker](/serveex/docker) sur votre machine distante hébergeant le service à protéger. +- Si l'application n'a pas d'intégration native, avoir un reverse proxy compatible. Comme partout ici, nous utiliserons [SWAG](/serveex/coeur/swag). +:: + +Ce conteneur redirigera ensuite les requetes vers votre instance [Authentik](/serveex/securite/authentik#authentik) principale, à travers le web (ou votre réseau local). Le serveur executera les controle et renverra la réponse à l'_avant-poste_, qui bloquera ou non la connexion à l'app protégée. + +![auth-outpost](/img/serveex/auth-outpost.svg) + +### Configuration d'Authentik + +Créez vos [fournisseurs et applications](/serveex/securite/authentik#protéger-une-app-native) comme nous l'avons vu plus haut. + +Puis, dans votre panneau admin, allez dans la rubrique _Applications > Avant-postes_, puis créez un nouvel avant-poste. + +Remplissez comme suit : + + +| Champs | Valeur | +|----------------|-----------------------------------------------------------------------| +| `Nom` | Le nom que vous souhaitez | +| `Type` | `Proxy` | +| `Intégration` | Laissez vide | +| `Applications` | Sélectionnez le ou les applications que vous avez créées précédemment | + +Dans la section `Paramètres avancés`, supprimez l'existant, et complétez comme suit : + +```yaml +log_level: info +docker_labels: null +authentik_host: https://domaine_de_votre_serveur_authentik/ +object_naming_template: ak-outpost-%(name)s +authentik_host_insecure: false +container_image: +docker_network: null +docker_map_ports: true +docker_labels: null +``` + +Enrtegistrez et quittez. + +Sur l'écran affichant les avant-postes créés, vous verrez le nouvel avant-poste que vous venez de créer. A la fin de la ligne, cliquez sur _afficher les informations_, et copiez précieusement le jeton d'accès. + +### Configuration de la machine distante + +Nous partons du principe que vous avez déjà installé [Docker](/serveex/coeur/docker) et [SWAG](/serveex/coeur/swag) sur cette machine distante. + +Sur votre machine distante, à l'aide de [Dockge](/serveex/coeur/docker/#installer-dockge-pour-gérer-et-déployer-les-conteneurs), créez une stack `authentik-outpost`. + +Si vous n'avez pas installé [Dockge](/serveex/coeur/docker/#installer-dockge-pour-gérer-et-déployer-les-conteneurs), créez un dossier `/docker/authentik-outpost`, ou directement en ligne de commande : + +```shell +sudo mkdir -P /docker/authentik-outpost +``` + +::alert{type="success"} +:::list{type="success"} +- __Astuce pour les allergiques au terminal :__ +vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +Créez le fichier `compose.yaml` ou copiez la configuration directement dans le champs si vous avez [Dockge](/serveex/coeur/docker/#installer-dockge-pour-gérer-et-déployer-les-conteneurs) + +En ligne de commande : + +```shell +sudo vi /docker/authentik-outpost/compose.yaml +``` +Entrez en mode modification avec `i` et collez la configuration suivante, en changeant les chiffres de `{AUTHENTIK_TAG:proxy:2024.2.3}`{lang=properties} par la meme version que celle de votre serveur Authentik. + +```yaml +version: "3.5" +services: + authentik_proxy: + container_name: authentik-outpost + image: ghcr.io/goauthentik/proxy:2024.2.3 + # Optionally specify which networks the container should be + # might be needed to reach the core authentik server + restart: unless-stopped + env_file: + - .env + networks: + - swag_default + # - foo + ports: + - 9000:9000 + - 9443:9443 + environment: + AUTHENTIK_HOST: ${HOST} + AUTHENTIK_INSECURE: "false" + AUTHENTIK_TOKEN: ${TOKEN} + # Starting with 2021.9, you can optionally set this too + # when authentik_host for internal communication doesn't match the public URL + # AUTHENTIK_HOST_BROWSER: https://external-domain.tld +networks: + swag_default: + name: swag_default + external: true +``` + +Appuyez sur `Echap` puis tapez `:x` et appuyez sur `Entrée` pour sauvegarder et quitter. + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le réseau de Swag est `swag_default`. +::: +:: + +Creez (ou remplissez directement si vous avez [Dockge](/serveex/coeur/docker/#installer-dockge-pour-gérer-et-déployer-les-conteneurs)) le fichier `.env` dans le même dossier. + +En ligne de commande : + +```shell +sudo vi /docker/authentik-outpost/.env +``` + +Entrez en mode modification avec `i` et collez la configuration suivante + +```properties +HOST= +TOKEN= +``` +Remplissez comme suit + +| Variable | Valeur | Exemple | +|-------------------------|---------------------------------------------------------|----------------------------| +| `HOST`{lang=properties} | L'url de votre serveur authentik | `https://auth.domaine.fr` | +| `TOKEN`{lang=properties} | Le token que vous avez précédemment copié précieusement | `Q2pVEqsTNRkJSO9SkJzU3KZ2` | + +Appuyez sur `Echap` puis tapez `:x` et appuyez sur `Entrée` pour sauvegarder et quitter. + +Si vous avez [Dockge](/serveex/coeur/docker/#installer-dockge-pour-g"rer-et-d"ployer-les-conteneurs), déployez la stack. + +Sinon, via le terminal : + +```shell +cd /docker/authentik-outpost/ +sudo docker compose up -d +``` + +Le conteneur est en route, vous pouvez vérifier son état dans votre panneau admin de votre instance Authentik, section _Applications > Avant-postes_. + + +Nous allons a présent configurer SWAG. + +Ouvrez le fichier `authentik-server.conf`. + +```shell +sudo vi /docker/swag/config/nginx/authentik-server.conf +``` + +Dans le fichier, passez en mode modification en tapant `i` et changez `authentik-server` par `authentik-outpost` comme suit : + +```nginx +set $upstream_authentik authentik-outpost; +proxy_pass http://$upstream_authentik:9000; +``` + +Sauvegardez et quittez en tapant sur `Echap` puis `:x` et sur `Entrée`. + +Ensuite, configurez les applications à protéger selon si elles sont [natives](/serveex/securite/authentik#protéger-une-app-native) ou par [proxy](serveex/coeur/authentik#protéger-une-app-par-reverse-proxy) comme vous l'avez fait sur votre serveur principal. + +## Migrer une base authentik +--- +Sur la machine d'origine, dumper la bdd : + +```shell +sudo docker exec authentik-postgres pg_dump -U authentik -F t authentik > /path/to/mydb.tar +``` + +Puis l'envoyer sur la machine cible. Sur la machine cible, copier le fichier dans le container docker + +```shell +cp /path/to/mydb.tar authentik-postgres:/path/to/wherever +``` + +(Optionnel) Purgez les tables existantes : + +```shell +sudo docker exec -i authentik-postgres psql -U authentik -c "SELECT pg_terminate_backend(pg_stat_activity.pid) FROM pg_stat_activity WHERE pg_stat_activity.datname = 'authentik' AND pid <> pg_backend_pid();" && \ +sudo docker exec -i authentik-postgres psql -U authentik -d postgres -c "DROP DATABASE IF EXISTS authentik;" && \ +sudo docker exec -i authentik-postgres psql -U authentik -d postgres -c "CREATE DATABASE authentik;" && \ +``` + +Restaurez la bdd + +```shell +sudo docker exec authentik-postgresql pg_restore -U authentik -d authentik /path/to/wherever/mydb.tar +``` \ No newline at end of file diff --git a/content/3.serveex/3.securite/3.cloudflare.md b/content/3.serveex/3.securite/3.cloudflare.md new file mode 100644 index 0000000..c622d6b --- /dev/null +++ b/content/3.serveex/3.securite/3.cloudflare.md @@ -0,0 +1,273 @@ +--- +navigation: true +title: Cloudflare Zero Trust +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Cloudflare Zero Trust + +::alert{type="info"} +__Objectifs :__ + - Comprendre le principe des Tunnels Cloudflare + - Paramétrer son compte cloudflare + - Paramétrer SWAG + - Gérer plusieurs tunnels +:: + +![cloudfare_tunnels](/img/serveex/cloudflared.svg) + +## Introduction +--- +L'architecture _Zero Trust_ est la pratique consistant à concevoir des systèmes fondés sur le principe de __« ne jamais faire confiance__, __toujours vérifier »__, par opposition au principe traditionnel de __« confiance, mais vérifier »__. Ce concept est devenu très populaires récemment, à la suite des attaques toujours plus nombreuses concernant les données des utilisateurs. C'est un concept très large, nous nous concentrerons sur l’application du _Zero Trust_ aux services Web que nous hébergeons. + +Les _tunnels Cloudflare_ offrent un moyen simple d'arriver au _Zero Trust_, en s'appuyant sur [SWAG](/serveex/coeur/swag) et [Authentik](/serveex/securite/authentik). + +Pour le dire simplement, les Tunnels Cloudflare permettent notamment de : + +- Masquer l'IP de votre serveur (et donc de votre box s'il est hébergé chez vous). +- D'authentifier le traffic. +- De bénéficier des protection de Cloudflare (attaques DDOS, etc, blacklist, requêtes malveillantes, etc...). +- De bénéficier du CDN, c'est à dire du serveur de cache de Cloudlfare, qui permet d'augmenter les performances de vos sites web. +- De ne plus avoir besoin de l'ouverture de ports de votre routeur pour les services exposés par SWAG. + +Ici, nous expliquerons comment associer SWAG aux tunnels Cloudflare. + +::alert{type="warning"} +:::list{type="warning"} +- __Attention :__ +::: +- N'utilisez pas les tunnels Cloudflare pour exposer un serveur mail +- N'utilisez pas les tunnels Cloudflare pour exposer un service vidéo, comme Plex (si vous avez [suivi ce guide](/serveex/media/plex), Plex n'est pas exposé, c'est donc valide) +- N'utilisez pas les tunnels Cloudflare pour utiliser le protocole bittorrent (si vous avez [suivi ce guide](/serveex/media/qbittorrent), tout est bon) +:: + +## Configuration Cloudflare +--- +### Zone DNS + +Avant toute chose, vous devez définir Cloudflare comme gestionnaire de votre [zone DNS](/generalites/dns). Si vous avez réservé votre nom de domaine chez Cloudflare, c'est déjà le cas. Sinon, renseignez vous auprès de votre registrar sur comment ajouter des DNS externes. Cloudflare dispose d'[une documentation expliquant pas à pas comment paramétrer une Zone DNS](https://developers.cloudflare.com/dns/zone-setups/full-setup/setup/), que vous ayez un domaine externe ou reservé chez Cloudflare. + +Si vous avez qu'un seul serveur à protéger derrière Cloudflare, vous pouvez supprimer l'ensemble des enregistrement DNS existant, par défaut le domaine et tout ses sous-domaines seront directement redirigés vers le tunnel. + +Si vous avez des sous-domaines à rediriger vers d'autres serveurs, vous pourrez toujours les déclarer dans la zone DNS à l'aide d'un enregistrement A. + +Si vous avez plusieurs serveurs et donc plusieurs tunnels pour un meme domaine principal, [voyez ici](http://192.168.7.80:8005/serveex/cloudflare/#gerer-plusieurs-tunnels-pour-plusieurs-serveurs). + +### Clé API + +Pour commencer, nous devons créer un nouveau jeton API pour Cloudflare et récupérer nos identifiants de zone et de compte. + +Sur le tableau de bord de Cloudflare, dans la page de présentation de votre domaine, vous pouvez voir les identifiants de `zone` et de `compte` en bas à droite de l'écran. Copiez précieusement ces deux identifiants. + +![id and account](/img/serveex/cf-id.png) + +Juste en dessous d'eux, il y a un lien intitulé _Obtenez votre jeton API_. Cliquez dessus. Le périmètre dont nous avons besoin pour le jeton doit inclure `Zone:DNS:Edit` et `Account:Cloudflare Tunnel:Edit`. Assurez-vous que votre page de création de token ressemble à celle illustrée dans la capture d'écran ci-dessous. + +![API token](/img/serveex/cf-token.png) + +Une fois que nous aurons enregistré, notre jeton sera affiché une fois. copiez le précieusement, car vous ne pourrez plus le revoir après la fermeture. + +### Cloudflare Zero Trust + +Vous devez vous inscrire à _Cloudflare Teams_ pour pouvoir accéder au tableau de bord _Zero Trust_ qui gère les tunnels et les politiques d'accès. Il s'agit d'un service premium, mais ils proposent un forfait gratuit pour un maximum de 50 utilisateurs, ce qui devrait suffire pour votre Home Lab. Gardez à l’esprit que puisqu’il s’agit d’une fonctionnalité premium, ils demandent une carte de crédit valide lors de l’inscription, mais avec le forfait gratuit, il n'y aura aucun frais. + +Inscrivez-vous [via ce lien](https://dash.teams.cloudflare.com/). + + +## Configuration de Swag +--- +::alert{type="info"} +:::list{type="info"} +- Nous partons du principe que vous avez le domaine `mondomaine.fr` avec les DNS qui pointent bien vers ceux de Cloudflare, comme vu précédemment. +::: +:: + +SWAG dispose de deux `Docker Mods` permettant d'y intégrer : + +- __Cloudflared__, le conteneur qui permet de créer et de gérer les tunnels +- __Cloudflared Real IP__, un conteneur qui permet à SWAG d'obtenir la vraie source IP des requêtes depuis internet plutot que celle de Docker (ce qui pourrait entrer en conflit avec le mod de géolocalisatioN DBIP). + +Ces deux mods, fusionnés dans le conteneur de SWAG, nécessitent un peu de configuration. + +### Configuration du tunnel + +Pour configurer les tunnels, nous aurons besoin de créer un fichier `tunnelconfig.yml` auquel nous ferons appel dans le `compose.yaml` de SWAG. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/tunnelconfig.yml +``` + +Entrez en modification avec la touche `i` et collez la configuration ci-dessous + +```yaml +ingress: + - hostname: mondomaine.fr + service: https://mondomaine.fr + - hostname: "*.mondomaine.fr" + service: https://mondomaine..fr + - service: http_status:404 +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +### Configuration de Cloudflare Real IP + +A présent, nous allons configurer le bon fonctionnement du mode _Cloudflare Real IP_ + +Ouvrez le fichier `nginx.conf` + +```shell +sudo vi /docker/swag/config/nginx/nginx.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous à la fin de la section `http` + +```nginx +real_ip_header X-Forwarded-For; +real_ip_recursive on; +include /config/nginx/cf_real-ip.conf; +set_real_ip_from 127.0.0.1; +``` +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +### Docker compose + +Ouvrez Dockge, éditez la stack SWAG avec cette configuration + +```yaml +version: "3.8" +services: + swag: + image: lscr.io/linuxserver/swag:latest + container_name: swag + cap_add: + - NET_ADMIN + env_file: + - .env + environment: + - DOCKER_MODS=linuxserver/mods:swag-dbip|linuxserver/mods:swag-dashboard|linuxserver/mods:swag-auto-reload|linuxserver/mods:universal-cloudflared|linuxserver/mods:swag-cloudflare-real-ip + - PUID=${PUID} + - PGID=${PGID} + - TZ=Europe/Paris + - URL=${DOMAIN} + - SUBDOMAINS=wildcard + - VALIDATION=dns + - DNSPLUGIN=${PLUGIN} + - EMAIL=${EMAIL} + - CF_ZONE_ID=${ZONE_ID} + - CF_ACCOUNT_ID=${ACCOUNT_ID} + - CF_API_TOKEN=${API_TOKEN} + - CF_TUNNEL_NAME=${TUNNEL_NAME} + - CF_TUNNEL_PASSWORD=${TUNNEL_PW} + - FILE__CF_TUNNEL_CONFIG=/config/tunnelconfig.yml + extra_hosts: + - ${DOMAIN}:127.0.0.1 + ports: + - 81:81 + volumes: + - /docker/swag/config:/config + - /docker/swag/config/fail2ban/fail2ban.sqlite3:/dashboard/fail2ban.sqlite3:ro + restart: unless-stopped +``` + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + swag: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + + +Et renseignez le `.env` les infos que vous avez trouvées et notées tout au long de ce guide + +```properties +PUID= +PGID= +DOMAIN= +PLUGIN= +EMAIL= +ZONE_ID= +ACCOUNT_ID= +API_TOKEN= +TUNNEL_NAME= +TUNNEL_PW= +``` + +| Variable | Valeur | Exemples | +|-----------------------------------|-----------------------------------------------------------------------------------------------------------|--------------------------------| +| `PUID`{lang=properties} | A renseigner avec les infos de votre user (trouvables via la commande `id nomdutilisateur`{lang=shell}) | `1000` | +| `GUID`{lang=properties} | A renseigner avec les infos de votre user (trouvables via la commande `id nomdutilisateur`{lang=shell}) | `1000 ` | +| `DOMAIN`{lang=properties} | Le domaine que vous avez réservé | `mondomaine.fr` | +| `PLUGIN`{lang=properties} | Le fournisseur de zone DNS, ici Cloudflare. Pensez à renseigner `cloudflare.ini` (voir [guide de swag](https://docs.linuxserver.io/general/swag/#create-container-via-dns-validation-with-a-wildcard-cert)) | `cloudflare` | +| `EMAIL`{lang=properties} | Votre email pour le certificat | `votre@email.fr` | +| `ZONE_ID`{lang=properties} | L'ID de Zone que vous avez noté précédemment | `aNhcz1l3JfWbFZo2XMpzQlP2iOqk` | +| `ACCOUNT_ID`{lang=properties} | L'ID de Compte que vous avez noté précédemment | `buKsjNHLyzKMM1qYnzOy4s7SHfly` | +| `API_TOKEN`{lang=properties} | Le jeton d'API que vous avez noté précédemment | `53ydYus9TFFk1DOXNdP87iIcJtQjoW` | +| `TUNNEL_NAME`{lang=properties} | Le nom de votre tunnel | `mon_tunnel` | +| `TUNNEL_PW`{lang=properties} | Un mot de passe fort généré aléatoirement | `iSzKRmP4VbnlsMvdSdgBEJiJi` | + +Une fois fait, déployez la stack. Cela prendra un peu de temps, vérifiez les logs, vous devriez arriver à `serveur ready` + +Une fois le conteneur en ligne, vérifiez dans cloudflare que votre tunnel est bien présent dans la section _Networks > Tunnels_ de [Cloudflare Zero Trust](https://one.dash.cloudflare.com/). Par défaut, l'ensemble des sous domaine sont redirigés vers le tunnel, sans avoir besoin de les déclarer [dans votre zone DNS](/generalites/dns). + +::alert{type="success"} +:::list{type="success"} +- __Astuce:__ si vous voulez exposer un service sans tunnel, vous pouvez toujours déclarer un enregistrement A [dans votre zone DNS](/generalites/dns). En cas de problème de résolution, désactivez la fonction _proxy_ pour cet enregistrement. Par exemple pour `sous.mondomaine.fr` +![dns](/img/serveex/cf-dns.png) +::: +:: + + +## Gérer plusieurs tunnels pour plusieurs serveurs +--- +Par défaut, l'ensemble des sous domaine de votre nom de domaine pointent vers le tunnel que vous avez créé. Mais si vous avez un second serveur, vous pouvez avoir un second tunnel en changeant seulement le nom de tunnel dans la configuration de l'instance swag de votre serveur. + +Vous devrez ensuite dans votre zone DNS rediriger les sous domaine souhaité vers le bon tunnel. Pour cela, faites comme suit. + +Rendez-vous dans dans la section _Networks > Tunnels_ de [Cloudflare Zero Trust](https://one.dash.cloudflare.com/). + +Notez les deux ID des tunnels + +![tunnels_id](/img/serveex/cf-tunnels-id.png) + +Rendez-vous à présent dans la section DNS de [cloudflare](https://dash.cloudflare.com/), après avoir cliqué sur le nom de domaine concerné. + +Cliquez sur `ajouter un enregistrement` et ajoutez deux enregistrements comme suit en ajoutant bien `.cfargotunnel.com` après vos id de tunnels. + +| Type | Nom | Cible | +|---------|----------------|-------------------------------------| +| `CNAME` | `sousdomaine1` | `votreiddetunnel1.cfargotunnel.com` | +| `CNAME` | `sousdomaine2` | `votreiddetunnel2.cfargotunnel.com` | + + + +Si vous avez de nombreux sous-domaines, vous pouvez déclarer un seul sous domaine par tunnel comme ci-dessus, puis déclarer vos autres sous domaine en les faisant pointer vers ces sous domaines de référence. + +Ainsi, en cas de changement d'id de tunnel, vous n'aurez qu'à le changer que pour un seul sous-domaine. +Par exemple : + +- Le serveur de `sousdomaine1` doit egalement etre la cible de sub1, et sub2 : + + | Type | Nom | Cible | + |---------|----------------|-------------------------------------| + | `CNAME` | `sub1` | `sousdomaine1` | + | `CNAME` | `sub2` | `sousdomaine1` | + +- Le serveur de `sousdomaine2` doit egalement etre la cible de sub3, et sub4 : + + | Type | Nom | Cible | + |---------|----------------|-------------------------------------| + | `CNAME` | `sub3` | `sousdomaine2` | + | `CNAME` | `sub4` | `sousdomaine2` | + diff --git a/content/1.serveex/3.securite/_dir.yml b/content/3.serveex/3.securite/_dir.yml similarity index 100% rename from content/1.serveex/3.securite/_dir.yml rename to content/3.serveex/3.securite/_dir.yml diff --git a/content/3.serveex/4.monitoring/1.uptime-kuma.md b/content/3.serveex/4.monitoring/1.uptime-kuma.md new file mode 100644 index 0000000..3a7ffc3 --- /dev/null +++ b/content/3.serveex/4.monitoring/1.uptime-kuma.md @@ -0,0 +1,192 @@ +--- +navigation: true +title: Uptime-Kuma +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Uptime-Kuma + +::alert{type="info"} +__Objectifs :__ +- Installer et déployer Uptime-Kuma +- Exposer Uptime Kuma +- (Optionnel) Protéger Uptime-Kuma avec Authentik +:: + +[Uptime-Kuma ](https://github.com/louislam/uptime-kuma)est un conteneur dédié au monitoring de services. Le principe est d'envoyer des requêtes régulières à vos services afin de déterminer s'ils sont en lignes ou non, et de vous alerter le cas échéant. Uptime-Kuma est développé par le meme développeur que Dockge. + +![picture](https://user-images.githubusercontent.com/1336778/212262296-e6205815-ad62-488c-83ec-a5b0d0689f7c.jpg) + +## Installation +--- +Structure des dossiers + +```console +root +└── docker + └── uptime-kuma + ├── date + └── compose.yaml +``` + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `uptime-kuma` puis copiez collez ceci : + +```yaml +version: "3.3" +services: + uptime-kuma: + image: louislam/uptime-kuma:1 + container_name: uptime-kuma + volumes: + - /docker/uptime-kuma/uptime-kuma-data:/app/data + ports: + - 3200:3001 # : + restart: always +``` +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + uptime-kuma: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + +Vous n'avez plus qu'à accéder à l'outil via `http://ipdevotreserveur:3200`. + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Exposer avec Swag +--- +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez le sous-domaine `stats.mondomaine.fr` avec un `CNAME` qui pointe vers `mondomaine.fr` dans votre [zone DNS](/generalites/dns). Et que bien sûr, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), le port `443` de votre box pointe bien sur le port `443` de votre serveur via [les règles NAT](/generalites/nat). +::: +:: + +Dans les dossiers de Swag, créez le fichier `stats.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce pour les allergiques au terminal :__ +vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/stats.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name stats.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app uptime-kuma; + set $upstream_port 3001; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Dans Dockge, modifiez la stack `Uptime-Kuma`, et ajoutez le réseau de swag. Pour rappel : + + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez protéger cette app avec Authentik en ouvrant `stats.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). Si vous souhaitez que la page publique de stats soit joignable par tout le monde sans authentification: +::: +- Editez le fournisseur d'Uptime-Kuma +- Dans *paramètres avancés du protocole > chemins authentifiés*, saisissez : + + ```properties + ^/$ + ^/status + ^/assets/ + ^/assets + ^/icon.svg + ^/api/.* + ^/upload/.* + ^/metrics +:: + +Déployez à nouveau la stack. + +Uptime-Kuma sera ainsi joignable directement depuis internet en tapant `https://stats.mondomaine.fr`. + + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Si vous utilisez Authentik et que vous ne craignez pas d'exposer votre panneau admin à votre réseau local, vous pouvez désactiver l'authentification d'Uptime-Kuma via les paramètres, afin de ne garder que celle d'Authentik. +::: +:: \ No newline at end of file diff --git a/content/3.serveex/4.monitoring/2.dozzle.md b/content/3.serveex/4.monitoring/2.dozzle.md new file mode 100644 index 0000000..8af3783 --- /dev/null +++ b/content/3.serveex/4.monitoring/2.dozzle.md @@ -0,0 +1,169 @@ +--- +navigation: true +title: Dozzle +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Dozzle + +::alert{type="info"} +__Objectifs :__ +- Installer Dozzle +- Exposer Dozzle avec Swag +:: + +[Dozzle](https://dozzle.dev/) est un conteneur permettant d'accéder au logs de vos conteneurs et de les afficher en temps réel de via une interface user-friendly. C'est une manière simple de naviguer entre les logs et de retrouver des informations dans l'historique. + +![Dozzle](https://blog.unixhost.pro/wp-content/uploads/2023/03/image-5.png) + +## Installation +--- +Structure des dossiers + +```console +root +└── docker + └── dozzle + └── data +``` + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `dozzle` puis copiez collez ceci : + +```yaml +version: "3" +services: + dozzle: + container_name: dozzle + image: amir20/dozzle:latest + ports: + - 9135:8080 + env_file: + - .env + environment: + - DOZZLE_AUTH_PROVIDER=simple + - DOZZLE_HOSTNAME=${DOMAIN} + volumes: + - /var/run/docker.sock:/var/run/docker.sock + - /docker/dozzle/data:/data +``` + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + dozzle: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + +Renseignez le `.env` votre nom de domaine, par exemple + +```properties +DOMAIN=dozzle.mondomaine.fr +``` + +Déployez le conteneur et rendez-vous sur `http://ipduserveur:9135`. Et voilà, votre instance Dozzle en webui est disponible ! + +## Exposer Dozzle avec Swag +--- +Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Dozzle via Swag. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `dozzle.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Dans Dockge ouvrez la stack `dozzle` et ajoutez le réseau de Swag. Pour rappel + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +Dans les dossiers de Swag, créez le fichier `dozzle.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/dozzle.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name dozzle.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app dozzle; + set $upstream_port 8080; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé Dozzle ! + +::alert{type="success"} +:::list{type="success"} +- Vous pouvez protéger cette app avec Authentik en ouvrant `dozzle.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: \ No newline at end of file diff --git a/content/1.serveex/4.monitoring/_dir.yml b/content/3.serveex/4.monitoring/_dir.yml similarity index 100% rename from content/1.serveex/4.monitoring/_dir.yml rename to content/3.serveex/4.monitoring/_dir.yml diff --git a/content/3.serveex/5.media/1.plex.md b/content/3.serveex/5.media/1.plex.md new file mode 100644 index 0000000..551ea71 --- /dev/null +++ b/content/3.serveex/5.media/1.plex.md @@ -0,0 +1,309 @@ +--- +navigation: true +title: Plex +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Plex + +::alert{type="info"} +__Objectifs :__ +- Installer Plex +- Installer Tautulli +- Accéder aux media depuis l'exterieur +:: + +[Plex](https://www.plex.tv/fr/) est une plateforme de streaming vidéo déployable chez vous, pour manager votre bibliothèque de films ou de série, et les lire en locale ou à distance. Plex dispose d'applications TV, Android, iOS, Window et Mac OS, permettant la lecture de vos bibliothèques, à la Netflix. + +Avec le *plexpass*, vous pouvez également organsier et lire vos contenus audio, à la spotify, la différence étant que c'est bien votre contenu qui est hébergé et lu depuis chez vous. + +![picture](/img/serveex/plex.png) + +On installera également [Tautulli](https://docs.linuxserver.io/images/docker-tautulli/), un outil qui permet d'avoir des stats poussées sur Plex. On utilisera, comme dès qu'on le peut, les images de linuxserver.io. + +- [Plus d'info sur le conteneur Plex](https://docs.linuxserver.io/images/docker-plex) +- [Plus d'info sur le conteneur Tautulli](https://docs.linuxserver.io/images/docker-tautulli/) + +::alert{type="info"} +:::list{type="info"} +- Vous serez amenés à creer un compte *Plex.tv*. Vous n'avez pas besoin d'exposer votre service Plex, il sera accessible directement par la plateforme. Votre serveur Plex sera gérable directement depuis votre compte. +::: +:: + +## Installer Plex +--- +Structure des dossiers : +```console +root +├── docker +│ ├── plex +│ │ ├── compose.yml +│ │ ├── .env +│ │ ├── config +│ │ └── transcode +│ └── tautulli +│ └── config +└── video + ├── tvseries + ├── movies + └── library +``` + +Ouvrez Dockge dans votre navigeateur, et cliquez sur `compose`. +Nommez la stack `plex` et ajoutez la config suivante : + +```yaml +version: "2.1" +services: + linuxserver_plex: + image: ghcr.io/linuxserver/plex:amd64-latest + container_name: plex + network_mode: host + environment: + - PUID=${PUID} + - PGID=${GUID} + - TZ=Europe/Paris + - VERSION=docker + volumes: + - /docker/plex/config:/config + - /docker/plex/transcode:/transcode + - /video/tvseries:/data/tvshows:ro + - /video/movies:/data/movies:ro + - /video/library:/data/library:ro + restart: unless-stopped + mem_limit: 4096m + mem_reservation: 2048m + devices: + - /dev/dri:/dev/dri + + tautulli: + image: lscr.io/linuxserver/tautulli:latest + container_name: tautulli + environment: + - PUID=${PUID} + - PGID=${GUID} + - TZ=Europe/Paris + volumes: + - /docker/tautulli/config:/config + ports: + - 8181:8181 + restart: unless-stopped +``` + +::alert{type="success"} +:::list{type="success"} +- Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour + ```yaml + services: + plex: + #... + labels: + - com.centurylinklabs.watchtower.enable=true + + tautulli: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +::: +:: + +Trouvez votre PUID et votre GUID en tapant la commande suivante : + +```shell +id nomdutilisateur +``` +Et renseignez le `.env` avec les infos que vous avez trouvées, par exemple : + +```properties +PUID=1000 +GUID=1000 +``` +Déployez la stack. + +L'interface locale est disponible via `http://ipduserveur:32400/web/index.html`. L'interface de Tautulli est joignable via `http://ipduserveur:8181`. + +::alert{type="warning"} +:::list{type="warning"} +- Vous devez impérativement être sur votre réseau local au moment du premier setup de Plex, sans quoi l'url vous renverra sur votre compte Plex sans detecter votre serveur. Un VPN ne vous sauvera pas. Si vous ne pouvez pas faire autrement, [vous pouvez gérer l'installation à distance via un tunnel SSH](https://support.plex.tv/articles/200288586-installation/#toc-2). +::: +:: + +## Paramétrer Plex +--- +Plex propose tout une gamme de film/série gratuitement. Après avoir créé votre compte, et pour ne pas polluer votre bibliothèque, je vous conseille de tout désactiver dans la section _Services en ligne_. + +Ensuite rendez-vous dans la section _Accès à distance_ et choisissez un port manuellement (ici cela sera `1234`). Il est préférable de ne pas garder le port d'origine. + +![picture](/img/serveex/plex-port.png) + +- Sur votre routeur, redirigez le port `TCP` source `1234` vers le port `32400`, vers l'IP de votre serveur via [les règles NAT](/generalites/nat). +- Une fois fait, retournez dans Plex afin de vérifier que la connexion est bien opérationnelle + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu et autorisez le port `32400` de votre serveur. +::: +:: + +- Si vous avez un abonnement PlexPass et un GPU ou iGPU, activez *l'accélération matérielle* dans la section _Transcodeur_. +- Dans la section _Réglages/bibliothèque_, cochez _Analyser ma bibliothèque automatiquement_. +- Dans la section _Gérer/bibliothèque_ modifiez ou ajouter les bibliothèque, et choisissez le répertoire `/data/movies` pour les films et `/data/tvshows` pour les séries. + +Et voilà, vous avez un Plex fonctionnel ! + +Vous n'avez plus qu'a remplir les dossiers `/video` et `/tvseries` sur votre serveur de vos média favoris. +Vous pourrez alors télécharger l'application Plex sur vos appareils et lire vos média favoris, chez vous ou à distance ! + +::alert{type="info"} +:::list{type="info"} +- Si pour stocker vos média vous utilisez un disque réseau (par exemple un stockage sur un NAS ou un disque dur externe branché ailleurs sur le réseau), veuillez consulter la section [montage samba](/generalites/samba) afin que Plex puisse y accéder. +::: +:: + +## Exposer Tautulli avec Swag +--- +Plex n'a pas besoin d'etre exposé, étant joignable directement depuis votre compte Plex sur plex.tv. + +En revanche, vous pouvez désirer exposer Tautulli, afin d'accéder aux stats même si vous n'est pas chez vous, depuis une simple url. +::alert{type="info"} +:::list{type="info"} +- Nous partons du principe que vous avez le sous-domaine `tautulli.mondomaine.fr` avec un `CNAME` qui pointe vers `mondomaine.fr` dans [zone DNS](/generalites/dns). Et que bien sûr, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), le port `443` de votre box pointe bien sur le port `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Ouvrez Dockge et ajoutez le réseau de swag au conteneur de Tautulli dans la conf de la stack Plex. Rappel sur comment ajouter un réseau pré-existant : + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + +Puis déployez à nouveau la stack. + +Copiez en renommant le fichier `tautulli.subdomain.conf.sample` en `tautulli.subdomain.conf` et éditez le : + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo cp /docker/swag/config/nginx/proxy-confs/tautulli.subdomain.conf.sample /docker/swag/config/nginx/proxy-confs/tautulli.subdomain.conf +sudo vi /docker/swag/config/nginx/proxy-confs/tautulli.subdomain.conf +``` + +Et vérifiez que la configuration correspond bien à ceci, sion éditez le fichier en appuyant sur `i`: + +```nginx +## Version 2023/05/31 +# make sure that your tautulli container is named tautulli +# make sure that your dns has a cname set for tautulli + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name tautulli.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app tautulli; + set $upstream_port 8181; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/tautulli)?/api { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app tautulli; + set $upstream_port 8181; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/tautulli)?/newsletter { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app tautulli; + set $upstream_port 8181; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/tautulli)?/image { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app tautulli; + set $upstream_port 8181; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +::alert{type="success"} +:::list{type="success"} +- Vous pouvez protéger cette app avec Authentik en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: + +Appuyez sur `Echap` puis sauvegardez et quittez en tappant `:x` + +Patientez quelques minutes puis tapez dans votre navigateur `http://tautulli.mondomaine.fr`. + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +Et voilà ! \ No newline at end of file diff --git a/content/3.serveex/5.media/2.qbittorrent.md b/content/3.serveex/5.media/2.qbittorrent.md new file mode 100644 index 0000000..c462525 --- /dev/null +++ b/content/3.serveex/5.media/2.qbittorrent.md @@ -0,0 +1,303 @@ +--- +navigation: true +title: Qbittorrent +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Qbittorrent + +::alert{type="info"} +__Objectifs :__ +- Installer et configurer Qbittorent +- Etre relié au réseau bittorent en toute sécurité avec Gluetun et Proton VPN +:: + +![Picture](https://github.com/VueTorrent/VueTorrent/blob/master/public/screenshots/screenshot-desktop-dark-mode.jpeg?raw=true) + +Afin de téléchargez vos media favoris en toute sécurité, nous allons monter un système à base de : + +- [Qbittorent](https://github.com/linuxserver/docker-qbittorrent) comme logiciel de téléchargement bittorent +- [Proton VPN Plus](https://protonvpn.com/torrenting), VPN pour sécuriser vos échanges, auquel vous devez souscrire (il y a de nombreux codes promo) pour accéder au protocole Bittorent, mais vous pouvez également en choisir un autre, à condition qu'il propose le protocole bittorent. +- [Gluetun](https://github.com/qdm12/gluetun) +- [Qbittorent port update](https://codeberg.org/TechnoSam/qbittorrent-gluetun-port-update) pour mettre automatiquement à jour le port de votre VPN (qui change régulièrement). +- Et le mode [vuetorrent](https://github.com/gabe565/linuxserver-mod-vuetorrent) pour une interface moderne et intuitive. + +Nous monterons ici le système ci-dessous : + +![Picture](/img/serveex/qbit.svg) + +## Configuration +--- +Structure des dossiers + +```console +root +├── docker +│ └── seedbox +│ ├── qbittorent +│ │ └── config +│ ├── gluetun +│ ├── downloads #vos téléchargements génériques +│ ├── compose.yaml +│ └── .env +└── video #relié à plex + ├── movies #à selectionner dans l'interface pour télécharger vos films + └── tvseries #à selectionner dans l'interface pour télécharger vos séries +``` +Ouvrez Dockge, cliquez sur `compose` et nommez la stack `seedbox`. Collez la config ci-dessous : + +```yaml +version: "2.1" +services: + qbit: + image: ghcr.io/linuxserver/qbittorrent:latest + container_name: qbittorrent + restart: unless-stopped + network_mode: service:gluetun + mem_limit: 1g + environment: + - TZ=Europe/Paris + - PUID=${PUID} + - PGID=${GUID} + - WEBUI_PORT=${UI_PORT} + - DOCKER_MODS=ghcr.io/gabe565/linuxserver-mod-vuetorrent + volumes: + - /docker/seedbox/qbittorrent/config:/config + - /docker/seedbox/downloads:/downloads + - /video/movies:/movies + - /video/tvseries:/tvseries + depends_on: + - gluetun + + gluetun: + image: qmcgaw/gluetun:v3.38 + container_name: gluetun + restart: unless-stopped + mem_limit: 1g + volumes: + - /docker/seedbox/gluetun:/gluetun + ports: + - ${UI_PORT}:5695 # Port de la web-ui + - 8000:8000 # Port de controle de Gluetun + cap_add: + - NET_ADMIN + environment: + - TZ=Europe/Paris + - VPN_SERVICE_PROVIDER=custom + - VPN_TYPE=wireguard + - VPN_ENDPOINT_IP=${IP} + - VPN_ENDPOINT_PORT=${PORT} + - WIREGUARD_PUBLIC_KEY=${PU_KEY} + - WIREGUARD_PRIVATE_KEY=${PR_KEY} + - WIREGUARD_ADDRESSES=${IP_MASK} + - VPN_PORT_FORWARDING=on + - VPN_PORT_FORWARDING_PROVIDER=protonvpn + - UPDATER_PERIOD=6h + - BLOCK_MALICIOUS=off + - BLOCK_SURVEILLANCE=off + - BLOCK_ADS=off + - DOT=off + - HEALTH_VPN_DURATION_INITIAL=20s + - HEALTH_VPN_DURATION_ADDITION=15s + - HEALTH_SUCCESS_WAIT_DURATION=10s + + qbittorrent-port-update: + image: technosam/qbittorrent-gluetun-port-update:latest + container_name: qbittorrent_port_update + network_mode: service:gluetun + environment: + - QBITTORRENT_WEBUI_PORT=${UI_PORT} + - QBITTORRENT_WEBUI_USERNAME=${ID} + - QBITTORRENT_WEBUI_PASSWORD=${PW} + restart: unless-stopped + depends_on: + - gluetun +``` + + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + qbittorent: + #... + labels: + - com.centurylinklabs.watchtower.enable=true + gluetun: + #... + labels: + - com.centurylinklabs.watchtower.enable=true + qbittorrent-port-update: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + +Et renseignez dans `.env`: + +```properties +PUID= +GUID= +IP= +PORT= +UI_PORT= +PU_KEY= +PR_KEY= +IP_MASK= +ID= +PW= +``` + +En détails : + +| Variable | Valeur | Exemples | +|-----------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------|------------------------------| +| `PUID`{lang=properties} | A renseigner avec les infos de votre user (trouvables via la commande `id nomdutilisateur`{lang=shell}) | `1000` | +| `GUID`{lang=properties} | A renseigner avec les infos de votre user (trouvables via la commande `id nomdutilisateur`{lang=shell}) | `1000` | +| `IP`{lang=properties} | l'IP du endpoint de Proton, fournie par Proton. Les serveurs les plus performants étant en Suisse, je vous conseille d'en sélectionner un là bas. | `123.45.67.89` | +| `PORT`{lang=properties} | Le port de Wireguard, ici `51820` pour Proton | `51820` | +| `UI_PORT={lang=properties} | Le port d'accès à la web ui, elle sera joignable via `http//ipduserveur:port` | `5695` | +| `PU_KEY`{lang=properties} | La clée publique fournie par Proton | `aNhcz1l3JfWbFZo2XMpzQlP2iOqk` | +| `PR_KEY`{lang=properties} | La clée privée fournie par Proton | `buKsjNHLyzKMM1qYnzOy4s7SHfly` | +| `IP_MASK`{lang=properties} | L'IP fournie par Proton et son masque | `10.2.0.2/32` | +| `ID`{lang=properties} | Nom d'utilisateur que vous devrez reporter ensuite dans l'interface de Qbittorent. Attention à bien renseigner la meme chose dans Qbittorent. | `monuser` | +| `PW`{lang=properties} | Mot de passe que vous devrez reporter ensuite dans l'interface de Qbittorent. Attention à bien renseigner la meme chose dans Qbittorent. | `monmotdepasse` | + +## Déploiement +--- +Une fois fait, déployez le conteneur. + + +::alert{type="warning"} +:::list{type="warning"} +- **Dans les logs de lancement, vous trouverez un mot de passe temporaire pour l'utilisateur `admin`** +::: +:: + +Loggez vous sur `http://ipduserveur:5695` (ou le port que vous avez configuré). + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +Changez votre nom d'utilisateur et votre mot de passe par ceux que vous avez configuré dans le `.env` + +Relancez la stack afin de vous assurer que le conteneur qui met à jour le port s'est bien connecté avec vos identifiants + +Et voilà ! Lorsque vous lancez un téléchargement, n'oubliez pas de préciser le bon répertoire de téléchargement afin que Plex puisse synchroniser correctement sa bibliothèque. + +## Exposer la webui +--- +Afin de lancer des téléchargement hors de chez vous, sans VPN, vous pouvez exposer la webui de Qbittorent. + +::alert{type="info"} +:::list{type="info"} +- Nous partons du principe que vous avez le sous-domaine `seedbox.mondomaine.fr` avec un `CNAME` qui pointe vers `mondomaine.fr` dans [zone DNS](/generalites/dns). Et que bien sûr, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), le port `443` de votre box pointe bien sur le port `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Pour cela, ajoutez le réseau de swag à gluetune via Dockge en ajoutant manuellement comme dans cet exemple : + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + + +Puis nous allons créer et éditer le fichier `seedbox.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/seedbox.subdomain.conf +``` + +Entrez en modification en appuyant sur `i` et copiez la configuration ci-dessous, en prenant soin de vérifier le port : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name seedbox.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app gluetun; + set $upstream_port 5555; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` +::alert{type="success"} +:::list{type="success"} +- Vous pouvez protéger cette app avec Authentik en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x`. + +Patientez quelques minutes puis tapez dans votre navigateur `https://seedbox.mondomaine.fr`, vous arriverez sur l'interface de Qbittorent. + +Et voilà, vous avez un mediacenter pret à l'emploi ! + +![Picture](/img/serveex/seed.svg) diff --git a/content/1.serveex/5.media/_dir.yml b/content/3.serveex/5.media/_dir.yml similarity index 100% rename from content/1.serveex/5.media/_dir.yml rename to content/3.serveex/5.media/_dir.yml diff --git a/content/3.serveex/6.cloud/1.immich.md b/content/3.serveex/6.cloud/1.immich.md new file mode 100644 index 0000000..4442bd8 --- /dev/null +++ b/content/3.serveex/6.cloud/1.immich.md @@ -0,0 +1,172 @@ +--- +navigation: true +title: Immich +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Immich + +::alert{type="info"} +__Objectifs :__ installer [Immich](https://immich.app/docs/overview/introduction) pour gérer vos photos sur tout vos appareils. +:: + +[Immich](https://immich.app/docs/overview/introduction) est une solution de gestion de photos et de vidéos que vous pouvez installer directement sur votre serveur. Cette solution remplace les clouds type Google Photo ou iCloud. Elle dispose de nombreuse fonctionnalités comme la reconnaissance de visage ou la géolocalisation. + +![Picture](/img/serveex/immich.png) + +## Installation +--- +Structure des dossiers + +```console +root +└── docker + └── immich + ├── library + ├── compose.yaml + └── .env +``` + + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `immich` puis copiez collez le contenu du dernier `docker-compose.yml` [publié ici](https://github.com/immich-app/immich/blob/main/docker/docker-compose.yml). Ajoutez le réseau de swag dans chaque conteneur. Rappel sur comment ajouter un réseau pré-existant : + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + + +::alert{type="warning"} +:::list{type="warning"} +- __Attention__ : n'ajoutez pas le label de Watchtower. Immich étant une solution en perpetuelle évolution, des mises à jour automatiques risqueraient de casser votre installation. +::: +:: + +Configurer le `.env` en copiant collant le contenu de la dernière version [publiée ici](https://github.com/immich-app/immich/blob/main/docker/example.env) et suivez les commentaires indiqués dans le fichier. + + +::alert{type="info"} +:::list{type="info"} +- Si vous avez un NAS ou un disque réseau partagé via [samba](/generalites/samba/) pour stocker vos données, remplacez la valeur de `UPLOAD_LOCATION`{lang=properties} par le chemin d'accès de votre dossier partagé. +::: +:: + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ si votre CPU/iGPU/GPU le supporte, Immich permet d'utiliser l'accélération matérielle pour lire les vidéos ou pour la reconnaissance d'images. Ces fonctionnalités peuvent tripler les performances d'Immich. Plus d'infos sur le [Transcoding](https://immich.app/docs/features/hardware-transcoding/) et sur le [Machine learning](https://immich.app/docs/features/ml-hardware-acceleration). +::: +:: + +Déployez le conteneur. + +Et voilà, vous pouvez vous connecter et suivre les instructions sur `http://ipduserveur:2283` + +## Exposer Immich avec Swag +--- +Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Immich via Swag. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez le sous-domaine `immich.mondomaine.fr` avec un `CNAME` qui pointe vers `mondomaine.fr` dans votre [zone DNS](/generalites/dns). Et que bien sûr, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), le port `443` de votre box pointe bien sur le port `443` de votre serveur via [les règles NAT](/generalites/nat). +::: +:: + +Dans les dossiers de Swag, créez le fichier `immich.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/immich.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name immich.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app immich_server; + set $upstream_port 3001; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/immich)?/api { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app immich_server; + set $upstream_port 3001; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé Immich ! N'oubliez pas d'installer les applications [iOS](https://apps.apple.com/us/app/immich/id1613945652)/[Android](https://play.google.com/store/apps/details?id=app.alextran.immich) afin de synchroniser vos appareils. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Vous pouvez protéger cette app avec Authentik de façon native en [suivant ces instructions](https://docs.goauthentik.io/integrations/services/immich/). +::: +:: diff --git a/content/3.serveex/6.cloud/2.nextcloud.md b/content/3.serveex/6.cloud/2.nextcloud.md new file mode 100644 index 0000000..5ec11ac --- /dev/null +++ b/content/3.serveex/6.cloud/2.nextcloud.md @@ -0,0 +1,195 @@ +--- +navigation: true +title: Nextcloud +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Nextcloud + +::alert{type="info"} +__Objectifs :__ installer [Nextcloud](https://nextcloud.com/) pour gérer vos photos sur tout vos appareils. +:: + +[Nextcloud](https://nextcloud.com/) est une solution qui vous permet d'accéder à vos données sur tout vos appareils, et de les synchroniser. Nexctloud dispose également de fonctionnalités de collaboration, de calendrier et bien d'autres. Cette solution remplace des solutions du type Google Drive, iCloud, ou encore OneDrive. + +![Picture](/img/serveex/nextcloud.png) + +## Installation +--- +::alert{type="info"} +:::list{type="info"} +- Nous utiliserons l'image docker maintenue par [LinuxServer.io](https://docs.linuxserver.io/images/docker-nextcloud/) +::: +:: + +Structure des fichiers + +```console +root +└── docker + └── nextcloud + ├── config + ├── data + ├── compose.yaml + └── .env +``` + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `nextcloud` puis copiez collez ceci : + +```yaml +--- +services: + nextcloud: + image: lscr.io/linuxserver/nextcloud:latest + container_name: nextcloud + environment: + - PUID=${PUID} + - PGID=${GUID} + - TZ=Etc/UTC + volumes: + - /docker/nextcloud/config:/config + - /docker/nextcloud/data:/data + ports: + - ${PORT}:443 + restart: unless-stopped +``` + +::alert{type="info"} +:::list{type="info"} +- Si vous avez un NAS ou un disque réseau partagé via [samba](/generalites/samba) pour stocker vos données, remplacez `/docker/nextcloud/data` par le chemin d'accès de votre dossier partagé. +::: +:: + +Trouvez votre `PUID` et votre `GUID` en tapant la commande suivante : + +```shell +id nomdutilisateur +``` +Et renseignez le `.env` avec le port souhaité, et les infos que vous avez trouvées, par exemple : + +```properties +PUID=1000 +GUID=1000 +PORT=4545 +``` + +Déployez la stack et rendez-vous sur `http://ipduserveur:4545` et suivez les instructions. + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Exposer Nextcloud avec Swag +--- +Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Nextcloud via Swag. + +::alert{type="info"} +:::list{type="info"} +- Nous partons du principe que vous avez le sous-domaine `nextcloud.mondomaine.fr` avec un `CNAME` qui pointe vers `mondomaine.fr` dans votre [zone DNS](/generalites/dns). Et que bien sûr, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), le port `443` de votre box pointe bien sur le port `443` de votre serveur via [les règles NAT](/generalites/nat). +::: +:: + +Dans Dockge, modifiez la stack `netxcloud`, et ajoutez le réseau de swag. Pour rappel : + + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + +Dans les fichiers de nextcloud, éditez le fichier `config.php`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/nextcloud/config/www/nextcloud/config/config.php +``` + +Entrez en modification avec la touche `i` et copiez les informations suivantes __avant__ `);`. + +```js +'trusted_proxies' => [gethostbyname('swag')], 'overwrite.cli.url' => 'https://nextcloud.example.com/', +'overwritehost' => 'nextcloud.example.com', +'overwriteprotocol' => 'https', +``` + +Ajoutez également votre nom de domaine dans la section `array` , cela devrait ressembler à ceci +```js + array ( + 0 => '192.168.0.1:444', # Cette ligne est surement différente chez vous, ne la modifiez pas ! + 1 => 'nextcloud.mondomaine.fr', # Renseignez votre domaine + ), +``` +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Dans les dossiers de Swag, créez le fichier `nextcloud.subdomain.conf`. + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/nexctloud.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2024/04/25 +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name nextcloud.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + location / { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app nextcloud; + set $upstream_port 443; + set $upstream_proto https; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + # Hide proxy response headers from Nextcloud that conflict with ssl.conf + # Uncomment the Optional additional headers in SWAG's ssl.conf to pass Nextcloud's security scan + proxy_hide_header Referrer-Policy; + proxy_hide_header X-Content-Type-Options; + proxy_hide_header X-Frame-Options; + proxy_hide_header X-XSS-Protection; + + # Disable proxy buffering + proxy_buffering off; + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé Nextcloud ! Et n'oubliez pas d'installer [les applications pour ordinateurs et mobiles](https://nextcloud.com/fr/install/). + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Vous pouvez protéger cette app avec Authentik de façon native en [suivant ces instructions](https://docs.goauthentik.io/integrations/services/nextcloud/). +::: +:: \ No newline at end of file diff --git a/content/1.serveex/6.cloud/_dir.yml b/content/3.serveex/6.cloud/_dir.yml similarity index 100% rename from content/1.serveex/6.cloud/_dir.yml rename to content/3.serveex/6.cloud/_dir.yml diff --git a/content/3.serveex/7.development/1.code-server.md b/content/3.serveex/7.development/1.code-server.md new file mode 100644 index 0000000..fac6874 --- /dev/null +++ b/content/3.serveex/7.development/1.code-server.md @@ -0,0 +1,223 @@ +--- +navigation: true +title: Code-Serveur +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Code-Server + +::alert{type="info"} +__Objectifs :__ +- Installer code-server +- Monter des dossiers dans vscode +- Exposer code-server avec Swag +:: + +[code-server](https://github.com/linuxserver/docker-code-server) est un conteneur permettant d'accéder à [vscode](https://code.visualstudio.com/) en web-ui dans un environnement linux. C'est littéralement vscode et vos projets directement dans votre poche, disponibles partout. + +![code-server](https://github.com/coder/code-server/raw/main/docs/assets/screenshot-2.png) + +## Installation +--- +::alert{type="info"} +:::list{type="info"} +- Pour cette installation nous utiliserons [l'image maintenue par LinuxServer.io](https://docs.linuxserver.io/images/docker-code-server/). +::: +:: + +Structure des dossiers + +```console +root +├── docker +│ └── code-server +│ └── config +└── #n'importe quel dossier à monter dans vscode +``` + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `code-server` puis copiez collez ceci : + +```yaml +services: + code-server: + image: lscr.io/linuxserver/code-server:latest + container_name: code-server + environment: + - PUID=${PUID} + - PGID=${GUID} + - TZ=Etc/UTC + - HASHED_PASSWORD=${PW} + volumes: + - /docker/code-server/config:/config + # ajoutez vos dossier à monter dans vscode + # - /chemin/vers/dossier:/dossier + ports: + - 8443:8443 + restart: unless-stopped +``` + +::alert{type="success"} +:::list{type="success"} +- Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +:: + ```yaml + services: + code-server: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + +Choisissez un mot de passe et générez un hash + +```shell +echo -n "votremotdepasse" | npx argon2-cli -e +``` + +Notez précieusement le résultat. Trouvez votre PUID et votre GUID en tapant la commande suivante : + +```shell +id nomdutilisateur +``` + +Et renseignez le `.env` avec les infos que vous avez trouvées, par exemple : + +```properties +PW='$argon2i$v=19$m=4096,t=3,p=1$wST5QhBgk2lu1ih4DMuxvg$LS1alrVdIWtvZHwnzCM1DUGg+5DTO3Dt1d5v9XtLws4' +PUID=1000 +GUID=1000 +``` + +::alert{type="warning"} +:::list{type="warning"} +- __Attention :__ Pensez à mettre un guillemet simple `'`au debut et à la fin du hash +::: +:: + +Déployez le conteneur et rendez-vous sur `http://ipduserveur:8443`. Et voilà, votre instance code-server en webui est disponible ! + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Monter des dossiers +--- +Vous pouvez monter les dossiers à partager dans vscode en ajoutant les volumes concernés dans le compose.yaml (ou via dockge), et en redéployant le conteneur. + +```yaml +services: + code-server: + #... + volumes: + - /chemin/vers/dossier:/dossier +``` +Une fois dans vscode, vous pourrez accéder au dossier. + +## Exposer code-server avec Swag +--- +Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer coder-server via Swag. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ Nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `code.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Dans Dockge ouvrez la stack `code-server` et ajoutez le réseau de Swag. Pour rappel + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + +Dans les dossiers de Swag, créez le fichier `code.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/code.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name code.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app code-server; + set $upstream_port 8443; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé code-server ! + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Vous pouvez protéger cette app avec Authentik en ouvrant `code.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}.N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: \ No newline at end of file diff --git a/content/3.serveex/7.development/2.gitea.md b/content/3.serveex/7.development/2.gitea.md new file mode 100644 index 0000000..282c20f --- /dev/null +++ b/content/3.serveex/7.development/2.gitea.md @@ -0,0 +1,199 @@ +--- +navigation: true +title: Gitea +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Gitea + +::alert{type="info"} +__Objectifs :__ +- Installer Gitea +- Exposer Gitea avec Swag +:: + +[Gitea](https://https://about.gitea.com/) est une plateforme DevOps, permettant de gérer des dépots, à la manière de GitHub mais chez vous en selfhost. + +![gitea](https://about.gitea.com/img/home-screenshot.png) + +## Installation +--- +Structure des dossiers + +```console +root +└── docker + └── gitea + └── data +``` + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `gitea` puis copiez collez ceci : + +```yaml +version: "3" +networks: + gitea: + external: false +services: + server: + image: gitea/gitea:1.22.0 + container_name: gitea + environment: + - USER_UID=${UID} + - USER_GID=${GID} + - TZ=Europe/Paris + restart: unless-stopped + networks: + - gitea + volumes: + - ./data:/data + ports: + - 3333:3000 + - 222:22 +``` +Et renseignez le `.env` avec les infos que vous avez trouvées, par exemple : + +```properties +UID=1000 +GID=1000 +``` + +Déployez le conteneur et rendez-vous sur `http://ipduserveur:3333`. Et voilà, votre instance Gitea est disponible ! + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Exposer Gitea avec Swag +--- +Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Gitea via Swag. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `gitea.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Dans Dockge ouvrez la stack `gitea` et ajoutez le réseau de Swag. Pour rappel + + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + +Dans les dossiers de Swag, créez le fichier `gitea.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/gitea.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name gitea.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app gitea; + set $upstream_port 3000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/gitea)?/info/lfs { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app gitea; + set $upstream_port 3000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Ouvrez le fichier `app.ini` dans les fichiers du conteneur + +```shell +sudo vi /docker/gitea/data/gitea/conf/app.ini +``` + +Entrez en modification avec la touche `i` et et modifiez la section serveur avec les infos de votre domaine + +```properties +[server] +DOMAIN = gitea.mondomaine.fr +SSH_DOMAIN = gitea.mondomaine.fr +ROOT_URL = https://gitea.mondomaine.fr/ +``` +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Relancez le conteneur. + +Et voilà, vous avez exposé Gitea ! + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Vous pouvez protéger cette app avec Authentik de façon native en [suivant ces instructions](https://docs.goauthentik.io/integrations/services/gitea/). +::: +:: diff --git a/content/3.serveex/7.development/3.it-tools.md b/content/3.serveex/7.development/3.it-tools.md new file mode 100644 index 0000000..ec2f6dc --- /dev/null +++ b/content/3.serveex/7.development/3.it-tools.md @@ -0,0 +1,161 @@ +--- +navigation: true +title: IT-Tools +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# IT Tools + +::alert{type="info"} +__Objectifs :__ +- Installer IT-Tools +- Exposer IT Tools avec Swag +:: + +[IT Tools](https://github.com/CorentinTh/it-tools) est un conteneur exposant une page web permettant d'accéder à un grand nombre d'outil de développement. + +![IT Tools](/img/serveex/it-tools.png) + +## Installation +--- + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `it-tools` puis copiez collez ceci : + +```yaml +version: "3.3" +services: + it-tools: + container_name: it-tools + restart: unless-stopped + image: corentinth/it-tools:latest + ports: + - 3222:80 +``` + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + it-tools: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + + +Déployez le conteneur et rendez-vous sur `http://ipduserveur:3222`. Et voilà, votre instance IT Tools en webui est disponible ! + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Exposer IT Tools avec Swag +--- +Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer IT Tools via Swag. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `tools.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Dans Dockge ouvrez la stack `tools` et ajoutez le réseau de Swag. Pour rappel + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + +Dans les dossiers de Swag, créez le fichier `tools.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/tools.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name tools.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app it-tools; + set $upstream_port 80; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé it-tools ! + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Vous pouvez protéger cette app avec Authentik en ouvrant `tools.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: \ No newline at end of file diff --git a/content/1.serveex/7.development/_dir.yml b/content/3.serveex/7.development/_dir.yml similarity index 100% rename from content/1.serveex/7.development/_dir.yml rename to content/3.serveex/7.development/_dir.yml diff --git a/content/3.serveex/8.apps/1.file-browser.md b/content/3.serveex/8.apps/1.file-browser.md new file mode 100644 index 0000000..4b0976c --- /dev/null +++ b/content/3.serveex/8.apps/1.file-browser.md @@ -0,0 +1,156 @@ +--- +navigation: true +title: File Browser +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# File Browser + +::alert{type="info"} +__Objectifs :__ +- Installer File Browser +- Exposer File Browser avec Swag +:: + +[File Browser](https://github.com/filebrowser/filebrowser) est une interface permettant d'accéder aux fichiers de votre serveur et de les éditer. + +![File Browser](/img/serveex/filebrowser.png) + +## Installation +--- +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `filebrowser` puis copiez collez ceci : + +```yaml +services: + filebrowser: + container_name: filebrowser + volumes: + - /:/srv + - /docker/filebrowser/config:/config/ + # - /chemin/vers/vos/dossiers:/vosdossiers + ports: + - 8010:80 + image: filebrowser/filebrowser:s6 +``` + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + filebrowser: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + + +Déployez le conteneur et rendez-vous sur `http://ipduserveur:8010`. Et voilà, votre instance File Browser en webui est disponible ! + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Exposer File Browser avec Swag +--- +Vous aurez peut-etre envie d'y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer IT Tools via Swag. + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `files.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Dans Dockge ouvrez la stack `filebrowser` et ajoutez le réseau de Swag. Pour rappel + + +```yaml +services: + nomduservice: + container_name: #... + # ... + networks: # Relie le conteneur au réseau custom. A faire pour chaque conteneur à exposer de la stack + - swag # Nom du réseau déclaré dans la stack + +networks: # Défini le réseau custom + swag: # Nom du réseau déclaré dans la stack + name: swag_default # Nom véritable du réseau externe + external: true # Précise que c'est un réseau à rechercher en externe +``` + +::alert{type="info"} +:::list{type="info"} +- Ici nous partons du principe que le nom du réseau de Swag est `swag_default`. +::: +:: + +Dans les dossiers de Swag, créez le fichier `files.subdomain.conf`. + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/files.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +## Version 2023/12/19 + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name files.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app filebrowser; + set $upstream_port 80; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé File Browser ! +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez protéger cette app avec Authentik en ouvrant `files.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: \ No newline at end of file diff --git a/content/3.serveex/8.apps/2.adguard.md b/content/3.serveex/8.apps/2.adguard.md new file mode 100644 index 0000000..4d0919b --- /dev/null +++ b/content/3.serveex/8.apps/2.adguard.md @@ -0,0 +1,294 @@ +--- +navigation: true +title: Adguard Home +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Adguard Home + +::alert{type="info"} +__Objectifs :__ +- Installer et déployer Adguard +- Exposer Adguard +- Sécuriser les requêtes avec SSL/TLS +- Configurer les appareils clients +:: + +[AdGuard Home](https://github.com/AdguardTeam/AdGuardHome) est un serveur DNS anti-pub et anti-traçage qui fonctionne au niveau du système. Une fois configuré, il couvrira TOUS vos appareils domestiques et vous n'aurezbesoin d'aucun logiciel côté client pour cela. + +Il fonctionne comme un serveur DNS qui redirige les domaines de suivi vers un «black hole», empêchant ainsi vos appareils de se connecter à ces serveurs. + +En pratique, une fois en place, il vous faudra juste configurer les serveurs DNS de vos appareils, pour que ces derniers l'utilisent. + +**Rappel sur le fonctionnement d'un DNS :** + +Lorsque vous naviguez sur un site, ou une application, des requêtes sont émises vers un ou des domaines afin d'afficher le contenu de votre page. Les publicités notamment. Votre appareil ne connait pas les adresses IP de ces serveurs à joindre. Pour les connaitre, il va contacter un _serveur de nom_ (Domain Name Server) qui lui va lui répondre avec l'adresse IP la plus à jour pour le domaine de la requête. + +Par défaut, votre appareil utilise le serveur votre fournisseur d'accès, paramétré dans votre box ou directement sur le CGNAT de votre opérateur si appareil mobile. Cela peut etre changé directement dans les réglages de votre navigateur, mais aussi dans le système de votre appareil, et parfois directement dans votre box si votre FAI le permet. + +Adguard lui, va s'intercaler entre le serveur de nom et votre appareil. Si vous paramétrez vos appareil, ils contacteront d'abord adguard qui filtrera les requetes, via des listes régulièrement mises à jour : + +- Si le domaine n'est pas dans une blocklist, il contactera des serveurs de noms génériques (dit upstreams) et répondra vers vos appareils avec l'adresse IP recherchée. +- Si le domaine est dans une blocklist, il ne contactera pas les DNS upstream et ne répondre pas à vos appareils. Le contenu affilié à cette requete ne s'affichera pas. + +C'est ainsi que les pubs et domaines malveillants sont bloqués : leurs domaines sont présents dans la blocklist, le reste de la page lui charge correctement. + +![Picture](/img/serveex/adguard.svg) +## Installation +--- +Structure des dossiers : + +```console +root +└── docker + └── adguard + ├── confdir + ├── workdir + ├── compose.yaml + └── .env +``` + +::alert{type="info"} +:::list{type="info"} +- Nous monterons aussi le dossier `/docker/swag/config/etc/letsencrypt` afin d'avoir accès au certificat SSL de Swag. +::: +:: + +Ouvrez Dockge, et cliquez sur `compose` + +Nommez la stack `adguard` et copiez la configuration ci-dessous + +```yaml +version: "2" +services: + + adguardhome: + container_name: adguard + image: adguard/adguardhome + restart: unless-stopped + ports: + - 53:53/udp + - 8080:80/tcp + - 4443:443/tcp + - 853:853/tcp + - 3000:3000/tcp + volumes: + - /docker/adguardhome/confdir:/opt/adguardhome/conf + - /docker/adguardhome/workdir:/opt/adguardhome/work + - /docker/swag/config/etc/letsencrypt:/swag-ssl:ro + networks: + - swag + +networks: + swag: + name: swag_default + external: true +``` +::alert{type="info"} +:::list{type="info"} +- Nous avons ajouté le réseau de Swag afin que les deux puissent communiquer ensemble. Assurez-vous que le nom du réseau soit correct. Ici nous partons du principe qu'il se nomme `swag_default` +::: +:: + + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + adguardhome: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + +Déployez la stack. + +Rendez-vous sur `http//ipduserveur:3000` et suivez les instructions + +Et voilà, vous avez déployé Adguard ! + +## Exposer Adguard avec Swag +--- +Pour être utilisable hors de chez vous, vous devez exposer Adguard + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `adguard.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). Redirigez également le port `53` et le port `853` vers votre serveur. Ces ports serviront à router les requêtes DNS. +::: +:: + +::alert{type="warning"} +:::list{type="warning"} +- N'utilisez pas les tunnels cloudflare pour exposer Adguard, et désactivez tout proxy. +::: +:: + +Créez et ouvrez le fichier `adguard.subdomain.conf` + +::alert{type="success"} +:::list{type="success"} +- __Astuce pour les allergiques au terminal :__ +vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/adguard.subdomain.conf +``` + +Editez le fichier en appuyant sur `i` puis copiez la configuration ci-dessous : + +```nginx +## Version 2023/05/31 +# make sure that your adguard container is named adguard +# make sure that your dns has a cname set for adguard + +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name adguard.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 0; + + #if ($lan-ip = yes) { set $geo-whitelist yes; } + #if ($geo-whitelist = no) { return 404; } + if ($geo-blacklist = no) { return 404; } + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app adguard; + set $upstream_port 3000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location /control { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app adguard; + set $upstream_port 3000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location /dns-query { + # to properly use this please set `allow_unencrypted_doh: true` and `force_https: false` in adguard + # see https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#configuration-file + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app adguard; + set $upstream_port 3000; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} + +``` + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez protéger cette app avec Authentik en ouvrant `adguard.subdomain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. n'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik/#protéger-une-app-par-reverse-proxy). Il vous faudra exclure l'url https://adguard.mondomaine.fr/dns-query de l'authentification : +::: + - Editez le fournisseur d'Adguard + - Dans *paramètres avancés du protocole > chemins authentifiés*, saisissez `^/dns-query` +:: + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` + +Et voilà, vous exposez Adguard à présent ! + +## Configurer le chiffrement SSL/TLS +--- +Le chiffrement est essentiel si vous souhaitez garder privées les requêtes que vous faites vers adguard. Chiffrer ces requêtes c'est vous assurez que personne, meme votre FAI ne connaissent votre historique. C'est aussi vous assurer que personne d'autre que votre serveur vous répond. + +Afin de configurer le chiffrement : + +- Allez dans _paramètre_ puis dans _chiffrement_. +- Parametrez comme suit + +![Picture](/img/serveex/adguard-chiffrement.png) + +- Puis en dessous, dans la section _certificats_ cochez _Définir un emplacement de fichier du certificat_ +- Dans le champs de saisie, mettez `/swag-ssl/live/mondomaine.fr/fullchain.pem` en remplaçant `mondomaine.fr` par votre domaine principal. +- Dans _clé privée_ cochez _Définir un fichier pour la clef privée_ +- Dans le champs de saisie, mettez `/swag-ssl/live/mondomaine.fr/privkey.pem` en remplaçant `mondomaine.fr` par votre domaine principal. +- Validez + +Et voilà ! Vous avez protégé vos futures requêtes DNS ! + +## Configurer les appareils +--- +Pour configurer vos appareils, vous avez plusieurs choix (que vous pouvez cumuler). +### Sécuriser le réseau local +Vous pouvez sécuriser votre réseau local avec adguard en configurant votre box pour que chaque requête DNS soit dirigée par défaut vers adguard plutot que les services de votre FAI. Attention, votre box doit pouvoir permettre le changement de DNS (Orange ne le permet pas). + +Généralement cette option est dans les paramètres _DHCP_ de votre box. Pensez bien à ajouter un serveur secondaire tel que : + +- Cloudlare : `1.1.1.1` +- Google : `8.8.8.8` + +En effet, sans cela, si votre serveur tombe, vos appareils n'arriveraient plus à se connecter à internet. + +::alert{type="info"} +:::list{type="info"} +- Des appareils peuvent avoir un autre DNS paramétré et ne pas utiliser ceux de la box. +::: +:: + +### Forcer un navigateur à utiliser Adguard + +Dans votre navigateur, vous pouvez configurer un DNS pour le forcer à utiliser adguard home. +Dans les paramètres, il vous faudra renseigner l'adresse` https://adguard.mondomaine.fr/dns-query` + +### Windows, paramétrer Adguard au niveau système + +Dans windows, vous devez paramétrer Adguard pour chaque carte réseau que vous souhaitez utiliser. + +- Rendez vous dans _accueil > Réseau et internet >_ et choisissez votre carte réseau à modifier +- Cliquez sur _modifier les DNS_ (parfois dans _propriété du matériel_) +- Choisissez `Manuel` +- Activez IPv4 +- Renseignez l'IP publique de votre serveur (celle accessible depuis internet) +- Activez _DNS sur HTTPS (modèle manuel)_ +- Désactivez _retour au texte en clair_ +- Enregistrez + +Tous les programmes de votre machine utilisant cette carte réseau seront filtrés par Adguard. + + +## Ajouter des filtres +--- + +- Allez dans les paramètres et changez les filtres. \ No newline at end of file diff --git a/content/3.serveex/8.apps/3.vaultwarden.md b/content/3.serveex/8.apps/3.vaultwarden.md new file mode 100644 index 0000000..ad36865 --- /dev/null +++ b/content/3.serveex/8.apps/3.vaultwarden.md @@ -0,0 +1,236 @@ +--- +navigation: true +title: Vaultwarden +main: + fluid: false +--- +:ellipsis{left=0px width=40rem top=10rem blur=140px} +# Vaultwarden + +::alert{type="info"} +__Objectifs :__ Installer [Vaultwarden](https://github.com/dani-garcia/vaultwarden) pour gérer vos mot de passe sur tout vos appareils (remplace la gestion de mot de passe Google ou Apple). +:: + +![Vaultwarden](/img/serveex/vaultwarden.png) + +[Vaultwarden](https://github.com/dani-garcia/vaultwarden) est une solution de gestion de vos mot de passe (génération, saisie semi-automatique...) que vous pouvez installer directement sur votre serveur. Cette solution remplace les gestionnaires comme Google, Apple ou Keepass. Cette solution permet de synchroniser tout vos mots de passe sur vos différentes machines, avec un chiffrement de bout en bout. + +Vaultwarden est un fork de la solution [Bitwarden](https://bitwarden.com/fr-fr/help/). + +## Installation +--- +Structure des dossiers + +```console +root +└── docker + └── vaultwarden + ├── data + ├── compose.yaml + └── .env +``` + +Ouvrez Dockge, cliquez sur `compose`, appelez la stack `vaultwarden` puis copiez collez ceci : + +```yaml +version: "3" +services: + vaultwarden: + container_name: vaultwarden + image: vaultwarden/server:latest + restart: unless-stopped + env_file: + - .env + volumes: + - ./data/:/data/ + ports: + - 3050:80 + environment: + - DOMAIN=${URL} + - LOGIN_RATELIMIT_MAX_BURST=10 + - LOGIN_RATELIMIT_SECONDS=60 + - ADMIN_RATELIMIT_MAX_BURST=10 + - ADMIN_RATELIMIT_SECONDS=60 + - ADMIN_TOKEN=${TOKEN} + - SENDS_ALLOWED=true + - EMERGENCY_ACCESS_ALLOWED=true + - WEB_VAULT_ENABLED=true + - SIGNUPS_ALLOWED=false + - SIGNUPS_VERIFY=true + - SIGNUPS_VERIFY_RESEND_TIME=3600 + - SIGNUPS_VERIFY_RESEND_LIMIT=5 + +networks: + swag: + name: swag_default + external: true +``` + +::alert{type="info"} +:::list{type="info"} +- Nous avons ajouté le réseau de Swag afin que les deux puissent communiquer ensemble. Assurez-vous que le nom du réseau soit correct. Nous partons du principe qu'il se nomme `swag_default`. +::: +:: + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour +::: + ```yaml + services: + vauktwarden: + #... + labels: + - com.centurylinklabs.watchtower.enable=true +:: + +Nous allons maintenant générer un hash de mot de passe, qu'il faudra renseigner dans la variable `TOKEN` du `.env` + +```shell +echo -n "votremotdepasse" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4 +``` + +Copiez le résultat précieusement. + +Dans le `.env`, renseignez les variables suivantes : + +```properties +URL= +TOKEN= +``` + +| Variable | Valeur | Exemple | +|-------------------------|---------------------------------------------------------|----------------------------| +| `URL`{lang=properties} | L'url de votre serveur vaultwarden | `https://vault.domaine.fr` | +| `TOKEN`{lang=properties} | Le token que vous avez précédemment copié précieusement | `'$argon2id$v=19$m=65540,t=3,p=4$bXBGME` | + +Puis déployez le conteneur. + +Accédez au panneau d'administration via `http://ipduserveur:3050` et créez votre compte. Plus d'info sur les fonctionnalités de [Bitwarden](https://bitwarden.com/help/). + +::alert{type="danger"} +:::list{type="danger"} +- __En cas d'échec :__ vérifiez les règles de votre pare-feu. +::: +:: + +## Exposer Vaultwarden avec SWAG +--- +Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Vaultwarden via [SWAG](/serveex/swag). + +::alert{type="info"} +:::list{type="info"} +- __Au préalable :__ nous partons du principe que vous avez créé dans votre [zone DNS](/generalites/dns) un sous domaine du type `vault.mondomaine.fr` avec pour `CNAME` `mondomaine.fr` et, [à moins que vous utilisiez Cloudflare Zero Trust](/serveex/securite/cloudflare), que que vous avez déjà redirigé le port `443` de votre box vers le `443` de votre serveur dans [les règles NAT](/generalites/nat). +::: +:: + +Dans les dossiers de Swag, créez le fichier `vault.subdomain.conf`. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez utiliser [File Browser](/serveex/apps/filebrowser) pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal. +::: +:: + +```shell +sudo vi /docker/swag/config/nginx/proxy-confs/vault.subdomain.conf +``` +Entrez en modification avec la touche `i` et collez la configuration ci-dessous : + +```nginx +server { + listen 443 ssl http2; + listen [::]:443 ssl http2; + + server_name vault.*; + + include /config/nginx/ssl.conf; + + client_max_body_size 128M; + + # enable for ldap auth (requires ldap-location.conf in the location block) + #include /config/nginx/ldap-server.conf; + + # enable for Authelia (requires authelia-location.conf in the location block) + #include /config/nginx/authelia-server.conf; + + # enable for Authentik (requires authentik-location.conf in the location block) + #include /config/nginx/authentik-server.conf; + + location / { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app vaultwarden; + set $upstream_port 80; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ ^(/vaultwarden)?/admin { + # enable the next two lines for http auth + #auth_basic "Restricted"; + #auth_basic_user_file /config/nginx/.htpasswd; + + # enable for ldap auth (requires ldap-server.conf in the server block) + #include /config/nginx/ldap-location.conf; + + # enable for Authelia (requires authelia-server.conf in the server block) + #include /config/nginx/authelia-location.conf; + + # enable for Authentik (requires authentik-server.conf in the server block) + #include /config/nginx/authentik-location.conf; + + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app vaultwarden; + set $upstream_port 80; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/vaultwarden)?/api { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app vaultwarden; + set $upstream_port 80; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } + + location ~ (/vaultwarden)?/notifications/hub { + include /config/nginx/proxy.conf; + include /config/nginx/resolver.conf; + set $upstream_app vaultwarden; + set $upstream_port 80; + set $upstream_proto http; + proxy_pass $upstream_proto://$upstream_app:$upstream_port; + + } +} +``` + +Appuyez sur `Echap` puis sauvegardez et quittez en tapant `:x` puis en appuyant sur `Entrée`. + +Et voilà, vous avez exposé Vaultwarden ! N'oubliez pas d'installer les extensions Bitwarden (elles sont compatibles avec Vaultwarden) pour [Chrome](https://chromewebstore.google.com/detail/gestionnaire-de-mots-de-p/nngceckbapebfimnlniiiahkandclblb) ou pour [Firefox](https://addons.mozilla.org/fr/firefox/addon/bitwarden-password-manager/) ainsi que les applications [iOS](https://apps.apple.com/fr/app/bitwarden/id1137397744) et [Android](https://play.google.com/store/apps/details?id=com.x8bit.bitwarden&hl=fr) afin de synchroniser vos mot de passe. + +::alert{type="success"} +:::list{type="success"} +- __Astuce :__ vous pouvez protéger cette app avec Authentik en ouvrant `tools.subodmain.conf` et en retirant les `#` devant `include /config/nginx/authentik-server.conf;`{lang=nginx} et `include /config/nginx/authentik-location.conf;`{lang=nginx}. N'oubliez pas de [créer une application et un fournisseur dans Authentik](/serveex/securite/authentik#protéger-une-app-par-reverse-proxy). +::: +:: \ No newline at end of file diff --git a/content/1.serveex/8.apps/_dir.yml b/content/3.serveex/8.apps/_dir.yml similarity index 100% rename from content/1.serveex/8.apps/_dir.yml rename to content/3.serveex/8.apps/_dir.yml diff --git a/content/1.serveex/_dir.yml b/content/3.serveex/_dir.yml similarity index 66% rename from content/1.serveex/_dir.yml rename to content/3.serveex/_dir.yml index b710f1c..2493c07 100644 --- a/content/1.serveex/_dir.yml +++ b/content/3.serveex/_dir.yml @@ -1,2 +1,2 @@ -icon: ph:star-duotone +icon: noto:microscope navigation.redirect: /serveex/introduction diff --git a/public/img/global/dns.svg b/public/img/global/dns.svg new file mode 100644 index 0000000..5859126 --- /dev/null +++ b/public/img/global/dns.svg @@ -0,0 +1,13 @@ + + + + + + + + Userhttps://target.com173.194.222.113173.194.222.113DNS serverTargetserver \ No newline at end of file diff --git a/public/img/global/lab.svg b/public/img/global/lab.svg new file mode 100644 index 0000000..e02e350 --- /dev/null +++ b/public/img/global/lab.svg @@ -0,0 +1,13 @@ + + + + + + + + VPNVPS- Monitoring- AdguardHomelab ServeexDebian 12NAS server- Data- BackupVPS- ProdDocker Swarm- Authentik SSO- MonitoringCloudflareZero TrustLAN 1LAN 2LAN 3prod VPN djeex@lab:$ djeex@lab:/docker$docker compose up -d[+] : Adguard4 layers[ ] Pulling ::::::::48er783jeh Download67eg98ejk7 Downloadrkl85nb65hj Download64ds98hjkl Waiting.:completecompletecompleteNote for myself : find a nice (and easy...) solution for those #/$*> certificates !!!Version 0.4.5.7.5a....bis \ No newline at end of file diff --git a/public/img/global/nat.svg b/public/img/global/nat.svg new file mode 100644 index 0000000..2799672 --- /dev/null +++ b/public/img/global/nat.svg @@ -0,0 +1,13 @@ + + + + + + + + ServerFW3000Local NetworkInternet192.168.1.2:3000443https://mondomaine.frNAT192.168.1.2BOXISP router \ No newline at end of file diff --git a/public/img/global/smb.svg b/public/img/global/smb.svg new file mode 100644 index 0000000..2d87d0a --- /dev/null +++ b/public/img/global/smb.svg @@ -0,0 +1,13 @@ + + + + + + + + NAS serverHomelab ServeexDebian 12Storage├── dev├── etc├── var├── ...└── mnt └── videoCIFSLocal Network//192.168.1.3/videoStorage├── dev├── etc├── var├── ...└── videoSMB \ No newline at end of file diff --git a/public/img/global/ssh.svg b/public/img/global/ssh.svg new file mode 100644 index 0000000..e517e81 --- /dev/null +++ b/public/img/global/ssh.svg @@ -0,0 +1,13 @@ + + + + + + + + NAS serverHomelab ServeexDebian 12Docker- Watchtower- Dockgeweb-appSSO- AuthentikRev-proxy- SWAGSMBSSHFIREWALLNAT rulesBOX22World Wide WebUsersLocal NetworkInternet \ No newline at end of file