Super, merci pour la vidéo, sujet extrêmement bien détaillé comme d'habitude. Bravo et il faut continuer comme ça.....En plus un sujet pas forcément simple mais tellement bien expliqué.
Merci pour la vidéo, même si je ne suis pas forcément sur la même installation / stack, ça permet de bien découvrir un service et tes explications permettent de comprendre pour adapter. Bref, je fais pas souvent des commentaires sur tes vidéos mais elles sont chouettes, et complètes alors pour te remercier je fais ce commentaire, mais si tu as un moyen pour que je puisse t'offrir un café ou une bière n'hésite pas à partager, je le ferai de bon cœur. Passe de bonnes fêtes
Merci beaucoup! passe de bonnes fêtes également. Concernant le café, je te déconseille les dons, même si je crois que TH-cam le permet, mais si tu es client Amazon, à l'occasion tu passes par un de mes liens sur ma page ou dans une vidéo, et ça m'en paiera un sans que ça ne te coûte plus qu'une petite redirection !
MERCI pour cette vidéo! En fait pour tes vidéos en général toujours aussi bien que ce soit jeedom (même si depuis 2 mois je suis passé sur Homeassistant et je sens que tu va bientôt y passer vu ta dernière vidéo NUKI...) ou la série NAS. 👍
Salut! Non, désolé de le dire et le redire mais je n'ai aucun projet de migration vers home assistant, ce serait des centaines d'heure de travail pour tout reprogrammer et fiabiliser, je n'en ai pas la motivation. Donc je continue à faire tourner les deux.
Le bouncer swap-crowdsec semble être brisé en ce moment à cause du http2. J'ai désacitvé le mod pour le moment jespere que dans un future proche il y aura un fix. Est-ce que tu as trouvé un "workaround" ?
Il y a plusieurs issues sur le sujet, dont une sur laquelle j'ai participé suite à cette vidéo puisque le challenge captcha nécessite le support http et non http2, en place dans nginx/swag. Mais en essayant d'ajouter le support http2, il faut faire des retroportages qui ne sont pas encore faits, et la communication entre projets semble assez laborieuse pour que tout rentre vite dans l'ordre. Mais c'est pris en compte depuis un moment.
Merci je vais surement y passer. encore une vidéo très ludique En fait non je te remercie pas, je vais encore passer du temps sur mon serveur :) Merci et je conseille à tous de revoir les video sur SWAG, authelia, portainer, nextcloud, ... sur ta chaine.
Si c'est juste pour activer crowdsec, ça ne devrait pas te prendre trop de temps, l'intégration est vraiment bien faite. Par contre si tu as d'autres services a déployer ... Bon courage!
@bartounet16 c'est une image qui n'a pas le sérieux du suivi des images linuxserver, qui a souffert de cve très critiques avec des grosses lacunes dans leur traitement. Personnellement je préfère de très loin swag, avec caddy et traefik en alternative.
Caddy est sympa et moderne mais je le trouve pénible a configurer des que les sous domaines se multiplient et avec eux les spécificités. Et il a moins de mods, donc plus de temps passe a le configurer et maintenir. Mais ça fait partie des solutions que j'avais étudiées avec npm et traefik. Je lui ai préfère swag, et pour l'instant je ne regrette pas un instant. L'essentiel c'est de trouver un truc avec lequel on est a l'aise ! 😉
Pour ma part, j'ai dû ajouter le service authelia dans le même network pour que ça fonctionne. Autrement j'avais le message "authelia could not be resolved (3: Host not found)". J'ai par contre une question @GuiPoM! Je suis configuré comme ton lab, c'est à dire que j'ai Proxmox installé sur la machine et je virtualise OMV. Je constate que lorsque je test un ban ip, je n'ai pas d'erreur mais par contre j'accède toujours à mes services. Je pense que le ban ip n'est pas effectif car il n'écrit pas la règle dans le iptable du Host. As-tu une idée pour résoudre cela ? Un grand merci pour tes vidéos.
Bonjour, je me trouve dans le même cas que toi. Deplus lors de la commande "cscli metrics" dans le tableau "acquisition Metrics" seulement mes sources nginx s'y trouve. Alors que dans les logs crowdsec les valeurs : level=info msg="Adding file /var/log/nginx/access.log to datasources" type=file level=info msg="Adding file /var/log/nginx/error.log to datasources" type=file level=info msg="Adding file /var/log/authelia.log to datasources" type=file level=info msg="Adding file /var/www/nextcloud/data/nextcloud.log to datasources" type=file" sont bien presentes. Je n'ai fait qu'un test de ban sur mon ip local et sur mon ip fixe mais je n'ai pas recommencer de peur de me faire bannir mon ip. Si quelqu'un à une idées.. Merci d'avance et gg pour les vidéos.
Alors tu mélanges un peu tout dans ta question dans c'est très compliqué d'y répondre. Le ban ip, on parle bien de crowdsec ici ? Si c'est le cas, il n'y a aucun lien entre crowdsec et iptable, c'est ce que j'explique dans la vidéo. Seul fail2ban inscrit des informations dans iptable ou équivalent. Crowdsec maintient des listes d'ip bannies dans son moteur de sécurité. Si quand tu bannies une IP depuis ce moteur, ton bouncer, ici swag, ne réagit pas en refusant l'accès, c'est très probablement qu'il n'a pas accès à l'API cli de crowdsec pour vérifier les adresses bannies. Et donc qu'il y a un problème de configuration.
Et Re-Salut ! Aurais-tu une piste (lien tutoriel par exemple) afin de configurer en toute sécurité, pour que Swag, Fail2Ban et Authelia reconnaissent quand je suis sur mon réseau local stp ? C'est lourd de se faire banir sa propre ip par nginx unauthorized, et aussi de devoir appliquer le 2FA en local. Je ne vois pas comment aller plus loin que de mettre swag sur le même réseau que mes containers. La documentation Authelia (section X-Forwarded-For) est trop légère. Merci par avance.
Je répond moi-même a mon commentaire. J'ai eu la solution. Pour ceux qui se demandent comment faire: jetter un oeil sur comment mettre en place un dns de type split. Virtualize point link (domaine) split-dns (subfolder). Et une petite chose en plus si vous le mettez en place et que vous avez des soucis avec votre dns interne (Pi-hole, AdGuard & co) mettez le sous un macvlan (ne pas oublier d'utiliser le même parent que votre machine qui héberge ce service).
J'utilise adguard home (en vidéo) qui propose un service DHCP et DNS et qui permet de redéfinir le nom de domaine sur une IP locale. Et comme ça, plus de soucis !
Je l’ai vu bien après effectivement. Maintenant tout tourne correctement . Un vrai luxe de pouvoir profiter de son réseau domicile à l’extérieure quand on est sous iOS (customization réseau limitée…) via wg 🤤
J'ai déconseillé nginx proxy manager dans une précédente vidéo. Et à ma connaissance non, ce serait assez complexe à mettre en place, à moins d'utiliser un fork, avec les conséquences que ça a en terme de suivi : www.crowdsec.net/blog/crowdsec-with-nginx-proxy-manager
Super série de vidéo, cela te demande beaucoup de travail et on t'en remercie ;) J'avais juste une question, je suis bloqué lorsque je regarde les logs du conteneur crowdsec, il ne trouve pas authelia ("No matching files for pattern /var/log/authelia.log").
Très probablement pas de fichier de logs généré par authelia. Vérifie a la fois dans le conteneur authelia et si le volume est monté dans le conteneur crowdsec. Mais si le fichier n'existe pas, l'erreur est normale. Essaye de mot de passe erroné dans authelia, voir si tu as bien des erreurs qui sont créés.
Après installé SWAG grâce à la superbe série, je vais étudier CrowdSec.
Bonnes Fêtes !
Merci beaucoup, passe également de bonnes fêtes! 🎄
Tu expliques très bien, merci. Je vais pimper mon hp gen8 docker.
franchement tu as trop la classe! tes tutos sont vraiment bien Merci
La série swag qui continue, génial, merci 👍
Magnifique, Merci Beaucoup. Très bien expliqué.
Avec plaisir
Super, merci pour la vidéo, sujet extrêmement bien détaillé comme d'habitude. Bravo et il faut continuer comme ça.....En plus un sujet pas forcément simple mais tellement bien expliqué.
Merci à toi 😊
Merci pour la vidéo, même si je ne suis pas forcément sur la même installation / stack, ça permet de bien découvrir un service et tes explications permettent de comprendre pour adapter. Bref, je fais pas souvent des commentaires sur tes vidéos mais elles sont chouettes, et complètes alors pour te remercier je fais ce commentaire, mais si tu as un moyen pour que je puisse t'offrir un café ou une bière n'hésite pas à partager, je le ferai de bon cœur. Passe de bonnes fêtes
Merci beaucoup! passe de bonnes fêtes également.
Concernant le café, je te déconseille les dons, même si je crois que TH-cam le permet, mais si tu es client Amazon, à l'occasion tu passes par un de mes liens sur ma page ou dans une vidéo, et ça m'en paiera un sans que ça ne te coûte plus qu'une petite redirection !
MERCI pour cette vidéo! En fait pour tes vidéos en général toujours aussi bien que ce soit jeedom (même si depuis 2 mois je suis passé sur Homeassistant et je sens que tu va bientôt y passer vu ta dernière vidéo NUKI...) ou la série NAS. 👍
Salut! Non, désolé de le dire et le redire mais je n'ai aucun projet de migration vers home assistant, ce serait des centaines d'heure de travail pour tout reprogrammer et fiabiliser, je n'en ai pas la motivation.
Donc je continue à faire tourner les deux.
Aaahh ! Super ! La série continue : Je suis fan 😃 Merci 👍🏻
Merci à toi 😊
Merci pour cette vidéo vraiment top. Un plaisir de te suivre.
Merci !
Merci Guillaume! ultra complet comme d'hab!
Le bouncer swap-crowdsec semble être brisé en ce moment à cause du http2. J'ai désacitvé le mod pour le moment jespere que dans un future proche il y aura un fix. Est-ce que tu as trouvé un "workaround" ?
Il y a plusieurs issues sur le sujet, dont une sur laquelle j'ai participé suite à cette vidéo puisque le challenge captcha nécessite le support http et non http2, en place dans nginx/swag.
Mais en essayant d'ajouter le support http2, il faut faire des retroportages qui ne sont pas encore faits, et la communication entre projets semble assez laborieuse pour que tout rentre vite dans l'ordre. Mais c'est pris en compte depuis un moment.
Merci je vais surement y passer.
encore une vidéo très ludique
En fait non je te remercie pas, je vais encore passer du temps sur mon serveur :)
Merci et je conseille à tous de revoir les video sur SWAG, authelia, portainer, nextcloud, ... sur ta chaine.
Si c'est juste pour activer crowdsec, ça ne devrait pas te prendre trop de temps, l'intégration est vraiment bien faite.
Par contre si tu as d'autres services a déployer ... Bon courage!
Merci Guipom pour cette vidéo.
Aurais tu un équivalent avec NPM ?
Je l'ai indiqué dans la vidéo: github.com/crowdsecurity/example-docker-compose/tree/main/npm
Mais je ne suis pas un grand fan de ce projet!
@@GuiPoM super merci
C'est bizzare moi je trouve ce projet génial
J'adore la simplicité de npm et sa puissance
@bartounet16 c'est une image qui n'a pas le sérieux du suivi des images linuxserver, qui a souffert de cve très critiques avec des grosses lacunes dans leur traitement.
Personnellement je préfère de très loin swag, avec caddy et traefik en alternative.
Super video comme toujours precise et détaillée un pouce largement mérité
Bin par contre, j'accroche toujours ni a swag et encore moins a portainer 😅
Merci ! Tu accroches a quoi alors?
@@GuiPoM pour le reverse j'utilises caddy et pour moi rien n'est plus efficace que la cli de docker
Caddy est sympa et moderne mais je le trouve pénible a configurer des que les sous domaines se multiplient et avec eux les spécificités.
Et il a moins de mods, donc plus de temps passe a le configurer et maintenir.
Mais ça fait partie des solutions que j'avais étudiées avec npm et traefik. Je lui ai préfère swag, et pour l'instant je ne regrette pas un instant.
L'essentiel c'est de trouver un truc avec lequel on est a l'aise ! 😉
Salut ! Dans ta stack Swag + Authelia, à quoi sert la variable "extra_hosts" stp ?
C'est pour injecter l'information dans le /etc/hosts du container, en plus des entrées déduites des réseaux docker.
Pour ma part, j'ai dû ajouter le service authelia dans le même network pour que ça fonctionne. Autrement j'avais le message "authelia could not be resolved (3: Host not found)". J'ai par contre une question @GuiPoM! Je suis configuré comme ton lab, c'est à dire que j'ai Proxmox installé sur la machine et je virtualise OMV. Je constate que lorsque je test un ban ip, je n'ai pas d'erreur mais par contre j'accède toujours à mes services. Je pense que le ban ip n'est pas effectif car il n'écrit pas la règle dans le iptable du Host. As-tu une idée pour résoudre cela ? Un grand merci pour tes vidéos.
Bonjour, je me trouve dans le même cas que toi. Deplus lors de la commande "cscli metrics" dans le tableau "acquisition Metrics" seulement mes sources nginx s'y trouve. Alors que dans les logs crowdsec les valeurs :
level=info msg="Adding file /var/log/nginx/access.log to datasources" type=file
level=info msg="Adding file /var/log/nginx/error.log to datasources" type=file
level=info msg="Adding file /var/log/authelia.log to datasources" type=file
level=info msg="Adding file /var/www/nextcloud/data/nextcloud.log to datasources" type=file"
sont bien presentes. Je n'ai fait qu'un test de ban sur mon ip local et sur mon ip fixe mais je n'ai pas recommencer de peur de me faire bannir mon ip.
Si quelqu'un à une idées..
Merci d'avance et gg pour les vidéos.
Alors tu mélanges un peu tout dans ta question dans c'est très compliqué d'y répondre.
Le ban ip, on parle bien de crowdsec ici ?
Si c'est le cas, il n'y a aucun lien entre crowdsec et iptable, c'est ce que j'explique dans la vidéo. Seul fail2ban inscrit des informations dans iptable ou équivalent.
Crowdsec maintient des listes d'ip bannies dans son moteur de sécurité.
Si quand tu bannies une IP depuis ce moteur, ton bouncer, ici swag, ne réagit pas en refusant l'accès, c'est très probablement qu'il n'a pas accès à l'API cli de crowdsec pour vérifier les adresses bannies.
Et donc qu'il y a un problème de configuration.
Et Re-Salut ! Aurais-tu une piste (lien tutoriel par exemple) afin de configurer en toute sécurité, pour que Swag, Fail2Ban et Authelia reconnaissent quand je suis sur mon réseau local stp ?
C'est lourd de se faire banir sa propre ip par nginx unauthorized, et aussi de devoir appliquer le 2FA en local.
Je ne vois pas comment aller plus loin que de mettre swag sur le même réseau que mes containers. La documentation Authelia (section X-Forwarded-For) est trop légère. Merci par avance.
Je répond moi-même a mon commentaire. J'ai eu la solution. Pour ceux qui se demandent comment faire: jetter un oeil sur comment mettre en place un dns de type split.
Virtualize point link (domaine) split-dns (subfolder).
Et une petite chose en plus si vous le mettez en place et que vous avez des soucis avec votre dns interne (Pi-hole, AdGuard & co) mettez le sous un macvlan (ne pas oublier d'utiliser le même parent que votre machine qui héberge ce service).
J'utilise adguard home (en vidéo) qui propose un service DHCP et DNS et qui permet de redéfinir le nom de domaine sur une IP locale.
Et comme ça, plus de soucis !
Je l’ai vu bien après effectivement. Maintenant tout tourne correctement . Un vrai luxe de pouvoir profiter de son réseau domicile à l’extérieure quand on est sous iOS (customization réseau limitée…) via wg 🤤
Est-ce facile a mettre en place avec nginx proxy manager ?
J'ai déconseillé nginx proxy manager dans une précédente vidéo.
Et à ma connaissance non, ce serait assez complexe à mettre en place, à moins d'utiliser un fork, avec les conséquences que ça a en terme de suivi : www.crowdsec.net/blog/crowdsec-with-nginx-proxy-manager
@@GuiPoM Merci bien pour l'info, du coup je vais t'écouter et supprimer npm et installer swag, un gros bravo pour tes vidéos de qualité.
Merci !
Merci 🤑👍
Super série de vidéo, cela te demande beaucoup de travail et on t'en remercie ;)
J'avais juste une question, je suis bloqué lorsque je regarde les logs du conteneur crowdsec, il ne trouve pas authelia ("No matching files for pattern /var/log/authelia.log").
Très probablement pas de fichier de logs généré par authelia. Vérifie a la fois dans le conteneur authelia et si le volume est monté dans le conteneur crowdsec. Mais si le fichier n'existe pas, l'erreur est normale.
Essaye de mot de passe erroné dans authelia, voir si tu as bien des erreurs qui sont créés.