Logo journal du hacker middle
  1. 8
  1.  

  2. 5

    Ça m’attriste toujours de voir de l’autohébergement mais que derrière ça utilise Google pour de l’auth et Cloudflare comme CDN/proxy… Mon but dans l’auto-hébergement c’est de sortir un peu des sentiers battus et donc de ne pas dépendre de ces deux colosses qui sont déjà partout sur le web.

    1. 1

      Je te rejoins sur le fond, dans une approche ‘puriste’, mais je dois dire que s’ils sont des colosses c’est que justement ils fournissent un service qui a de la valeur. Les fonctionnalités que j’utilise chez Google et Cloudflare sont sur l’aspect sécurité. Et je pense qu’on peut se rejoindre sur un point, c’est que la sécurité sur internet, c’est difficile. Pour des projets personnels sans grande importance, le risque principal en faisant de l’auto hébergement c’est d’ouvrir une porte à un acteur mal intentionné qui viendrait faire des dégâts sur mon réseau local, sur mon poste professionnel, etc. Dans ce contexte, j’utilise des services qui me permettent de gagner du temps et de la sérénité pour un coût nul. Google, je pourrais faire autrement, je l’utilise car ça m’évite de demander à ma femme de se créer un autre compte dont elle oublierait le mot de passe. Cloudflare, à aujourd’hui je ne connais pas d’alternative qui m’apporte la même sécurité et les mêmes services, mais je suis à l’écoute d’idées différentes !

      1. 1

        On peut trouver un nom pour cette configuration mais utiliser « auto-hébergement » est trompeur. Ça n’est pas « puriste » de le dire, c’est juste une façon de faire. Passer par des outils tiers n’est pas de l’auto-hébergement. Le vocabulaire n’est pas bon et c’est un peu malheureux.

        1. 1

          Je veux bien débattre du vocabulaire et je considère que l’auto hébergement peut couvrir un nombre large de configurations différentes.

          J’ai une situation ou j’utilise mes propres ressources matérielles et ma propre connexion réseau pour héberger les services qui m’intéressent, je pense donc pouvoir parler d’auto hébergement sans être trompeur. J’utilise des services externes dont je pourrais me passer, et qui viennent surtout me rajouter du confort et de la sécurité. Mais dans ce cadre, ou s’arrêter ? Je dépend aussi des dépôts apt, de docker hub, de mon FAI, de mon fournisseur d’électricité, etc.

          De mon point de vue, utiliser un VPS hébergé chez OVH reste aussi de l’auto-hébergement dans le sens ou je maîtrise mon infrastructure, je ne suis pas lié à un prestataire unique, je suis maître de mes données, etc.

          Donc pour moi la définition de l’auto-hébergement est suffisamment large pour englober mon cas d’usage. Après j’entend que d’autres peuvent avoir une perception différente. Je n’ai pas trouvé de définition faisant consensus sur ce sujet, mais je suis peut être passé à côté.

          1. 4

            Mouai je suis pas spécialement d’accord quand tu dis qu’un VPS chez OVH c’est encore de l’auto-hébergement. Tu ne maîtrises pas l’hyperviseur qui est l’infrastructure.

            Après comme tu dis c’est à l’apprciation de chacun et il n’est pas possible de s’autohéberger à 100%, tu dépendras toujours à un moment ou un autre d’un presta (FAI, registrar, électricité, matériel…). Tout dépend de l’endroit où tu poses le curseur.

            Mais bon Cloudflare et Google sont parmis les plus gros du monde pour des services Internet et donc dépendre d’eux est un peu l’antithèse de l’autohébergement à mon sens. Surtout que dans ton cas la plus-value semble de leurs services n’a pas l’air énorme…

            1. 2

              Donc pour moi la définition de l’auto-hébergement est suffisamment large pour englober mon cas d’usage.

              En fait, tu élargis la définition de « auto-hébergement » en y ajoutant une grosse dépendance externe discutable. On est un paquet à s’auto-héberger depuis des décennies sans ce type de bidouille. Après, si c’est cette façon de s’auto-héberger qui s’impose dans les années à venir, tant pis pour le vieux libriste que je suis, je ne me battrais pas ;)

      2. 4

        Personnellement, j’ai eu du mal avec cet article, avec sa “vision” très limitée - descriptive - de l’auto-hébergement.

        le premier point que j’ai trouvé intéressant est le fait de mentionner qu’on fait avec ce que l’on a sous la main, de fait qu’il existe différentes solutions matérielles ET logicielles. mais :

        • ne citer que VirtualBox, pour parler de VM est très réducteur ; qu’il soit cité en exemple, soit… mais il y a d’autres logiciels, dont le bien plus stable qemu. Certains vanteront Docker - qui n’est pas de la virtualisation.

        Dire qu’en général, on tourne sous Linux pour de l’auto-hébergement ; je trouve cela aussi très réducteur. Ne pas mentionner les *BSD est une faute en soit, dont FreeBSD qui est très utilisé pour l’auto-hébergement, voire en solutions commerciales, bien plus que Linux. (à mon sens). (d’aucuns utilisent même NetBSD en ce sens… voire OpenBSD. Maintenant, il est vrai que ce sont des communautés très restreintes, très ciblées, voire élitistes)

        Devoir utiliser fail2ban n’est pas la panacée, et me fait toujours l’effet d’un pansement appliqué sur une plaie béante. Quant je vois comment le parefeu sous OpenBSD, à savoir PF, est capable de faire de la mitigation de ce genre d’exploits et autres tentatives, je reste surpris de la nécessité de ce genre d’outils sous Linux.

        Après je rejoins l’avis de Lord aussi, faire de l’auto-hébergement, et se reposer sur certaines solutions nommées, me semblent hors du propos ; tu deviens dépendant de ces grands aspirateurs à données.

        Pour finir, tu as raison de dire que l’objectif de l’auto-hébergement est d’apprendre, mais ce n’est qu’un des objectifs, le principal étant d’héberger ses propres données, quelque soit le service actif “derrière” ; mais je ne suis pas certain que ton expérience après plusieurs années soit l’itération qui restera réaliste pour d’aucuns. (personnellement, je trouve que tu te “compliques” la vie, avec ce genre de solution, utilisant des tiers majeurs).

        L’important est de trouver ce qui vous convient le mieux.

        Absolument. Le “problème” si c’est en un vraiment, et d’apprendre à trouver ce qui nous convient le mieux ;) L’auto-hébergement est une solution qui permet de l’apprendre. :D

        1. 1

          Je ne connais pas les SE BSD mais j’ai quand même envie de donner le mot de la fin (punch line). C’est spacieux et imposant mais c’est archaïque et limité. Tout repose dans les fondations. Trop rigide (ou monolithique). Évidemment difficile de changer un SE. Néanmoins, je pense que ce n’est pas aux utilisateurs d’ordinateurs de s’adapter. D’autant plus que, malgré une certaine notoriété, ils ne décollent pas pour le plus grand nombre. C’est le signe de quelque chose de fondamental. Une des raisons évidente est que le support ne suit pas (sauf pour les spécialistes), bien que les usages peuvent changer. Pour rebondir sur votre propos, on peut affirmer qu’utiliser une couche de compatibilité binaire dans le(s) noyau(x) BSD afin de pouvoir lancer de nouvelles applications (élaborées pour le noyau Linux) semble encore moins la panacée.

          1. 2

            Quand on ne connaît pas, on ne donne pas son avis ; et on ne se fait pas son avis, sur ce qu’on ne comprend pas. :(

            Quand on ne connaît pas… le mieux est de chercher à connaître et comprendre. ;)

            De fait, je ne répondrais pas plus à cette ineptie, cette mascarade de raisonnement.

            EOD.

            1. 0

              Un avis reposant sur des constatations cela ne compte pas d’après vous. L’écosystème Linux est plus dynamique et varié, ou représentatif (pour moi, ou, selon moi). Pourquoi l’ANSSI n’a t’elle pas repris OpenBSD mais CLIP OS ? Ne pas répondre, c’est une question rhétorique (argument d’autorité).

              1. 1

                Merci d’utiliser le biais cognitif d’argument d’autorité ; vous vous rendez compte que vous vous décrédibiliser par vos propres soins ?!

                Vous vous rendez compte que vous comparez des informations complètement hors de propos l’une de l’autre pour essayer d’asseoir votre argument ?!

                Bref…

                1. 1

                  Je sens que les esprits s’échauffent, je vous invite tous les deux à un dialogue dans le calme et le respect. Vous pouvez également échanger via les Messages privés du Jdh.

                  Tcho !

                  1. 1

                    Perso, je suis très calme et tiens à le rester ;)

                    Et, je n’irais pas plus loin dans la discussion.

          2. 1

            Merci pour ton retour ! Alors je n’étais peut être pas assez clair dans mon introduction, mais mon ambition n’était sûrement pas de faire un état des lieux du champ des possibles sur le sujet, mais plus de partager mon approche personnelle, avec mes choix, par rapport à mes besoins.

            J’ai le sentiment de par mon expérience que les debian-like sont plus populaires en termes de volume d’utilisateurs, et si j’en crois les estimations ce ressenti semble plutôt vraisemblable. Après, je ne compare en aucun cas la qualité ou les fonctionnalités de l’une ou l’autre des solutions, je ne connais pas suffisamment les *BSD pour juger. Mais je me met en todo de tester FreeBSD prochainement ;)

            Pour résumer mon expérience, j’ai testé différentes choses (clairement pas toutes !) et je suis arrivé aujourd’hui à un fonctionnement qui me permet de facilement expérimenter de nouvelles choses, et de répondre à mes besoins long terme qui sont en effet d’héberger différents services. Je m’essaye à l’exercice de partager cette expérience, à la fois pour la faire connaître et également pour en débattre et collecter d’autres retours d’expérience qui peuvent me faire découvrir de nouvelles manières de faire. Donc en tout cas, merci d’avoir pris le temps de me lire et de me répondre ainsi !

          3. 3

            Et sinon, y’a de l’auto-hébergement… sous OpenBSD. Et, perso, quand je compare à ce que je devais faire sous Linux (Debian/*Buntu), mon choix en restera là : OpenBSD.

            Et, pour ceux qui veulent s’y mettre, @prx a écrit une excellent doc, en FR et en EN : https://si3t.ch/ah

            1. 1

              Si vous aussi vous auto hébergez, partagez ici vos stacks et vos préférences !

              1. 3

                J’ai plusieurs ptites machines pour l’autohébergement :

                • routeur turris omnia sous openwrt dans lequel j’ai rajouté un SSD et qui héberge quelques containers :
                  • container de backup qui fait du rsnapshot
                  • blocky pour le résolveur dns
                  • gitea pour héberger mes quelques repos persos
                  • isso : système de commentaire de mon blog
                  • samba : un partage de quelques fichiers
                  • web : reverse proxy vers les autres machines
                • odroid hc2 sous alpine qui sert de NAS avec un disque sata et un en usb :
                  • samba pour le partage de fichier
                  • rsnapshot pour les backup
                • odroid n2 sous alpine qui sert pour les services un peu plus lourd mais qui pourrait au final disparaitre
                  • nginx+php pour le web
                  • knot : serveur DNS de mes domaines
                  • molly-brown : serveur gemini
                  • postgres : db pour quelques services
                  • nib : bot irc
                • Un simili NUC sous alpine qui a vocation a potentiellement remplacer l’odroid n2 de par son stockage plus pérenne
                  • syslog pour toutes les autres machines
                  • grafana/influx/prometheus pour le monitoring de toutes les autres machines
                  • postgres : pour remplacer celui sur la N2
                  • mpv pour regarder des films
                • odroid hc2 sous alpine extérieur un nas en backup extérieur
                  • samba
                • un VPS sous alpine extérieur associatif
                  • nginx+php pour du web divers
                  • postfix/dovecot/rspamd/redis : mes mails
                  • knot : encore pour mes domaines
                  • pleroma : mon compte dans le fediverse
                  • postgres : pour les différents services
                  • matrix2051 : pour me connecter à matrix via mon client irc

                Le tout est interconnecté avec du wireguard avec uniquement du logiciel libre et sans dépendances à des services extérieurs sauf pour le VPS (mais c’est fait par du gentil).

                1. 2

                  Jme lance ! J’ai un vieux dell optiplex fx160 reconditionné (acheté 50€ en 2017 sur ebay, 3Go de ram, un intel atom a330, un vieux hdd de 500go), debian, apache2, mariadb, sqlite, php & python.

                  Un site perso avec blog & liste des projets (php/mariadb/vanilla html & css), une instance nextcloud, deux/trois sites django, quelques sites très simples (html/css, voire juste du txt si bcp d’audience vu que j’ai un débit montant ridicule et que si j’envoie trop de données j’ai pu internet à la maison, et un ou deux ptits trucs avec un peu de php derrière mais pas grand chose).

                  Un uptime ? Il a planté juste tout à l’heure, donc 3h (mais avant on était à plus de 100 jours donc ça va). C’est pas grave si le site n’est pas accessible de temps en temps. Pas d’utilisation de cloudflare ou d’un autre truc externe non plus, ça fait 6 ans que j’autohéberge (environ) et ya jamais eu le besoin d’autre chose que fail2ban (pis bon la plupart du code est custom et aucun bot va aller s’amuser à tenter autre chose que des failles hyperconnues de frameworks dépassés, donc ça va jsuis tranquille).

                  J’ai 2 noms de domaines chez Gandi, j’utilise leurs zones DNS aussi avec leur api et des appels de temps en temps depuis mon serveur pour màj l’ip quand elle change.

                  1. 2

                    Personnellement, comme tu l’as certainement compris, je fais ça sous OpenBSD.

                    Donc, @home, je me suis fait un NAS, avec chiffrement des données en RAID 1 (le fameux RAID1C) + backup (borg). Ce NAS est éteint la nuit, par soucis d’économie d’énergie et peu de nécessités réelles à ce qu’il soit fonctionnel alors qu’on dodote. Il peut faire aussi office de serveur multimédia… et bien d’autres aspects.

                    Et, pendant plusieurs années, j’avais aussi mes services DNS+Web (nsd, DNSSEC, …, Nginx) sur un serveur @home, qui aujourd’hui sont hébergés chez openbsd.amsterdam - location de VM OpenBSD sur serveurs OpenBSD. Le principe est que cela me coûte moins cher en matériel+électricité de louer ma VM que d’avoir à la maison (achat, entretien, …). Il n’en reste pas moins que c’est géré par mes soins. Les serveurs de mails relatifs à mes deux NDD sont aussi sous OpenBSD, avec l’outil principal qu’est OpenSMTPD, par un copain, @vinishor, serveurs lui aussi chez openbsd.ams.

                    À-propos d’un de mes deux NDD, pendant des années géré par Gandi, actuellement chez bookmyname. (pour des histoires de coût là encore ; depuis trois ans environ). L’autre étant un sous-domaine eu.org m’est totalement gratuit.

                    En amont de tout cela, j’ai un routeur, flashé sous OpenWRT, qui m’assure la protection “maison” dont j’ai besoin. (d’ailleurs, pour la même raison d’économie d’énergie, les deux puces Wifi sont éteintes la nuit logiciellement… )

                  2. 1

                    Je vois pas le schéma dans Synthèse.

                    Tcho !

                    1. 1

                      Ca devrait être réparé !

                      1. 2

                        Yep ^^

                        Tcho !

                    2. 1

                      En voulant survoler l’administration système, je suis parti loin. À force, je m’approche (tourner autour) de la programmation système. Cela peut paraître bizarre dit comme cela. Donc, récemment, je faisais encore de l’auto-hébergement grâce à un RPi 2 avec YunoHost. Cela fonctionne mais j’ai quand même des inquiétudes. D’abord, mon site Web (blog) n’a pas les caractéristiques souhaitées. Le problème est que je dois avoir un bon modèle en fonction du contenu. Or, soit je ne connais ni l’un ni l’autre, ou alors, l’un ne va pas sans l’autre. Un système de gestion de contenu ne me convient pas, pour ainsi dire. Ensuite, faire les choses à moitié ça m’énerve. Prendre du temps ça devient lassant. Donc, j’essaye d’acquérir de nouvelles bases afin de me faire une représentation et redéfinir. C’est pas forcément terrible mais je fais comme je peux. Mon objectif c’est d’avoir une infrastructure gérée avec du code grâce à GNU Guix. Pour finir, par nécessité, il faut absolument que je renforce la sécurité : je n’ai aucune envie qu’on exploite mon matériel, qu’on me prenne des données (ou pire encore). Il faut aussi que je me forme en cybersécurité pour réagir dûment (avoir sa propre protection). Bref, j’ai commencé par les bases, et les choses finiront par se compléter (en rajoutant un peu de rétro-ingénierie pour s’assurer de la compatibilité de l’ensemble). Effectivement, à notre époque, je ne comprends pas pourquoi les réseaux d’ordinateurs zombies continuent d’exister.

                      1. 1

                        La sécurité est un sujet complexe, et pour ma part je ne suis aucunement surpris que des réseaux d’ordinateurs zombies continuent d’exister. C’est tellement facile de louper quelque chose…

                        Au cas ou je propose une piste pour limiter son exposition dans un 2e article : Cloudflare Tunnels