Home Hacks Retour d’expérience sur l’auto-hébergement et l’indépendance numérique

Retour d’expérience sur l’auto-hébergement et l’indépendance numérique

Posted on Publié dans Hacks, Sécurité - Réseau No Comments Étiquetté avec
Retour d’expérience sur l’auto-hébergement et l’indépendance numérique

Bonjour à tous! Je voudrai aujourd’hui faire partager mon expérience dans le domaine de l’auto-hébergement, et de “l’indépendance numérique”. Cela fait maintenant 2 ans que petit à petit, j’essaye de me décrocher des services Google, de ramener toutes mes données à la maison et d’être le plus indépendant possible face aux acteurs que sont les FAI entre autre. J’aime à penser que maintenant, je suis un geek libre… o/

Bref dans cet article, pas de technique, pas de ligne de code ou de schémas réseaux. Non, simplement quelques concepts, l’intérêt de la chose et mon retour d’expérience.

Je tiens à préciser avant tout que ce résultat est le fruit d’un nombre incalculable de personnes ayant la volonté de faire avancer ce petit monde numérique, et que sans eux je ne serai arrivé à rien. Entre autre je tiens à remercier:
Korben, Idleman, Nicolargo, les équipes de OpenVpn, Unbound, Qwant, Rainloop, Ampache et ownCloud, ainsi que tous les développeurs et membres des communautés respectives, et pour finir M. Xavier Lacour, prof de réseau qui m’a clairement poussé et motivé pour aller chercher toujours plus loin dans ce domaine.

Commençons par le commencement: quel est mon objectif dans cette histoire? Les premiers jets ont d’abord été fait par pur curiosité, et puis je me suis rendu compte de l’importance de la chose notamment avec les révélations Snowden & Co. Nous sommes bien obligé de faire le constat suivant: Internet est en dérive mes amis, poussé par les grands acteurs de l’ultra-capitalisme. Si l’on souhaite garder un minimum de liberté, et si l’on désire garder la main sur nos données respectives, il va falloir y mettre du sien. C’est ce que j’essaye de faire depuis un long moment. Je vais donc développer point par point les piliers de mon petit système.

ownCloud
ownCloud

Premier pilier: héberger ses données

La chose la plus importante: votre vie. Vos données reflètent et retracent toute votre vie, des photos à vos goûts musicaux, en passant par vos articles préférés. Sans parler de vos discussions ou de vos mails… Alors on va gentiment regrouper tout ça sous un service web: ownCloud. Je suis ce projet depuis sa version 4 (mi 2012) et je peux vous dire qu’il en a parcouru du chemin! On est maintenant en face d’un grand garçon qui a atteint l’âge de la maturité!

Je ne vous cacherai pas que j’y ai passé énormément de temps, au moins autant que le temps passé à l’utiliser en production. Si j’avais des conseils à donner, ce serait d’abord de faire 2 architectures différentes: une de production, où vous gardez toutes vos données, et une de dev où vous testez les mises à jours et les différents plugins avant de les balancer sur la prod (peut être sur le même serveur, mais séparé en 2 sites). Ensuite, pensez à faire des sauvegardes des fichiers de conf ET de la base de données. Le plus important selon moi: passer l’ensemble de vos fichiers persos sur un disque secondaire, chiffré. De cette manière, vous ne faites un backup que du dossier web, qui ne prend que quelques secondes à envoyer dans un .tar. De même avec votre dump mysql. Honnêtement, faites-le de manière quotidienne comme ça vous êtes sûr de pouvoir revenir en arrière en quelques minutes! De plus, pensez à créer un utilisateur admin sans données, au cas où vous devriez administrer un compte mais que le votre est bloqué. Pour la redondance de vos fichiers persos, si vous avec au moins un PC qui synchronise le tout en webdav ou via le client ownCloud, vous êtes tranquille! Pour ce qui est de la sécurité, je pourrai rédiger un article entier dédié à cela. Respectez les principes des bases et renseignez-vous sur Internet, on trouve de très bonnes choses.

Pour s’affranchir des services Google, pensez à activer:
– La gestion des contacts
– La gestion des agendas
– La gestion des tâches
– La galerie d’image
– La boîte mail RainLoop pour récupérer tous vos mails où que vous soyez.
– La synchronisation des favoris
– Les documents partagés (genre drive)
– La recherche indexée (pratique mais optionnelle)

Actuellement, j’utilise même la gestion de mes fichiers .gpx quand je pars en rando / vélo / autre, les flux d’actualités, les conversations ou encore le suivie d’activité et je ne rencontre aucun problème sur la version 8.0.3, en ayant plusieurs appareils synchronisées, plusieurs utilisateurs (5-6 + partages publiques) et ~100Gb de données. A préciser: le synchro est quasi-instantanée: je peux ajouter un contact / événement sur ma tablette et l’avoir 3 secondes après sur mon téléphone. Les applications disponibles sont simples à utiliser, discrètes et s’intègrent parfaitement sur Android. Cela me permet de récupérer toutes mes données, que ce soit mon agenda, mes tâches ou mes papiers en toute transparence, et sur n’importe quel appareil. Les fonctions de partage sont très bien faites, avec une gestion des liens courants, mots de passe et date d’expiration. Vous savez qui a téléchargé quoi, et évidemment, vous pouvez partager du contenu avec des personnes qui n’ont pas de compte owncloud. Vous pouvez même partager une galerie, que vous pouvez alimenter depuis votre smartphone. Exemple: lors de mon voyage au Cambodge, quand je prenais une photo de mon téléphone, elle était automatiquement uploadé sur mon serveur (dès qu’une connexion était disponible bien sûr) et mes proches pouvaient les regarder en direct sans aucune action de ma part. Vous pouvez faire de même en partageant un agenda, ou de simple fichiers. Bref, beaucoup de possibilités, et en toute simplicité une fois le serveur monté.

De plus, une chose importante pour le confort: pensez à passer votre ligne Internet en VDSL (et pas en fibre, voir contrat fibre NSA – France sur Wikileaks). En effet l’ADSL – comme son nom l’indique – est une ligne asymétrique qui permet de bons débits en download mais qui limite (de par le protocole) vos uploads à 125 Ko/s. Le VDSL permet des débits d’upload beaucoup plus élevés, ce qui accélère les accès externes à votre serveur.

Cloud & Music
Cloud & Music

 

Pour les fans de musique, ou pour ceux qui ne sont pas satisfait des fonctionnalités offertes par ownCloud à ce niveau là comme moi, je vous propose Ampache. Un serveur web que j’ai installé sur mon serveur principal, qui permet de classer sa musique, et d’y accéder depuis n’importe où via n’importe quelle plateforme. Son gros plus est sa facilité d’installation ainsi que la capacité d’y accéder via de nombreux moyens. Je le trouve aussi très ergonomique, sympa à utiliser quoi. J’ai pu tester pendant un bout de temps Google Musique, et je suis plus que satisfait d’être passé à Ampache! Il y a tout de même un petit bémol: les paramètres de configuration avancée (accessibles uniquement via un fichier de conf) ne sont pas des plus “user friendly”, et il m’a fallu un certain temps, pour ne pas dire un temps certain, pour éditer les tags MP3 des pistes qui n’étaient pas à jour. Tout peut se faire via l’interface web ce que je trouve assez cool, mais si vous avez le malheur de ne pas avoir une médiathèque bien classée, alors bonne chance… Mais ce n’est pas non plus insurmontable, il faut juste passer album par album (ou chanson par chanson…) pour éditer le tout. Autre détail, je n’arrive pas à lire les fichiers wma… Je sais qu’il est possible de le faire, mais je n’ai pas encore trouvé. Bien que la communauté soit assez active, la documentation reste un peu faiblarde à mon goût. Pour faire bref, après le calvaire de l’édition des tags, c’est réellement un pur bonheur de l’utiliser et d’accéder à sa musique de n’importe où!

 

Sécuriser les accès
Sécuriser les accès

 

Deuxième pilier: sécuriser les accès à votre installation

Il est important de pouvoir se connecter chez soi, quelque soit le protocole utilisé, via une connexion solide. OpenVpn (par exemple) permet de créer ce tunnel. Plusieurs avantages:

– Même via un wifi publique non sécurisé, vous avez la conscience tranquille
– Vous passez tous les proxy et parefeu
– Vous brouillez les pistes, car votre identité sera celle de votre point de sortie (en France ou ailleurs)

Je n’héberge pas mon VPN à l’étranger car l’installation que je voudrai ne me permet pas d’utiliser les services classiques. Il faudrait que je loue un VPS pour y installer openvpn, et ça coûte chère! [EDIT]: J’ai investi dans un VPS chez Edis (Islande) à 8,50€ / mois pour 1TB de traffic sur une VM OpenVZ. Pour ceux qui s’y intéressent: l’Islande est une très bonne destination =) Le VPN a été l’une de mes premières installations, faite tout d’abord sur un Raspberry Pi. Ok ça fonctionne sans trop de prise de tête, surtout maintenant à l’aide du control pannel via leur nouvelle interface web. Le problème vient de la machine hôte: le Raspberry n’est pas très stable, et vous pouvez être sûr que le moment où vous en avez besoin, ce dernier est down… Alors après plusieurs essais infructueux d’optimisation, j’ai décidé de faire une chose toute bête: héberger sur mon serveur principal. Plus puissant, plus rapide, je n’ai plus aucun problème. Alors oui un RPI c’est cool pour se faire la main, mais pour une installe sur le long terme ET pour un VPN ça ne tient pas la route (attention je parle bien du VPN). Depuis, plus de problème =) Du coup, j’ai mon VPN maison sur mon serveur principal pour accéder à mon réseau local depuis n’importe où, et mon VPN en Islande pour anonymiser mes connexions.

unbound
S’affranchir de son FAI

Troisième pilier: prendre ses distances avec son FAI

Concernant votre vie privée, et surtout avec les dernières actualités (voir loi sur le renseignement), il va falloir prendre des distances avec son FAI. Pour le moment, j’ai décidé de shunter leurs serveurs DNS. Unbound permet ça, mais attention à ne pas l’utiliser *que* en serveur de cache. Pour remplir un tampon, il faut bien aller récupérer l’info, et si votre serveur n’est qu’un simple buffer entre vous et le DNS de votre FAI nous ne sommes pas dans “l’optimisation la plus totale”. Pour faire court, vous pouvez le configurer pour contacter directement les serveurs racine, et tant qu’à faire utiliser le protocole DNSSEC qui chiffre vos requêtes DNS. De cette manière, personne ne peut savoir quel site vous visitez. Installé sur mon serveur principal, toutes les machines de mon réseau local l’utilisent. Quand je suis en déplacement, ma connexion VPN permet aussi d’utiliser ce DNS (à configurer dans l’interface d’administration). J’ai cependant remarqué que le serveur racine peut ne pas connaître (ou pas mettre à jour) certains sites. Entre autre, hotmail, facebook, msi… et c’est tout. Ce qui est assez étrange car ces sites sont plus que connus. Bref, même en associant l’adresse IP récupéré sur un autre DNS dans le fichier /etc/hosts, certains éléments ne s’affichent pas (ex: images sur FB, certainement hébergées sur un autre serveur). De toute façon, je n’utilise que peu Facebook, et ça me permet de laisser une trace d’activité (voulu) chez mon FAI, cela ne me gène donc pas pour le moment. J’espère simplement qu’il n’y a pas trop de sites dans ce cas présent.
Pour finir, et comme dit plus haut, ne souscrivez pas aux offres fibre. Pensez au VDSL, peu connu, plus sûr, mais qui je vous l’accorde, ne permet pas les débits en fibre et nécessite un NRA à moins de 1,6 km de chez vous. Cependant nous sommes bien au dessus des limites de l’ADSL!

Moteur de recherche
Moteur de recherche

Quatrième pilier: les recherches web

Voilà ma dernière trouvaille: Qwant! Pour dire vrai, je l’ai utilisé il y a peut être un an, et je n’ai pas du tout, mais alors pas du tout été satisfait. C’est après avoir vu l’article de Korben il y a quelques semaines que j’ai décidé d’essayer de nouveau. Et comme le dit Korben, il y a un fossé entre l’ancienne version et la nouvelle! Cela fait quelques temps que je l’utilise maintenant, sur mon téléphone, ma tablette, mon PC, laptop et j’en suis ravie! Tout est personnalisable (à condition de créer un compte), les flux sont chiffrés, les résultats sont pertinents et clairs, les fonctionnalités ne manquent pas, votre vie privée est respectée, bref que du bon! C’est un grand pas en avant, que de se désolidariser du moteur de recherche Google!

ez icon
Who’s Watching The Watchmen?

 

Cinquième pilier: la supervision

Une fois que vous avez tout en place, n’oubliez pas de superviser et de maintenir votre installation. Sinon, je peux vous assurer qu’en moins d’un mois tout sera down! Alors faites simplement quelques vérifications journalières, et comme dit plus haut des backups (on ne le répètera jamais assez). Personnellement, j’utilise deux outils légers, pour checker l’activité de mon serveur principal et de mon Raspberry Pi:

Supervision RPI
Supervision RPI
Supervision Serveur Principal
Supervision Serveur Principal

Le premier outil s’appelle RaspControl, et le deuxième Ez Server Monitor. J’ai hésité à installer une usine à gaz genre Nagios, mais j’ai voulu rester dans la simplicité, quitte à perdre en fonctionnalités. En tout cas je n’ai rien à redire sur ces outils, ils font ce qu’on leur demande, et ils le font bien.

Petit plus: la domotique

Pour rajouter un petit plus, je voudrai parler de Yana. Ce petit bijou est formidable. C’est un serveur domotique qui s’installe sur Raspberry Pi, libre et opensource, et qui vous permet pour 3 fois rien d’avoir l’équivalent d’une box à plusieurs centaines d’euros du style Blyss, Chacon ou autre. Pourquoi vous parler de ça? Car je considère important le fait de pouvoir avoir la main sur son appart lorsque l’on est absent, en déplacement ou autre. A mon sens, on reste dans l’idée de l’indépendance et d’un meilleur contrôle de ce qui nous appartient. Pour vous montrer un peu à quoi ça ressemble et les fonctionnalités du machin, voici quelques screens:

Tableau de bord
Tableau de bord
Contrôles domotique
Contrôles domotique

 

Je précise que tout se pilote par radio, donc aucun fil qui traîne ou qui passe dans toutes les pièces, à cela s’ajoute le contrôle vocal, assez classe. Bref, pour plus de détails, je vous invite à lire mes articles dans la partie “Raspberry Pi” et à visiter le blog d’Idleman. Pour faire un retour, je dois là aussi avouer que j’ai passé quasi autant de temps à le mettre en place et à maintenir l’installation qu’à l’utiliser réellement. Je crois cependant avoir trouvé une bonne config, propre et stable depuis plusieurs semaines mois, et cela n’a pas été de tout repos. En tout cas en terme de fonctionnalités tout est opérationnel, il ne reste plus qu’à voir la façon dont cela va se comporter dans le temps.

Petit plus un peu mois gros: accès via Android

Pour finir, voici une petite liste des applications que j’utilise depuis mon smartphone:

Applications Android
Applications Android

Cela me permet entre autre d’accéder à mes fichiers, ma musique de prendre la main sur mes serveurs directement via mon tel. Je peux aussi contrôler mon appart via commandes vocales, sécuriser ma connexion via VPN, streamer la caméra de mon Raspberry Pi ou encore contrôler mon lecteur multimedia. Je n’ai pas parlé de ce dernier, KODI, car ne présente pas un réel intérêt ici. Mais sachez qu’OpenElec sur un Raspberry Pi 2 ça rox du tonnerre!

Pour conclure, j’aime à penser que je ne dépend quasi plus de services externes! Il faudrait maintenant penser à développer un OS indépendant pour smartphones, mains ce sera une autre paire de manches… Google est toujours derrière mon dos, mais je ne lui montre plus rien, excepté mes paramètres Android et les applis que j’installe certes il suffit de désinstaller tous les services Google sur son smartphone, et d’installer un market alternatif (F-Droid). Toujours la même conclusion: pour avoir ce que l’on veut, il faut y mettre du sien, et y passer du temps. Maintenant que j’ai investi le mien, je peux profiter pleinement de mes nouveaux outils =D

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.