Pendant longtemps, mes services étaient accessibles sans mot de passe sur mon réseau local. “C’est pas grave, c’est chez moi” — jusqu’au jour où j’ai réalisé qu’un service non sécurisé, c’est une porte ouverte.

Voici comment j’ai verrouillé tout ça.

InfluxDB : le premier chantier

Mon InfluxDB traînait sans authentification, accessible depuis tout le réseau local. Un cauchemar.

Ce que j’ai fait :

• Activé l’authentification HTTP dans la config
• Créé un utilisateur admin avec mot de passe
• Restreint l’interface d’écoute à l’IP du serveur uniquement
• Supprimé l’ancienne interface d’admin (dépréciée depuis longtemps)
• Mis à jour Telegraf et Grafana avec les credentials

Une fois les credentials en place, j’ai dû mettre à jour ma conf Telegraf et mon datasource Grafana. Sans ça, plus de métriques.

Radarr, Sonarr, Prowlarr : le trio de l’authentification

Mes applications *arr tournaient sans auth. N’importe qui sur le réseau pouvait ajouter des films, supprimer des séries, modifier les indexers.

Changements :

• Radarr : AuthenticationRequired passé à Enabled
• Sonarr : pareil, formulaire d’auth obligatoire
• Prowlarr : AuthenticationMethod en Forms

Problème rencontré : une fois l’auth activée, les communications avec Prowlarr ont pété. J’ai dû reconnecter Prowlarr à Radarr et Sonarr avec les nouveaux credentials.

qBittorrent : un changement de user qui fait mal

Mon client torrent, c’est qBittorrent derrière un VPN. Le user par défaut a été changé pour un compte dédié.

Conséquence : Radarr et Sonarr utilisent qBittorrent comme client de téléchargement. Après le changement de mot de passe, plus moyen de download. J’ai dû mettre à jour les deux applications avec les nouveaux credentials.

Tautulli : le fix DNS qui a tout changé

L’application de suivi Plex pointait vers l’IP publique au lieu de l’IP locale du serveur. Résultat : les requêtes passaient par le Plex Relay externe, limité et plus lent.

Fix : remplacé par l’IP locale. Résultat : les appels sont directs, plus de relay, plus de latence.

Leçons apprises

1. Active l’auth AVANT d’exposer un service — c’est relou de le faire après, surtout quand d’autres services dépendent du premier.

2. Prépare une transition — avant d’activer l’auth sur un service, vérifie tous les clients qui s’y connectent. J’ai oublié Prowlarr ↔ Radarr/Sonarr.

3. Un mot de passe fort, mais pas partout différent — utiliser un gestionnaire ou des identifiants cohérents. Sevans / mot de passe unique par service, c’est le minimum.

4. Vérifie les bindings réseau — un service qui écoute sur 0.0.0.0 est accessible depuis partout sur le réseau. Le restreindre à l’IP du serveur ou à une IP de container, c’est mieux.

5. Les IPs publiques dans les confs, c’est non — les applis doivent toujours utiliser les IPs privées pour les communications internes.

La sécu, c’est un processus continu. Chaque mois, un petit audit, et on avance.