Vous connaissez tous Kali Linux , Metasploit et compagnie… Mais est-ce que vous avez déjà vu une IA faire un pentest toute seule ? Genre, VRAIMENT toute seule. Shannon , c'est un framework open source qui lâche un agent IA sur votre code, et qui enchaîne recon, analyse de vulns, et exploitation, tout ça sans intervention humaine.

En gros, vous lui filez une URL cible et l'accès à votre code source (faut que le repo soit accessible, c'est la base), et l'agent se débrouille. Il commence alors par analyser le code en statique… puis lance des attaques dynamiques sur l'app en live. Pour cela, il déploie plusieurs sous-agents spécialisés qui bossent en parallèle via Temporal, un moteur de workflow.

Un agent pour la reconnaissance, un pour chercher les injections SQL, un autre pour les XSS, un pour les SSRF, un pour les problèmes d'authentification… Bref, chacun fait son taf et tout remonte dans un rapport final au format JSON.

Le truc, c'est que Shannon ne se contente pas de scanner bêtement comme un Nessus ou un Burp. L'agent COMPREND votre code. Il lit les routes, les middlewares, les requêtes SQL, et il construit ses attaques en fonction. Du coup, il trouve des trucs que les scanners classiques loupent complètement, genre une injection NoSQL planquée dans un endpoint obscur ou un bypass d'auth via un cookie mal valide. Attention par contre, si votre app utilise un framework un peu exotique ou du code obfusqué, y'a des chances que l'agent passe à côté… comme tout scanner, hein.

Pour ceux qui se demandent combien coute un test d'intrusion classique, ça va de 3 000 € à plusieurs dizaines de milliers d'euros. Shannon, c'est open source et ça tourne sur Docker, par contre, faudra compter environ 50 dollars en tokens API Anthropic par run… c'est pas gratuit mais c'est quand même 60 fois moins cher qu'un audit humain.

Cote installation, c'est Docker + Docker Compose, un fichier .env avec votre cle API Anthropic (la variable ANTHROPIC_API_KEY, classique), et hop, un docker compose up pour lancer le tout. Le workflow complet prend entre 1 h et 1 h 30 selon la taille de votre base de code. Vous pouvez suivre la progression en temps réel via l'interface web Temporal sur localhost:8233. (perso, j'aime bien voir les agents bosser en parallèle, ça a un côté satisfaisant).

Et attention, Shannon exécute de VRAIES attaques. C'est mutatif. Ça veut dire que si l'agent trouve une injection SQL, il va l'exploiter pour de vrai pour prouver que ça marche. Du coup, on le lance sur du code à soi, en local ou sur un environnement de test. Mais jamais en prod. JAMAIS !!!

Bon, sauf si vous aimez vivre dangereusement et que votre boss est en vacances… ^^

Les agents d'exploitation (Auth, SSRF, XSS, AuthZ) en parallèle sur la timeline Temporal

Pour en avoir le cœur net, je l'ai lancé sur une app Node.js/Express maison avec 27 endpoints d'API. 2 heures de scan, 287 transitions d'état, 7 agents qui ont bossé en parallèle… et une facture Anthropic qui pique un peu. Parce que oui, chaque agent consomme des tokens Claude à chaque étape d'analyse et d'exploitation, et ça s'additionne vite. Comptez une cinquantaine de dollars pour un run complet. Bref, c'est pas gratuit de se faire hacker par une IA.

Cote résultats par contre, plutôt parlant. Zero injection SQL exploitable, les 23 paramètres utilisateur ont été tracés jusqu'aux requêtes et Shannon a confirmé que tout était paramétré correctement. Bien joué. Par contre, il a détecté 6 failles SSRF liées à des contournements IPv6, des XSS stockées via innerHTML sans aucun échappement dans le frontend, et surtout… ZERO authentification sur les 27 endpoints. Genre, n'importe qui peut purger ma base ou cramer vos crédits API Claude sans se connecter. Bon après, c'est un outil que je me suis dev, qui est un proto local, donc c'est pas exposé sur internet.

Le rapport final est plutôt bien foutu, je trouve. Pour chaque vuln trouvée, vous avez la sévérité CVSS (critique, haute, moyenne), le vecteur d'attaque utilisé, une preuve d'exploitation avec les payloads, et surtout des recommandations de correction. Shannon va jusqu'à vous montrer la ligne de code fautive, expliquer pourquoi le bypass fonctionne, et proposer le fix. Si vous utilisez déjà des outils comme Sploitus pour votre veille secu, Shannon c'est le complément parfait pour passer de la théorie à la pratique sur votre propre code.

Le projet est encore jeune, c'est vrai, mais l'approche est intéressante. Plutôt que d'automatiser bêtement des scans, on a donc un agent qui raisonne sur le code et adapte sa stratégie. Ça change des outils qui balancent des milliers de requêtes à l'aveugle et qui vous noient sous les faux positifs.

Alors après, je vous vois venir, vous allez me dire : est-ce que ça vaut un vrai pentester qui connait votre infra par cœur et qui sait où chercher les trucs tordus ?

Pas vraiment, mais pour un premier audit à moindre coût, ça fait le taf.

Source

Coolify, c'est un PaaS open source que vous installez sur vos propres serveurs pour déployer vos apps, vos bases de données et vos services... sans vous farcir Docker à la main. En gros, un Heroku ou un Vercel, mais en version self-hosted sans enfermement propriétaire comme on pourrait dire en bon français.

La version auto-hébergée est donc TOTALEMENT gratuite. Pas de limite sur le nombre de serveurs, pas de restriction sur les features, pas de "ah pour les teams faut upgrader". Y'a R comme disait mon grand-père... Vous avez SSH sur une machine ? Ça suffit. VPS, Raspberry Pi, dédié, vieux laptop qui traîne dans un coin... Hop, une seule commande et c'est installé.

Côté déploiement, Coolify détecte automatiquement votre stack via Nixpacks (c'est-à-dire qu'il devine le langage et génère le build tout seul). Mais vous pouvez aussi balancer un Dockerfile, un Docker Compose ou un simple site statique. Du coup, que vous bossiez en Next.js, Django, Laravel, Rails, Phoenix ou SvelteKit, ça passe sans config particulière.

Pour les bases de données, c'est pas mal non plus : PostgreSQL, MySQL, MariaDB, MongoDB, Redis, ClickHouse... tout se déploie en quelques clics. Et au total, le catalogue compte plus de 280 services one-click (Plausible, Gitea, Minio, n8n, et j'en passe). Y'a de quoi monter une infra complète avant même d'ouvrir un terminal.

Le workflow Git est solide puisque c'est du push-to-deploy avec GitHub, GitLab, Bitbucket ou Gitea, avec en prime des déploiements de preview par pull request. Pratique pour tester une branche avant de tout péter en prod (ouais, je vous connais...). Vous avez aussi les webhooks, une API REST documentée, et un terminal temps réel directement dans le navigateur.

Côté ops, les certificats SSL sont automatiques via Let's Encrypt, les backups de vos bases partent vers du stockage S3 compatible , et vous avez du monitoring intégré avec alertes Discord, Telegram ou email. Ça permet de dormir tranquille le vendredi soir. Pour le multi-serveur, Coolify supporte aussi Docker Swarm, donc vous pouvez répartir la charge sur plusieurs machines sans trop de prise de tête.

Si vous voulez pas gérer l'instance Coolify vous-même, y'a Coolify Cloud à 5$/mois (2 serveurs inclus, +3$ par serveur supplémentaire). Vos apps tournent toujours sur VOS machines et c'est juste le dashboard qui est hébergé chez eux. Pour les allergiques à l'admin système, ça peut valoir le coup.

Prise en main rapide

Pour installer Coolify, il vous faut un serveur Linux (Ubuntu LTS recommandé, mais Debian, CentOS, Fedora, Alpine ou même Raspberry Pi OS 64-bit passent aussi), avec au minimum 2 coeurs, 2 Go de RAM et 30 Go de stockage. Un accès SSH root est requis.

L'install tient en une ligne :

curl -fsSL https://cdn.coollabs.io/coolify/install.sh | sudo bash

On va se le dire une bonne fois : Docker est génial… jusqu’au moment où l’on se retrouve avec 20 containers qui tournent, des fichiers docker-compose.yml dans tous les sens, des ports exposés un peu partout… et une seule façon de comprendre ce qui se passe réellement : la ligne de commande.

Aujourd’hui, je vous propose de faire un petit tour d’horizon des interfaces d’administration pour Docker : Portainer, Dockhand et Arcane. Elles permettent de visualiser, gérer et dépanner ses containers plus rapidement, sans renoncer au contrôle…

Dockhand vs Arcane vs Portainer

En 2026, 3 noms reviennent régulièrement dans les discussions autour du homelab :

• Portainer : le plus complet et bien connu pour l’administration de containers, au prix d’une certaine lourdeur ;
• Dockhand : une interface légère et directe, pensée pour ceux qui veulent garder la main sans se noyer dans les options ;
• Arcane : une interface moderne, orientée confort et simplicité.

Portainer : la référence

Portainer s’adresse à ceux qui veulent tout voir, tout gérer, tout contrôler depuis une interface unique. Du homelab structuré jusqu’à la petite production, c’est souvent le premier outil cité lorsqu’il s’agit de gestion Docker. Si vous administrez plusieurs machines ou que vous voulez des droits utilisateurs propres, Portainer est souvent le premier nom cité.

Points forts

Portainer brille par sa couverture fonctionnelle. Containers, images, volumes, réseaux, stacks Docker Compose, logs, variables d’environnement… tout est là, au même endroit. C’est une solution robuste, capable d’accompagner une infrastructure qui évolue.

Points faibles

Le revers de la médaille, c’est la complexité. L’interface peut rapidement sembler chargée, surtout pour un homelab simple. Par ailleurs, plusieurs fonctionnalités avancées sont réservées à l’édition payante. Pour un usage perso, c’est sortir un marteau-piqueur pour planter un clou.

Dockhand : sans fioritures

Dockhand s’adresse aux utilisateurs déjà à l’aise avec Docker, qui cherchent une interface rapide et efficace sans transformer leur homelab en usine à gaz. Si la ligne de commande ne vous effraie pas, mais que vous appréciez d’avoir une vue d’ensemble claire de ce qui tourne, Dockhand coche pas mal de cases.

Points forts

L’approche est résolument minimaliste. Pas de menus interminables, pas de concepts propriétaires obscurs. Vous gérez les containers, vous regardez les logs, vous redémarrez un service si besoin. Simple, direct, efficace.

Points faibles

Dockhand va à l’essentiel, parfois un peu trop. Il souffre encore d’un manque de maturité fonctionnelle face aux solutions plus établies, notamment pour des environnements complexes ou partagés.

Arcane : pour le confort

Arcane cible celles et ceux qui recherchent une interface d’administration Docker agréable, claire et accessible, sans sacrifier l’essentiel.

Points forts

L’interface est clairement au centre de l’expérience. Navigation fluide, informations bien hiérarchisées, actions simples et lisibles. On est plus proche d’un cockpit bien rangé que d’un panneau de contrôle industriel.

Points faibles

Arcane mise avant tout sur la simplicité. En contrepartie, certaines fonctionnalités avancées peuvent manquer. Pour des utilisateurs experts ou des besoins plus poussés (gestion fine des droits, scénarios complexes), l’outil peut rapidement montrer ses limites.

En synthèse

Le choix d’une interface de gestion Docker dépend avant tout de l’équilibre recherché entre confort visuel et profondeur fonctionnelle.

Arcane privilégie l’élégance et la lisibilité, idéale pour piloter sereinement un homelab ou une installation modeste. Portainer conserve sa place de référence dès que l’infrastructure devient plus complexe ou multi-hôtes, au prix d’une interface plus dense. Entre les deux, Dockhand trouve sa voie avec une approche sobre et orientée efficacité, offrant un bon niveau de maîtrise sans la complexité des outils les plus complets.

Arcane et Dockhand sont encore jeunes, mais leur évolution rapide en fait des alternatives à surveiller de près.

Comme souvent avec Docker, tout est une question d’équilibre. Ces outils font très bien le job, mais le meilleur réflexe reste encore de les essayer par toi-même pour voir lequel s’intègre le plus naturellement à ton usage

Et vous, quel est votre choix ?

Vous faites des sauvegardes régulières de vos données ? Non ?

Bon, je ne vais pas vous faire la morale, mais le jour où votre disque dur décidera de rendre l'âme ou que votre serveur VPS partira en fumée, vous allez vraiment regretter de ne pas avoir investi dix minutes dans un système de backup sérieux.

Alors, ouiiii, c'est vrai, on a souvent la flemme parce que c'est chiant à configurer. Entre les scripts bash qui plantent sans prévenir et les crontabs illisibles, y’a de quoi s'arracher les cheveux. C'est là qu'intervient Zerobyte , un projet open source qui veut réconcilier les allergiques du terminal avec la sécurité de leurs données.

Zerobyte est donc une plateforme d'automatisation de sauvegarde auto-hébergée qui vient poser une interface web moderne et ultra propre par-dessus le moteur Restic. Si vous avez déjà lu mon guide sur les backups avec Restic , vous savez que c'est du solide. Ça fait du chiffrement côté client, de la déduplication et de la compression. En gros, vos données sont blindées avant même de quitter votre machine et seules les modifs sont envoyées, ce qui est parfait pour ne pas exploser son forfait data ou son stockage cloud.

L'interface web permet surtout de tout piloter sans jamais toucher à une ligne de commande. Vous définissez vos "volumes" (ce qu'il faut sauver), vos "repositories" (où stocker tout ça) et vos "jobs" (quand lancer les opérations).

Pour les sources, l'outil est hyper flexible puisqu'il supporte aussi bien les dossiers locaux que les partages réseau via NFS, SMB, WebDAV ou SFTP et côté destination, c'est carrément Byzance puisque vous pouvez envoyer vos snapshots vers du S3 (AWS, MinIO, Wasabi), du Google Cloud, de l'Azure ou utiliser l'intégration rclone qui ouvre la porte à plus de 70 fournisseurs différents. C’est l’outil idéal pour mettre en place une véritable stratégie 3-2-1 sans se prendre la tête.

Pour l'installation, pas de surprise, ça se passe via Docker Compose. C'est léger, ça s'isole bien et ça tourne en deux minutes. Un petit bémol quand même le projet est encore jeune donc ça peut encore bouger pas mal au niveau de l'architecture. Mais pour du monitoring et de la gestion simplifiée de snapshots Restic, c'est déjà redoutable. Vous pouvez explorer vos sauvegardes directement depuis le dashboard et restaurer un fichier précis en trois clics.

Et pour ne rien gâcher, le projet est sous licence libre, ce qui colle parfaitement à l'esprit qu'on aime ici !

Bref, si vous cherchez une solution pour centraliser la gestion de vos sauvegardes sans finir en PLS devant un terminal, Zerobyte mérite clairement que vous y jetiez un œil.

LanguageTool est un outil gratuit de correction d’orthographe et de grammaire. Il dépanne au quotidien pour rédiger un e-mail, un commentaire ou un document plus long. Mais une question revient souvent : où partent les données ? Quel est le niveau de confidentialité ? Que se passe-t-il si je n’ai plus de connexion Internet ? J’ai une bonne nouvelle pour vous, il est possible d’installer LanguageTool sur un NAS. Vous allez voir, c’est assez simple

LanguageTool sur son NAS

LanguageTool peut fonctionner en mode serveur via une API HTTP. Cette configuration permet aux extensions de navigateur par exemple de s’y connecter sans jamais envoyer de données vers Internet. Si vous souhaitez l’installer sur votre NAS, il faut que ce dernier soit capable d’executer des conteneurs Docker. Aussi, LanguageTool est relativement gourmand… il consomme rapidement environ 765 Mo de RAM.
Si votre NAS ne dispose que de 1 Go de RAM, ce n’est clairement pas recommandé.

Installer sur un NAS Synology

Pour cette installation, j’ai choisi l’image Docker erikvl87/languagetool, qui est recommandée par l’éditeur de LanguageTool.

Préparation des dossiers

1. Ouvrez File Station
2. Allez dans le dossier docker
3. Créez un sous-dossier nommé languagetool
4. À l’intérieur de celui-ci, créez un dossier nommé ngrams

Ce dossier ngrams servira à stocker vos modèles linguistiques personnalisés.

Création du conteneur Docker

1. Ouvrez Container Manager
2. Allez dans Projet → Créer
3. Renseignez les informations suivantes :
   • Nom du projet : languagetool
   • Chemin : docker/languagetool
   • Source : Créer un fichier docker-compose.yml
   • Collez ensuite le contenu suivant :

services:
  languagetool:
    image: erikvl87/languagetool
    container_name: languagetool
    restart: unless-stopped
    volumes:
      - ./ngrams:/ngrams
    environment:
      - Java_Xms=512m
      - Java_Xmx=1g
      - langtool_languageModel=/ngrams
    ports:
      - 8010:8010

Voici ce que vous devriez avoir :

Le port 8010 exposera l’API LanguageTool sur le NAS et langtool_languageModel=/ngrams indique l’emplacement des données linguistiques.

Cliquez sur Suivant, puis sur Effectué… et patientez quelques minutes le temps que le conteneur démarre.

Configuration de LanguageTool dans le navigateur

Côté navigateur :

1. Installez l’extension LanguageTool
2. Cliquez sur l’icône de l’extension
3. Ouvrez les paramètres via la roue crantée
4. Descendez jusqu’à « Paramètres avancés (uniquement pour les professionnels) »
5. Dans Serveur LanguageTool, sélectionnez :
   Autre serveur — le serveur LanguageTool doit fonctionner ici
6. Saisissez l’adresse suivante :

http://AdresseIPduNAS:8010/v2/

C’est terminé !

En synthèse

Vous utilisez désormais LanguageTool en local, sans aucune connexion à Internet. Toutes les analyses restent strictement sur votre NAS :
vos données restent chez vous… vraiment.

SlimToolkit helps shrink Docker images safely, keeping only required files to improve performance, speed, and storage efficiency.

The post Use This Tool to Reduce Your Docker Images Size and Improve Performance appeared first on Linux Today.

L'autre jour, je voulais juste exposer un petit service tournant sur mon NAS pour y accéder à distance quand je suis en déplacement. Alors je me suis dit "Allez, je vais faire ça propre avec Traefik" mais bon, debugger du fichier YAML parce qu'on oublie des indentations à un moment ça casse la tête. J'ai +40 balais et pas que ça à foutre.

Si vous hébergez vos propres services à la maison (self-hosting powaaaah !) et que vous êtes un peu bordélique comme moi, vous installez un truc, puis un autre, et vous finissez avec une collection de ports impossible à mémoriser du genre monip:8080, monip:32400, monip:9000… Aarrgh, l'enfer !!!

Et ne me lancez pas sur la gestion des certificats SSL !! Si vous voulez faire ça bien, faut générer des certificats Let's Encrypt à la main pour chaque service, modifier les fichiers de conf Nginx en priant pour ne pas oublier un point-virgule… et j'en passe et des pas mûres… Alors je sais, oui ça nous occupe et pendant ce temps là, on n'est pas dehors en train de voler des voitures mais j'sais pas vous, moi j'ai mieux à faire.

Hé bien, figurez-vous les copains, qu'il existe un outil qui transforme ce cauchemar en promenade de santé. Ça s'appelle Nginx Proxy Manager, et une fois que vous aurez lu mon article et testé vous penserez : "Mais pourquoi je me suis emmerdé la vie pendant tout ce temps, mortecouille ?!".

Nginx Proxy Manager, c'est quoi ce truc ?

En gros, c'est une interface graphique super propre pour gérer Nginx. Au lieu de taper des lignes de commandes et d'éditer des fichiers de config obscurs, vous avez un beau tableau de bord pour :

1. Rediriger vos domaines (ex: plex.mondomaine.fr) vers vos conteneurs Docker.
2. Gérer vos certificats SSL (HTTPS) automatiquement.
3. Sécuriser l'accès à certains services avec un mot de passe.

Mais en vrai, c'est plus riche que ça. Dans la barre du haut, vous avez tout ce qu'il faut pour piloter votre reverse proxy comme un adulte responsable : des hosts (proxy, redirections, streams, 404), des certificats (Let's Encrypt ou certifs locaux), des utilisateurs, des règles d'accès (Access Lists), et même des logs d'audit pour savoir qui a fait quoi (au cas où un de vos potes "teste un truc vite fait" et casse tout).

C'est le reverse proxy pour ceux qui veulent que ça marche, tout de suite, sans devenir ingénieur réseau bac+12 ou devoir se taper 2h d'explications IRL d'un barbu qui pue de la gueule ^^.

Installation en 3 minutes chrono (avec Docker)

Bon, on ne va pas y passer la nuit. La méthode la plus propre, c'est évidemment Docker Compose. Si vous ne l'avez pas, installez-le (allez, un petit apt install docker-compose et on n'en parle plus).

Créez un dossier nginx-proxy-manager et collez-y ce fichier docker-compose.yml :

version: '3.8'
services:
 app:
 image: 'jc21/nginx-proxy-manager:latest'
 restart: unless-stopped
 ports:
 - '8080:80' # Port HTTP public
 - '8181:81' # Port d'administration (à garder pour vous)
 - '8443:443' # Port HTTPS public
 volumes:
 - ./data:/data
 - ./letsencrypt:/etc/letsencrypt
 db:
 image: 'jc21/mariadb-aria:latest'
 restart: unless-stopped
 environment:
 MYSQL_ROOT_PASSWORD: 'npm'
 MYSQL_DATABASE: 'npm'
 MYSQL_USER: 'npm'
 MYSQL_PASSWORD: 'npm'
 volumes:
 - ./mysql:/var/lib/mysql

Petit piège à éviter : Faites gaffe si vous avez déjà un serveur web (Apache ou Nginx) qui tourne sur la machine hôte. Il va falloir couper le service ou changer les ports, sinon Docker va vous jeter une erreur parce que le port 80 est déjà pris. Du coup, vérifiez bien avec un petit netstat -tulpn | grep 80 avant de lancer la sauce.

Ah oui, et si vous utilisez un pare-feu comme UFW (ce que je vous recommande chaudement), n'oubliez pas d'ouvrir le port 81 : ufw allow 81. Sinon, vous allez pleurer devant une page blanche et vous demander pourquoi ça marche pas.

Ensuite, lancez la bête :

docker-compose up -d

Et voilà ! C'est tout. Votre serveur tourne. Si vous avez des erreurs, c'est probablement parce que vos ports sont déjà utilisés. Ou que les dossiers data, Let's Encrypt et MySQL n'existent pas encore. Moi j'ai ça sur mon NAS :

La configuration que même ma grand-mère pourrait le faire

Ouvrez votre navigateur et allez sur http://votre-ip:8181 et créez vous un compte.

Une fois dedans, pour exposer un service, c'est ridicule tellement c'est easyyyy

1. Cliquez sur "Add Proxy Host".
2. Entrez votre nom de domaine (ex: nextcloud.mondomaine.fr).
3. Indiquez l'IP de la machine et le port du service (ex: 8080).
4. Allez dans l'onglet "SSL", cochez "Request a new SSL Certificate" et "Force SSL".
5. Sauvegardez.

En fait, le seul truc qui peut coincer, c'est la propagation DNS. Si vous venez d'acheter votre nom de domaine il y a 5 minutes, pas de panique si Let's Encrypt refuse de générer le certificat. Attendez une petite heure et réessayez. C'est classique.

Et hop, fini. Votre service est accessible en HTTPS, avec le petit cadenas vert qui va bien. Nginx Proxy Manager s'occupe de discuter avec Let's Encrypt et de renouveler le certificat tout seul. C'est carrément magique.

Tour d'horizon des fonctionnalités qui sauvent des week-ends

Parce que oui, Nginx Proxy Manager ne fait pas "juste" proxy + "cadenas". Dans le menu Hosts, vous avez plusieurs types de trucs à créer, et chacun sert à un usage bien précis. Et côté Certificats et sécurité, il y a de quoi faire sans sortir le marteau-piqueur.

Certificats Let's Encrypt (HTTP et DNS) + certifs locaux

On va commencer par le sujet qui donne des boutons : les certificats. Dans l'onglet Certificates, vous pouvez gérer tout ça au même endroit :

• Let's Encrypt en HTTP-01 : le classique. NPM ouvre la voie, répond au challenge, et basta. Pratique pour un service.mondomaine.fr exposé "normalement".
• Let's Encrypt en DNS-01 : là, c'est le mode "j'ai compris la vie". Vous pouvez valider le certificat via votre DNS (donc sans dépendre d'un port 80 accessible), et surtout ça permet les wildcards du style *.mondomaine.fr. Donc un seul certif et roule ma poule, même si vous ajoutez 12 sous-domaines demain à 3h du mat.
• Certificats locaux : vous pouvez aussi importer un certificat existant (genre un certif de votre boîte, un truc interne, un CA maison, ou même un self-signed si vous aimez vivre dangereusement). Ça évite de dépendre de Let's Encrypt si vous êtes en mode "tout en local, rien sur Internet".

Et le meilleur c'est que NPM gère le renouvellement automatique. Donc plus de rappel calendrier "renouveler les certifs" tous les 2 mois, sinon c'est le drame et tout le monde vous écrit "ça marche plus ton truc".

Plusieurs comptes, parce que tout le monde n'est pas "admin"

Dans Users, vous pouvez créer plusieurs comptes pour accéder à l'interface. Typiquement :

• un compte admin pour vous, le chef, le patron, le seigneur des reverse proxies.
• un compte "moins dangereux" pour quelqu'un qui doit juste consulter ou bidouiller un truc sans toucher à toute l'infra.

Et ça, couplé aux Audit Logs (j'y reviens juste après), c'est très pratique quand plusieurs personnes mettent les mains dedans. Parce que "c'est pas moi, j'ai rien touché" est une phrase universelle, on la retrouve dans toutes les cultures.

Access Lists, le videur à l'entrée

Alors ça, c'est une des fonctions les plus sous-cotées. Les Access Lists permettent de mettre en place des règles d'accès et de les réutiliser partout :

• Basic Auth (login/mot de passe) : parfait pour protéger une appli pas prévue pour être publique, ou un petit outil d'admin que vous ne voulez pas exposer "en clair".
• Allow/Deny par IP : le top pour dire "seulement depuis mon IP / mon VPN / mon réseau". Et là, même si quelqu'un devine votre URL, il se prend un mur.

Vous créez une Access List une fois, et ensuite vous l'appliquez à vos Proxy Hosts. Du coup, pas besoin de refaire 50 fois la même conf. C'est propre, c'est net, c'est carré.

Les redirections propres (HTTP -> HTTPS, domaine A -> domaine B, etc.)

Besoin de rediriger un vieux domaine vers un nouveau ? Ou de faire un joli http:// qui part systématiquement en https:// ? Les Redirection Hosts servent exactement à ça. C'est bête mais ça évite d'aller trifouiller des règles Nginx à la main.

Exemples typiques :

• mondomaine.fr -> www.mondomaine.fr
• ancientruc.mondomaine.fr -> nouveautruc.mondomaine.fr
• http -> https (pour les retardataires)

Streams - Quand ce n'est pas du HTTP mais que vous voulez quand même un reverse proxy

Le web, c'est bien, mais tout n'est pas en HTTP. Certaines applis parlent en TCP/UDP (bases de données, services réseau, protocoles chelous, etc.). C'est là que Streams entrent en jeu. Cette fonctionnalité vous permet de proxyfier des flux réseau, genre "ce port externe pointe vers ce port interne".

Alors oui, c'est plus "brut" que les Proxy Hosts, mais ça dépanne vraiment quand vous avez un service qui n'a rien à faire derrière un vhost HTTP. Et ça se configure aussi en 2 clics, sans incantations démoniaques.

404 Hosts - La sortie de secours

Les 404 Hosts, c'est la petite finition qui fait plaisir (non, rien à voir avec votre salon de massage préféré). Vous pouvez définir un "host poubelle" qui répond proprement quand quelqu'un tape un domaine qui n'existe pas chez vous, ou quand un bot scanne votre serveur en espérant trouver /phpmyadmin par magie.

Au lieu de laisser traîner une réponse moche ou ambiguë, vous renvoyez une 404 nette, propre, assumée. C'est pas de la sécurité absolue, mais c'est une bonne hygiène, et ça évite de donner trop d'infos aux curieux.

Audit Logs

Dans Audit Logs, vous avez l'historique des actions effectuées dans l'interface : création/modif de hosts, changements de certifs, etc. C'est le genre de truc dont on se fout… jusqu'au jour où on en a besoin. Et là, vous êtes content de pouvoir remonter le film de l'horreur.

Et enfin, mon bonus : Le mode "je sais ce que je fais" (les options avancées Nginx)

Et si un jour vous voulez aller un cran plus loin, NPM permet aussi d'ajouter des réglages plus "Nginx pur jus" par host (headers, règles, conf custom). Donc vous commencez en mode clic-clic, et si vous devenez un peu psycho sur l'optimisation, vous pouvez aussi affiner. Sans tout casser, normalement.

2/3 conseils de daron pour éviter les boulettes

• Ne laissez pas l'admin ouvert au monde : le port 8181 (ou votre port d'admin) c'est "pour vous". Si possible, limitez-le via pare-feu / VPN / IP autorisées. C'est le panneau de commande de votre château, pas un distributeur de bonbons.
• Utilisez les Access Lists pour tout ce qui est sensible : dashboards, outils d'admin, services pas prévus pour Internet, etc.
• Pensez au DNS-01 si vous voulez des wildcards ou si vous n'avez pas envie d'exposer le port 80.

Et par rapport aux autres ?

Je vous vois venir les puristes : "Oui mais Traefik c'est mieux car c'est dynamique". C'est vrai. J'ai testé Traefik, et c'est une tuerie pour les environnements qui bougent tout le temps. Mais sa config en YAML peut vite devenir une usine à gaz si vous débutez. Caddy est top aussi (un seul fichier de conf), mais il faut quand même mettre les mains dans le cambouis.

Perso, je pense que Nginx Proxy Manager est un excellent choix pour un homelab par exemple. C'est un peu le choix du confort, celui des grosses feignasses comme moi parce que c'est visuel, c'est du clic-bouton clic clic, et pour un petit serveur perso, c'est franchement imbattable.

Bref, si vous galérez encore avec vos vhosts Nginx, arrêtez de vous faire du mal. Installez ça, et profitez de la vie (et de vos week-ends).

Nginx Proxy Manager c'est par ici !

Vous utilisez WSL sous Windows mais vous en avez marre de devoir jongler avec les commandes PowerShell dès qu'il s'agit de gérer vos distributions ?

C'est vrai que taper du wsl --import ou du wsl --unregister à chaque fois qu'on veut tester une nouvelle instance, ça finit par être un peu lourd.

Heureusement, y’a un dev, Eric Trenkel (alias bostrot), qui a eu la bonne idée de sortir WSL Manager (qu'on connaissait aussi sous le nom de WSL2 Distro Manager), une interface graphique complète pour piloter tout ça sans se faire mal au terminal.

Cette application, développée avec Flutter offre une vue d'ensemble sur toutes vos instances WSL installées. Ainsi, en un clic, vous pouvez les démarrer, les arrêter, les renommer ou même changer leur version.

Mais là où l'outil excelle, c'est dans sa capacité à importer de nouveaux environnements. Pour ceux qui se demandent comment ça se passe pour récupérer des distributions exotiques, sachez que WSL Manager permet de télécharger et d'utiliser n'importe quelle image Docker comme base pour une instance WSL, et ce, sans même avoir besoin d'installer Docker Desktop sur votre machine.

Par exemple si vous voulez un Alpine minimaliste pour du test ou un Kali pour du pentest, vous l'importez direct depuis les registres Docker et hop, vous avez un nouveau système prêt à l'emploi.

C'est d'ailleurs un excellent complément à des outils comme DockStation si vous voulez garder une approche visuelle de vos conteneurs, ou même WinBoat pour faire tourner du Windows dans Docker. L'application propose aussi des "Quick Actions", qui sont en gros des petits scripts prédéfinis que vous pouvez exécuter directement sur vos instances pour automatiser les tâches répétitives. Vous pouvez également lancer directement Windows Terminal ou VS Code dans la distribution de votre choix en un seul clic.

Si ça vous branche, plusieurs options s'offrent à vous pour l'installer. Comme le projet est open source sous licence GPL-3.0, vous pouvez récupérer les exécutables gratuitement sur la page GitHub du projet.

Il existe aussi une version sur le Microsoft Store et notez aussi que bien que des paquets winget ou Chocolatey existent, ils sont souvent maintenus par la communauté et pas forcément à jour, donc privilégiez le téléchargement direct ou le Store pour être tranquille.

Voilà, si vous passez vos journées sous Linux tout en restant dans l'écosystème Microsoft, WSL Manager c'est le feu et ça permet de se concentrer sur son boulot plutôt que sur la syntaxe des commandes de gestion système.

Merci à Lorenper pour la découverte !

Si vous en avez marre de confier vos notes perso à Notion ou Evernote et que vous voulez reprendre le contrôle de vos données, Alexandrie va vous plaire ! C'est une app open source française qui permet de prendre des notes en Markdown au travers d'une interface plutôt moderne, tout en gardant vos données là où vous voulez qu'elles soient : Chez vous.

Alexandrie, c'est avant tout un éditeur Markdown amélioré qui vous permet d'organiser vos notes par workspaces, catégories et tags. L'interface est clean, la recherche instantanée, et vous pouvez exporter vos notes en PDF ou Markdown !

Ce qui est cool, c'est que l'app fonctionne aussi hors ligne grâce à la technologie PWA. Vous pouvez donc bosser sur vos notes dans le train ou l'avion, et tout se synchronise dès que vous avez du réseau. Et si vous voulez partager des notes avec d'autres personnes, y'a un système de permissions pour gérer qui peut voir et modifier quoi.

Côté technique, Alexandrie tourne sur Vue/Nuxt pour le frontend et Go pour le backend, avec une base MySQL et un stockage compatible S3 et comme d'hab, tout ça se déploie avec un simple "docker compose up".

La grosse différence avec Notion ou Obsidian, c'est que vous contrôlez tout. Vos données restent sur votre serveur ou votre machine, rien ne transite par des serveurs américains. C'est donc de l'auto-hébergé, 100% hors ligne si vous voulez, et c'est compatible avec plein d'autres apps Markdown si vous souhaitez migrer plus tard.

C'est bien de voir une app française qui mise sur la souveraineté des données plutôt que sur le cloud américain ! C'est en train de devenir quelque chose de très recherché en ce moment. Bon après, faut être prêt à gérer soi-même l'hébergement, mais avec Docker c'est pas la mer à boire non plus.

Et si vous appréciez ce genre de découvertes, vous pouvez me soutenir sur le Patreon de Korben .

Voilà, si vous cherchez une alternative open source à Notion qui respecte votre vie privée, c'est par ici .

"Merde, le port 8080 est squatté par quoi encore ???"

Si vous touchez un peu à l'auto-hébergement ou que vous gérez plus de trois services sur un serveur, vous avez forcément déjà hurlé cette phrase devant votre terminal. C'est le grand classique... on lance un nouveau conteneur, ça plante, et on finit par passer 20 minutes à faire des netstat ou des lsof pour comprendre qui fait la loi sur le réseau. Bref, c'est le bordel, et c'est exactement là que Portracker entre en scène pour nous sauver la mise.

Développé par Mostafa Wahied, Portracker n'est pas un énième scanner de ports réseau agressif façon Nmap, mais plutôt une vigie interne pour vos machines. C'est un outil auto-hébergé qui va scanner son propre hôte pour cartographier en temps réel (enfin, avec un rafraîchissement périodique réglable, généralement toutes les minutes) tous les services qui tournent et les ports qu'ils occupent. L'idée, c'est d'avoir une vue propre et centralisée pour dégager ce vieux tableur Excel que vous oubliez de mettre à jour une fois sur deux.

Le truc est super bien foutu, surtout pour les fans de Docker. Pour ceux qui se demandent comment ça se passe sous le capot, l'outil fait intelligemment la distinction entre les ports internes d'un conteneur et ceux qui sont réellement exposés sur l'hôte.

Alors oui, ça marche comment pour mapper tout ça ? En gros, ça utilise les API natives pour voir que votre instance Ghost est sur le 2368 en interne mais ressort sur le 8080 à l'extérieur. C'est le genre de truc qui évite bien des migraines quand on commence à empiler 50 conteneurs. Il y a même un support aux petits oignons pour TrueNAS pour les amateurs de NAS costauds.

Côté dashboard, c'est du propre puisqu'on est sur une interface moderne avec React, Tailwind et Shadcn UI, avec un mode sombre (évidemment) et des filtres en live qui répondent au quart de tour.

Mais la vraie force de Portracker, c'est sa capacité à bosser en meute. Vous pouvez connecter plusieurs instances entre elles via un système de "Peers" (en peer-to-peer donc) pour tout centraliser sur un seul tableau de bord. Pratique si vous avez un serveur chez vous, un VPS chez OVH et une vieille machine qui traîne dans un placard. Vous pouvez même organiser ça avec une hiérarchie parent-enfant pour mapper vos machines virtuelles sous leurs hôtes physiques respectifs.

Techniquement, c'est du solide mais ça reste léger : du Node.js avec Express et des WebSockets pour le backend, et une base SQLite (via better-sqlite3) embarquée pour ne pas avoir à se fader la conf d'une base externe. Pour le déploiement, ça se passe via Docker et pour les paranos de la sécurité (je vous vois ^^), sachez que l'outil supporte désormais l'utilisation d'un Docker Socket Proxy (genre celui de Tecnativa). Ça permet d'éviter de filer les droits root sur votre socket Docker à n'importe qui. Et depuis la version 1.2.0, vous pouvez même verrouiller l'accès avec une vraie authentification.

Notez que pour fonctionner correctement et aller fouiller dans les entrailles du système, l'outil a besoin de certaines permissions (les fameuses capabilities Linux). Il lui faudra généralement SYS_PTRACE, et éventuellement SYS_ADMIN si vous le faites tourner sur Docker Desktop ou macOS. C'est le prix à payer pour avoir une visibilité totale sur ce qui se passe dans les tuyaux.

Le projet cartonne pas mal sur GitHub et la communauté est super active donc si vous en avez marre de jouer à cache-cache avec vos ports, c'est clairement l'outil qu'il vous faut pour reprendre le contrôle de vos déploiements sans finir en PLS à chaque conflit de port 80. Et si jamais vous stressez sur la sécurité de vos ports Docker, n'oubliez pas qu'on peut aussi jouer avec les règles iptables pour blinder tout ça, mais ça, c'est une autre histoire !

Merci à AeroStream972 pour la découverte !

Vous avez 15 ans d'emails répartis sur 4 comptes différents et vous aimeriez bien pouvoir chercher dedans sans devenir complétement fou ? Bichon est fait pour vous . C'est un archiveur d'emails open source écrit en Rust qui synchronise vos boîtes mail et vous permet de tout fouiller via une interface web ultra léchée.

Le truc c'est que Bichon n'est pas un client mail. Vous ne pouvez pas envoyer ou recevoir de messages avec. C'est vraiment un outil d'archivage pur qui se connecte à vos serveurs IMAP, aspire tous vos emails, les compresse, les déduplique et les indexe pour que vous puissiez faire des recherches full-text dessus pour par exemple retrouver ce mail de 2012 où votre ex vous expliquait sa recette secrète du tiramisu.

L'interface web est plutôt propre, codée en React avec ShadCN UI. Vous pouvez filtrer par compte, par dossier, par expéditeur, par nom de pièce jointe, par taille, par date... Y'a même un dashboard avec des stats sur vos emails si vous aimez les graphiques. Et bonne nouvelle, le WebUI est disponible en 18 langues, donc le français est de la partie !

Pour bloquer les publicités, vous utilisez peut-être Pi-Hole ou AdGuard Home. Ces solutions sont très efficaces sur votre réseau (navigateur Web et application). En revanche, elles restent inefficaces aux publicités intégrées directement dans les vidéos YouTube. Il faut avouer que c’est devenu un enfer !

il est possible d’utiliser uBlock ou directement Brave… mais sur une télévision connectée, les options sont quasi inexistantes. Passer par des applications alternatives est souvent contraignant, peu ergonomique et surtout rarement compatible avec les Smart TV. Heureusement, il existe une solution : iSponsorBlockTV.

iSponsorBlockTV : bloquer les pub YouTube TV

iSponsorBlockTV est une application auto-hébergée qui se connecte à l’application YouTube TV et ignore automatiquement certains segments indésirables des vidéos (publicités). Pour cela, elle s’appuie sur l’API SponsorBlock (extension disponible pour Firefox, Safari, Chrome…), alimentée par la communauté. Elle peut également couper automatiquement le son et appuyer à votre place sur le bouton « Ignorer la publicité » sur les publicités YouTube.

Aucune application n’est à installer sur la TV. Vous conservez l’application officielle YouTube TV, ce qui garantit une compatibilité maximale et une expérience utilisateur intacte.

Compatibilité des plateformes

iSponsorBlockTV est compatible avec YouTube TV sur les plateformes suivantes :

• Apple TV
• Samsung TV (Tizen)
• LG TV (WebOS)
• Android TV
• Google TV
• Chromecast
• Roku
• Fire TV
• Nintendo Switch
• Xbox One / Series
• PlayStation 4 / 5…

Retour d’expérience

À titre personnel, je regarde peu YouTube. En revanche, mes filles l’utilisent régulièrement. Sans leur en parler, j’ai mis iSponsorBlockTV via Docker sur mon NAS Synology, puis je l’ai associé à YouTube TV sur l’Apple TV. Pour info, le conteneur consomme vraiment très peu de ressource…

Après une semaine d’utilisation, je leur ai simplement demandé si elles avaient remarqué un changement. Leur réponse a été immédiate : le nombre de publicités affichées à l’écran avait fortement diminué. Non, iSponsorBlockTV ne permet pas d’éliminer 100% des publicités (mais une grande majorité).

Pour une utilisation sur TV, c’est aujourd’hui LA solutions les plus efficaces à ma connaissance. N’hésitez pas à partager votre expérience si vous utilisez cette solution ou une autre

In this article, we will see how to fix colima error  " FATA[0004] error starting vm: error at starting: exit status 1"  which you may encounter during starting colima instance. It is a free and lightweight command line tool for MacOS and Linux based systems that provides docker container runtimes to locally run the workload with minimal setup required. Colima has been popularly used by many developers and programmers as an alternative to Docker desktop. Although it is very easy to use as compared to other docker runtimes available out there but occasionally we may get hit by error sometimes.

One of such error you can see is "FATA[0004] error starting vm: error at starting: exit status 1"  during startup of the instance if it did not stopped or deleted properly before due to whatever reasons. In my case, after installing colima through homebrew, I started VM instance and then using it to run my workload locally but after completion of my work I forgot to shutdown or delete properly and ended up terminating it.

Solved "colima start showing FATA[0004] error starting vm: error at starting: exit status 1"

Also Read: Solved "HPA and KEDA(ScaledObject) terminating manually scaled up pods in Kubernetes"

After termination of instance, when I tried to start it again using same colima start command, it was throwing below error on output and failed to start.

cyberithub@macos1066 % /opt/homebrew/opt/colima/bin/colima start -f
INFO[0000] starting colima
INFO[0000] runtime docker
INFO[0000] starting ...
> Using the existing instance "colima"
> Starting the instance "colima" with internal VM driver "vz"
> [hostagent] hostagent socket created at /Users/cyberithub/.colima/_lima/colima/ha.sock
> [hostagent] Starting VZ (hint: to watch the boot progress, see "/Users/cyberithub/.colima/_lima/colima/serial*.log")
> exiting, status={Running:false Degraded:false Exiting:true Errors:[] SSHLocalPort:0 CloudInitProgress:<nil>} (hint: see "/Users/cyberithub/.colima/_lima/colima/ha.stderr.log")
FATA[0004] error starting vm: error at 'starting': exit status 1

Above error usually occurs when the existing instance did not deleted or shutdown properly. In case you also face this kind of situation then to fix above error and to start instance, you have to first delete the instance and all its settings using colima delete command as shown below.

cyberithub@macos1066 % colima delete
are you sure you want to delete colima and all settings? [y/N] y
INFO[0003] deleting colima
INFO[0004] done

And then only you can again try to start vm instance by using colima start command.  You may notice that this time it will start without any error as shown below.

cyberithub@macos1066 % /opt/homebrew/opt/colima/bin/colima start -f
INFO[0000] starting colima
INFO[0000] runtime: docker
INFO[0002] creating and starting ...          context=vm
INFO[0021] provisioning ...                   context=docker
INFO[0023] starting ...                       context=docker
INFO[0025] done 
INFO[0025] keeping Colima in the foreground, press ctrl+c to exit...

And that's it. You can now continue with your work. You can also explore other colima commands such as colima stop to stop any running vm.

cyberithub@macos1066 % colima stop

To check current running status of colima, run colima status command as shown below.

cyberithub@macos1066 % colima status

Hope it helps !! Please let me know your feedback in comment box !!