La création d’une infrastructure entièrement open source a été marquée par la recherche de « quick wins », ces petites victoires initiales qui renforcent la conviction que l’approche choisie est la bonne. Mon parcours a débuté en m’inspirant d’un article de Larry Sanger, co-fondateur de Wikipédia, où il partageait ses réflexions sur la vie privée et l’hygiène numérique.
Cependant, pour consolider mes premiers pas, j’ai cherché à recouper ces informations avec d’autres sources de confiance, afin de bâtir une base solide pour mon infrastructure open source. Parmi les ressources qui ont guidé mes choix, voici quelques-unes des plus influentes.
🥼 Sites de références pour le homelabing et outils orientés « Privacy »
Ce site web est devenu une référence en matière de protection de la vie privée en ligne. Régulièrement mis à jour, il propose une multitude d’outils et de recommandations pour répondre à divers cas d’usage, de la navigation web sécurisée à la gestion des mots de passe en passant par la confidentialité des courriels. C’est devenu un point de départ essentiel pour quiconque souhaite renforcer sa confidentialité en ligne.
Optimize your Homelab capabilities through self-hosting and utilizing open-source solutions
ServeTheHome est le guide des professionnels de l’informatique en matière de serveurs, de stockage, de réseaux et de matériel de station de travail haut de gamme, ainsi que d’excellents projets open source.
Le site web vise à fournir une ressource conviviale avec des conseils, des astuces de dépannage et des expériences partagées pour aider les autres à construire leurs propres réseaux domestiques avancés.
📹 Chaînes dédiées au Homelabing sur YouTube :
Techno Tim est devenu une source inestimable d’informations sur la création d’un homelab, offrant des guides pratiques et des démonstrations de technologies open source.
NetworkChuck explore un large éventail de sujets liés à la technologie, y compris les solutions open source pour les réseaux et les serveurs.
Wolfgang se penche sur les aspects techniques du homelabing, en fournissant des informations détaillées sur l’utilisation d’outils open source.
La chaîne de Christian Lempa se concentre sur les infrastructures informatiques auto-hébergées, explorant des solutions open source pour améliorer la vie numérique personnelle.
AdrienLinuxtricks est une chaîne YouTube axée sur Linux et les logiciels open source. Vous y trouverez des tutoriels, des astuces, des critiques de distributions Linux, ainsi que des guides pour maximiser votre expérience avec les technologies open source. Cette chaîne est idéale pour les passionnés de Linux, qu’ils soient débutants ou utilisateurs expérimentés, cherchant à explorer et à maîtriser le monde de l’open source.
ChrisTitusTech est une chaîne YouTube qui aborde un large éventail de sujets technologiques, de l’informatique aux logiciels, en passant par les astuces de productivité et les critiques de matériel. L’animateur, Chris, partage son expertise de manière accessible, en proposant des guides pratiques et des recommandations. Cette chaîne convient à tous ceux qui s’intéressent à la technologie et cherchent des conseils et des informations sur divers sujets informatiques.
En m’inspirant de ces ressources, j’ai pu jeter les bases de mon infrastructure open source et renforcer ma compréhension des outils et des pratiques qui garantissent ma vie privée et ma sécurité en ligne. Ces premières étapes m’ont aidé à construire une fondation solide pour la suite de mon voyage vers une utilisation exclusive d’outils open source, axée sur la confidentialité, la transparence et l’innovation. »
🌐 Utiliser un navigateur web open-source
La première étape de mon voyage vers une expérience numérique basée sur l’open source a commencé avec la recherche d’une alternative à Google Chrome. Bien que Chrome soit un navigateur populaire et efficace, j’étais de plus en plus conscient des préoccupations liées à la vie privée et à la collecte de données. J’ai donc entrepris de trouver une solution open source qui pourrait répondre à mes besoins en matière de navigation web.
Après des recherches approfondies, Mozilla Firefox est rapidement devenu la solution de prédilection. Mozilla, en tant qu’organisation à but non lucratif, s’engage fermement en faveur de la protection de la vie privée en ligne. Firefox est un navigateur open source qui incarne ces valeurs, offrant une transparence totale sur son code source et sa philosophie d’ouverture. C’est un choix qui correspondait parfaitement à ma démarche en faveur de l’open source.
Pour la gestion de mes mots de passe, j’ai opté pour l’extension Bitwarden, un gestionnaire de mots de passe open source. L’avantage de Bitwarden est sa compatibilité avec mon installation auto-hébergée de Bitwarden sur mon serveur NAS. Cette intégration me permet de gérer mes mots de passe de manière sécurisée et de les stocker localement, renforçant ainsi ma sécurité en ligne.
En ce qui concerne la gestion du filtrage des sites web, des publicités et des malwares, j’ai délégué cette tâche à mon routeur OPNsense. Ce routeur open source est équipé d’un module DNS basé sur des listes de filtrage, similaire à un Pi-Hole. Cette solution me permet de bloquer activement les publicités, les trackers, et les sites web malveillants à un niveau central, protégeant ainsi tous les appareils de mon réseau domestique. Cela renforce non seulement ma vie privée, mais aussi la sécurité de mes activités en ligne.
📫 Utiliser un Service Mail Soucieux de la Vie Privée
L’un des premiers domaines que j’ai souhaité aborder était celui de la messagerie électronique. Le choix d’un service de messagerie adapté revêt une importance cruciale, car il touche à la confidentialité des communications et à la sécurité des données personnelles.
J’ai été particulièrement attentif à plusieurs aspects dans ma quête d’un service mail soucieux de la vie privée :
- Monétisation du Contenu : L’une de mes préoccupations principales était d’éviter les fournisseurs de messagerie qui monétisent le contenu de leurs utilisateurs. De nombreuses grandes plates-formes de messagerie génèrent des revenus en analysant le contenu des e-mails et en affichant des publicités ciblées. Cette pratique est contraire à mes valeurs de vie privée et de respect de la confidentialité.
- Chiffrement à la Source : Le chiffrement des e-mails est essentiel pour empêcher toute interception non autorisée de messages. J’ai recherché un fournisseur qui chiffre les e-mails dès le départ, garantissant que seuls l’expéditeur et le destinataire ont accès au contenu. Le chiffrement à la source est un élément fondamental pour garantir la confidentialité des communications.
- Hébergé en Europe : En tant qu’utilisateur soucieux de la vie privée, le choix de l’emplacement des serveurs de messagerie revêt une importance cruciale. J’ai opté pour un service de messagerie hébergé en Europe, ce qui permet de respecter des normes strictes de protection des données et de vie privée. Cela ajoute une couche de sécurité supplémentaire à mes communications.
- Éviter le « Vendor Lock-In » : L’idée de rester lié à un seul fournisseur de messagerie était contraire à ma vision d’un environnement numérique ouvert et flexible. J’ai cherché un fournisseur qui n’impose pas de verrouillage à un écosystème propriétaire, offrant ainsi la possibilité de migrer vers d’autres services si nécessaire.
Parmis les options qui s’offrent à moi
- Auto héberger mon propre serveur de mail : délicat à configurer car reposant sur des technologies de sécurité et d’antispam que je maitrise peu 🙂 Par ailleurs, la livraison des mails nécessite une connexion fiable et disponible 365 jours par an (ou utiliser une gateway le plus souvent payante).
- Utiliser une solution payante d’un fournisseur tiers.
Pour ma part je n’utilise que peu le mail et ce que je reçois n’est pas critique, j’ai décidé alors de faire un compromis en me facilitant la vie et choisissant un fournisseur qui parait fiable et réponds aux critères ci-dessus.
Après avoir examiné de nombreuses options, j’ai finalement choisi Soverin.net comme mon fournisseur de messagerie. Bien que Soverin.net ne soit pas nécessairement parfait, il répond à plusieurs de mes préoccupations fondamentales. Il ne monétise pas le contenu de mes e-mails, propose un chiffrement robuste, est hébergé en Europe, et ne me « verrouille » pas dans un écosystème propriétaire.
Cette approche de la messagerie électronique s’inscrit dans ma démarche globale de respect de la vie privée et de promotion de l’open source. Elle garantit que mes communications restent confidentielles, sécurisées et sous mon contrôle, tout en évitant les pratiques intrusives et les restrictions souvent associées aux fournisseurs de messagerie traditionnels. Dans le cadre de mon voyage vers une utilisation exclusive d’outils open source, cette décision reflète mon engagement en faveur de la vie privée informatique et de l’hygiène numérique.
Le service est payant (~25€/$ par an) mais c’est un premier pas facile dans mon approche.
🚧 Maîtriser mes données en hébergeant mon propre serveur NAS – Le Début du HomeLabing
Mon parcours vers une infrastructure entièrement open source m’a également conduit à repenser la manière dont je stocke et gère mes données. Initialement, j’utilisais une solution NAS propriétaire de Synology. Bien que cette option offrait une certaine stabilité, je me suis rapidement rendu compte de ses limites. L’environnement était peu performant, et l’ajout de services supplémentaires était souvent compliqué, voire impossible.
J’ai donc entrepris de rechercher des alternatives, en considérant diverses solutions open source. J’ai exploré des options telles que TrueNAS Core, Open Media Vault, et Unraid, chacune avec ses avantages et inconvénients. Après une analyse approfondie, j’ai finalement opté pour TrueNAS Scale, une solution qui s’appuie sur une base Debian que je chéris pour son ouverture et sa stabilité.
TrueNAS Scale m’a séduit avec son environnement de stockage basé sur ZFS. Ce système de fichiers offre de nombreux avantages, notamment la capacité à créer des snapshots, sa robustesse, la déduplication des données, et la compression. Ces fonctionnalités sont essentielles pour garantir l’intégrité de mes données tout en optimisant l’espace de stockage.
L’un des points forts de TrueNAS Scale réside dans son catalogue d’applications, qui offre une variété de services, le tout dans un environnement de conteneurisation. J’ai le choix entre Docker et Kubernetes pour déployer et gérer mes applications. De plus, TrueNAS Scale dispose d’une fonctionnalité d’hyperviseur basée sur KVM, qui reste, à mon avis, une valeur sûre en matière de virtualisation.
Grâce à TrueNAS Scale, mon serveur NAS héberge désormais un ensemble d’applications essentielles à ma vie numérique. NextCloud me permet de stocker et de synchroniser mes fichiers en toute sécurité, PhotoPrism gère ma collection de photos de manière organisée, PleX me donne accès à ma bibliothèque multimédia, et Bitwarden prend en charge la gestion de mes mots de passe de manière sécurisée.
Cependant, j’ai pris la décision de ne pas tout centraliser sur mon serveur NAS. Les services IT critiques, tels que le routeur OPNsense, le reverse proxy HAProxy, la gestion des certificats Let’s Encrypt, ainsi que tous les services de sécurisation de mon réseau et de l’accès aux applications, sont installés sur du matériel dédié. Cette approche garantit une gestion efficace de ces éléments cruciaux et renforce la sécurité de mon réseau. Dans les chapitres suivants, je détaillerai davantage la mise en place de ces services essentiels.
Voici la configuration pour laquelle j’ai opté afin d’accomplir mon objectif
- Case : Kolink Satellite
- CPU : Intel 12100T
- Motherboard : Asrock Z690M-ITX/ax
- Ram : 2x 32GB Crucial
- Boot storage (boot-pool) : 2 x 500GB Crucial MX500 SSD
- Main storage (data) : 8 x 4TB Crucial MX500 SSD + LSI HBA 9300-8i
- Secondary storage (applications) : 2 x 1TB Crucial P5 Nvme SSD
🔑 Avoir une hygiène de mots de passe et héberger ceux-ci sur mon infrastructure
Comme beaucoup d’entre nous, j’ai jadis utilisé un mot de passe commun pour la plupart des services en ligne auxquels je m’inscrivais. Cette pratique, bien que courante, comporte des risques considérables pour la sécurité en ligne. La prise de conscience de ces dangers m’a incité à chercher des moyens plus sécurisés et efficaces de gérer mes mots de passe.
Ma première tentative pour remédier à cette situation a été d’utiliser les gestionnaires de mots de passe intégrés aux navigateurs web. Cependant, avec le temps, j’ai réalisé que je ne pouvais pas faire entièrement confiance à ces gestionnaires, en particulier en ce qui concerne la sécurité et le contrôle de mes données sensibles.
J’ai donc adopté Keepass, un gestionnaire de mots de passe open source. Keepass m’a accompagné pendant des années, offrant une solution sécurisée pour stocker mes mots de passe. J’ai même opté pour un stockage en cloud de ma base de données Keepass, ce qui me permettait d’accéder à mes mots de passe depuis n’importe lequel de mes appareils.
Cependant, au fil du temps, j’ai trouvé que l’approche de Keepass devenait de plus en plus fastidieuse. La gestion des bases de données locales et la synchronisation entre les appareils nécessitaient un effort considérable. C’est à ce moment-là que j’ai sérieusement envisagé Bitwarden, un gestionnaire de mots de passe open source, offrant une solution plus fluide et flexible.
L’un des avantages clés de Bitwarden est la possibilité d’auto-héberger son propre serveur de mots de passe. Cette option m’a permis de garder le contrôle total de mes données sensibles, sans avoir à faire confiance à des tiers. Les applications Bitwarden sont disponibles pour une multitude de systèmes d’exploitation, de desktop à mobile, ce qui facilite grandement la gestion des mots de passe sur tous mes appareils. De plus, ces applications sont conçues de manière à garantir la sécurité même en cas de perte de connexion, en conservant en cache et cryptant ma base de données de mots de passe.
Le catalogue d’applications de TrueNAS propose également VaultWarden, un implémentation alternative de Bitwarden géré par la communauté. Depuis 2019, j’ai utilisé ce service sans heurt et sans souci majeur. Mes mots de passe sont stockés de manière sécurisée et accessibles en toute simplicité. Cette approche d’hygiène des mots de passe et d’auto-hébergement a été une composante essentielle de mon voyage vers une expérience numérique plus sécurisée et transparente. Elle montre que les solutions open source peuvent offrir des alternatives robustes et flexibles pour des besoins de sécurité en ligne, qui évoluent au fil des années.
📆 Reprendre le contrôle de ma liste de contacts et de mon calendrier
Mon parcours professionnel m’a conduit à travailler dans le domaine du Digital Workplace, où la collaboration, l’adoption des outils et les moyens de communication sont des piliers essentiels de la réussite collective. Dans ce contexte, j’ai eu l’occasion de travailler avec des systèmes tels que Google Workspace et Microsoft 365, qui offrent une panoplie d’outils de productivité et de collaboration. Cependant, parallèlement à ces géants du secteur, j’ai également découvert un acteur plus modeste, NextCloud, qui ambitionne de concurrencer les mastodontes en proposant une alternative open source et auto-hébergée.
Ma curiosité m’a poussé à explorer cette solution, même si dans ses premières versions, NextCloud pouvait être délicate à installer et à maintenir. Mon objectif était clair : reprendre le contrôle de ma liste de contacts, de mon calendrier, et de mes données, en me libérant des écosystèmes fermés tels que Google Drive et Google Docs.
Plusieurs années se sont écoulées depuis mes premiers pas avec NextCloud, et la plateforme a considérablement évolué. Elle offre aujourd’hui diverses méthodes d’installation, ce qui la rend plus accessible pour les utilisateurs résidentiels. Elle est compatible avec de nombreux NAS, qu’ils soient propriétaires ou open source. Pour ma part, j’ai opté pour une installation NextCloud All-in-one sur une machine virtuelle, qui me fournit tous les services dont j’ai besoin.
Mon NextCloud personnel inclut un client mail, un calendrier compatible CalDAV, une liste de contacts compatible CardDAV, des outils de prise de notes, un tableau Kanban, une fonctionnalité semblable à Doodle, et surtout, un gestionnaire de fichiers. Ce dernier point est essentiel, car il me permet d’accéder à mes informations, que ce soit depuis mon domicile, en déplacement, ou en collaborant avec d’autres personnes.
NextCloud propose également un client iOS, qui automatise le téléchargement de toutes mes photos vers mon serveur NextCloud. Cette fonctionnalité ajoute une couche de sécurité supplémentaire en m’assurant que mes souvenirs sont stockés de manière privée sur mon propre serveur.
De plus, NextCloud est doté d’un traitement de texte, d’un tableur, et d’un outil de présentation intégrés, permettant de travailler simultanément sur un même document, tout en préservant la maîtrise de nos données. L’utilisation de NextCloud est devenue une habitude dans ma famille, chaque membre l’utilisant pour collaborer et accéder à ses fichiers à distance. Cette transition vers une solution open source auto-hébergée a renforcé ma confiance dans la gestion de mes données personnelles, tout en offrant une expérience de collaboration fluide et sécurisée.
🛂 Mettre en place un réseau fiable et sécurisé
Le réseau domestique, par défaut, est souvent peu sécurisé et ne propose que peu de fonctionnalités pour faciliter l’auto-hébergement. C’est pourquoi, lorsque j’ai décidé de m’engager dans l’auto-hébergement de mes services, j’ai rapidement compris qu’il fallait gérer tous les aspects liés à la connectivité, à la sécurité, et à la mise à disposition de mes services en ligne.
Auto-héberger ses services implique de les rendre disponibles sur Internet, tout en garantissant leur sécurité. C’est à ce moment-là que je me suis lancé à la recherche d’une solution globale pour gérer l’ensemble de ces aspects, y compris le DNS, le DHCP, la sécurité, et la mise en place d’un VPN.
Après avoir testé différents produits, dont des routeurs d’ASUS, Mikrotik, et pfSense, j’ai finalement opté pour OPNsense. OPNsense est une solution open source de routeur/firewall qui propose des packages additionnels pour activer les fonctionnalités dont j’avais besoin. Sa flexibilité et ses capacités de personnalisation m’ont convaincu.
PhasedLogix a une excellente playlist pour prendre en main la solution. Le gars est clair et sait rendre accessible une solution relativement austère 🥇 Learn OPNSense Firewall
Pour garantir la fiabilité et la sécurité de mon réseau, j’ai choisi d’installer OPNsense sur un matériel « bare metal », ce qui signifie que le logiciel fonctionne directement sur un matériel dédié plutôt que dans une machine virtuelle. Cette décision était cruciale, car le routeur/firewall joue un rôle essentiel dans la sécurité de mon réseau. Parmi les options disponibles, j’ai opté pour le matériel de la marque ProtectLI, qui propose des produits de qualité avec un BIOS open source, CoreBoot, en accord avec ma philosophie open source.
L’exposition de mes services sur Internet nécessite l’utilisation d’un nom de domaine, ainsi que de sous-domaines pour rendre chaque service accessible individuellement. Pour gérer cela, j’ai mis en place un reverse proxy HAProxy, qui redirige les demandes en fonction du sous-domaine vers le service correspondant.
La gestion des certificats SSL/TLS est essentielle pour garantir la sécurité des connexions. Heureusement, il existe une autorité de certification gratuite, Let’s Encrypt, qui permet d’obtenir des certificats SSL/TLS de manière automatisée. OPNsense facilite cette tâche en utilisant le plugin ACME, qui renouvelle automatiquement les certificats, qu’ils soient wildcard ou non, pour tous mes sous-domaines. Ainsi, chaque service, qu’il s’agisse de NextCloud, Bitwarden, Plex, et bien d’autres, est accessible via un sous-domaine sécurisé.
Le DNS interne joue également un rôle clé dans la résolution des noms de domaine à l’intérieur de mon réseau. J’ai choisi d’utiliser le service unbound sur OPNsense, en utilisant des listes de filtrage de domaines indésirables, similaires à Pi-Hole. Le résultat est une expérience de navigation sans publicités ni fenêtres intrusives sur l’ensemble de mon réseau domestique.
Ainsi, la mise en place d’un réseau fiable et sécurisé est devenue un élément essentiel de mon voyage vers une expérience numérique basée sur l’open source, garantissant que mes services sont accessibles en toute sécurité, tant depuis l’intérieur que depuis l’extérieur de mon réseau domestique.
J’aime beaucoup la manière dont TechnoTim a su très bien vulgariser et expliquer la sécurité pour le Homelabing. On y traite des sujets des firewalls, reverse proxy, segmentation des réseaux, etc…
🌳 Veiller à l’impact écologique via une approche de greenLabing
Lorsque l’on s’engage dans l’auto-hébergement de ses services, il est important de considérer l’impact écologique de cette démarche. En effet, la mise en place d’une infrastructure personnelle peut entraîner une consommation électrique et une dépense en matériel informatique, ce qui doit être équilibré avec une approche respectueuse de l’environnement.
Dans cette optique, j’ai conçu mon approche d’auto-hébergement avec un souci d’efficacité énergétique et de durabilité. Chacun des appareils que j’utilise a été choisi pour sa faible consommation électrique et sa longévité. En combinant ces deux facteurs, j’ai pu réduire au maximum l’impact environnemental de mon infrastructure.
L’ensemble de mes appareils, au nombre de trois, consomme un total de seulement 60 watts, soit l’équivalent de ce que consommerait une ampoule d’ancienne génération. Cette faible consommation est le résultat d’une sélection minutieuse du matériel et de son dimensionnement pour garantir des performances optimales tout en limitant la dépense énergétique.
De plus, certains de mes appareils ont été délibérément surdimensionnés pour prolonger leur durée de vie et garantir leur compatibilité avec les technologies futures. Cette approche « agnostic » en termes de technologie permet d’éviter des remplacements fréquents d’appareils, réduisant ainsi la quantité de déchets électroniques.
Un exemple concret de cette approche est la gestion de mon réseau filaire et Wi-Fi. J’ai délibérément séparé les deux appareils, le routeur et le point d’accès Wi-Fi, car les normes Wi-Fi évoluent rapidement. Ainsi, lorsque la prochaine génération de norme Wi-Fi sera disponible, je n’aurai besoin de remplacer que le point d’accès, préservant ainsi mon routeur et évitant un remplacement inutile de tout l’équipement.
En veillant à l’impact écologique de mon approche d’auto-hébergement, je cherche à concilier les avantages de la maîtrise de mes données et de mes services avec un engagement en faveur de la durabilité et de la réduction de mon empreinte environnementale. Cette démarche s’inscrit dans la philosophie du GreenLabing, qui consiste à allier technologie et respect de la planète pour une informatique plus responsable.
Des ressources intéressantes sur le sujet