[{"content":"Tu as installé Proxmox, tu ouvres l\u0026rsquo;interface web, et deux boutons t\u0026rsquo;attendent en haut à droite : Create VM (créer une machine virtuelle) et Create CT (créer un conteneur). Deux boutons, deux technologies, et une question que tout le monde se pose au début : c\u0026rsquo;est quoi la différence, et lequel des deux boutons dois-je choisir : VM ou CT ?\nLa réponse courte, sans suspense : une VM est un ordinateur complet simulé dans ton serveur, un conteneur LXC est un environnement Linux isolé qui partage le moteur de ton serveur. La VM est plus lourde mais plus étanche et plus polyvalente. Le LXC est plus léger et plus rapide, mais réservé à Linux.\nDans cet article, on fait le tour complet de la question : comment chacun fonctionne, ce que ça change concrètement en ressources et en sécurité, et surtout — comment décider en trente secondes lequel utiliser pour ton prochain service. Le tout en restant dans l\u0026rsquo;interface web de Proxmox, sans ligne de commande.\nSi tu as suivi les articles précédents, tu as déjà utilisé les deux sans forcément le savoir : Pi-hole tourne dans un LXC, Linux Mint dans une VM. À la fin de cet article, tu sauras exactement pourquoi.\nLa VM : un ordinateur complet dans ton ordinateur Une machine virtuelle (VM), c\u0026rsquo;est exactement ce que son nom dit : un ordinateur entier, simulé par logiciel à l\u0026rsquo;intérieur de ton serveur. Quand tu crées une VM dans Proxmox, tu fabriques un PC virtuel de toutes pièces : son propre BIOS, son propre disque dur virtuel, sa propre carte réseau virtuelle, sa propre mémoire réservée.\nEt surtout : son propre système d\u0026rsquo;exploitation complet, installé depuis zéro comme sur un vrai PC. C\u0026rsquo;est pour ça que créer une VM commence toujours par télécharger une image ISO — le fameux fichier d\u0026rsquo;installation. Linux Mint, Debian, Windows, peu importe : la VM ne sait même pas qu\u0026rsquo;elle est virtuelle. Elle croit tourner sur du vrai matériel.\nSous le capot, Proxmox utilise KVM/QEMU : KVM est le module de virtualisation intégré au noyau Linux, QEMU s\u0026rsquo;occupe de simuler le matériel. Tu n\u0026rsquo;as pas besoin de retenir ces noms pour l\u0026rsquo;utiliser — mais tu les croiseras dans l\u0026rsquo;interface, notamment dans la colonne « Type » où tes VMs apparaissent comme qemu.\nL\u0026rsquo;image la plus juste : la VM est une maison indépendante. Ses propres murs, sa propre plomberie, son propre compteur électrique. Ce qui se passe dedans reste dedans : si une VM plante ou se fait compromettre, les autres et le serveur hôte ne voient rien. Cette indépendance a un prix : chaque maison doit être construite entièrement, avec sa propre fondation — le système d\u0026rsquo;exploitation complet — qui consomme de la RAM et du disque avant même que ton service ne démarre.\nConcrètement : ta VM Linux Mint embarque un noyau Linux complet, tous les services système de Mint, une interface graphique — plusieurs gigaoctets de disque et au moins 2 Go de RAM, juste pour exister. Le service que tu fais tourner dessus s\u0026rsquo;ajoute par-dessus.\nUne VM réserve mémoire, CPU et disque virtuel dès sa création — avant même que ton service ne démarre.\nLe LXC : un conteneur qui partage le moteur de ton serveur Un conteneur LXC (Linux Containers), c\u0026rsquo;est une approche radicalement différente. Au lieu de simuler un ordinateur complet, le conteneur réutilise le noyau Linux de ton serveur Proxmox. Pas de BIOS virtuel, pas de matériel simulé, pas de système d\u0026rsquo;exploitation installé depuis zéro : le conteneur ne contient que ce qui est propre à lui — ses fichiers, ses applications, sa configuration.\nC\u0026rsquo;est pour ça que créer un CT ne passe pas par une ISO mais par un template : une archive légère qui contient juste l\u0026rsquo;environnement d\u0026rsquo;une distribution (Debian, Ubuntu, Alpine\u0026hellip;), sans le noyau. Le noyau, c\u0026rsquo;est celui de Proxmox qui le fournit, en direct.\nPour reprendre notre image : si la VM est une maison indépendante, le LXC est un appartement dans un immeuble. Il a sa porte qui ferme à clé, ses propres meubles, son propre agencement — mais il partage les fondations, la structure porteuse et le compteur général avec tous les autres appartements. Résultat : construire un appartement coûte infiniment moins cher que construire une maison, et c\u0026rsquo;est immédiat.\nConcrètement, ça donne quoi ? Ton conteneur Pi-hole démarre en deux ou trois secondes, là où une VM met une à deux minutes. Côté mémoire, les chiffres parlent d\u0026rsquo;eux-mêmes : le Pi-hole de ce blog consomme 53 Mo de RAM en fonctionnement, sur les 512 Mo qui lui sont alloués — là où la moindre VM en réclame 2 Go rien que pour exister. Et son disque occupe quelques centaines de Mo au lieu de plusieurs Go. Sur un serveur modeste, la différence n\u0026rsquo;est pas cosmétique : c\u0026rsquo;est ce qui te permet de faire tourner dix services au lieu de trois.\nLe Pi-hole de ce blog : 53 Mo de RAM réellement utilisés sur les 512 alloués.\nL\u0026rsquo;isolation, elle, est assurée par des mécanismes du noyau Linux lui-même — chaque conteneur est cloisonné dans son propre espace : il voit ses propres processus, son propre réseau, ses propres utilisateurs, et rien des autres. C\u0026rsquo;est une vraie isolation, mais avec une nuance de taille qu\u0026rsquo;on détaillera dans le comparatif : les appartements partagent la structure de l\u0026rsquo;immeuble. Si la structure a un défaut, tout l\u0026rsquo;immeuble est concerné.\nAttention à la confusion classique : LXC n\u0026rsquo;est pas Docker. Les deux utilisent les mêmes mécanismes du noyau, mais la philosophie diverge. Un LXC est un conteneur système : il se comporte comme une petite machine Linux complète et durable, dans laquelle tu te connectes, installes et mets à jour des paquets, comme sur un serveur classique. Docker est un conteneur applicatif : une seule application par conteneur, jetable et reconstruit à chaque mise à jour. Dans Proxmox, quand tu cliques sur Create CT, c\u0026rsquo;est du LXC — Docker est un autre sujet, pour un autre article.\nUne conséquence directe du partage de noyau, et elle est sans appel : un LXC ne peut faire tourner que du Linux. Le noyau est celui de l\u0026rsquo;hôte, donc pas de Windows en conteneur, jamais. Besoin de Windows ou d\u0026rsquo;un autre OS ? C\u0026rsquo;est une VM, fin de la discussion.\nVM vs LXC : le comparatif franc Maintenant que tu sais comment chacun fonctionne, posons les différences côte à côte. Pas de gagnant universel ici — chaque colonne a ses cas d\u0026rsquo;usage.\nVM LXC Noyau Le sien, indépendant Celui de l\u0026rsquo;hôte, partagé OS possibles Linux, Windows, BSD\u0026hellip; Linux uniquement RAM minimale réaliste 1 à 2 Go et plus 128 à 512 Mo Démarrage 1 à 2 minutes Quelques secondes Disque occupé Plusieurs Go Quelques centaines de Mo Isolation Forte (matériel simulé) Bonne, mais noyau partagé Installation Depuis une ISO Depuis un template La question qui fâche : la sécurité Soyons directs : une VM est mieux isolée qu\u0026rsquo;un conteneur, point. La VM ne partage rien avec l\u0026rsquo;hôte à part le processeur physique — pour la compromettre depuis l\u0026rsquo;intérieur puis atteindre ton serveur, un attaquant doit traverser toute la couche de virtualisation. C\u0026rsquo;est rare et difficile.\nLe LXC, lui, partage le noyau. Une faille dans le noyau Linux exploitée depuis un conteneur peut, en théorie, toucher l\u0026rsquo;hôte. C\u0026rsquo;est l\u0026rsquo;immeuble : un défaut dans la structure porteuse concerne tous les appartements.\nÇa ne veut pas dire que le LXC est une passoire. Proxmox crée par défaut des conteneurs unprivileged — non privilégiés : le compte root à l\u0026rsquo;intérieur du conteneur correspond à un utilisateur ordinaire sans aucun droit à l\u0026rsquo;extérieur, sur l\u0026rsquo;hôte. Même si un attaquant devient root dans ton conteneur Pi-hole, côté serveur il n\u0026rsquo;est qu\u0026rsquo;un utilisateur lambda. Garde ce défaut : ne passe un conteneur en « privileged » que si tu as une raison documentée de le faire — et dans le doute, c\u0026rsquo;est qu\u0026rsquo;il n\u0026rsquo;y en a pas.\nLa règle pratique qui en découle : plus un service est exposé ou sensible, plus la VM se justifie. Un service interne à ton réseau comme Pi-hole vit très bien en LXC unprivileged. Un service exposé à Internet ou qui manipule des données critiques mérite de réfléchir à une VM.\nLe cas particulier : Docker Tu croiseras vite la question « je mets mon Docker dans un LXC ou dans une VM ? ». La position officielle de Proxmox est claire : les conteneurs applicatifs comme Docker sont à faire tourner dans une VM, pas dans un LXC. Empiler des conteneurs Docker dans un conteneur LXC fonctionne parfois, au prix de bricolages de configuration qui cassent régulièrement lors des mises à jour de Proxmox. Une petite VM Debian dédiée à Docker t\u0026rsquo;épargne tout ça. Retiens juste ce principe pour le moment — Docker aura son propre article.\nCe que ça coûte vraiment sur ton serveur Dernier point, le plus concret : la densité. Une VM réserve sa RAM : tu lui donnes 2 Go, ils sont pris, qu\u0026rsquo;elle les utilise ou non. Un LXC partage les ressources de l\u0026rsquo;hôte : il ne consomme que ce qu\u0026rsquo;il utilise réellement. Sur une machine avec 16 Go de RAM, ça se traduit par une poignée de VMs\u0026hellip; ou des dizaines de conteneurs. Pour un homelab sur matériel modeste, c\u0026rsquo;est souvent l\u0026rsquo;argument qui tranche.\nComment décider en trente secondes Toute la théorie ci-dessus tient en trois questions. Tu les poses dans l\u0026rsquo;ordre, et tu t\u0026rsquo;arrêtes à la première qui répond « oui ».\nQuestion 1 — Ton service a besoin d\u0026rsquo;autre chose que Linux ?\nWindows, BSD, macOS, peu importe : si ce n\u0026rsquo;est pas du Linux, c\u0026rsquo;est une VM, obligatoirement. Un LXC utilise le noyau Linux de ton serveur — il ne peut rien faire tourner d\u0026rsquo;autre. Pas de contournement possible.\nQuestion 2 — C\u0026rsquo;est un poste de travail complet, Docker, ou un service exposé à Internet ?\nDans les trois cas : VM.\nUn poste de travail — un système avec bureau graphique que tu utilises comme un vrai PC (Linux Mint, Ubuntu Desktop\u0026hellip;) — est fait pour la VM : tu veux une machine entière, pas un service en arrière-plan. Attention, c\u0026rsquo;est l\u0026rsquo;usage qui compte, pas la distribution : le même Ubuntu en version serveur, sans bureau, tourne très bien en conteneur. Docker : recommandation officielle de Proxmox — l\u0026rsquo;alternative en LXC existe mais repose sur des bricolages qui cassent au fil des mises à jour. Un service exposé à Internet : ce qui est accessible depuis l\u0026rsquo;extérieur est une cible, et une cible mérite l\u0026rsquo;isolation la plus forte. Question 3 — Tu as répondu non aux deux premières ?\nAlors c\u0026rsquo;est un service Linux, interne à ton réseau — le cas de l\u0026rsquo;immense majorité des services d\u0026rsquo;un homelab. Réponse : LXC unprivileged, le choix par défaut. Léger, rapide à démarrer, suffisamment isolé pour un service interne, et c\u0026rsquo;est ce qui permet à un serveur modeste d\u0026rsquo;héberger dix services au lieu de trois.\nEn une phrase : LXC par défaut ; VM dès que Windows, un bureau graphique, Docker ou l\u0026rsquo;exposition à Internet entrent en jeu.\nTrois questions, trente secondes : l\u0026rsquo;arbre de décision complet.\nVérifie avec ce que tu connais déjà. Pi-hole : Linux, interne → LXC, c\u0026rsquo;est bien ce qu\u0026rsquo;on a fait. Linux Mint avec son bureau graphique : un OS complet à tester, pas un simple service → VM, logique aussi. La règle fonctionne.\nOù ça se voit dans l\u0026rsquo;interface web Tout ce qu\u0026rsquo;on vient de voir se retrouve directement dans l\u0026rsquo;interface de Proxmox. Petit tour du propriétaire.\nLes deux boutons. En haut à droite de l\u0026rsquo;interface, en permanence : Create VM (créer une machine virtuelle) et Create CT (créer un conteneur — CT pour container). Deux boutons, deux mondes.\nDeux boutons, deux technologies : Create VM et Create CT dans l\u0026rsquo;interface Proxmox.\nLe point de départ n\u0026rsquo;est pas le même. La différence de philosophie se voit avant même de créer quoi que ce soit : dans ce que tu dois préparer.\nPour une VM, il te faut une image ISO — le fichier d\u0026rsquo;installation complet d\u0026rsquo;un système d\u0026rsquo;exploitation, celui que tu graverais sur une clé USB pour un vrai PC. Les ISO se gèrent dans le stockage : sélectionne local dans l\u0026rsquo;arborescence de gauche, puis ISO Images. Deux façons d\u0026rsquo;en ajouter : Upload si le fichier est déjà sur ton PC, Download from URL pour que Proxmox le télécharge directement — plus rapide, pas de transfert depuis ta machine.\nDeux façons d\u0026rsquo;ajouter une image ISO : Upload depuis ton PC, ou Download from URL.\nAu moment de créer la VM, l\u0026rsquo;assistant te demande cette ISO dans l\u0026rsquo;onglet OS — tu la retrouves dans le menu déroulant, il n\u0026rsquo;y a qu\u0026rsquo;à la sélectionner. Tu devras ensuite dérouler l\u0026rsquo;installation du système, écran par écran, comme sur une machine physique.\nDans l\u0026rsquo;assistant Create VM, l\u0026rsquo;onglet OS te demande de choisir ton image ISO.\nPour un CT, il te faut un template — une archive prête à l\u0026rsquo;emploi, sans installation à dérouler. Même logique de rangement : stockage local, section CT Templates, puis bouton Templates.\nPour un conteneur, direction la section CT Templates puis le bouton Templates.\nProxmox te propose alors une liste de distributions maintenues — Debian, Ubuntu, Alpine, Fedora et bien d\u0026rsquo;autres. Un clic, un téléchargement de l\u0026rsquo;ordre de la centaine de Mo (compare avec les 3 Go d\u0026rsquo;une ISO Linux Mint : la différence de philosophie, déjà), et le template est disponible pour tous tes futurs conteneurs.\nDebian, Ubuntu, Alpine, Fedora : la liste des templates prêts à l\u0026rsquo;emploi.\nAu moment de créer le conteneur, l\u0026rsquo;assistant te demande ce template dans l\u0026rsquo;onglet Template — et c\u0026rsquo;est tout : le conteneur sera utilisable dès la fin de l\u0026rsquo;assistant, en quelques secondes.\nDans l\u0026rsquo;assistant Create CT, il ne reste qu\u0026rsquo;à choisir le template.\nLes options trahissent la mécanique. Dans l\u0026rsquo;assistant Create CT, tu retrouves la case Unprivileged container — cochée par défaut, on a vu pourquoi. Laisse-la cochée. Dans Create VM, tu croiseras à l\u0026rsquo;inverse des onglets entiers dédiés au matériel simulé : BIOS, type de machine, contrôleur SCSI, carte graphique\u0026hellip; Autant de choses qu\u0026rsquo;un conteneur n\u0026rsquo;a tout simplement pas, puisqu\u0026rsquo;il ne simule aucun matériel.\nEt une fois créés ? Dans la colonne Type des vues de recherche, tes VMs apparaissent comme qemu, tes conteneurs comme lxc — les deux technologies qu\u0026rsquo;on a vues en début d\u0026rsquo;article, noir sur blanc dans l\u0026rsquo;interface.\nDans la colonne Type : les VMs apparaissent en qemu, les conteneurs en lxc.\nAu quotidien, en revanche, VMs et conteneurs se pilotent exactement pareil : démarrer, arrêter, sauvegarder, snapshots, console — mêmes menus, mêmes gestes. C\u0026rsquo;est une des forces de Proxmox : deux technologies très différentes sous le capot, une seule interface pour les vivre.\nEn résumé : deux outils, un seul réflexe Tu sais maintenant ce qui se cache derrière les deux boutons bleus. La VM : un ordinateur complet simulé, avec son propre noyau — plus lourde, mieux isolée, capable de tout faire tourner. Le LXC : un environnement Linux qui partage le noyau de ton serveur — léger, quasi instantané, mais Linux uniquement.\nEt surtout, tu as le réflexe : LXC unprivileged par défaut ; VM dès que Windows, un bureau graphique, Docker ou l\u0026rsquo;exposition à Internet entrent en jeu. Trois questions, trente secondes, décision prise.\nLa meilleure façon d\u0026rsquo;ancrer tout ça, c\u0026rsquo;est de pratiquer les deux :\nCôté conteneur : Pi-hole sur Proxmox en LXC — ton premier service utile, et tu comprendras maintenant chaque choix de l\u0026rsquo;assistant Create CT. Côté machine virtuelle : Installer Linux Mint sur Proxmox : ta première machine virtuelle pas à pas — un OS complet dans une VM, installation ISO comprise. La suite logique de la série : maintenant que tu sais choisir entre VM et conteneur, on va s\u0026rsquo;en servir pour construire. Prochaine étape : déployer des services qui rendent ton homelab réellement utile au quotidien.\nTa tech, tes règles, ta liberté.\n","permalink":"https://homemadetech.fr/posts/choisir-vm-ou-lxc/","summary":"\u003cp\u003eTu as installé Proxmox, tu ouvres l\u0026rsquo;interface web, et deux boutons t\u0026rsquo;attendent en haut à droite : \u003cstrong\u003eCreate VM\u003c/strong\u003e (créer une machine virtuelle) et \u003cstrong\u003eCreate CT\u003c/strong\u003e (créer un conteneur). Deux boutons, deux technologies, et une question que tout le monde se pose au début : c\u0026rsquo;est quoi la différence, et lequel des deux boutons dois-je choisir : VM ou CT ?\u003c/p\u003e\n\u003cp\u003eLa réponse courte, sans suspense : une \u003cstrong\u003eVM\u003c/strong\u003e est un ordinateur complet simulé dans ton serveur, un \u003cstrong\u003econteneur LXC\u003c/strong\u003e est un environnement Linux isolé qui partage le moteur de ton serveur. La VM est plus lourde mais plus étanche et plus polyvalente. Le LXC est plus léger et plus rapide, mais réservé à Linux.\u003c/p\u003e","title":"VM ou LXC : comment choisir sur Proxmox"},{"content":"Tu viens d\u0026rsquo;arriver sur Home Made Tech ? Cette page est ta carte. Pas besoin de tout lire dans l\u0026rsquo;ordre des publications : voilà par où démarrer selon ce que tu cherches.\nLe parcours homelab, dans l\u0026rsquo;ordre C\u0026rsquo;est le fil principal du blog. Si tu pars de zéro et que tu veux monter ton propre serveur à la maison, suis ces articles dans cet ordre — chacun s\u0026rsquo;appuie sur le précédent.\nC\u0026rsquo;est quoi un homelab, et pourquoi en monter un — Le point de départ. Ce qu\u0026rsquo;est un homelab, à quoi ça sert, et pourquoi tu en veux un. Aucun prérequis. Installer Proxmox VE 9 pas à pas — On pose le socle : l\u0026rsquo;hyperviseur sur lequel tout le reste tournera. Pi-hole sur Proxmox en LXC — Ton premier service utile : un bloqueur de pub et de pisteurs pour tout ton réseau. Sécuriser Proxmox, partie 1 — Compte dédié, double authentification, pare-feu. On verrouille les accès. Sécuriser Proxmox, partie 2 — SSH, clés, fail2ban. On durcit ce qui reste. À la fin de ce parcours, tu as un serveur qui tourne, un premier service en place, et une base saine et sécurisée pour construire la suite.\nTu viens de Windows ? Pas besoin de homelab pour commencer à reprendre la main. Si ton point de départ, c\u0026rsquo;est ton PC de tous les jours :\nQuitter Windows pour Linux : par où commencer — Le grand saut, sans douleur, expliqué pour quelqu\u0026rsquo;un qui n\u0026rsquo;a jamais touché à Linux. Installer Linux Mint sur Proxmox — Tester Linux dans une machine virtuelle, pour t\u0026rsquo;entraîner sans rien risquer sur ta vraie machine. Tu veux d\u0026rsquo;abord comprendre le pourquoi ? Avant la technique, il y a une question de fond : pourquoi reprendre la main sur sa tech ?\nPourquoi l\u0026rsquo;État n\u0026rsquo;arrive pas à protéger tes données (et ce n\u0026rsquo;est pas un complot) — Pour poser le décor : ce que tu peux attendre des institutions, et ce qui ne dépend que de toi. Envie de fouiller librement ? Tous les articles sont rangés par tags. Pioche selon ce qui t\u0026rsquo;intéresse.\n","permalink":"https://homemadetech.fr/commence-ici/","summary":"\u003cp\u003eTu viens d\u0026rsquo;arriver sur Home Made Tech ? Cette page est ta carte. Pas besoin de tout lire dans l\u0026rsquo;ordre des publications : voilà par où démarrer selon ce que tu cherches.\u003c/p\u003e\n\u003ch2 id=\"le-parcours-homelab-dans-lordre\"\u003eLe parcours homelab, dans l\u0026rsquo;ordre\u003c/h2\u003e\n\u003cp\u003eC\u0026rsquo;est le fil principal du blog. Si tu pars de zéro et que tu veux monter ton propre serveur à la maison, suis ces articles dans cet ordre — chacun s\u0026rsquo;appuie sur le précédent.\u003c/p\u003e","title":"Commence ici"},{"content":"Home Made Tech, c\u0026rsquo;est un blog sur la souveraineté technique. Pas au sens où il faudrait tout réinventer seul dans son garage, mais au sens où tu devrais pouvoir décider : ce qui tourne sur tes machines, où vont tes données, à qui tu fais confiance et pourquoi.\nTa tech, tes règles, ta liberté. Ce n\u0026rsquo;est pas un slogan posé là pour faire joli, c\u0026rsquo;est la grille de lecture de tout ce que tu trouveras ici.\nLe constat de départ est simple. Tu as sans doute déjà l\u0026rsquo;intuition que la dépendance aux GAFAM et aux grands acteurs du cloud pose problème — sur tes données, sur ton contrôle, sur ta vie privée. Mais entre cette intuition et le fait de reprendre la main concrètement, il y a un fossé : ça paraît réservé aux experts, c\u0026rsquo;est mal documenté, ou noyé sous le jargon. Mon rôle, c\u0026rsquo;est de faire passer ce fossé. Je fais réellement les choses, je documente le chemin entier — y compris les ratés — et je rends accessible ce qui en a l\u0026rsquo;air de ne pas l\u0026rsquo;être.\nEt il y a une raison plus politique. Depuis quelques années, la surveillance s\u0026rsquo;installe par petites touches, légalement, au nom de la sécurité : nouvelles lois, obligations techniques, projets de contrôle des communications. Rarement par un complot, le plus souvent au grand jour — mais sans vrai débat sur ce qu\u0026rsquo;on accepte de perdre en échange. Reprendre la main sur sa tech, ce n\u0026rsquo;est pas de la paranoïa : c\u0026rsquo;est se garder une marge de manœuvre pendant qu\u0026rsquo;on le peut encore.\nJe ne théorise pas dans le vide. J\u0026rsquo;ai eu mon premier ordinateur, un Atari, vers dix ans — il y a plus de trente ans. Depuis, je n\u0026rsquo;ai jamais vraiment lâché. Je suis sous Linux depuis des années, j\u0026rsquo;ai un NAS qui tourne depuis plus de sept ans, un homelab depuis deux ans, et une maison connectée sous Home Assistant pour laquelle je vais jusqu\u0026rsquo;à fabriquer mes propres capteurs Zigbee à base d\u0026rsquo;Arduino. Ce que j\u0026rsquo;écris ici, je l\u0026rsquo;ai monté, cassé et réparé avant d\u0026rsquo;en parler. Et je reste capable de me souvenir du moment où tout ça paraissait incompréhensible — c\u0026rsquo;est précisément pour ce moment-là que ce blog existe.\nConcrètement, tu trouveras de l\u0026rsquo;auto-hébergement, de la protection des données, de la vie privée et de l\u0026rsquo;anonymat, de la cybersécurité personnelle et de l\u0026rsquo;IA locale — et, à venir, tout le volet réseau et maison connectée. On articulera le tout autour de trois thèmes: -des tutoriels pas à pas que tu peux suivre sans te faire piéger, -des tests comparatifs d\u0026rsquo;outils, -et des articles d\u0026rsquo;opinion quand un sujet mérite qu\u0026rsquo;on prenne du recul.\nQuelques règles que je m\u0026rsquo;impose, parce que c\u0026rsquo;est indispensable pour être crédible :\nAucune affirmation sans source primaire vérifiée avant d\u0026rsquo;écrire. Chaque outil que je présente vient avec sa zone grise — ce qui cloche, ce qu\u0026rsquo;il faut savoir — y compris les outils que je recommande. Je te dis toujours ce que tu perds en choisissant une solution, pas seulement ce que tu gagnes. Et pas de remplissage : si je n\u0026rsquo;ai rien à dire, je ne dis rien. La qualité passe avant le nombre de mots.\nCe blog applique à lui-même ce qu\u0026rsquo;il prêche. Il est auto-hébergé, sans Google Analytics, sans pisteur. Les vidéos qui l\u0026rsquo;accompagnent sont en voix off, sans visage à la caméra — parce que le propos compte plus que la personne qui le porte.\nCe que ce n\u0026rsquo;est pas : un site de bons plans sponsorisés déguisés en conseils, ni un prêche dogmatique où il faudrait tout auto-héberger sous peine d\u0026rsquo;être un mouton. La souveraineté, c\u0026rsquo;est un curseur, pas un test de pureté. Le but, c\u0026rsquo;est que tu fasses des choix informés — pas que tu fasses les miens.\nUne remarque, une correction, un sujet à proposer ? Écris-moi : contact@homemadetech.fr.\n","permalink":"https://homemadetech.fr/a-propos/","summary":"\u003cp\u003eHome Made Tech, c\u0026rsquo;est un blog sur la souveraineté technique. Pas au sens où il faudrait tout réinventer seul dans son garage, mais au sens où tu devrais pouvoir décider : ce qui tourne sur tes machines, où vont tes données, à qui tu fais confiance et pourquoi.\u003c/p\u003e\n\u003cp\u003e\u003cstrong\u003eTa tech, tes règles, ta liberté.\u003c/strong\u003e Ce n\u0026rsquo;est pas un slogan posé là pour faire joli, c\u0026rsquo;est la grille de lecture de tout ce que tu trouveras ici.\u003c/p\u003e","title":"À propos"},{"content":"Le 19 octobre 2025, en plein jour et en quelques minutes, quatre individus repartent du Louvre avec des bijoux de la Couronne. Le casse fait le tour du monde. Mais le détail qui sidère vraiment arrive quelques jours plus tard, quand CheckNews, le service de fact-checking de Libération, met la main sur les audits de sécurité du musée. Le mot de passe qui protégeait le serveur de vidéosurveillance du plus grand musée du monde, c\u0026rsquo;était : LOUVRE. Et pour accéder à un logiciel de Thales, c\u0026rsquo;était THALES.\nTu peux relire la phrase, elle ne changera pas. Le système censé surveiller la Joconde était verrouillé avec le nom du bâtiment. Et ce n\u0026rsquo;est pas une bourde découverte dans la panique de l\u0026rsquo;enquête : l\u0026rsquo;ANSSI l\u0026rsquo;avait écrit noir sur blanc dès 2014, audit à l\u0026rsquo;appui. Onze ans plus tard, rien n\u0026rsquo;avait bougé.\nAlors on se pose la question, la vraie, celle qui dérange : comment un pays capable de construire des Rafale, d\u0026rsquo;envoyer des fusées en orbite et de sortir un champion mondial de l\u0026rsquo;IA en deux ans peut-il protéger son trésor national avec un mot de passe qu\u0026rsquo;un gamin de huit ans devinerait ?\nDix-sept par jour Le Louvre n\u0026rsquo;est pas un accident isolé. C\u0026rsquo;est juste l\u0026rsquo;exemple le plus spectaculaire d\u0026rsquo;une série qui, ces deux dernières années, est devenue le bruit de fond de notre vie numérique. En 2025, la CNIL a enregistré 6 167 notifications de violations de données — son plus haut niveau jamais atteint, en hausse de 9,5 % sur un an, soit environ dix-sept par jour. Un incident sur deux est un piratage. Et derrière ces chiffres, des noms que tu connais : France Travail, et les données de quarante-trois millions de personnes en 2024 ; le fichier FICOBA de Bercy, qui recense tous les comptes bancaires du pays, 1,2 million exposés en février 2026 ; Cegedim et les données de santé d\u0026rsquo;environ quinze millions de patients, la même année.\nLe plus parlant n\u0026rsquo;est pas le volume, c\u0026rsquo;est la nature des cibles. Ce ne sont pas des startups bricolées dans un garage. C\u0026rsquo;est l\u0026rsquo;État. Ce sont les administrations à qui tu es légalement obligé de confier tes données les plus intimes — tes revenus, ta santé, ton casier, tes comptes. Celles que tu ne peux pas quitter.\nEt il y a ce cas, qui boucle la boucle avec le Louvre : en décembre 2025, une intrusion au ministère de l\u0026rsquo;Intérieur a permis la consultation illégale de deux fichiers de police majeurs — le traitement d\u0026rsquo;antécédents judiciaires, qui recense dix-sept millions de personnes, auteurs comme victimes, et le fichier des personnes recherchées. La maison qui détient les données les plus sensibles sur les citoyens — y compris celles des victimes — n\u0026rsquo;a pas su les garder.\nDonc oui. Ton intuition est juste. Il y a quelque chose qui ne colle pas. Un pays qui maîtrise des technologies parmi les plus complexes de la planète n\u0026rsquo;arrive pas à faire ce qu\u0026rsquo;on demande à n\u0026rsquo;importe quelle PME : choisir un mot de passe correct et tenir ses systèmes à jour. Ce n\u0026rsquo;est pas une impression. C\u0026rsquo;est réel, c\u0026rsquo;est documenté, et ça mérite une explication.\nLe réflexe du complot Arrivé là, une petite voix s\u0026rsquo;installe. Et elle est tentante. On finit par se dire que ça ne peut pas être un hasard. Que tant d\u0026rsquo;incompétence, à ce niveau, avec ces moyens, c\u0026rsquo;est forcément voulu. Qu\u0026rsquo;on nous laisse exposés exprès — pour mieux nous surveiller, pour justifier des lois, pour une raison cachée qu\u0026rsquo;on ne nous dira jamais.\nJe comprends le réflexe. Je l\u0026rsquo;ai eu aussi. Mais il faut le regarder en face, parce qu\u0026rsquo;il est faux — et surtout parce qu\u0026rsquo;il est faux d\u0026rsquo;une manière intéressante.\nLe complot, au fond, c\u0026rsquo;est une explication rassurante. S\u0026rsquo;il y a un plan, c\u0026rsquo;est qu\u0026rsquo;il y a un pilote. Quelqu\u0026rsquo;un, quelque part, tient le volant et sait où va la voiture. C\u0026rsquo;est presque réconfortant : ça veut dire que le système est sous contrôle, même si ce contrôle joue contre toi. On préfère un méchant compétent à un vide.\nSauf que la réalité est plus inconfortable que n\u0026rsquo;importe quel complot. Il n\u0026rsquo;y a pas de pilote. Personne ne tient le volant. Le mot de passe « LOUVRE » n\u0026rsquo;est pas une porte dérobée laissée ouverte par un cerveau machiavélique : c\u0026rsquo;est ce qui arrive quand un audit dort dans un tiroir pendant onze ans parce que personne n\u0026rsquo;avait ni le budget, ni l\u0026rsquo;obligation, ni la moindre conséquence à craindre pour le sortir de là. Ce n\u0026rsquo;est pas un projet. C\u0026rsquo;est une absence de projet.\nPersonne aux commandes — pas par malice, par absence de conséquence.\nEt c\u0026rsquo;est une bien plus mauvaise nouvelle. Parce qu\u0026rsquo;un complot, on peut le dénoncer, le combattre, espérer le faire tomber. La négligence structurelle, elle, ne tombe pas. Elle dure. Elle s\u0026rsquo;installe. Et c\u0026rsquo;est exactement pour ça qu\u0026rsquo;il faut comprendre comment elle marche.\nTrois engrenages, aucun pilote Si ce n\u0026rsquo;est pas un complot, alors quoi ? Trois engrenages, qui tournent ensemble.\nLe premier, c\u0026rsquo;est que le talent ne va pas là où sont les trous. Tu as raison sur un point : la France a des ingénieurs remarquables. Mais ils sont chez Airbus, chez Safran, dans la défense, dans le nucléaire — des univers privés ou stratégiques, correctement financés, où la sécurité est une exigence vitale et payée comme telle. Un expert en cybersécurité de haut niveau ne va pas administrer le réseau d\u0026rsquo;un musée ou d\u0026rsquo;une mairie, pour une raison simple : il y gagnerait deux à trois fois moins qu\u0026rsquo;ailleurs. Le génie national existe. Il n\u0026rsquo;irrigue simplement pas les systèmes publics du quotidien, qui tournent souvent avec des équipes réduites, sous-payées, et des logiciels d\u0026rsquo;un autre âge. Deux mondes étanches, dans le même pays.\nLe deuxième engrenage, c\u0026rsquo;est l\u0026rsquo;absence de conséquence. Reviens au Louvre : l\u0026rsquo;ANSSI avait tout écrit dès 2014. Un second audit, mené entre 2015 et 2017, avait confirmé exactement les mêmes failles. Les rapports existaient, les recommandations étaient claires. Et rien n\u0026rsquo;a bougé. Pourquoi ? Parce que ne rien faire ne coûtait rien. Aucune sanction, aucune amende, aucun responsable inquiété. Compare avec le privé : une entreprise qui laisse fuiter tes données risque le RGPD et des amendes qui se chiffrent en millions. L\u0026rsquo;administration, elle, a longtemps échappé à cet aiguillon. Ça commence à changer — la CNIL a sanctionné France Travail de 5 millions d\u0026rsquo;euros début 2026 et annonce durcir ses contrôles sur le secteur public. Mais c\u0026rsquo;est récent, et le Louvre, lui, a vécu dix ans sans la moindre conséquence. Quand l\u0026rsquo;inaction est gratuite et l\u0026rsquo;action coûteuse, l\u0026rsquo;inaction gagne. À chaque fois.\nLe troisième, c\u0026rsquo;est le manque de moyens, tout bêtement. L\u0026rsquo;agence chargée de protéger la nation, l\u0026rsquo;ANSSI, ce sont 658 agents et un budget de 44,2 millions d\u0026rsquo;euros hors masse salariale — pour surveiller un pays entier, ses administrations, ses hôpitaux, ses collectivités. Et quand elle réclame de quoi tenir ses nouvelles missions, on lui dit non : pour 2025, elle avait demandé 35 millions et 60 postes supplémentaires, notamment pour appliquer la directive européenne NIS2 sur la cybersécurité. Elle a obtenu 27 millions et aucun poste. C\u0026rsquo;est un pompier seul devant une ville qui brûle, à qui on refuse une deuxième lance.\nEt ces trois engrenages tournent sur un terrain qui aggrave tout : la centralisation. Plus on entasse les données au même endroit — un fichier national des comptes bancaires, un fichier unique des demandeurs d\u0026rsquo;emploi — plus la cible devient grosse. Un seul système compromis, et ce sont des dizaines de millions de personnes exposées d\u0026rsquo;un coup. On a construit des coffres géants, et on les a fermés avec des cadenas de vélo.\nUne précision, parce qu\u0026rsquo;elle compte. Tout ça ne veut pas dire « tous pourris, tous nuls ». L\u0026rsquo;ANSSI fait un travail sérieux — c\u0026rsquo;est elle qui a détecté et documenté les failles du Louvre, c\u0026rsquo;est elle qu\u0026rsquo;on envoie au front à chaque crise. Le problème n\u0026rsquo;est pas les gens. C\u0026rsquo;est le système qui décide où va l\u0026rsquo;argent, qui ne sanctionne pas l\u0026rsquo;inaction, et qui empile les données sans sécuriser ce qu\u0026rsquo;il empile. La négligence n\u0026rsquo;est pas une faute morale. C\u0026rsquo;est un défaut de conception.\nLa seule porte que tu peux fermer Alors, qu\u0026rsquo;est-ce que tu fais de tout ça ? Tu pourrais hausser les épaules. Si l\u0026rsquo;État n\u0026rsquo;y arrive pas, si France Travail fuit, si Bercy fuit, à quoi bon ? C\u0026rsquo;est exactement le piège. La fuite te dépasse, c\u0026rsquo;est vrai. Mais ses conséquences, elles, ne te dépassent pas toutes.\nVoilà ce qu\u0026rsquo;il faut comprendre. Quand un de ces fichiers fuite, ton mot de passe se retrouve dans la nature. Et si tu utilises le même partout — ta boîte mail, ta banque, tes réseaux — alors une seule fuite, dans un seul service que tu ne contrôles pas, ouvre toutes tes autres portes d\u0026rsquo;un coup. C\u0026rsquo;est précisément comme ça que la plupart des gens se font vraiment avoir : pas par une attaque ciblée contre eux, mais par ricochet, parce qu\u0026rsquo;un mot de passe réutilisé traînait dans une base piratée ailleurs.\nEt ça, c\u0026rsquo;est la seule case que personne ne peut cocher à ta place. Tu ne répareras pas l\u0026rsquo;ANSSI. Tu ne réécriras pas les marchés publics. Mais tu peux faire en sorte que la prochaine fuite — il y en aura une, c\u0026rsquo;est une certitude, pas une hypothèse — ne soit qu\u0026rsquo;un incident sans suite pour toi, au lieu d\u0026rsquo;une réaction en chaîne.\nC\u0026rsquo;est tout le sens de ce blog, et c\u0026rsquo;est là qu\u0026rsquo;on va dans le prochain article : reprendre la main sur la seule chose qui t\u0026rsquo;appartient vraiment dans cette histoire. Tes accès. Pas parce que c\u0026rsquo;est confortable. Parce que c\u0026rsquo;est le seul endroit où, toi, tu décides.\nTa tech, tes règles, ta liberté.\nSources Mot de passe « LOUVRE », audits ANSSI 2014 et 2015-2017, serveurs sous Windows 2000 — enquête CheckNews / Libération, reprise par l\u0026rsquo;AFP (20 Minutes : https://www.20min.ch/fr/story/casse-au-musee-du-louvre-le-mot-de-passe-de-la-videosurveillance-etait-louvre-103445621) et IT-Connect (https://www.it-connect.fr/cybersecurite-du-louvre-des-mots-de-passe-inacceptables-et-des-systemes-obsoletes/). [Au build : ajouter le lien direct vers l\u0026rsquo;article CheckNews/Libération.] 6 167 notifications de violations de données en 2025, +9,5 %, un incident sur deux = piratage — rapport annuel 2025 de la CNIL : https://www.cnil.fr/fr/rapport-annuel-2025 France Travail, 43 millions de personnes (mars 2024) ; amende CNIL de 5 M€ (début 2026) — communiqué CNIL sur la fuite : https://www.cnil.fr/fr/france-travail-la-cnil-enquete-sur-la-fuite-de-donnees-et-donne-des-conseils-pour-se-proteger. [Au build : sourcer l\u0026rsquo;amende de 5 M€ sur la délibération CNIL elle-même, pas sur une reprise secondaire.] FICOBA, 1,2 million de comptes (février 2026) — communiqué officiel DGFiP : https://www.impots.gouv.fr/actualite/acces-illegitimes-au-fichier-national-des-comptes-bancaires-ficoba et page d\u0026rsquo;information du ministère de l\u0026rsquo;Économie : https://www.economie.gouv.fr/actualites/ficoba-tout-savoir-lacces-illegitime-au-fichier-national-des-comptes-bancaires Cegedim Santé, ~15 millions de patients (février 2026) — confirmation par le ministère de la Santé (franceinfo) : https://www.franceinfo.fr/sante/le-ministere-de-la-sante-confirme-que-les-donnees-administratives-de-15-millions-de-francais-ont-fuite-au-lendemain-des-revelations-de-france-televisions_7833605.html — précisions sur les 164 000 dossiers sensibles : https://www.caducee.net/actualite-medicale/16822/cegedim-l-etat-acte-l-ampleur-de-la-fuite-et-precise-le-risque-donnees-sensibles-pour-164-000-personnes.html Consultation illégale des fichiers TAJ (17 millions de personnes) et FPR au ministère de l\u0026rsquo;Intérieur, décembre 2025 — question écrite à l\u0026rsquo;Assemblée nationale : https://questions.assemblee-nationale.fr/dyn/17/questions/QANR5L17QE13264.pdf ANSSI : 658 agents, 44,2 M€ hors masse salariale (2025) ; demande de 35 M€ et 60 postes pour NIS2, accordés 27 M€ et 0 poste — rapport d\u0026rsquo;activité ANSSI 2025 (cyber.gouv.fr, publié le 4 mai 2026) et rapport pour avis du Sénat sur le PLF 2025 : https://www.senat.fr/rap/a24-146-9/a24-146-9-syn.pdf ","permalink":"https://homemadetech.fr/posts/etat-ne-protege-pas-tes-donnees/","summary":"\u003cp\u003eLe 19 octobre 2025, en plein jour et en quelques minutes, quatre individus repartent du Louvre avec des bijoux de la Couronne. Le casse fait le tour du monde. Mais le détail qui sidère vraiment arrive quelques jours plus tard, quand CheckNews, le service de fact-checking de Libération, met la main sur les audits de sécurité du musée. Le mot de passe qui protégeait le serveur de vidéosurveillance du plus grand musée du monde, c\u0026rsquo;était : LOUVRE. Et pour accéder à un logiciel de Thales, c\u0026rsquo;était THALES.\u003c/p\u003e","title":"Pourquoi l'État n'arrive pas à protéger tes données (et ce n'est pas un complot)"},{"content":"Ton serveur Proxmox tourne, installé proprement et durci. Si tu as suivi la série, tu as déjà mis les mains dans un conteneur LXC avec Pi-hole. Cette fois, on passe au cran au-dessus : ta première vraie machine virtuelle, un système complet avec son propre noyau, son bureau, ses fenêtres.\nEt pour cette première, autant choisir le terrain le plus formateur qui soit : un système qu\u0026rsquo;on peut casser, effacer et réinstaller autant de fois qu\u0026rsquo;on veut, sans la moindre conséquence. Linux Mint est parfait pour ça. C\u0026rsquo;est un système accessible, complet, idéal pour découvrir Linux, et il tourne très bien en VM. Le faire tourner sur Proxmox ajoute un filet de sécurité que tu n\u0026rsquo;as nulle part ailleurs : un snapshot avant chaque manip risquée, un retour en arrière en trois clics si tu casses quelque chose. C\u0026rsquo;est le bac à sable idéal — celui où on apprend en cassant des choses, ce qui reste la meilleure façon d\u0026rsquo;apprendre.\nOn va télécharger Linux Mint, vérifier l\u0026rsquo;intégrité de l\u0026rsquo;ISO (l\u0026rsquo;étape que trop de gens zappent, à tort), créer la VM avec les bons réglages, installer le système et le préparer pour qu\u0026rsquo;il vive bien dans ton homelab. À la fin, tu auras un poste de travail Linux propre et fonctionnel, et tu sauras pourquoi chaque case était cochée. Et si tu envisages de quitter Windows pour de bon, c\u0026rsquo;est aussi le meilleur terrain d\u0026rsquo;entraînement avant le grand saut.\nPrérequis : un serveur Proxmox installé et idéalement sécurisé. On part de là.\nTélécharger Linux Mint et vérifier l\u0026rsquo;ISO Avant de créer la VM, il faut récupérer l\u0026rsquo;ISO de Linux Mint. Mais on ne va pas le télécharger sur ton PC pour le re-téléverser ensuite : Proxmox sait télécharger une ISO directement depuis une URL, vers son propre stockage. C\u0026rsquo;est plus rapide, plus propre, et ça évite de faire transiter 3 Go par ta machine pour rien. Ce qu\u0026rsquo;on prépare ici, ce sont donc deux choses : l\u0026rsquo;adresse de téléchargement et l\u0026rsquo;empreinte qui prouve que le fichier est authentique.\nDirection le site officiel, linuxmint.com, section Download. Première décision : quelle édition ?\nCinnamon ou Xfce : pour une VM avec 4 Go de RAM, Cinnamon est le bon choix.\nLinux Mint se décline en trois bureaux (Cinnamon, MATE, Xfce). Deux nous intéressent ici. Cinnamon est le bureau maison de Mint : moderne, complet, soigné, c\u0026rsquo;est celui que la majorité des gens utilisent. Xfce est plus léger, taillé pour les machines modestes, au prix de quelques fonctionnalités en moins. Dans une VM avec 4 Go de RAM et un CPU récent, tu n\u0026rsquo;as aucune raison de te priver : prends Cinnamon. On le réserverait à Xfce uniquement pour une VM volontairement minuscule. Clique sur Download sous Cinnamon Edition.\nTu arrives sur la page de téléchargement de la version, ici Linux Mint 22.3 « Zena ». Deux zones nous intéressent.\nLa page de téléchargement 22.3 « Zena » — le bouton sha256sum.txt et le miroir officiel à repérer.\nLa première, c\u0026rsquo;est le bloc « Integrity \u0026amp; Authenticity ». Garde le bouton sha256sum.txt sous le coude, on y revient dans une seconde. La seconde zone, c\u0026rsquo;est la liste des miroirs de téléchargement, plus bas. Un miroir, c\u0026rsquo;est simplement un serveur qui héberge une copie de l\u0026rsquo;ISO ; il y en a partout dans le monde pour répartir la charge. Prends le miroir « World » nommé Linux Mint, le miroir officiel du projet : c\u0026rsquo;est le plus fiable, et il évite les surprises de débit ou de version d\u0026rsquo;un miroir tiers mal synchronisé.\nReste l\u0026rsquo;empreinte. Pourquoi s\u0026rsquo;embêter avec ça ? Parce qu\u0026rsquo;une ISO, c\u0026rsquo;est le système qui va potentiellement remplacer ton OS principal un jour. Un fichier corrompu pendant le téléchargement, ou pire, une ISO trafiquée récupérée sur un miroir non officiel, et tu installes un système compromis sans le savoir. Le checksum SHA-256 est une empreinte unique du fichier : si le tien correspond à celui publié par Mint, le fichier est exactement celui qu\u0026rsquo;ils ont produit, octet pour octet. S\u0026rsquo;il diffère, même d\u0026rsquo;un seul caractère, tu ne l\u0026rsquo;installes pas. C\u0026rsquo;est l\u0026rsquo;étape que la plupart des gens sautent, et c\u0026rsquo;est précisément celle qui distingue quelqu\u0026rsquo;un qui sait ce qu\u0026rsquo;il fait de quelqu\u0026rsquo;un qui clique au hasard.\nClique sur le bouton sha256sum.txt : il ouvre une page texte avec les empreintes des trois éditions.\nCopie la longue empreinte qui précède linuxmint-22.3-cinnamon-64bit.iso — c\u0026rsquo;est elle que Proxmox utilisera pour vérifier.\nRepère la ligne qui se termine par linuxmint-22.3-cinnamon-64bit.iso et copie l\u0026rsquo;empreinte qui la précède (la longue suite de caractères en début de ligne). C\u0026rsquo;est elle que Proxmox utilisera pour vérifier automatiquement le téléchargement. Garde-la de côté.\nReste l\u0026rsquo;URL de l\u0026rsquo;ISO. Reviens sur la page de téléchargement, sur le miroir « World – Linux Mint » repéré tout à l\u0026rsquo;heure. Au lieu de cliquer dessus (ce qui lancerait un téléchargement sur ton PC, justement ce qu\u0026rsquo;on veut éviter), fais un clic droit sur le lien et choisis « Copier le lien ».\nClic droit pour copier le lien direct vers l\u0026rsquo;ISO — sans déclencher le téléchargement sur ton PC.\nTu as maintenant tes deux éléments : l\u0026rsquo;URL de l\u0026rsquo;ISO et son empreinte SHA-256. On passe à Proxmox.\nTélécharger l\u0026rsquo;ISO directement dans Proxmox On a l\u0026rsquo;URL et l\u0026rsquo;empreinte. Direction l\u0026rsquo;interface Proxmox. L\u0026rsquo;idée est de faire télécharger l\u0026rsquo;ISO par le serveur lui-même, directement dans son stockage, avec vérification automatique du checksum au passage.\nDans l\u0026rsquo;arborescence à gauche, déplie ton nœud (ici HMT), clique sur le stockage local, puis sur l\u0026rsquo;onglet ISO Images. Pour l\u0026rsquo;instant, la liste est vide.\nLa liste ISO Images est vide : c\u0026rsquo;est là qu\u0026rsquo;on va déposer mint.iso, directement depuis le serveur.\nPetit rappel sur le « pourquoi local ». Sur une installation Proxmox standard, tu as deux stockages : local et local-lvm. Le premier sert aux fichiers — ISO, sauvegardes, templates. Le second, en LVM-thin, sert aux disques des VM. Les ISO vont donc dans local, c\u0026rsquo;est normal et c\u0026rsquo;est là que Proxmox les attend.\nClique sur le bouton « Download from URL », en haut. Une fenêtre s\u0026rsquo;ouvre.\nLa fenêtre Download from URL — remplis l\u0026rsquo;URL, renomme le fichier en mint.iso, puis déverrouille la vérification via « Advanced ».\nOn la remplit dans l\u0026rsquo;ordre.\nDans le champ URL, colle l\u0026rsquo;adresse de l\u0026rsquo;ISO copiée tout à l\u0026rsquo;heure. Tu peux cliquer sur « Query URL » : Proxmox va interroger le lien pour pré-remplir le nom du fichier et vérifier qu\u0026rsquo;il est accessible.\nDans File name, remplace le nom à rallonge par quelque chose de court et lisible — ici mint.iso. Ça n\u0026rsquo;a aucune incidence technique, c\u0026rsquo;est juste plus propre dans la liste que tu reverras à chaque création de VM. Garde l\u0026rsquo;extension .iso.\nEnsuite, coche la case « Advanced » en bas. Elle déverrouille la partie vérification, qui est exactement ce pour quoi on a récupéré le checksum. Dans Hash algorithm, choisis SHA-256, et dans Checksum, colle l\u0026rsquo;empreinte copiée depuis la page sha256sum.txt. C\u0026rsquo;est ici que tout se joue : Proxmox calculera le hash du fichier téléchargé et le comparera à celui que tu fournis. Si ça correspond, le téléchargement est validé ; sinon, il échoue et tu sais que le fichier n\u0026rsquo;est pas fiable. Tu n\u0026rsquo;as plus à vérifier quoi que ce soit à la main, le serveur le fait pour toi.\nLaisse « Verify certificates » coché et clique sur Download. Une fenêtre de log s\u0026rsquo;ouvre et suit la progression.\n« checksum verified » et « TASK OK » : l\u0026rsquo;ISO est authentique et intacte, Proxmox l\u0026rsquo;a confirmé automatiquement.\nTu vois défiler le téléchargement, puis deux lignes qui comptent : calculating checksum...OK, checksum verified, et TASK OK à la fin. La première confirme que l\u0026rsquo;empreinte correspond — ton ISO est authentique et intacte. La seconde, que l\u0026rsquo;opération s\u0026rsquo;est terminée sans erreur. Si tu avais vu une erreur de checksum à la place, il aurait fallu tout reprendre : mauvais fichier.\nFerme la fenêtre de log. L\u0026rsquo;ISO apparaît maintenant dans la liste.\nmint.iso, 2,88 Gio, vérifiée et stockée sur le serveur. On peut créer la VM.\nmint.iso, format iso, un peu moins de 3 Gio. Elle est stockée sur le serveur, vérifiée, prête à servir. On peut créer la VM.\nCréer la machine virtuelle L\u0026rsquo;ISO est en place. On lance la création avec le bouton « Create VM », en haut à droite de l\u0026rsquo;interface. Un assistant s\u0026rsquo;ouvre, organisé en onglets. On les parcourt dans l\u0026rsquo;ordre.\nGeneral — l\u0026rsquo;identité de la VM.\nL\u0026rsquo;onglet General : VM ID 100 et un nom parlant, le reste est par défaut.\nLe Node, c\u0026rsquo;est ton serveur (HMT). Le VM ID est un numéro unique ; Proxmox propose 100 pour la première, on le garde. Le Name est purement cosmétique, choisis quelque chose de parlant — Mint-Hmt. Laisse « Add to HA » décoché : la haute disponibilité ne concerne que les clusters de plusieurs nœuds, ce qui n\u0026rsquo;est pas notre cas. Next.\nOS — le support d\u0026rsquo;installation.\nL\u0026rsquo;onglet OS : on sélectionne mint.iso dans le stockage local et on laisse Type Linux.\nCoche « Use CD/DVD disc image file (iso) », sélectionne le stockage local et l\u0026rsquo;image mint.iso qu\u0026rsquo;on vient de télécharger. À droite, le Type est Linux ; la Version est un simple indice que Proxmox utilise pour optimiser quelques réglages par défaut — la valeur proposée convient pour un Linux moderne, inutile d\u0026rsquo;y toucher. Next.\nSystem — le firmware et les contrôleurs. C\u0026rsquo;est l\u0026rsquo;onglet le plus important, et celui où les mauvais choix se paient au démarrage.\nL\u0026rsquo;onglet System : q35, OVMF, EFI Disk sur local-lvm, VirtIO SCSI single et Qemu Agent coché.\nTrois réglages comptent. La Machine en q35 : c\u0026rsquo;est le châssis virtuel moderne, avec un vrai bus PCIe, à préférer systématiquement pour une nouvelle VM. Le BIOS en OVMF (UEFI) : on installe en UEFI, comme un PC récent, plutôt qu\u0026rsquo;en BIOS hérité. Qui dit UEFI dit disque pour stocker les variables du firmware : coche donc « Add EFI Disk » et place-le sur local-lvm (le stockage des disques, comme vu plus haut). Laisse « Pre-Enroll keys » décoché — cette option pré-charge les clés du Secure Boot ; la laisser vide simplifie le démarrage de Mint sans rien sacrifier dans un contexte de VM. Côté contrôleur disque, choisis VirtIO SCSI single, le plus performant. Et coche Qemu Agent : ça prépare Proxmox à dialoguer avec l\u0026rsquo;agent qu\u0026rsquo;on installera dans Mint à la fin (extinction propre, remontée de l\u0026rsquo;adresse IP). La case ne fait rien tant que l\u0026rsquo;agent n\u0026rsquo;est pas installé côté invité — on s\u0026rsquo;en occupe en fin d\u0026rsquo;article. Next.\nDisks — le disque virtuel.\nL\u0026rsquo;onglet Disks : 40 Gio sur local-lvm, avec SSD emulation, Discard et IO thread — le trio par défaut pour une VM Linux.\nUn seul disque, scsi0, sur local-lvm. La taille : 40 Gio suffisent largement pour Mint et de quoi installer des logiciels sans réfléchir. Trois cases méritent qu\u0026rsquo;on s\u0026rsquo;y arrête. SSD emulation présente le disque comme un SSD à l\u0026rsquo;invité. Discard active le TRIM : quand tu effaces des fichiers dans Mint, l\u0026rsquo;espace est réellement rendu au stockage du serveur, au lieu de rester réservé inutilement — précieux sur du LVM-thin. IO thread dédie un fil d\u0026rsquo;exécution aux entrées/sorties disque, ce qui améliore les performances. Ces trois réglages vont ensemble et c\u0026rsquo;est le bon trio par défaut pour une VM Linux. Next.\nCPU — les cœurs alloués.\nCPU type host : le vrai jeu d\u0026rsquo;instructions du processeur, sans couche d\u0026rsquo;émulation — le bon choix en mono-nœud.\nUn socket, 4 cœurs : confortable pour un bureau Cinnamon fluide. Le réglage qui compte, c\u0026rsquo;est le Type : host. Il expose à la VM le vrai jeu d\u0026rsquo;instructions de ton processeur physique, donc les meilleures performances, sans couche d\u0026rsquo;émulation. La contrepartie — sa zone grise — c\u0026rsquo;est que host lie la VM au CPU de cette machine précise : si un jour tu migres tes VM à chaud vers un autre nœud doté d\u0026rsquo;un processeur différent, ça peut coincer. Dans un homelab mono-nœud comme le nôtre, ce compromis n\u0026rsquo;existe pas : host est le bon choix sans hésiter. Si tu montais un cluster hétérogène plus tard, tu repasserais sur un type générique comme x86-64-v2-AES. Next.\nMemory — la RAM.\n4 Gio de RAM : le minimum confortable pour Cinnamon, ajustable à tout moment sans tout refaire.\n4096 Mio, soit 4 Gio. C\u0026rsquo;est le minimum confortable pour Cinnamon ; en dessous, ça rame, au-dessus c\u0026rsquo;est du luxe pour un simple bac à sable. Tu pourras toujours l\u0026rsquo;ajuster plus tard, à chaud ou à froid, sans tout refaire. Next.\nNetwork — la carte réseau.\nRéseau en bridge vmbr0, VirtIO et Firewall coché : la VM sera visible sur ton réseau local comme n\u0026rsquo;importe quelle machine.\nLe Bridge vmbr0 relie la VM à ton réseau physique — elle obtiendra une IP de ta box, comme n\u0026rsquo;importe quelle machine de la maison. Laisse VLAN Tag vide (« no VLAN ») : tu n\u0026rsquo;as pas de segmentation VLAN ici, et en mettre un par erreur couperait le réseau de la VM. Le Model en VirtIO (paravirtualized) : la carte réseau virtuelle la plus rapide, reconnue nativement par Mint. La case Firewall reste cochée : elle active le pare-feu Proxmox pour cette interface, qu\u0026rsquo;on pourra configurer plus tard. Next.\nConfirm — la relecture.\nL\u0026rsquo;onglet Confirm : vérifie bios ovmf, machine q35, cpu host, et que l\u0026rsquo;ISO est bien montée en cdrom avant de valider.\nProxmox affiche toute la configuration sous forme clé/valeur. Profites-en pour vérifier l\u0026rsquo;essentiel : bios ovmf, machine q35, cpu host, memory 4096, net0 ... bridge=vmbr0, scsi0 local-lvm:40 ..., et ide2 local:iso/mint.iso,media=cdrom qui confirme que l\u0026rsquo;ISO est bien montée comme lecteur. Laisse « Start after created » décoché : on veut démarrer la VM nous-mêmes, pour voir la console. Clique sur Finish.\nLa VM 100 apparaît dans l\u0026rsquo;arborescence. Le matériel est prêt — il reste à installer le système.\nInstaller Linux Mint Le matériel est prêt, le système ne l\u0026rsquo;est pas encore : la VM est une coquille vide qui va démarrer sur l\u0026rsquo;ISO, exactement comme un PC neuf bootant sur une clé USB d\u0026rsquo;installation.\nSélectionne la VM 100 dans l\u0026rsquo;arborescence, ouvre l\u0026rsquo;onglet Console. L\u0026rsquo;écran affiche « Guest not running ». Clique sur Start Now.\nLa VM est créée mais arrêtée. Start Now lance le premier démarrage sur l\u0026rsquo;ISO.\nLa VM démarre et boote sur l\u0026rsquo;ISO. Premier écran : le menu GRUB.\nLe menu GRUB : la première ligne est déjà sélectionnée, Entrée ou quelques secondes d\u0026rsquo;attente suffisent.\nLa première ligne, « Start Linux Mint 22.3 Cinnamon 64-bit », est déjà sélectionnée. Laisse faire ou appuie sur Entrée. Le mode « compatibility » juste en dessous ne sert que si l\u0026rsquo;affichage normal échoue — inutile dans une VM standard.\nAprès quelques secondes, tu arrives sur le bureau live.\nLe bureau live de Linux Mint : le système tourne entièrement en mémoire, sans rien écrire sur le disque.\nPoint important : tu n\u0026rsquo;es pas encore en train d\u0026rsquo;installer Mint. Tu es dans une session live, un système complet qui tourne entièrement en mémoire, sans rien écrire sur le disque. C\u0026rsquo;est fait pour essayer la distribution avant de s\u0026rsquo;engager. Nous, on s\u0026rsquo;engage : double-clique sur l\u0026rsquo;icône « Install Linux Mint », en haut à gauche.\nL\u0026rsquo;installateur s\u0026rsquo;ouvre. Il enchaîne quelques écrans simples.\nL\u0026rsquo;installateur démarre : choix de la langue, puis Continue.\nChoisis la langue — Français — et Continue.\nClavier French AZERTY — la zone de test en bas permet de vérifier quelques touches avant de valider.\nLa disposition du clavier : French, puis French (AZERTY) dans la colonne de droite si tu es sur un clavier français standard. La zone de test en bas te permet de taper quelques caractères pour vérifier. Continue.\nLes codecs multimédia peuvent s\u0026rsquo;installer plus tard ; laisser la case décochée garde l\u0026rsquo;installation propre.\nVient l\u0026rsquo;écran des codecs multimédia. Mint propose d\u0026rsquo;installer des codecs propriétaires (lecture de certaines vidéos, MP3, etc.). Tu peux laisser la case décochée et les installer plus tard si besoin : ça garde l\u0026rsquo;installation minimale et ça te laisse le choix de ce qui entre sur le système. Rien de bloquant ici, c\u0026rsquo;est une question de préférence. Continue.\nLe disque virtuel est vierge : « Effacer le disque et installer Linux Mint » est le seul choix pertinent ici.\nLe type d\u0026rsquo;installation. L\u0026rsquo;installateur annonce qu\u0026rsquo;aucun système d\u0026rsquo;exploitation n\u0026rsquo;a été détecté — c\u0026rsquo;est normal, le disque virtuel est vierge. Choisis « Effacer le disque et installer Linux Mint ». L\u0026rsquo;avertissement en rouge fait peur, mais il ne concerne que le disque virtuel de 40 Gio qu\u0026rsquo;on a créé : il n\u0026rsquo;existe que pour cette VM, complètement isolé du reste. Rien sur ton serveur ni sur tes autres machines n\u0026rsquo;est touché. C\u0026rsquo;est tout l\u0026rsquo;intérêt de travailler en VM. Clique sur « Installer maintenant ».\nUne partition ESP pour l\u0026rsquo;UEFI, une partition ext4 pour le système : partitionnement automatique standard.\nUne fenêtre récapitule ce qui va être écrit : une partition ESP (la partition de démarrage UEFI) et une partition ext4 (le système). C\u0026rsquo;est le partitionnement automatique standard, parfaitement adapté à notre cas. Continue.\nL\u0026rsquo;installation démarre et te pose les dernières questions pendant qu\u0026rsquo;elle copie les fichiers en arrière-plan.\nLa copie des fichiers démarre en arrière-plan pendant que l\u0026rsquo;installateur continue de poser ses questions.\nLe fuseau horaire : tape ou clique Paris pour positionner l\u0026rsquo;horloge correctement.\nLe fuseau horaire : tape ou clique Paris. Continue.\nL\u0026rsquo;identité et les identifiants : choisis un vrai mot de passe, il servira au sudo dès la prochaine étape.\nL\u0026rsquo;écran le plus important côté usage : ton identité et tes identifiants. Renseigne ton nom, le nom de la machine (hostname), ton nom d\u0026rsquo;utilisateur et un mot de passe. Deux conseils : choisis un vrai mot de passe même pour une VM de test — c\u0026rsquo;est un réflexe à entretenir, et ce mot de passe sert au sudo qu\u0026rsquo;on utilisera juste après. Laisse « Demander mon mot de passe pour ouvrir une session » coché plutôt que la connexion automatique : sur un système qu\u0026rsquo;on apprend à sécuriser, on ne prend pas l\u0026rsquo;habitude d\u0026rsquo;un bureau ouvert sans authentification.\nTu remarqueras aussi la case « Chiffrer mon dossier personnel ». Elle chiffre le contenu de ton répertoire personnel, de sorte qu\u0026rsquo;il reste illisible sans ton mot de passe — utile sur un portable qu\u0026rsquo;on peut se faire voler, moins critique sur une VM de test enfermée dans ton serveur. À toi de voir selon l\u0026rsquo;usage que tu prévois. Si tu veux aller plus loin et chiffrer la totalité du disque (LUKS), ça se fait en amont, via les « Fonctions avancées » de l\u0026rsquo;écran de partitionnement précédent. Continue.\nL\u0026rsquo;installation se termine de copier. Quand elle a fini, une fenêtre te le signale.\nInstallation terminée : Proxmox détachera l\u0026rsquo;ISO automatiquement, pas besoin d\u0026rsquo;intervenir sur l\u0026rsquo;ordre de démarrage.\nClique sur « Redémarrer maintenant ». La VM va s\u0026rsquo;éteindre, se détacher de l\u0026rsquo;ISO et redémarrer directement sur le système fraîchement installé — Proxmox gère le détachement du média tout seul, tu n\u0026rsquo;as ni ordre de boot à modifier ni ISO à éjecter à la main.\nLinux Mint est installé. Au prochain démarrage, tu arrives sur ton propre système — plus la session live. Reste à le préparer pour qu\u0026rsquo;il vive bien dans le homelab.\nPréparer Mint pour le homelab Le système redémarre sur Linux Mint installé. Tu te connectes avec le mot de passe choisi, et tu arrives sur ton bureau. Avant de l\u0026rsquo;utiliser, trois étapes le transforment d\u0026rsquo;une installation brute en un invité propre et bien intégré à Proxmox.\nD\u0026rsquo;abord, les mises à jour. Une ISO, même récente, a toujours du retard sur les correctifs publiés depuis sa sortie. Ouvre un terminal et lance la mise à jour complète :\nsudo apt update \u0026amp;\u0026amp; sudo apt full-upgrade -y apt update rafraîchit la liste des paquets, full-upgrade installe tout ce qui a du retard depuis la sortie de l\u0026rsquo;ISO.\napt update rafraîchit la liste des paquets disponibles, full-upgrade installe tout ce qui doit l\u0026rsquo;être. Sur une installation fraîche, il y a souvent beaucoup à rattraper — ici plusieurs centaines de paquets, dont le noyau. Laisse tourner.\nEnsuite, l\u0026rsquo;agent invité. Tu te souviens de la case « Qemu Agent » cochée à la création de la VM : elle a préparé Proxmox à dialoguer avec la VM, mais ce dialogue n\u0026rsquo;a lieu que si l\u0026rsquo;agent correspondant tourne côté Mint. On l\u0026rsquo;installe et on l\u0026rsquo;active maintenant. Tant qu\u0026rsquo;on est dans le terminal, on en profite aussi pour poser un pare-feu de base avec ufw.\nsudo apt install -y qemu-guest-agent ufw sudo systemctl enable --now qemu-guest-agent sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw enable L\u0026rsquo;agent invité installé et activé permet à Proxmox d\u0026rsquo;éteindre proprement la VM et de remonter son adresse IP.\nL\u0026rsquo;agent permet à Proxmox de connaître l\u0026rsquo;adresse IP de la VM, de l\u0026rsquo;éteindre proprement (un vrai arrêt système, pas une coupure brutale) et de la geler le temps d\u0026rsquo;un snapshot cohérent. Les deux règles ufw posent une politique simple et saine : on bloque tout ce qui arrive, on autorise tout ce qui sort. C\u0026rsquo;est le réglage par défaut raisonnable pour un poste de travail — il se protège des connexions entrantes non sollicitées sans t\u0026rsquo;empêcher de naviguer. Tu l\u0026rsquo;affineras si un jour tu exposes un service dessus.\nPetite zone grise honnête : ufw default deny incoming ne durcit pas grand-chose tant que la VM n\u0026rsquo;expose aucun service, et le pare-feu Proxmox (la case cochée à l\u0026rsquo;onglet Network) joue déjà en amont. Ce n\u0026rsquo;est donc pas une protection spectaculaire ici — c\u0026rsquo;est surtout le bon réflexe à prendre maintenant, pour que la politique soit déjà en place le jour où la VM servira vraiment à quelque chose.\nTroisième étape, Linux Mint propose son propre gestionnaire de mise à jour graphique, distinct d\u0026rsquo;apt. Il s\u0026rsquo;ouvre souvent tout seul après la première connexion.\nLe gestionnaire de mise à jour graphique de Mint présente sa logique au premier lancement — valide l\u0026rsquo;accueil.\nÀ son premier lancement, il présente sa logique : mises à jour de sécurité, mises à jour logicielles, et instantanés système (Timeshift). Valide l\u0026rsquo;accueil. Comme on a déjà tout mis à jour en ligne de commande, il devrait n\u0026rsquo;avoir presque rien à proposer.\n« Votre système est à jour » : cohérent avec le full-upgrade lancé en ligne de commande, les deux tapent dans les mêmes dépôts.\nVérifions maintenant le réseau. Clique sur l\u0026rsquo;icône réseau dans la barre des tâches, puis sur les paramètres de la connexion filaire.\nLa VM a obtenu une IP sur ton réseau local via le bridge vmbr0 — la partie réseau de la création était correcte.\nLa VM a bien obtenu une adresse IP de ton réseau (ici 192.168.70.106), avec sa passerelle et son DNS. Elle est sur le même réseau que tes autres machines, exactement comme prévu avec le bridge vmbr0. C\u0026rsquo;est la confirmation que la partie réseau de la création était correcte.\nDernier coup d\u0026rsquo;œil, le plus satisfaisant : retourne dans Proxmox et sélectionne la VM 100, onglet Summary.\nL\u0026rsquo;onglet Summary affiche l\u0026rsquo;IP remontée par l\u0026rsquo;agent invité — sans lui, ce champ resterait vide.\nProxmox affiche maintenant l\u0026rsquo;état de la VM en marche : usage CPU et mémoire en temps réel, taille du disque, et surtout l\u0026rsquo;adresse IP — 192.168.70.106, la même que côté Mint. Cette remontée d\u0026rsquo;IP, c\u0026rsquo;est précisément le travail de l\u0026rsquo;agent invité qu\u0026rsquo;on vient d\u0026rsquo;installer : sans lui, ce champ resterait vide. La boucle est bouclée, Proxmox et la VM se parlent.\nTa VM Linux Mint est installée, à jour, intégrée à Proxmox et prête à servir de bac à sable.\nEt maintenant ? Tu as maintenant une VM Linux Mint complète, à jour et bien intégrée à ton serveur Proxmox. Mais l\u0026rsquo;important n\u0026rsquo;est pas vraiment la VM : c\u0026rsquo;est ce que tu peux en faire sans aucun risque. Avant chaque manipulation hasardeuse, prends un snapshot depuis Proxmox ; si tu casses tout, tu reviens à l\u0026rsquo;état précédent en quelques secondes. C\u0026rsquo;est ça, le vrai luxe du homelab — un endroit où l\u0026rsquo;erreur ne coûte rien, et où on apprend donc beaucoup plus vite qu\u0026rsquo;en ayant peur de tout abîmer.\nÀ partir d\u0026rsquo;ici, le terrain est à toi. Tu peux explorer Linux sans filet, t\u0026rsquo;entraîner aux commandes qui t\u0026rsquo;intimident, tester des logiciels avant de les installer sur ta vraie machine, ou préparer sereinement une future migration. Et si l\u0026rsquo;envie de quitter Windows pour de bon se confirme, tu sauras déjà à quoi ressemble Linux au quotidien — tu l\u0026rsquo;auras pratiqué là où une erreur ne se paie pas.\nTa tech, tes règles, ta liberté.\n","permalink":"https://homemadetech.fr/posts/premiere-vm-linux-mint-proxmox/","summary":"\u003cp\u003eTon serveur \u003ca href=\"/posts/securiser-proxmox-partie-1/\"\u003eProxmox tourne, installé proprement et durci\u003c/a\u003e. Si tu as suivi la série, tu as déjà mis les mains dans un conteneur LXC avec Pi-hole. Cette fois, on passe au cran au-dessus : ta première vraie machine virtuelle, un système complet avec son propre noyau, son bureau, ses fenêtres.\u003c/p\u003e\n\u003cp\u003eEt pour cette première, autant choisir le terrain le plus formateur qui soit : un système qu\u0026rsquo;on peut casser, effacer et réinstaller autant de fois qu\u0026rsquo;on veut, sans la moindre conséquence. Linux Mint est parfait pour ça. C\u0026rsquo;est un système accessible, complet, idéal pour découvrir Linux, et il tourne très bien en VM. Le faire tourner sur Proxmox ajoute un filet de sécurité que tu n\u0026rsquo;as nulle part ailleurs : un snapshot avant chaque manip risquée, un retour en arrière en trois clics si tu casses quelque chose. C\u0026rsquo;est le bac à sable idéal — celui où on apprend en cassant des choses, ce qui reste la meilleure façon d\u0026rsquo;apprendre.\u003c/p\u003e","title":"Installer Linux Mint sur Proxmox : ta première machine virtuelle pas à pas"},{"content":"La vraie question n\u0026rsquo;est pas technique. Elle est plus simple, et plus dérangeante : qui décide, sur ta propre machine ?\nPendant longtemps, la réponse n\u0026rsquo;avait pas d\u0026rsquo;importance. Windows était là, il marchait, on ne se posait pas la question. Mais ces dernières années, la trajectoire est devenue difficile à ignorer. Windows collecte toujours plus de données — télémétrie activée par défaut, compte Microsoft quasi obligatoire dès l\u0026rsquo;installation, Copilot et l\u0026rsquo;IA poussés au cœur du système, publicités glissées jusque dans le menu Démarrer. À chaque mise à jour, tu as un peu moins la main, et le système ressemble un peu plus à un service qu\u0026rsquo;on te loue qu\u0026rsquo;à un outil que tu possèdes.\nLe calendrier a précipité les choses. Le 14 octobre 2025, Microsoft a arrêté le support gratuit de Windows 10. En Europe, sous la pression des associations de consommateurs, un sursis a été accordé : un an de mises à jour de sécurité gratuites — mais à condition d\u0026rsquo;avoir un compte Microsoft, et seulement jusqu\u0026rsquo;au 13 octobre 2026. Autrement dit, si tu es en France, tu n\u0026rsquo;as pas échappé à la question : tu l\u0026rsquo;as juste repoussée de quelques mois. Elle revient cet automne.\nEt la sortie officielle, Windows 11, ferme une autre porte. Microsoft a placé la barre matérielle très haut : TPM 2.0, processeur récent, Secure Boot. Des millions de PC parfaitement fonctionnels ne passent pas — pas parce qu\u0026rsquo;ils sont trop lents, juste parce qu\u0026rsquo;ils n\u0026rsquo;ont pas la bonne puce. Ton portable de 2018 qui faisait tourner Windows 10 sans broncher est soudain déclaré obsolète.\nPendant ce temps, de l\u0026rsquo;autre côté, quelque chose a changé en silence. Linux a passé deux décennies à devenir accessible. Ce n\u0026rsquo;est plus le système réservé aux barbus en ligne de commande : c\u0026rsquo;est open source, gratuit, documenté, avec des interfaces que n\u0026rsquo;importe qui peut prendre en main en quelques minutes. Là où Windows réduit tes options, Linux te les rend.\nC\u0026rsquo;est exactement le sujet de cet article. Pas un match « Windows nul contre Linux génial » — chacun a ses forces, on va le voir honnêtement. Mais quand on parle de souveraineté numérique et de protection des données, la question « qui contrôle ma machine ? » n\u0026rsquo;est pas un détail. C\u0026rsquo;est le point de départ.\nReste à savoir si Linux tient la route en 2026. On regarde ça tout de suite.\nLinux vs Windows en 2026 : où on en est vraiment Soyons honnêtes d\u0026rsquo;entrée : Linux ne va pas remplacer Windows sur le bureau. Pas cette année, probablement pas avant longtemps. Les chiffres sont sans appel. En avril 2026, StatCounter mesurait Linux à 2,99 % du marché desktop mondial, contre 66,6 % pour Windows et 7,34 % pour macOS. Si tu cherchais une révolution en cours, ce n\u0026rsquo;est pas ça.\nMais le chiffre brut cache deux choses. D\u0026rsquo;abord, ce qu\u0026rsquo;il mesure : StatCounter compte le trafic web, pas les machines réellement installées — et une grosse part du trafic reste non identifiée. La réalité du parc Linux est probablement un peu au-dessus. Ensuite, et c\u0026rsquo;est plus intéressant, la trajectoire. Linux est passé d\u0026rsquo;environ 2,76 % en 2022 à près de 4,7 % en 2025, soit une hausse de plus de 70 % en trois ans. Aux États-Unis, la barre des 5 % a été franchie pour la première fois en juin 2025. Ce n\u0026rsquo;est pas un raz-de-marée, c\u0026rsquo;est une pente qui monte régulièrement — et qui s\u0026rsquo;est accélérée avec la fin de Windows 10.\nLe terrain où ça bouge vraiment, c\u0026rsquo;est le jeu vidéo. En mars 2026, le Steam Hardware Survey plaçait Linux à 5,33 %, son plus haut niveau historique sur la plateforme. Le Steam Deck de Valve y est pour beaucoup : des millions de gens jouent sous Linux sans même le savoir, et la couche de compatibilité Proton fait tourner aujourd\u0026rsquo;hui une grande majorité des jeux Windows avec une perte de performance minime.\nMaintenant, le point qui devrait t\u0026rsquo;intéresser le plus si tu hésites encore. Pour l\u0026rsquo;usage quotidien — celui de l\u0026rsquo;écrasante majorité des gens — Linux fait aujourd\u0026rsquo;hui tout ce que fait Windows. Naviguer sur le web, relever ses mails, écrire des documents et des tableurs, faire ses visios, regarder des films et écouter de la musique, gérer ses photos : tout ça fonctionne, avec des logiciels souvent gratuits et installables en deux clics. Tu ne perds rien de ton quotidien numérique. La seule case à vérifier sérieusement, c\u0026rsquo;est le jeu vidéo, et encore — au cas par cas selon les titres que tu joues. Pour le reste, la transition est invisible.\nLa différence, elle est ailleurs : sur ce que tu gagnes. Pas de télémétrie imposée, pas de compte obligatoire, pas de publicités dans ton système, pas de fonctionnalité qui s\u0026rsquo;installe sans te demander. Tu décides ce qui sort de ta machine, et ce qui n\u0026rsquo;en sort pas. Pour quelqu\u0026rsquo;un qui cherche à protéger sa vie numérique, ce n\u0026rsquo;est pas un détail confortable — c\u0026rsquo;est la raison principale de franchir le pas. Mêmes usages, mais cette fois tu es le seul maître à bord.\nReste à dire ce que Windows fait encore mieux, sinon on ment par omission. Certains logiciels métier n\u0026rsquo;existent que sous Windows — la suite Adobe complète, des outils de comptabilité, des logiciels professionnels spécialisés. Si ton travail dépend de Photoshop ou de Premiere dans leur version native, Linux te demandera des contournements ou des compromis. Côté jeu, malgré Proton, les titres avec anti-triche intrusif restent bloqués ou capricieux. Et le matériel très récent ou exotique peut parfois demander un peu de patience côté pilotes.\nVoilà la zone grise, et elle est réelle. Linux n\u0026rsquo;est pas « mieux que Windows » dans l\u0026rsquo;absolu. Il est équivalent pour l\u0026rsquo;usage courant, supérieur côté liberté et vie privée, et en retrait sur quelques usages spécialisés. La bonne question n\u0026rsquo;est donc pas « lequel est le meilleur ? » mais « lequel correspond à ce que je fais et à ce qui compte pour moi ? ».\nEt pour répondre à ça, il faut d\u0026rsquo;abord comprendre un truc que beaucoup d\u0026rsquo;articles zappent : c\u0026rsquo;est quoi, au juste, une « distribution » ?\nC\u0026rsquo;est quoi une distribution, au fait ? Voici le truc que presque personne ne t\u0026rsquo;explique avant de te dire « installe Ubuntu » : Linux, tout seul, n\u0026rsquo;est pas un système d\u0026rsquo;exploitation. C\u0026rsquo;est un moteur. Et un moteur, ça ne te transporte nulle part tant que personne n\u0026rsquo;a construit une voiture autour.\nPlus précisément, « Linux » désigne le noyau (le kernel) : le morceau de logiciel qui fait le lien entre ta machine physique — processeur, mémoire, disque, carte réseau — et tout le reste. C\u0026rsquo;est essentiel, mais c\u0026rsquo;est invisible et inutilisable seul. Pour en faire un système avec lequel tu peux travailler, il faut empiler par-dessus une foule d\u0026rsquo;autres briques : les outils de base du système (historiquement le projet GNU, d\u0026rsquo;où le nom complet « GNU/Linux »), un gestionnaire pour installer et mettre à jour les logiciels, et surtout un environnement de bureau — les fenêtres, le menu, la barre des tâches, tout ce que tu vois et cliques.\nUne distribution, c\u0026rsquo;est exactement ça : quelqu\u0026rsquo;un — une entreprise, une fondation, une communauté — qui assemble le noyau Linux, les outils système, un environnement de bureau et une sélection de logiciels, le tout testé pour fonctionner ensemble, prêt à installer. La voiture complète, livrée clé en main, autour du moteur commun.\nC\u0026rsquo;est pour ça qu\u0026rsquo;il existe des centaines de distributions et que c\u0026rsquo;est déroutant au début. Elles partagent toutes le même moteur Linux, mais font des choix différents sur tout le reste : quelle interface, quels logiciels par défaut, à quelle fréquence les mises à jour, quel public visé.\nPour t\u0026rsquo;y retrouver, deux repères suffisent.\nPremier repère : la famille. La plupart des distributions descendent de trois grandes lignées. Debian — la base la plus répandue, réputée pour sa stabilité ; Ubuntu, Mint, Zorin en sont issues, et c\u0026rsquo;est aussi ce qui fait tourner ton Proxmox. Red Hat — l\u0026rsquo;univers Fedora et les distributions orientées entreprise. Arch — pour ceux qui veulent tout contrôler et construire leur système pièce par pièce. Connaître la famille d\u0026rsquo;une distribution te dit déjà beaucoup sur sa philosophie.\nDeuxième repère : le rythme des mises à jour. Deux modèles s\u0026rsquo;opposent. Le modèle LTS (Long Term Support) fige une version stable et la maintient plusieurs années avec uniquement des correctifs de sécurité. Tu installes une fois, tu es tranquille pour cinq ans. Le modèle rolling release (« publication en continu ») te donne toujours les dernières nouveautés, au prix d\u0026rsquo;une maintenance plus fréquente et d\u0026rsquo;un risque un peu plus élevé que quelque chose casse.\nPour débuter — et pour un poste dont tu veux qu\u0026rsquo;il marche sans y penser — le choix raisonnable est presque toujours LTS. Tu installes, tu utilises, tu oublies.\nAvec ces deux repères en tête — la famille et le rythme — le grand bazar des distributions devient lisible. On peut maintenant regarder concrètement celles qui comptent quand on débute.\nLe tour des distributions qui comptent quand on débute Tux, la mascotte officielle de Linux depuis 1996.\nIl existe des centaines de distributions. Tu n\u0026rsquo;as pas besoin de toutes les connaître. En voici six — celles qui reviennent partout en 2026 pour quelqu\u0026rsquo;un qui vient de Windows. Pour chacune : à qui elle s\u0026rsquo;adresse, sur quoi elle repose, ce qu\u0026rsquo;elle fait bien, et sa zone grise. Parce qu\u0026rsquo;aucune n\u0026rsquo;est parfaite, et te le cacher serait te mentir.\nLinux Mint Pour qui ? Celui qui veut quitter Windows sans avoir l\u0026rsquo;impression de changer de planète.\nBasée sur Ubuntu (donc sur Debian en amont), Mint est la recommandation la plus fréquente pour les débutants, et ce n\u0026rsquo;est pas un hasard. Son bureau Cinnamon reprend les codes de Windows : un menu en bas à gauche, une barre des tâches, une zone de notification. Tu ne seras pas dépaysé. Les codecs multimédias sont préinstallés, donc tes vidéos et ta musique marchent dès le premier démarrage, et l\u0026rsquo;outil de sauvegarde intégré rend les erreurs faciles à rattraper. La version actuelle repose sur la base Ubuntu LTS, maintenue jusqu\u0026rsquo;en 2029.\nSa zone grise : Mint avance prudemment. Les nouveautés du noyau et des pilotes arrivent avec un temps de retard, ce qui est une force pour la stabilité mais peut poser problème sur du matériel très récent. Et comme elle dérive d\u0026rsquo;Ubuntu, elle hérite indirectement des choix de Canonical — même si l\u0026rsquo;équipe Mint en retire justement les éléments les plus contestés.\nLinux Mint Cinnamon : menu en bas à gauche, barre des tâches, repères Windows conservés.\nZorin OS Pour qui ? Celui qui veut que ça ressemble exactement à Windows, au pixel près.\nZorin est conçue spécifiquement pour les migrants venus de Windows et de macOS. Son outil « Zorin Appearance » te laisse choisir une disposition qui imite Windows 11, Windows 10, macOS ou un bureau Linux classique. C\u0026rsquo;est sans doute la transition la plus douce qui existe pour un œil habitué à Microsoft. Elle aussi repose sur une base Ubuntu LTS, donc solide et bien documentée.\nSa zone grise : il existe une version Pro payante (quelques dizaines d\u0026rsquo;euros) qui débloque des dispositions et des logiciels supplémentaires. La version gratuite (Core) suffit largement, mais le projet pousse commercialement vers la Pro, et il faut le savoir. Par ailleurs, Zorin suit les versions LTS d\u0026rsquo;Ubuntu avec un décalage : tu n\u0026rsquo;es jamais sur la toute dernière base.\nZorin OS : une interface qui imite Windows jusqu\u0026rsquo;au moindre détail.\nUbuntu Pour qui ? Celui qui veut l\u0026rsquo;option la plus répandue, avec une réponse à chaque question sur Internet.\nUbuntu est la distribution de bureau la plus utilisée au monde. Éditée par Canonical, elle a la plus grande communauté, la documentation la plus fournie et un support matériel excellent. Quel que soit ton problème, quelqu\u0026rsquo;un l\u0026rsquo;a déjà rencontré et résolu en ligne. Son bureau GNOME est moderne, épuré, plus proche de macOS que de Windows dans l\u0026rsquo;esprit.\nSa zone grise : Canonical pousse son format de paquets maison, Snap, parfois au détriment des formats classiques. Les applications Snap démarrent plus lentement, et la partie serveur du magasin Snap est propriétaire — un point qui crispe une partie de la communauté attachée au tout-libre. Canonical a aussi un passé commercial discuté (l\u0026rsquo;épisode des résultats de recherche Amazon intégrés au bureau en 2012, depuis retiré). Rien de rédhibitoire, mais cohérent de le mentionner sur un blog qui parle de souveraineté.\nUbuntu et son bureau GNOME : moderne, épuré, la plus grande communauté Linux.\nPop!_OS Pour qui ? Celui qui a une carte graphique NVIDIA, qui joue, ou qui veut un bureau moderne et différent.\nÉditée par System76, un fabricant de PC sous Linux, Pop!_OS est basée sur Ubuntu mais gère particulièrement bien les pilotes NVIDIA et le matériel récent — ce qui en fait une favorite des joueurs et des créateurs. Depuis fin 2025, elle embarque COSMIC, un tout nouvel environnement de bureau écrit en Rust, pensé pour la rapidité et la gestion fine des fenêtres.\nSa zone grise : COSMIC est sorti en version stable le 11 décembre 2025. C\u0026rsquo;est donc un bureau très jeune, qui s\u0026rsquo;améliore chaque mois mais peut encore présenter des aspérités. Pour un tout premier pas sous Linux où tu veux zéro surprise, ce n\u0026rsquo;est peut-être pas le moment idéal — laisse-le mûrir quelques mois, ou prends-le justement parce que tu aimes vivre sur la pointe avancée.\nFedora Pour qui ? Celui qui veut des technologies à jour et accepte de mettre un peu les mains dedans.\nSponsorisée par Red Hat, Fedora vit à la pointe : versions récentes des logiciels, technologies modernes adoptées tôt, sécurité renforcée par SELinux. C\u0026rsquo;est une excellente distribution pour apprendre et pour les développeurs, sans être instable pour autant.\nSa zone grise : Fedora sort une nouvelle version environ tous les six mois, avec un support d\u0026rsquo;à peu près treize mois. Tu devras donc faire une montée de version plus souvent qu\u0026rsquo;avec une LTS. Et par philosophie du libre strict, elle n\u0026rsquo;inclut pas les codecs propriétaires par défaut : il faut activer un dépôt tiers (RPM Fusion) pour lire certains formats vidéo — une étape de plus qu\u0026rsquo;un débutant total ne soupçonne pas forcément.\nDebian Pour qui ? Celui qui veut comprendre l\u0026rsquo;amont et privilégie la stabilité absolue.\nDebian, c\u0026rsquo;est la base sur laquelle reposent Ubuntu, Mint et Zorin — et c\u0026rsquo;est aussi ce qui fait tourner ton Proxmox. Entièrement communautaire, sans entreprise derrière, elle est la référence de la stabilité : on l\u0026rsquo;installe et elle tourne des années sans broncher.\nSa zone grise : cette stabilité a un prix. Les versions des logiciels sont volontairement figées et donc plus anciennes. L\u0026rsquo;installation s\u0026rsquo;est beaucoup améliorée mais reste un cran moins accueillante que celle de Mint ou Zorin pour un grand débutant. Debian est un excellent deuxième Linux, ou un premier si tu aimes comprendre les fondations — moins le choix « ça marche tout de suite sans rien savoir ».\nSix distributions, six philosophies. Reste la vraie question : laquelle pour toi ?\nAlors, laquelle choisir ? Tu as six noms, six philosophies, et probablement l\u0026rsquo;envie qu\u0026rsquo;on arrête de te dire « ça dépend ». Alors voilà une grille simple, par profil. Trouve le tien.\n« Je veux quitter Windows sans me prendre la tête, que ça marche et que ça ressemble à ce que je connais. » → Linux Mint. C\u0026rsquo;est le défaut raisonnable, et de loin. Familier, stable, complet dès l\u0026rsquo;installation.\n« Je veux que ça ressemble à Windows au pixel près, pour ne perdre aucun repère. » → Zorin OS. Tu choisis la disposition Windows à l\u0026rsquo;installation et tu oublies que tu as changé de système.\n« J\u0026rsquo;ai un vieux PC qui rame sous Windows. » → Linux Mint à nouveau, ou sa variante en bureau léger (Xfce). C\u0026rsquo;est exactement le cas où Linux ressuscite une machine que Windows 11 a déclarée morte.\n« Je veux l\u0026rsquo;option la plus répandue, avec une réponse à chaque question en ligne. » → Ubuntu. Tu paies ça par les choix de Canonical (Snap), mais tu ne seras jamais seul face à un problème.\n« Je joue, ou j\u0026rsquo;ai une carte NVIDIA. » → Pop!_OS. Pilotes gérés, orientation gaming assumée. Garde juste en tête que son nouveau bureau COSMIC est encore jeune.\n« Je veux apprendre, comprendre, mettre les mains dans le moteur. » → Fedora pour les technologies à jour, ou Debian pour les fondations. Les deux te feront progresser plus vite, au prix d\u0026rsquo;un peu plus d\u0026rsquo;implication.\nMaintenant, ma recommandation franche, parce que sur ce blog on ne se cache pas derrière des « à toi de voir ».\nSi tu quittes Windows d\u0026rsquo;abord pour reprendre le contrôle de ta vie numérique — et c\u0026rsquo;est le cas de la plupart des gens qui lisent ces lignes — commence par Linux Mint. Pas parce que c\u0026rsquo;est la plus puissante ou la plus pointue, mais parce qu\u0026rsquo;elle réunit ce qui compte vraiment pour une première migration réussie : tu retrouves tes repères, tout fonctionne tout de suite, la communauté est immense, et la base Ubuntu LTS te garantit des années de tranquillité. Tu ne te bats pas contre ton système, tu l\u0026rsquo;utilises. Et une migration réussie, c\u0026rsquo;est une migration que tu ne regrettes pas trois semaines plus tard.\nSi la ressemblance visuelle avec Windows est ton critère numéro un, prends Zorin OS à la place — même logique, transition encore plus douce.\nGarde Fedora et Debian pour plus tard, quand l\u0026rsquo;envie de comprendre dépassera l\u0026rsquo;envie que ça marche. Ce moment viendra peut-être, et ce sera bon signe.\nUne dernière chose, et elle est importante : tu n\u0026rsquo;as pas à choisir à l\u0026rsquo;aveugle, ni à parier ton PC sur ta décision. On peut essayer une distribution sans rien casser, sans même toucher à ton Windows actuel.\nComment tester sans casser ton PC Bonne nouvelle : essayer Linux ne t\u0026rsquo;engage à rien. Tu peux le manipuler, le prendre en main, voir s\u0026rsquo;il te plaît — tout ça sans toucher à ton Windows. Trois méthodes, de la plus prudente à la plus engageante.\nLa clé USB live — risque zéro. Tu télécharges l\u0026rsquo;image de la distribution, tu l\u0026rsquo;écris sur une clé USB avec un outil comme Rufus ou Balena Etcher, et tu démarres ton PC dessus. Linux se lance entièrement depuis la clé, sans rien installer sur ton disque. Tu peux naviguer, tester l\u0026rsquo;interface, brancher ton imprimante, vérifier que ton Wi-Fi fonctionne. Tu éteins, tu retires la clé, et ton Windows reprend exactement là où tu l\u0026rsquo;avais laissé. C\u0026rsquo;est le moyen idéal de se faire une première idée en vingt minutes.\nLa machine virtuelle sur Proxmox — le terrain de jeu parfait. Si tu as suivi cette série, tu as déjà un hyperviseur qui tourne. Créer une VM Linux dessus te permet de l\u0026rsquo;installer pour de vrai, de la configurer, de la casser et de recommencer autant de fois que tu veux, sans le moindre impact sur tes machines. C\u0026rsquo;est le bac à sable rêvé pour apprendre sérieusement avant de migrer ton vrai poste — et ça tombe bien, c\u0026rsquo;est exactement ce qu\u0026rsquo;on fera dans le prochain article.\nLe dual boot — à éviter pour débuter. Installer Linux à côté de Windows sur le même disque, pour choisir au démarrage, est tentant. Mais ça touche au partitionnement de ton disque, donc à tes données, et une erreur se paie cash. Tant que tu débutes, reste sur la clé live ou la VM. Le dual boot viendra quand tu seras à l\u0026rsquo;aise.\nTrois portes d\u0026rsquo;entrée, aucune qui met ton système en danger. Aucune excuse pour ne pas essayer.\nOù télécharger Toujours depuis le site officiel de la distribution, jamais via un miroir non vérifié ni un agrégateur de téléchargements. Sur chaque page officielle, tu trouveras aussi un checksum (SHA256) pour vérifier que l\u0026rsquo;image téléchargée n\u0026rsquo;a pas été altérée — étape rapide, à ne pas zapper.\nLinux Mint — linuxmint.com/download.php Zorin OS — zorin.com/os/download (édition Core gratuite) Ubuntu — ubuntu.com/download/desktop Pop!_OS — system76.com/pop/download Fedora Workstation — fedoraproject.org/workstation/download Debian — debian.org/download (pour un débutant, choisis l\u0026rsquo;image live avec un bureau préinstallé plutôt que l\u0026rsquo;installeur minimal) En résumé, et après On a fait le tour. Linux a cessé d\u0026rsquo;être une curiosité de geek pour devenir une vraie alternative, portée par la fin de Windows 10 et par un système qui te laisse de moins en moins la main. Pour l\u0026rsquo;usage quotidien, Linux fait aujourd\u0026rsquo;hui tout ce que fait Windows — avec, en prime, le contrôle total sur tes données. Tu connais maintenant les distributions qui comptent, et tu sais par où commencer : Linux Mint pour la plupart, testé sans risque sur une clé USB ou une VM.\nLe pas suivant, c\u0026rsquo;est de le faire pour de vrai. Dans le prochain article, on installe une distribution Linux dans une machine virtuelle sur ton Proxmox — ton bac à sable pour apprendre avant de migrer ton poste.\nTa tech, tes règles, ta liberté.\n","permalink":"https://homemadetech.fr/posts/quitter-windows-pour-linux/","summary":"\u003cp\u003eLa vraie question n\u0026rsquo;est pas technique. Elle est plus simple, et plus dérangeante : qui décide, sur ta propre machine ?\u003c/p\u003e\n\u003cp\u003ePendant longtemps, la réponse n\u0026rsquo;avait pas d\u0026rsquo;importance. Windows était là, il marchait, on ne se posait pas la question. Mais ces dernières années, la trajectoire est devenue difficile à ignorer. Windows collecte toujours plus de données — télémétrie activée par défaut, compte Microsoft quasi obligatoire dès l\u0026rsquo;installation, Copilot et l\u0026rsquo;IA poussés au cœur du système, publicités glissées jusque dans le menu Démarrer. À chaque mise à jour, tu as un peu moins la main, et le système ressemble un peu plus à un service qu\u0026rsquo;on te loue qu\u0026rsquo;à un outil que tu possèdes.\u003c/p\u003e","title":"Quitter Windows pour Linux : par où commencer en 2026"},{"content":"Tu as verrouillé l\u0026rsquo;interface web de Proxmox dans la partie 1 : compte dédié, double authentification, pare-feu. La porte de devant est solide. Mais il reste une entrée dont on n\u0026rsquo;a pas parlé : l\u0026rsquo;accès SSH au système Debian qui fait tourner Proxmox. Durcir SSH — désactiver le login root, passer à l\u0026rsquo;authentification par clé et bloquer les tentatives répétées avec fail2ban — Dans cet article, nous allons voir comment mettre en place tout ça .\nAvant d\u0026rsquo;aller plus loin, une question honnête, parce que c\u0026rsquo;est sûrement celle que tu te poses : faut-il vraiment sécuriser le SSH d\u0026rsquo;un homelab privé ? La réponse franche, c\u0026rsquo;est : pas de façon urgente.Si ton serveur est derrière un pare-feu (OPNsense ou autre), il n\u0026rsquo;est pas exposé à Internet, et la partie 1 a déjà restreint l\u0026rsquo;accès SSH à ton seul réseau local. Concrètement, aujourd\u0026rsquo;hui, ton SSH n\u0026rsquo;est pas ta faille la plus pressante. Si tu ne faisais rien de plus, tu ne te ferais pas pirater demain matin.\nAlors pourquoi un article entier dessus ? Pour deux raisons, et c\u0026rsquo;est important que tu les comprennes bien.\nLa première, c\u0026rsquo;est l\u0026rsquo;hygiène. Durcir le SSH d\u0026rsquo;un serveur, c\u0026rsquo;est comme fermer sa voiture à clé même dans un garage fermé : ça ne te sauve pas aujourd\u0026rsquo;hui, mais c\u0026rsquo;est un réflexe sain qui ne coûte presque rien à prendre. Un mot de passe root qui traîne sur une machine, même privée, c\u0026rsquo;est une mauvaise habitude qu\u0026rsquo;on ne veut pas laisser s\u0026rsquo;installer.\nLa seconde, et c\u0026rsquo;est la vraie raison, c\u0026rsquo;est que la méthode que tu vas apprendre ici est exactement et obligatoirement celle a utiliser sur une machine exposée sur le net — comme un VPS. Là, ce n\u0026rsquo;est plus du confort : dès qu\u0026rsquo;un serveur expose son port SSH sur le réseau public, il reçoit en continu des milliers de tentatives de connexion automatisées qui testent root avec des dictionnaires de mots de passe. Tant que root accepte un mot de passe, il suffit qu\u0026rsquo;un seul essai tombe juste pour que tout tombe. Sur le VPS, le durcissement SSH n\u0026rsquo;est pas optionnel, il est en première ligne.\nL\u0026rsquo;intérêt de le faire maintenant, sur ton homelab, c\u0026rsquo;est que tu apprends à faire là où l\u0026rsquo;erreur ne coûte rien. Si tu te verrouilles dehors sur ta machine de démo, tu pourras régler le problème en deux clics depuis l\u0026rsquo;interface. Le jour où tu feras la même manip sur un VPS, tu la feras les yeux fermés, parce que tu l\u0026rsquo;auras déjà faite ici.\nSSH, c\u0026rsquo;est la porte de service de ton serveur. L\u0026rsquo;interface web, c\u0026rsquo;est l\u0026rsquo;entrée principale, celle qu\u0026rsquo;on voit. SSH, c\u0026rsquo;est l\u0026rsquo;entrée discrète à l\u0026rsquo;arrière, par laquelle on fait passer la maintenance, les transferts de fichiers, les scripts — et que tout le monde oublie de verrouiller. Pour l\u0026rsquo;instant, sur ton serveur, cette porte s\u0026rsquo;ouvre encore avec root et un mot de passe : exactement la situation qu\u0026rsquo;on a corrigée pour l\u0026rsquo;interface en partie 1, mais à l\u0026rsquo;étage en dessous.\nLa bonne nouvelle : trois changements suffisent, dans une seule session de terminal. Contrairement à la partie 1 où tout se passait dans l\u0026rsquo;interface web, on travaille cette fois en ligne de commande — mais ne t\u0026rsquo;inquiètes pas, je t\u0026rsquo;expliquerai chaque commande, une par une, avant de les lancer. Ce durcissement n\u0026rsquo;a rien de spécifique à Proxmox : il vaut pour n\u0026rsquo;importe quel serveur Linux. Ce que tu apprends ici, tu le rejoueras à l\u0026rsquo;identique sur ton VPS, sur un Raspberry Pi ou n\u0026rsquo;importe quelle machine que tu administres à distance.\nUn point à régler parce qu\u0026rsquo;il découle directement de la partie 1. Le compte dédié que tu as créé là-bas vit dans le realm Proxmox VE (@pve) : il pilote l\u0026rsquo;interface, mais il n\u0026rsquo;ouvre aucun shell sur le système Debian en dessous. Si on coupe l\u0026rsquo;accès root en SSH sans rien préparer, tu te retrouves sans le moindre compte capable de se connecter — enfermé dehors. La toute première étape sera donc de créer un vrai utilisateur système Linux, avec les droits d\u0026rsquo;administration via sudo. C\u0026rsquo;est ta clé perso, mais côté Debian cette fois.\nÀ la fin de cet article, plus personne ne se connectera à ton serveur sans ta clé privée — ni avec root, ni avec un mot de passe, jamais. Et les robots qui s\u0026rsquo;acharneront se feront bannir automatiquement avant d\u0026rsquo;avoir eu la moindre chance.\nOn va procéder dans cet ordre :\nCréer un utilisateur système avec sudo — ta clé perso côté Debian, distincte du compte @pve de l\u0026rsquo;interface. Générer une paire de clés SSH sur ton poste de travail. Déposer ta clé publique sur le serveur, et tester la connexion par clé avant de toucher à quoi que ce soit. Durcir la configuration SSH : login root désactivé, mot de passe désactivé, clé obligatoire. Installer fail2ban pour bannir automatiquement les adresses qui multiplient les échecs. Tout vérifier, serrure par serrure. 💡 Une note sur les captures de cet article. Le nœud Proxmox s\u0026rsquo;appelle ici HMT et non LABHMT comme dans la partie 1 : entre les deux articles, j\u0026rsquo;ai monté une machine physique dédiée à la production de contenu pour Home Made Tech, et c\u0026rsquo;est sur elle que tournent désormais toutes les démos. La procédure reste strictement identique, seul le nom du nœud change.\nUne règle de méthode avant de commencer, et elle n\u0026rsquo;est pas négociable : à chaque étape sensible, on garde une session SSH ouverte pendant qu\u0026rsquo;on en teste une nouvelle dans une seconde fenêtre. Tant que la nouvelle connexion n\u0026rsquo;est pas validée, on ne ferme jamais l\u0026rsquo;ancienne. C\u0026rsquo;est le réflexe qui t\u0026rsquo;évite de te verrouiller dehors. Sur ton serveur Proxmox, tu gardes de toute façon un filet — le shell web de l\u0026rsquo;interface reste un accès root, même SSH bouclé. Mais sur un VPS, ce filet n\u0026rsquo;existe pas : la prudence n\u0026rsquo;y est pas une option.\n1. Créer ton utilisateur système avec sudo C\u0026rsquo;est ta clé perso, version Debian. Souviens-toi du piège annoncé en intro : le compte dédié de la partie 1 vit dans le realm Proxmox VE et n\u0026rsquo;ouvre aucun shell sur le système. Si tu désactivais root en SSH maintenant, plus aucun compte ne pourrait se connecter. On commence donc par créer un vrai utilisateur Linux, capable de se connecter en SSH et d\u0026rsquo;exécuter les commandes d\u0026rsquo;administration via sudo.\nPour cette étape — et cette étape seulement — on se connecte encore en root. Ouvre une session SSH sur ton serveur, ou utilise le shell intégré à l\u0026rsquo;interface Proxmox (Datacenter → ton nœud → Shell). C\u0026rsquo;est la dernière fois qu\u0026rsquo;on utilise root aussi librement.\nConnexion à l\u0026rsquo;interface Proxmox avec le compte root@pam, dernière fois qu\u0026rsquo;on l\u0026rsquo;utilisera librement.\nPremière surprise pour qui vient d\u0026rsquo;un Ubuntu ou d\u0026rsquo;une Debian de bureau : sur Proxmox, la commande sudo n\u0026rsquo;existe pas. Proxmox est conçu pour être administré directement en root, donc le paquet n\u0026rsquo;est tout simplement pas installé. On va donc l\u0026rsquo;installer. La mise à jour de l\u0026rsquo;index des paquets juste avant n\u0026rsquo;est pas optionnelle : sans elle, le serveur risque de répondre que le paquet est introuvable.\napt update \u0026amp;\u0026amp; apt install sudo La commande à lancer en root depuis le shell Proxmox.\nMaintenant, on crée l\u0026rsquo;utilisateur. La commande adduser de Debian est conviviale : elle crée le compte, son dossier personnel, et te demande un mot de passe de façon interactive. Ici je choisis de créer l\u0026rsquo;utilisateur \u0026ldquo;HMT\u0026rdquo;.Remplace \u0026ldquo;NOM\u0026rdquo; par celui que tu veux.\nadduser \u0026#34;NOM\u0026#34; Exemple:\nadduser HMT Elle va te demander un mot de passe — choisis-en un solide et unique. Ce mot de passe te servira pour deux choses : confirmer tes commandes sudo, et te connecter à la console physique en cas de pépin. Les autres champs (nom complet, téléphone…) sont facultatifs, tu peux les laisser vides en appuyant sur Entrée.\nCréation de l\u0026rsquo;utilisateur HMT après installation de sudo.\nÀ ce stade, le compte existe mais c\u0026rsquo;est un utilisateur ordinaire : il peut se connecter, mais pas administrer le système. On lui donne les droits d\u0026rsquo;administration en l\u0026rsquo;ajoutant au groupe sudo. Sur Debian, c\u0026rsquo;est ce groupe précis qui autorise l\u0026rsquo;usage de sudo — pas un autre nom, pas un fichier à éditer à la main.\nusermod -aG sudo HMT Le -aG est important : le -a veut dire « ajoute à » (append). Si tu l\u0026rsquo;oublies et que tu écris juste -G, tu remplaces tous les groupes de l\u0026rsquo;utilisateur par le seul groupe sudo, ce qui peut casser des choses. Avec -aG, on ajoute sans rien retirer.\nActivation des droits d\u0026rsquo;administration sur le compte HMT.\n⚠️ Le piège à ne pas commettre. L\u0026rsquo;appartenance à un groupe n\u0026rsquo;est prise en compte qu\u0026rsquo;à l\u0026rsquo;ouverture d\u0026rsquo;une nouvelle session. Si tu testes sudo dans la session où tu as lancé la commande, ça peut échouer alors que tout est correct. Il faut ouvrir une nouvelle connexion pour que le groupe soit réellement actif. C\u0026rsquo;est exactement ce qu\u0026rsquo;on va faire à l\u0026rsquo;étape suivante — et c\u0026rsquo;est aussi notre test.\nTester immédiatement — sans fermer ta session root Même réflexe qu\u0026rsquo;en partie 1, et même logique que le « règle avant pare-feu » : on vérifie que la nouvelle clé tourne avant de changer quoi que ce soit. Surtout, garde ta session root ouverte. On ouvre une seconde fenêtre de terminal et on s\u0026rsquo;y connecte avec le nouveau compte :\nssh \u0026#34;NOM\u0026#34;@\u0026#34;ip Proxmox\u0026#34; Exemple;\nssh HMT@192.168.70.2 ⚠️ 192.168.70.2 est la nouvelle ip de mon Proxmox Demo. Remplace la par l\u0026rsquo; ip de ton propre Proxmox.\nLa toute première connexion te demandera de confirmer l\u0026rsquo;empreinte du serveur (réponds yes), puis le mot de passe du compte HMT.\nOn est passé du terminal du PC au terminal Proxmox via SSH.\nUne fois connecté, on demande à sudo de nous faire passer pour root le temps d\u0026rsquo;une commande. La toute première fois, sudo te demandera ton mot de passe (celui du compte, pas celui de root) :\nsudo whoami Si la réponse est root, c\u0026rsquo;est gagné : ton compte sait s\u0026rsquo;élever en administrateur. Ta clé perso côté Debian est opérationnelle.\nLe test qui valide tout : sudo whoami renvoie root dans la nouvelle session.\nTant que ce test ne renvoie pas root, ne va pas plus loin et ne ferme pas ta session root. Reviens dans la fenêtre root et vérifie que l\u0026rsquo;utilisateur est bien dans le groupe sudo avec groups HMT (la liste affichée doit contenir sudo). C\u0026rsquo;est presque toujours soit le -aG oublié, soit le test fait dans l\u0026rsquo;ancienne session au lieu d\u0026rsquo;une nouvelle.\n💡 Sur ton VPS, c\u0026rsquo;est souvent déjà à moitié fait. Les images Debian fournies par les hébergeurs installent fréquemment sudo d\u0026rsquo;office, et certaines créent même un utilisateur non-root dès le départ. Avant de recréer un compte, vérifie ce qui existe : which sudo te dira si sudo est présent, et getent group sudo te listera les comptes qui y sont déjà. Inutile de dupliquer ce qui est là.\n2. Générer ta paire de clés SSH Cette étape ne se passe pas sur le serveur, mais sur ton poste de travail — celui depuis lequel tu te connectes en SSH. C\u0026rsquo;est important : la moitié sensible de la clé, celle qu\u0026rsquo;on appelle la clé privée, doit rester sur ta machine et n\u0026rsquo;en bouger jamais.\nAvant de cliquer sur quoi que ce soit, un détour de deux minutes pour comprendre ce qu\u0026rsquo;on fait. Une paire de clés SSH, c\u0026rsquo;est deux fichiers qui forment un duo mathématiquement lié. La clé publique est faite pour être distribuée — tu la déposes sur chaque serveur où tu veux te connecter. La clé privée reste sur ton poste, à un seul endroit, et tu ne la partages avec personne, jamais, sous aucun prétexte.\nL\u0026rsquo;analogie utile, c\u0026rsquo;est le cadenas et sa clé. La clé publique, c\u0026rsquo;est le cadenas : tu peux en faire des copies, les laisser traîner, les coller sur tous les serveurs du monde, ça n\u0026rsquo;a aucune importance. La clé privée, c\u0026rsquo;est la seule qui ouvre ces cadenas. Quand tu te connectes, le serveur te lance un défi qu\u0026rsquo;il « cadenasse » avec ta clé publique, et seule ta clé privée peut le résoudre. Si quelqu\u0026rsquo;un met la main sur ta clé privée, il peut se connecter à ta place sur tous les serveurs où le cadenas correspondant est posé.\nPourquoi c\u0026rsquo;est plus solide qu\u0026rsquo;un mot de passe ? Un mot de passe, ça se devine, ça se vole dans une fuite de données, ça se brute-force. Une clé SSH moderne, c\u0026rsquo;est un secret de 256 bits que personne ne va trouver par essai-erreur, même avec des années de calcul. Et contrairement à un mot de passe, elle n\u0026rsquo;est jamais transmise au serveur lors de la connexion : seule la preuve qu\u0026rsquo;on la possède transite.\nChoisir le bon type de clé Le type recommandé en 2026, sans hésitation, c\u0026rsquo;est ed25519. C\u0026rsquo;est rapide, court, et reposant sur des fondations mathématiques modernes (les courbes elliptiques). Tu peux l\u0026rsquo;avoir croisé sous l\u0026rsquo;autre nom — RSA — qui reste fonctionnel mais demande des clés bien plus longues (4096 bits minimum) pour offrir une sécurité équivalente, et qui disparaît progressivement des bonnes pratiques. On part directement sur ed25519.\n💡 Sous Windows, c\u0026rsquo;est la même chose — ou presque. Depuis Windows 10 et 11, le client OpenSSH est intégré nativement : la commande ssh-keygen fonctionne directement, sans rien installer. Ouvre simplement PowerShell ou l\u0026rsquo;Invite de commandes (cherche powershell ou cmd dans le menu Démarrer), et tu peux taper toutes les commandes de cette section à l\u0026rsquo;identique. La seule différence est le chemin où vivent tes clés : sous Windows, c\u0026rsquo;est C:\\Users\\toncompte\\.ssh\\ au lieu de ~/.ssh. Tu peux y accéder avec ~\\.ssh (PowerShell comprend le tilde) ou %USERPROFILE%\\.ssh (Invite de commandes). Tout le reste — ssh-keygen, ssh, scp, ssh-copy-id à la section suivante — fonctionne pareil. Si tu tombes sur de vieux tutoriels qui te font installer PuTTY et PuTTYgen, tu peux les ignorer en 2026 : OpenSSH natif fait la même chose, en plus propre.\nVérifier que tu n\u0026rsquo;as pas déjà une clé Avant d\u0026rsquo;en créer une nouvelle, on vérifie qu\u0026rsquo;il n\u0026rsquo;y en a pas déjà une sur ton poste. Si tu utilises Git, par exemple, tu en as peut-être déjà une.\nls -al ~/.ssh (Sous Windows : dir ~\\.ssh dans PowerShell, ou dir %USERPROFILE%\\.ssh à l\u0026rsquo;Invite de commandes. Si le dossier n\u0026rsquo;existe pas, c\u0026rsquo;est normal — ssh-keygen le créera.)\nSi tu vois un fichier id_ed25519 (clé privée) et son jumeau id_ed25519.pub (clé publique), tu as déjà une paire utilisable et tu peux directement passer à l\u0026rsquo;étape suivante. Si tu vois id_rsa et id_rsa.pub, c\u0026rsquo;est une vieille clé RSA qui fonctionnera aussi, mais profiter de l\u0026rsquo;occasion pour passer en ed25519 est une bonne idée. Et si le dossier .ssh n\u0026rsquo;existe pas ou est vide, on en crée une.\nVérification du contenu du dossier ~/.ssh puis affichage de la clé publique.\nCréer la paire de clés La commande est courte mais chaque option a son rôle :\nssh-keygen -t ed25519 -C \u0026#34;HMT@beastmaker-PC\u0026#34; Le -t ed25519 choisit l\u0026rsquo;algorithme. Le -C ajoute un commentaire à la clé — pas un mot de passe, juste un libellé qui apparaîtra dans la clé pour t\u0026rsquo;aider à la reconnaître plus tard. Mets quelque chose qui te dit d\u0026rsquo;où vient cette clé : ton compte et ton poste suffisent.\nssh-keygen va te poser deux questions. « Enter file in which to save the key » — laisse vide et appuie sur Entrée, le chemin par défaut est celui que SSH utilise automatiquement. « Enter passphrase » — c\u0026rsquo;est le point important.\n⚠️ La passphrase de la clé privée. SSH te propose ici de chiffrer ta clé privée avec une passphrase. Ce n\u0026rsquo;est pas le mot de passe d\u0026rsquo;un compte, c\u0026rsquo;est une protection locale du fichier de clé : si quelqu\u0026rsquo;un copie ta clé privée sans la passphrase qui va avec, elle est inutilisable. Sans passphrase, à l\u0026rsquo;inverse, quiconque copie le fichier peut se connecter à ta place sur tous les serveurs où ta clé publique est déposée.\nRecommandation : mets une passphrase. Tu ne la taperas pas à chaque connexion, parce qu\u0026rsquo;un agent SSH la garde en mémoire pour la session — tu la saisis une fois en début de journée, et c\u0026rsquo;est terminé.\nUne fois validée, la commande t\u0026rsquo;affiche un schéma ASCII appelé « randomart » : c\u0026rsquo;est une empreinte visuelle de ta clé, inutile pour l\u0026rsquo;usage courant.\nVérifier ce qui a été créé ls -al ~/.ssh Tu dois voir deux fichiers : id_ed25519, ta clé privée (permissions -rw-------, lisible uniquement par toi, ne sort jamais de ton poste), et id_ed25519.pub, ta clé publique (permissions -rw-r--r--, qu\u0026rsquo;on déposera sur le serveur). Tu peux lire la publique sans risque :\ncat ~/.ssh/id_ed25519.pub Une seule ligne s\u0026rsquo;affiche, commençant par ssh-ed25519, suivie d\u0026rsquo;une longue chaîne, et finissant par ton commentaire.\n⚠️ Ne confonds jamais les deux fichiers. Le suffixe .pub est la seule différence visuelle, et c\u0026rsquo;est elle qui fait toute la différence entre « je dépose mon cadenas » et « je donne ma clé privée à un inconnu ». Quand on te demande « ta clé SSH », c\u0026rsquo;est toujours celle qui se termine par .pub.\n3. Déposer ta clé publique sur le serveur et tester L\u0026rsquo;objectif de cette étape est simple à formuler et critique à exécuter : avant de toucher à la moindre option de durcissement, on s\u0026rsquo;assure que la connexion par clé fonctionne réellement. Tant que ce n\u0026rsquo;est pas le cas, on ne touche à rien. C\u0026rsquo;est la règle d\u0026rsquo;or de tout l\u0026rsquo;article, et elle a sauvé plus d\u0026rsquo;administrateurs que toutes les sauvegardes du monde.\nPour rappel : à ce stade, ton serveur accepte encore les connexions par mot de passe. Ta clé publique n\u0026rsquo;est encore nulle part sur lui. On va l\u0026rsquo;y déposer pendant que le mot de passe sert encore de filet, et on testera la connexion par clé pendant que ce filet est toujours en place. Si quelque chose foire, le mot de passe sera là pour rattraper.\nDéposer la clé avec ssh-copy-id Il existe une commande dédiée à cette opération, qui évite toute manipulation manuelle dans le fichier authorized_keys du serveur : ssh-copy-id. Elle se connecte au serveur avec ton mot de passe (le compte HMT), crée le dossier ~/.ssh s\u0026rsquo;il n\u0026rsquo;existe pas avec les bonnes permissions, et ajoute ta clé publique au fichier authorized_keys du compte distant.\nSur ton poste :\nssh-copy-id HMT@192.168.70.2 La commande te demandera le mot de passe du compte HMT. Une fois validée, elle te répond combien de clés elle a ajoutées (Number of key(s) added: 1) et te suggère de tester la connexion.\nLa clé publique a été ajoutée au compte HMT sur le serveur.\n💡 Si tu as plusieurs clés sur ton poste, ssh-copy-id envoie par défaut toutes les clés publiques disponibles dans ton dossier ~/.ssh. Pour n\u0026rsquo;envoyer qu\u0026rsquo;une clé précise, utilise l\u0026rsquo;option -i : ssh-copy-id -i ~/.ssh/id_ed25519.pub HMT@192.168.70.2. C\u0026rsquo;est plus propre et tu sais exactement ce que tu déposes.\n⚠️ Sous Windows, ssh-copy-id n\u0026rsquo;est pas inclus dans le client OpenSSH natif de Microsoft, c\u0026rsquo;est un des rares trous de la version Windows. La solution équivalente en une ligne PowerShell : type $env:USERPROFILE\\.ssh\\id_ed25519.pub | ssh HMT@192.168.70.2 \u0026quot;cat \u0026gt;\u0026gt; ~/.ssh/authorized_keys\u0026quot; — ça envoie le contenu de ta clé publique au serveur, qui l\u0026rsquo;ajoute à son authorized_keys. Résultat strictement identique.\nLe test qui sauve : se connecter par clé pendant que le mot de passe est encore là C\u0026rsquo;est l\u0026rsquo;étape qui sépare ceux qui dorment tranquille de ceux qui passent la nuit à dépanner depuis une console physique. Toujours sur ton poste :\nssh HMT@192.168.70.2 Trois cas possibles, et il faut savoir reconnaître lequel tu as :\nCas 1 — la connexion s\u0026rsquo;ouvre sans rien demander. C\u0026rsquo;est le cas si tu n\u0026rsquo;avais pas mis de passphrase sur ta clé privée. Tu arrives directement au prompt HMT@HMT:~$. La connexion par clé fonctionne.\nCas 2 — la connexion demande la passphrase de ta clé. Si tu avais protégé ta clé privée par une passphrase, ton système te la demande maintenant pour pouvoir l\u0026rsquo;utiliser. Tu tapes la passphrase, et la connexion s\u0026rsquo;ouvre. Note bien : ce n\u0026rsquo;est pas le mot de passe du compte HMT qui t\u0026rsquo;est demandé ici, c\u0026rsquo;est la passphrase locale de ta clé privée. Cette demande prouve justement que tu te connectes par clé, pas par mot de passe.\nCas 3 — la connexion demande le mot de passe du compte HMT. C\u0026rsquo;est le mauvais signal. SSH n\u0026rsquo;a pas réussi à utiliser ta clé et il retombe sur le mot de passe en mode secours. Si tu en arrives là, ne valide pas et ne continue surtout pas vers la section 4. Tu n\u0026rsquo;as pas encore la clé qui marche, et désactiver le mot de passe maintenant te verrouillerait dehors.\nPour distinguer rapidement le cas 2 du cas 3, regarde le texte exact :\nPassphrase de la clé : Enter passphrase for key '/home/beastmaker/.ssh/id_ed25519': Mot de passe du compte : HMT@192.168.70.2's password: Le premier prouve que SSH a trouvé ta clé. Le second prouve qu\u0026rsquo;il a échoué et qu\u0026rsquo;il bascule sur le mot de passe.\nLa passphrase de la clé est demandée — c\u0026rsquo;est le bon signe : SSH se connecte par clé.\nSi tu es dans le cas 3 : diagnostic rapide Pas de panique, le filet est encore là. Reste dans cette session pour ne pas perdre ton accès, et lance dans une nouvelle fenêtre :\nssh -v HMT@192.168.70.2 Le -v (verbose) affiche tout ce que SSH essaie. Trois lignes à chercher :\nOffering public key: /home/.../id_ed25519 → ton client propose bien la clé. Server accepts key: ... → le serveur l\u0026rsquo;a acceptée. Si tu vois ces deux lignes, le problème est ailleurs. Authentications that can continue: publickey,password → si SSH retombe ensuite sur password, c\u0026rsquo;est que le serveur a refusé ta clé. Les causes habituelles, dans l\u0026rsquo;ordre de fréquence :\nLa clé publique n\u0026rsquo;est pas (ou pas correctement) dans ~/.ssh/authorized_keys du compte HMT sur le serveur. Vérifie sur le serveur : cat ~/.ssh/authorized_keys doit afficher la même ligne que ton id_ed25519.pub local. Les permissions du dossier ~/.ssh ou du fichier authorized_keys sur le serveur sont trop ouvertes. SSH refuse silencieusement d\u0026rsquo;utiliser une clé si les permissions ne sont pas correctes — c\u0026rsquo;est volontaire, c\u0026rsquo;est sa façon de protéger les comptes mal configurés. Sur le serveur : chmod 700 ~/.ssh \u0026amp;\u0026amp; chmod 600 ~/.ssh/authorized_keys. Tu te connectes avec le mauvais nom d\u0026rsquo;utilisateur. Vérifie la commande exacte. Une fois la cause corrigée, retente ssh HMT@192.168.70.2. Tu dois être dans le cas 1 ou 2.\nNe ferme pas encore cette session Tu as maintenant une session SSH ouverte sur le serveur, connectée par clé (et non par mot de passe). C\u0026rsquo;est ton filet pour la section suivante : on garde cette session active pendant qu\u0026rsquo;on durcit la configuration SSH, et on ouvre une seconde fenêtre pour tester. Si quelque chose foire pendant le durcissement, cette session reste valide tant que tu ne la fermes pas — même si la nouvelle configuration interdit toute nouvelle connexion.\nC\u0026rsquo;est le réflexe à graver une bonne fois pour toutes : pendant une opération sensible sur SSH, on ne ferme jamais une session qui marche tant qu\u0026rsquo;une nouvelle n\u0026rsquo;a pas été validée.\n4. Durcir la configuration SSH C\u0026rsquo;est là qu\u0026rsquo;on ferme les trois portes restantes : login root, authentification par mot de passe, et tout ce qui n\u0026rsquo;est pas une clé. Le test de la section 3 a prouvé que tu peux te connecter par clé. À partir de maintenant, on peut donc fermer le reste sans craindre de se verrouiller — à condition de procéder dans le bon ordre.\nPourquoi un fichier drop-in et pas le fichier principal Le réflexe historique, c\u0026rsquo;est d\u0026rsquo;ouvrir /etc/ssh/sshd_config et d\u0026rsquo;y modifier directement les directives. Ça marche, mais c\u0026rsquo;est une mauvaise pratique pour deux raisons.\nD\u0026rsquo;abord, ce fichier est susceptible d\u0026rsquo;être mis à jour par le système lors d\u0026rsquo;un apt upgrade d\u0026rsquo;OpenSSH. Les versions récentes du paquet Debian sont prudentes, mais c\u0026rsquo;est une source d\u0026rsquo;ennuis classique : tu finis avec des .dpkg-old ou .dpkg-dist qui traînent, des morceaux de config qui se perdent, et tu ne sais plus quelle est ta version de référence.\nEnsuite, en mélangeant tes durcissements aux centaines de lignes commentées par défaut, ton intention devient invisible. Six mois plus tard, tu rouvres le fichier et tu cherches ce que tu as changé.\nLa pratique propre, supportée nativement par OpenSSH depuis longtemps, c\u0026rsquo;est le fichier drop-in. Tu crées un fichier séparé dans /etc/ssh/sshd_config.d/, qui ne contient que tes durcissements. Le fichier principal reste tel que Debian l\u0026rsquo;a livré (et se met donc à jour proprement), et il charge automatiquement tous les fichiers .conf du dossier sshd_config.d. Ta config personnelle vit à part, lisible, versionnable, supprimable d\u0026rsquo;un coup si besoin.\n💡 Vérifie d\u0026rsquo;abord que ton sshd_config charge bien les drop-in. Sur Debian 13 et Proxmox VE 9, c\u0026rsquo;est le cas par défaut, mais une commande te le confirme en deux secondes : grep -i \u0026quot;^Include\u0026quot; /etc/ssh/sshd_config. Tu dois voir une ligne Include /etc/ssh/sshd_config.d/*.conf. Si rien ne sort, ajoute-la en première ligne du fichier principal avant de continuer.\nCréer le fichier de durcissement Dans ta session SSH actuelle (celle qui marche, celle qu\u0026rsquo;on ne ferme pas), on crée le fichier avec les droits d\u0026rsquo;admin :\nsudo nano /etc/ssh/sshd_config.d/99-hardening.conf Le nom du fichier suit une convention simple : un préfixe numérique (99-) pour l\u0026rsquo;ordre de lecture (les fichiers sont chargés par ordre alphabétique, et 99- garantit que tes réglages passent en dernier et l\u0026rsquo;emportent sur le reste), un nom parlant, l\u0026rsquo;extension .conf obligatoire.\nOuverture du fichier de durcissement dans nano.\nColle dans le fichier ces quatre directives :\n# Hardening SSH — voir homemadetech.fr/posts/securiser-proxmox-partie-2 PermitRootLogin no PasswordAuthentication no KbdInteractiveAuthentication no PubkeyAuthentication yes Lecture ligne par ligne, parce que chaque option a son rôle :\nPermitRootLogin no — désactive complètement la connexion SSH avec le compte root. C\u0026rsquo;est le cœur du durcissement. Les robots qui testent en boucle root avec des milliers de mots de passe se feront refuser au niveau du protocole, avant même d\u0026rsquo;avoir une chance de tomber juste. PasswordAuthentication no — désactive l\u0026rsquo;authentification par mot de passe pour tous les comptes. Plus aucun mot de passe n\u0026rsquo;est accepté pour ouvrir une session SSH. C\u0026rsquo;est la clé ou rien. KbdInteractiveAuthentication no — désactive aussi l\u0026rsquo;authentification dite « interactive clavier », un autre canal qu\u0026rsquo;OpenSSH expose et qui peut, selon la configuration PAM, contourner PasswordAuthentication. La désactiver explicitement ferme ce contournement classique. Sans cette ligne, ton durcissement a un trou. PubkeyAuthentication yes — affirme explicitement que l\u0026rsquo;authentification par clé est autorisée. C\u0026rsquo;est l\u0026rsquo;option par défaut, mais l\u0026rsquo;écrire noir sur blanc rend ta config auto-documentée. Sauvegarde et ferme nano (Ctrl+O, Entrée, Ctrl+X).\nLe fichier drop-in 99-hardening.conf avec les quatre directives de durcissement.\n⚠️ Sur Proxmox en cluster, remplace PermitRootLogin no par PermitRootLogin prohibit-password. Le compromis officiel : root reste interdit en mot de passe, mais autorisé par clé — ce qui est nécessaire pour les opérations cross-node de PVE (migrations live, console d\u0026rsquo;un autre nœud). Sur un nœud unique comme ton serveur de démo, no est propre et préférable. Si tu passes en cluster plus tard, il te suffira d\u0026rsquo;éditer ce drop-in.\nValider la syntaxe avant de redémarrer C\u0026rsquo;est l\u0026rsquo;étape qu\u0026rsquo;on saute trop souvent et qui finit par coûter cher. OpenSSH propose un mode de test qui vérifie la syntaxe complète de la configuration sans rien appliquer. Si tu as fait une faute de frappe, il te le dit. Si tout est OK, il ne dit rien.\nsudo sshd -t Si la commande te répond par un silence (retour au prompt sans message), ta config est syntaxiquement valide. Si elle te répond par une erreur (bad configuration option, ligne X), corrige le fichier avant d\u0026rsquo;aller plus loin. Ne redémarre jamais sshd sur une config qui n\u0026rsquo;a pas passé sshd -t. C\u0026rsquo;est une règle absolue.\nRecharger sshd Maintenant qu\u0026rsquo;on sait que la config est valide, on dit au service SSH d\u0026rsquo;en tenir compte. On utilise reload, plus doux qu\u0026rsquo;un restart, et qui surtout ne casse pas les sessions SSH actuellement ouvertes — y compris ta session de filet.\nsudo systemctl reload ssh 💡 Pour ta culture : sur Debian, le service s\u0026rsquo;appelle ssh (et non sshd comme sur d\u0026rsquo;autres distributions). Si une commande te dit « Unit sshd.service could not be found », c\u0026rsquo;est juste un alias qui manque. Utilise ssh et tout fonctionne.\nLe test critique — sans fermer ta session de filet C\u0026rsquo;est l\u0026rsquo;instant où on prouve que tout marche. Tu as toujours ta session SSH ouverte (celle de la section 3). On va en ouvrir une deuxième dans une nouvelle fenêtre sur ton poste, et tester deux choses, dans cet ordre.\nTest 1 — la connexion par clé doit toujours marcher. Nouvelle fenêtre :\nssh HMT@192.168.70.2 Tu dois retomber dans le cas 2 (passphrase de ta clé demandée, puis connexion ouverte). Si oui, ta clé continue d\u0026rsquo;être acceptée, et tu peux fermer cette fenêtre.\nTest 2 — la connexion en root doit être refusée. Toujours dans une nouvelle fenêtre :\nssh root@192.168.70.2 La réponse attendue, sans ambiguïté : Permission denied (publickey). SSH refuse même de te demander un mot de passe — c\u0026rsquo;est la directive PermitRootLogin no qui parle.\nRoot est refusé : la directive PermitRootLogin no fait son travail.\nSi tu obtiens à la place une demande de mot de passe pour root, c\u0026rsquo;est que PermitRootLogin no n\u0026rsquo;a pas pris effet. Vérifie deux choses : (1) ton fichier 99-hardening.conf est bien dans /etc/ssh/sshd_config.d/ et pas ailleurs, et (2) le reload s\u0026rsquo;est bien passé (sudo systemctl status ssh doit afficher active (running) sans erreur).\n⚠️ Ne ferme toujours pas ta session de filet de la section 3. On a encore une étape : fail2ban. Tant que la section 5 n\u0026rsquo;est pas validée, on garde au moins une session ouverte.\n5. Bannir les attaquants automatiquement avec fail2ban Tu as fermé la porte aux connexions par mot de passe et à root. Concrètement, plus aucun robot qui teste des identifiants ne peut entrer. Alors pourquoi installer encore quelque chose ?\nPour deux raisons. La première est défensive : un attaquant peut continuer à essayer, indéfiniment, des milliers de tentatives par minute. Chaque tentative consomme un peu de CPU, de bande passante, et pollue tes logs au point qu\u0026rsquo;un vrai incident s\u0026rsquo;y noie. La seconde est plus prosaïque : sur un VPS exposé, ton journal d\u0026rsquo;authentification grossit de plusieurs mégaoctets par jour de tentatives échouées. C\u0026rsquo;est du bruit qu\u0026rsquo;on peut faire taire.\nC\u0026rsquo;est exactement le rôle de fail2ban : il surveille les logs en temps réel, repère les adresses IP qui multiplient les échecs d\u0026rsquo;authentification, et les bannit automatiquement au niveau du pare-feu pour une durée définie. Au bout de cinq mauvaises tentatives, l\u0026rsquo;IP est bloquée et ne peut même plus atteindre ton port SSH pendant le temps du ban. Les robots passent à la cible suivante.\nLà encore, garde en tête la logique de cet article : sur ton homelab derrière OPNsense, fail2ban n\u0026rsquo;a pas grand-chose à se mettre sous la dent, parce que personne d\u0026rsquo;extérieur n\u0026rsquo;atteint ton SSH. C\u0026rsquo;est sur le VPS qu\u0026rsquo;il prend tout son sens, en attrapant les robots qui scannent Internet en permanence. On l\u0026rsquo;installe ici pour apprendre le geste là où il est sans risque.\nInstaller fail2ban Dans ta session SSH (la session filet, toujours en place) :\nsudo apt update \u0026amp;\u0026amp; sudo apt install fail2ban Installation de fail2ban depuis les dépôts Debian.\nLe service démarre automatiquement à la fin de l\u0026rsquo;installation. On le vérifie tout de suite :\nsudo systemctl status fail2ban Tu dois voir active (running) en vert. Si oui, fail2ban tourne avec sa configuration par défaut. Mais cette configuration par défaut, justement, on va y toucher — et là encore, on le fait proprement.\nLe service fail2ban est actif et fonctionne avec sa configuration par défaut.\nPourquoi un fichier jail.local et pas l\u0026rsquo;édition de jail.conf Même logique que pour sshd_config : le fichier livré par le paquet (/etc/fail2ban/jail.conf) ne doit jamais être édité. Il sera potentiellement réécrit à la prochaine mise à jour de fail2ban, et tes réglages disparaîtront avec.\nLa pratique propre est documentée par fail2ban lui-même : on crée un fichier /etc/fail2ban/jail.local, qui surcharge jail.conf ligne par ligne. Ce qui est dans jail.local gagne, le reste reste géré par jail.conf (et se met donc à jour normalement).\nCréer la configuration locale sudo nano /etc/fail2ban/jail.local Colle ce contenu :\n# Configuration locale fail2ban — durcissement SSH # Voir homemadetech.fr/posts/securiser-proxmox-partie-2 [DEFAULT] bantime = 1h findtime = 10m maxretry = 5 ignoreip = 127.0.0.1/8 ::1 192.168.70.0/24 [sshd] enabled = true Lecture ligne par ligne :\nbantime = 1h — durée du bannissement quand une IP se fait attraper. Une heure est un compromis raisonnable : assez long pour décourager un robot et libérer tes logs, assez court pour qu\u0026rsquo;un humain qui s\u0026rsquo;est juste planté trois fois récupère son accès dans la matinée. Tu peux mettre 1d (un jour) ou 1w (une semaine) sur un VPS exposé à du bruit constant.\nfindtime = 10m — la fenêtre de temps pendant laquelle on compte les échecs. Avec maxretry = 5, ça veut dire : si une IP fait cinq mauvaises tentatives en moins de dix minutes, elle est bannie. Une IP qui se trompe deux fois aujourd\u0026rsquo;hui, deux fois la semaine prochaine, ne sera jamais bannie — findtime empêche les faux positifs sur la durée.\nmaxretry = 5 — le nombre d\u0026rsquo;échecs tolérés dans la fenêtre. Cinq est un bon point d\u0026rsquo;équilibre. Trop bas (1 ou 2), tu te bannis toi-même au premier mot de passe mal tapé. Trop haut (50), tu laisses des minutes entières d\u0026rsquo;attaque passer.\nignoreip — la liste blanche, et c\u0026rsquo;est la ligne la plus importante. Les IP listées ici ne seront jamais bannies, même avec mille mauvaises tentatives. On met systématiquement les boucles locales (127.0.0.1/8 en IPv4, ::1 en IPv6), et ton propre réseau d\u0026rsquo;administration — ici 192.168.70.0/24, ton réseau démo. C\u0026rsquo;est ton filet : si tu te plantes en testant des connexions, tu ne te bannis pas toi-même depuis ton poste.\n[sshd] / enabled = true — active explicitement la jail dédiée à SSH. Elle existe déjà dans jail.conf et sait quoi surveiller, il suffit de la déclencher.\nLe fichier jail.local avec les paramètres de bannissement et la liste blanche.\n⚠️ ignoreip n\u0026rsquo;est pas optionnel. Sur un homelab tu peux presque t\u0026rsquo;en passer. Sur un VPS, c\u0026rsquo;est crucial : si tu administres depuis ton domicile avec une IP fixe ou semi-fixe, ajoute-la à ignoreip. Sinon, le jour où tu retapes mal ta passphrase cinq fois de suite à 23h, tu es banni de ton propre serveur pour une heure, sans moyen de te débannir tant que le ban n\u0026rsquo;expire pas — sauf à passer par la console physique ou le shell web Proxmox (le filet ultime).\nSauvegarde et ferme (Ctrl+O, Entrée, Ctrl+X), puis recharge fail2ban pour qu\u0026rsquo;il prenne ta config en compte :\nsudo systemctl restart fail2ban Vérifier que la jail SSH tourne On contrôle que fail2ban a bien chargé la jail SSH :\nsudo fail2ban-client status La sortie doit lister sshd dans les jails actives. Pour voir l\u0026rsquo;état précis de cette jail :\nsudo fail2ban-client status sshd Tu obtiens un petit tableau : nombre d\u0026rsquo;échecs détectés, nombre d\u0026rsquo;IP actuellement bannies (0 pour l\u0026rsquo;instant), nombre total d\u0026rsquo;IP bannies depuis le démarrage. Sur un serveur fraîchement installé, tout est à zéro. C\u0026rsquo;est normal.\nLa jail SSH est active : fail2ban surveille les tentatives d\u0026rsquo;authentification en temps réel.\n💡 Tester sans risque : un faux ban depuis une adresse fictive. Si tu veux voir fail2ban en action sans te bannir toi-même, demande-lui de bannir manuellement une IP qui n\u0026rsquo;existe pas : sudo fail2ban-client set sshd banip 203.0.113.42. C\u0026rsquo;est une adresse de documentation officielle, jamais routée. Tu vois alors « Currently banned » passer à 1, et tu peux la débannir avec sudo fail2ban-client set sshd unbanip 203.0.113.42. Bonne façon de constater que la machinerie fonctionne.\nSur ton VPS, fail2ban et le pare-feu Proxmox cohabitent Petite subtilité utile. La partie 1 a activé le pare-feu intégré de Proxmox sur ton nœud. Fail2ban, lui, manipule iptables directement pour ajouter ses règles de bannissement. Les deux cohabitent généralement sans souci sur Proxmox VE 9, mais ce sont deux couches indépendantes : l\u0026rsquo;une filtre par IP en réaction aux échecs (fail2ban), l\u0026rsquo;autre filtre par règles statiques en permanence (le pare-feu). Tu as besoin des deux, l\u0026rsquo;un ne remplace pas l\u0026rsquo;autre.\n6. Vérifier que tout fonctionne, serrure par serrure Tu as enchaîné les étapes proprement, mais c\u0026rsquo;est maintenant qu\u0026rsquo;il faut prendre cinq minutes pour valider l\u0026rsquo;ensemble. Le but n\u0026rsquo;est pas d\u0026rsquo;ajouter de la sécurité — elle est déjà là — mais de te donner la certitude qu\u0026rsquo;elle est là. C\u0026rsquo;est cette certitude qui te permet de fermer la session filet et de dormir tranquille.\nOn valide dans cet ordre : la connexion par clé fonctionne, le compte root est refusé, le mot de passe est refusé, fail2ban est armé. Pour chacun, je te dis quelle commande lancer et quelle réponse exacte attendre — parce que c\u0026rsquo;est la formulation précise des messages qui te dit ce qui se passe vraiment.\nVérification 1 — La connexion par clé fonctionne.\nssh HMT@192.168.70.2 Tu dois retomber dans le cas 2 : passphrase de ta clé demandée, puis prompt HMT@HMT:~$. Si oui, ta clé continue d\u0026rsquo;être acceptée et fail2ban ne te gêne pas.\nVérification 2 — Le compte root est refusé.\nssh root@192.168.70.2 Réponse attendue : Permission denied (publickey). SSH ne te demande même pas de mot de passe — c\u0026rsquo;est PermitRootLogin no qui parle. Aucun robot ne peut désormais brute-forcer root sur ton serveur.\nVérification 3 — Le mot de passe est refusé.\nC\u0026rsquo;est le test qui prouve que PasswordAuthentication no a pris effet. On force SSH à n\u0026rsquo;essayer que le mot de passe :\nssh -o PreferredAuthentications=password -o PubkeyAuthentication=no HMT@192.168.70.2 Réponse attendue : Permission denied (publickey). Le serveur te répond qu\u0026rsquo;il n\u0026rsquo;accepte que les clés — la voie mot de passe est bel et bien coupée, même pour un client qui la réclame explicitement. Si tu voyais Permission denied (publickey,password), ça voudrait dire que le mot de passe est encore accepté, et qu\u0026rsquo;il faut revenir à la section 4.\nVérification 4 — Fail2ban est armé.\nsudo fail2ban-client status sshd Tu dois voir la jail active, pointant vers le journal système, avec Currently banned: 0. Tout à zéro, c\u0026rsquo;est normal — ton serveur n\u0026rsquo;a pas encore subi d\u0026rsquo;attaque réelle. Ce qui compte, c\u0026rsquo;est que la jail apparaisse et tourne.\n💡 Pour valider en conditions réelles, si tu veux y aller : depuis un appareil qui n\u0026rsquo;est pas dans le ignoreip (ton téléphone en 4G, par exemple), tente cinq mauvaises connexions en mot de passe en moins de dix minutes. À la sixième, ton IP doit apparaître dans Currently banned. Sur ton réseau démo, c\u0026rsquo;est instructif ; sur un serveur en production, c\u0026rsquo;est inutile, fail2ban attrapera de vrais robots dans la journée.\nTu peux maintenant fermer la session filet Si les quatre vérifications passent, tu as fini. Tu peux fermer la session SSH gardée depuis la section 3. Le rituel est terminé. À partir de maintenant, ton serveur n\u0026rsquo;accepte plus que toi, par clé, et il bannit automatiquement tout ce qui essaye autre chose.\n7. Ce qu\u0026rsquo;on a fait, ce qu\u0026rsquo;on a laissé de côté, et ce qui vient ensuite Avant cet article, la porte SSH de ton serveur s\u0026rsquo;ouvrait avec root et un mot de passe — la configuration par défaut, celle de l\u0026rsquo;écrasante majorité des installations. Cette porte est maintenant barricadée à plusieurs niveaux :\nUn utilisateur système dédié (HMT) avec sudo, distinct du compte d\u0026rsquo;interface web — ta clé perso côté Debian. Une paire de clés SSH générée sur ton poste, dont la clé publique seule a été déposée sur le serveur. Un fichier drop-in de durcissement qui désactive le login root, le mot de passe et l\u0026rsquo;interactive clavier, tout en confirmant l\u0026rsquo;usage des clés. Un fail2ban actif qui bannit automatiquement toute IP qui multiplie les échecs. Et rappelle-toi la vraie raison de tout ça. Sur ton homelab, ce durcissement est de l\u0026rsquo;hygiène, pas une urgence — ton pare-feu te protège déjà. Mais le geste que tu viens d\u0026rsquo;apprendre se rejoue à l\u0026rsquo;identique sur ton VPS, et là, il est en première ligne. Tu l\u0026rsquo;as appris sur une machine où l\u0026rsquo;erreur ne coûte rien ; tu le rejoueras les yeux fermés là où ça compte.\nTrois zones grises qu\u0026rsquo;on a laissées de côté, et pourquoi Le changement de port SSH. Beaucoup de tutoriels te disent de déplacer SSH du port 22 vers un port exotique. L\u0026rsquo;argument : les robots scannent le port 22, donc en bougeant tu deviens invisible. C\u0026rsquo;est partiellement vrai (tu réduis le bruit dans tes logs) et partiellement faux (un attaquant sérieux scanne tous les ports en quelques secondes avec nmap et trouve immédiatement où tu as déplacé SSH). C\u0026rsquo;est de la sécurité par obscurité : ça filtre les amateurs, ça n\u0026rsquo;arrête personne de motivé. Mon avis : si tu veux du calme dans tes logs sur un VPS exposé, déplace SSH. Mais ne le considère pas comme une mesure de sécurité — c\u0026rsquo;est un nettoyage de bruit, pas une serrure.\nLe mode prohibit-password au lieu de no. On a mis PermitRootLogin no. Sur un nœud unique, c\u0026rsquo;est la bonne valeur. Mais si tu passes un jour en cluster Proxmox, certaines opérations cross-node ont besoin que root puisse se connecter en SSH par clé. La directive officielle dans ce cas, c\u0026rsquo;est PermitRootLogin prohibit-password. Le jour où tu en arrives là, change simplement la valeur dans ton 99-hardening.conf.\nL\u0026rsquo;accès root résiduel par le shell web Proxmox. Tu as bouché la porte SSH côté root, mais il en reste une, et je préfère que tu la connaisses : le shell intégré de l\u0026rsquo;interface Proxmox reste un accès root au système. Ce n\u0026rsquo;est pas un trou — c\u0026rsquo;est une fonctionnalité, et c\u0026rsquo;est justement le filet qui te sauvera si SSH se casse un jour. Mais ça veut dire que la sécurité de cet accès dépend entièrement de tout ce que tu as fait en partie 1 : compte dédié, 2FA, pare-feu. La partie 1 et cet article forment un tout ; l\u0026rsquo;un sans l\u0026rsquo;autre laisse des trous.\nCe qui vient ensuite Tu as maintenant un Proxmox sérieusement verrouillé : interface web protégée, SSH durci, bannisseur automatique en place. Mais sécuriser n\u0026rsquo;est qu\u0026rsquo;une partie du travail. Un serveur, ça s\u0026rsquo;observe aussi : qui se connecte, quand, et combien d\u0026rsquo;IP fail2ban a-t-il bannies cette semaine ? Le prochain article de la série s\u0026rsquo;intéressera à cette dimension — la lecture et l\u0026rsquo;analyse des logs SSH et fail2ban — avec, en bout de chaîne, l\u0026rsquo;idée d\u0026rsquo;y brancher un peu d\u0026rsquo;IA locale pour les digérer automatiquement. Exactement le genre de tâche où l\u0026rsquo;IA souveraine prend tout son sens, parce qu\u0026rsquo;on ne confie pas ses logs réseau privés à un service cloud.\nD\u0026rsquo;ici là, applique ce que tu viens d\u0026rsquo;apprendre sur ton VPS si ce n\u0026rsquo;est pas déjà fait. Le risque y est cent fois plus élevé que sur ton homelab, et la procédure est strictement identique — à un détail près que tu connais désormais : sur le VPS, le shell web Proxmox n\u0026rsquo;existe pas comme filet. Le « garde une session ouverte pendant que tu en testes une nouvelle » n\u0026rsquo;y est plus optionnel, il est vital.\nFAQ Faut-il vraiment sécuriser le SSH d\u0026rsquo;un homelab privé ?\nPas de façon urgente, si ton serveur est derrière un pare-feu et n\u0026rsquo;est pas exposé à Internet. Sur un homelab, durcir le SSH relève de l\u0026rsquo;hygiène : un bon réflexe, pas une parade à un danger immédiat. En revanche, c\u0026rsquo;est exactement le même geste qui devient indispensable sur une machine exposée comme un VPS. L\u0026rsquo;apprendre sur ton homelab, où une erreur se rattrape en deux clics, te prépare à le faire sans stress là où ça compte vraiment.\nUne clé SSH, c\u0026rsquo;est vraiment plus sûr qu\u0026rsquo;un mot de passe ?\nOui, et de loin. Un mot de passe peut être deviné, volé dans une fuite de données, ou cassé par force brute. Une clé ed25519 est un secret de 256 bits qu\u0026rsquo;aucune machine ne trouvera par essai-erreur. Surtout, la clé privée n\u0026rsquo;est jamais transmise au serveur lors de la connexion : seule la preuve que tu la possèdes circule. Un attaquant qui intercepte la session n\u0026rsquo;apprend rien d\u0026rsquo;utilisable.\nQue se passe-t-il si je perds ma clé privée SSH ?\nSi tu as désactivé le mot de passe, tu ne peux plus te connecter en SSH avec cette clé — mais tu n\u0026rsquo;es pas bloqué pour autant. Sur Proxmox, le shell web de l\u0026rsquo;interface reste un accès root au système : tu y déposes une nouvelle clé publique, et tu repars. Sur un VPS, tu passes par la console de secours de ton hébergeur. Dans les deux cas, génère une nouvelle paire et remplace l\u0026rsquo;ancienne clé dans authorized_keys. C\u0026rsquo;est aussi pourquoi une passphrase sur la clé privée est utile : si on te vole ton poste, la clé seule ne sert à rien.\nPourquoi j\u0026rsquo;ai l\u0026rsquo;erreur « Permission denied (publickey) » ?\nC\u0026rsquo;est SSH qui te dit qu\u0026rsquo;il n\u0026rsquo;accepte que les clés et qu\u0026rsquo;aucune clé valide ne lui a été présentée. Trois causes classiques : ta clé publique n\u0026rsquo;est pas dans le authorized_keys du compte sur le serveur, les permissions de ~/.ssh ou authorized_keys sont trop ouvertes (SSH refuse alors silencieusement la clé), ou tu te connectes avec le mauvais nom d\u0026rsquo;utilisateur. La commande ssh -v t\u0026rsquo;affiche précisément à quelle étape ça coince. Le détail du diagnostic est dans la section 3 de cet article.\nPour finir Ton serveur ne s\u0026rsquo;ouvre plus qu\u0026rsquo;avec ta clé, et il claque la porte au nez de tout le reste. Sur ton homelab, c\u0026rsquo;est un réflexe propre ; sur ton VPS, c\u0026rsquo;est une armure. Tu viens d\u0026rsquo;apprendre le geste là où l\u0026rsquo;erreur ne coûte rien — il ne te reste qu\u0026rsquo;à le rejouer là où il compte.\nTa tech, tes règles, ta liberté.\n","permalink":"https://homemadetech.fr/posts/securiser-proxmox-partie-2/","summary":"\u003cp\u003eTu as verrouillé l\u0026rsquo;interface web de Proxmox dans la \u003ca href=\"https://homemadetech.fr/posts/securiser-proxmox-partie-1/\"\u003epartie 1\u003c/a\u003e : compte dédié, double authentification, pare-feu. La porte de devant est solide. Mais il reste une entrée dont on n\u0026rsquo;a pas parlé : l\u0026rsquo;accès SSH au système Debian qui fait tourner Proxmox. \u003cstrong\u003eDurcir SSH\u003c/strong\u003e — désactiver le login root, passer à l\u0026rsquo;authentification par clé et bloquer les tentatives répétées avec fail2ban — Dans cet article, nous allons voir comment mettre en place tout ça .\u003c/p\u003e","title":"Sécuriser Proxmox : durcir SSH, clés et fail2ban (partie 2)"},{"content":"Tu viens d\u0026rsquo;installer Proxmox VE 9, et si tu as suivi l\u0026rsquo;article précédent, tu as maintenant une interface d\u0026rsquo;administration qui tourne, accessible dans ton navigateur sur le port 8006. Tu t\u0026rsquo;y connectes avec root et le mot de passe choisi à l\u0026rsquo;installation. Ça marche, c\u0026rsquo;est satisfaisant, et c\u0026rsquo;est exactement là que la plupart des gens s\u0026rsquo;arrêtent.\nProblème : root, c\u0026rsquo;est le passe-partout de tout le bâtiment. Il ouvre absolument toutes les portes — créer, détruire, reconfigurer, effacer. Or tu ne te balades pas avec le passe dans la poche du matin au soir juste pour ouvrir ton propre bureau. Tu prends ta clé perso pour le quotidien, et tu gardes le passe-partout au coffre, pour les urgences. Travailler en root toute la journée sur ton hyperviseur, c\u0026rsquo;est exactement l\u0026rsquo;inverse : se promener avec le passe en permanence. Et le jour où ce mot de passe fuite, est deviné, ou se retrouve dans une fuite de données quelconque, ce n\u0026rsquo;est pas une porte qui s\u0026rsquo;ouvre, c\u0026rsquo;est tout le bâtiment qui s\u0026rsquo;écroule — l\u0026rsquo;intégralité de tes machines virtuelles.\nLa bonne nouvelle : remettre le passe au coffre prend une session tranquille, et tout se fait nativement dans Proxmox, sans installer le moindre outil supplémentaire. Encore mieux : tout se passe dans l\u0026rsquo;interface web, celle que tu utilises déjà. Pas de ligne de commande obligatoire, pas de fichier de configuration à éditer à la main — on clique dans les menus, exactement comme tu l\u0026rsquo;as fait pour explorer Proxmox jusqu\u0026rsquo;ici. La ligne de commande n\u0026rsquo;apparaîtra qu\u0026rsquo;une seule fois, tout à la fin, comme filet de secours au cas où — et je t\u0026rsquo;expliquerai chaque commande.\nÀ la fin de cet article, tu auras ta clé perso (un compte dédié), le passe-partout root rangé en sécurité, et plus personne n\u0026rsquo;accédera à ton interface sans ton compte et ton téléphone.\nOn va procéder dans cet ordre :\nCréer un compte d\u0026rsquo;administration dédié — ta clé perso pour le quotidien.\nActiver la double authentification (2FA) sur ce compte — et aussi sur root, le passe qu\u0026rsquo;on garde au coffre mais qu\u0026rsquo;on protège quand même.\nGénérer des clés de récupération, le filet qui t\u0026rsquo;évite de rester dehors si tu perds ton téléphone.\nActiver le pare-feu intégré de Proxmox et poser une politique de base saine.\nUn point d\u0026rsquo;honnêteté avant de commencer : on ne touche pas ici à la sécurité du système Debian sous-jacent (l\u0026rsquo;accès SSH au serveur lui-même). C\u0026rsquo;est un sujet à part entière, qui dépasse Proxmox, et qui aura son propre article. Aujourd\u0026rsquo;hui, on verrouille l\u0026rsquo;interface d\u0026rsquo;administration Proxmox. C\u0026rsquo;est la première marche, et la plus efficace.\n1. Créer ton compte d\u0026rsquo;administration dédié C\u0026rsquo;est ta clé perso. L\u0026rsquo;objectif : avoir un compte personnel avec lequel tu feras tout ton travail quotidien, pour ne plus jamais avoir à taper root.\nRealm PAM ou realm Proxmox VE ? Au moment de créer le compte, Proxmox va te demander un type d\u0026rsquo;authentification (realm). Deux choix t\u0026rsquo;intéressent :\nLinux PAM : le compte existe aussi sur le système Debian sous-jacent. Il peut donc se connecter en SSH au serveur, ouvrir un shell, etc.\nProxmox VE authentication server : le compte n\u0026rsquo;existe que dans Proxmox. Il peut administrer l\u0026rsquo;hyperviseur via l\u0026rsquo;interface, mais il n\u0026rsquo;a aucun accès au système Debian en dessous.\nPour un compte d\u0026rsquo;administration de l\u0026rsquo;interface, on prend Proxmox VE authentication server. La raison est simple et cohérente avec tout le reste de la démarche : moins ce compte peut faire de choses en dehors de son rôle, moins il y a de surface à attaquer. Ce compte sert à piloter Proxmox depuis le navigateur, pas à ouvrir un Terminal — donc on ne lui donne pas la capacité d\u0026rsquo;ouvrir un shell. Les mots de passe de ce realm sont stockés à part par Proxmox, ils n\u0026rsquo;ont rien à voir avec les comptes du système.\nCréer le compte Dans l\u0026rsquo;interface, va dans Datacenter → Permissions → Users, puis clique sur Add.\nCréation d\u0026rsquo;un utilisateur dans Datacenter → Permissions → Users\nFormulaire de création d\u0026rsquo;utilisateur avec les champs User name, Realm et Password\nRemplis :\nUser name : le nom de ton compte (par exemple ton-prenom, ou ce que tu veux).\nRealm : sélectionne Proxmox VE authentication server.\nPassword : un mot de passe long et unique. C\u0026rsquo;est ta clé perso, ne la réutilise nulle part ailleurs.\nLes autres champs (email, groupe, etc.) sont optionnels pour l\u0026rsquo;instant.\nValide.\nTon compte apparaît dans la liste, sous la forme ton-prenom@pve. Le @pve confirme qu\u0026rsquo;il vit dans le realm Proxmox VE.\nÀ ce stade, le compte existe mais il ne peut rien faire. Créer un utilisateur et lui donner des droits sont deux opérations séparées dans Proxmox — c\u0026rsquo;est l\u0026rsquo;étape suivante.\nLui donner les droits d\u0026rsquo;administration Va dans Datacenter → Permissions, clique sur Add, puis User Permission.\n⚠️ Premier piège. Le bouton Add est un menu déroulant avec trois entrées : User Permission, Group Permission et API Token Permission. Il est très facile de cliquer sur la mauvaise. Choisis bien User Permission : une permission de groupe ne s\u0026rsquo;applique qu\u0026rsquo;aux membres du groupe, et si ton compte n\u0026rsquo;est dans aucun groupe, il n\u0026rsquo;héritera de rien.\nMenu Add proposant User Permission, Group Permission et API Token Permission\nRenseigne :\nPath : / — la racine. Ça signifie « partout, sur tout l\u0026rsquo;environnement ».\nUser : ton compte ton-prenom@pve.\nRole : Administrator.\nPropagate : laisse coché (par défaut). C\u0026rsquo;est ce qui fait descendre les droits sur tout l\u0026rsquo;arbre en dessous de /.\n⚠️ Deuxième piège, le plus sournois. Ne valide pas sans avoir rempli le champ Role. Une permission créée avec un Path et un User mais sans rôle est une coquille vide : elle apparaît bien dans la liste, mais elle ne donne aucun droit. Résultat : ton compte se connecte, mais le menu est réduit et tu ne peux rien faire — pas même créer une VM. Après validation, vérifie que la colonne Role de ta nouvelle ligne affiche bien Administrator.\nFenêtre User Permission avec Path /, User ton-prenom@pve et Role Administrator\nUn mot sur le choix du rôle. Proxmox propose un rôle qui s\u0026rsquo;appelle PVEAdmin, et on pourrait croire que c\u0026rsquo;est celui qu\u0026rsquo;il faut. Sauf que PVEAdmin ne peut pas modifier les réglages système (gestion de l\u0026rsquo;alimentation, modification de la configuration, gestion des realms). Si tu veux que ton compte dédié remplace vraiment root pour ton usage quotidien — y compris configurer le réseau, gérer les sauvegardes, tout — c\u0026rsquo;est le rôle Administrator qu\u0026rsquo;il te faut, au chemin /. C\u0026rsquo;est ce qu\u0026rsquo;on fait ici.\nNote — On accorde ici tous les droits à un seul compte, parce que tu es seul à administrer ton homelab. Dans un environnement à plusieurs personnes, on découperait les droits par rôle et par périmètre (un compte qui ne gère que les sauvegardes, un autre que telle VM, etc.). C\u0026rsquo;est tout l\u0026rsquo;intérêt du système de permissions de Proxmox — mais ce sera le sujet d\u0026rsquo;un autre article.\nTester immédiatement C\u0026rsquo;est l\u0026rsquo;étape que personne ne fait et qui sauve des soirées. Avant d\u0026rsquo;aller plus loin, vérifie que ton nouveau compte perso fonctionne :\nDéconnecte-toi (bouton Logout en haut à droite).\nReconnecte-toi, mais cette fois avec ton compte ton-prenom@pve et son mot de passe — pense à sélectionner le bon realm dans le menu déroulant de l\u0026rsquo;écran de connexion.\nVérifie que tu accèdes bien à tout, que tu vois tes VM, tes réglages, et que tu peux par exemple lancer une création de VM.\nÉcran de connexion avec le compte dédié et le realm Proxmox VE authentication server\nSi ça marche, tu as ta clé perso. On peut maintenant la renforcer avec la double authentification. Si ça ne marche pas, ne va surtout pas plus loin : reconnecte-toi en root et reprends les étapes ci-dessus, c\u0026rsquo;est qu\u0026rsquo;un droit n\u0026rsquo;a pas été correctement attribué (souvent le rôle oublié — le deuxième piège ci-dessus).\n2. Activer la double authentification (2FA) Ton nouveau compte a un mot de passe. Mais un mot de passe, ça se vole, ça fuite, ça se devine. La double authentification ajoute une seconde serrure : même si quelqu\u0026rsquo;un connaît ton mot de passe, il lui manque le code qui change toutes les 30 secondes sur ton téléphone. C\u0026rsquo;est l\u0026rsquo;une des couches de sécurité les plus efficaces que tu puisses ajouter.\nOn utilise la méthode TOTP (Time-based One-Time Password) : un code à 6 chiffres généré par une app sur ton téléphone, synchronisé dans le temps avec le serveur. Pas de SMS (vulnérable), pas de dépendance à un service tiers.\nChoisir une app d\u0026rsquo;authentification Il te faut une app TOTP sur ton téléphone. Pour rester cohérent avec la démarche souveraineté, privilégie une app open source :\nAegis (Android) — open source, sauvegardes chiffrées que tu contrôles.\nProton Authenticator (Android/iOS) — open source, de l\u0026rsquo;éditeur de Proton Mail, synchronisation chiffrée.\nente Auth (Android/iOS) — open source, synchronisation chiffrée entre appareils.\nGoogle Authenticator fonctionne aussi, mais une app open source dont tu maîtrises les sauvegardes est plus dans l\u0026rsquo;esprit du projet. Installe-la avant de continuer. Un article sera dédié à ce sujet.\nActiver la 2FA sur ton compte dédié Connecté avec ton compte ton-prenom@pve, va dans Datacenter → Permissions → Two Factor, puis clique sur Add → TOTP.\nMenu Two Factor → Add proposant TOTP, WebAuthn, Recovery Keys et Yubico OTP\nUne fenêtre s\u0026rsquo;ouvre avec un QR code :\nDescription : un libellé pour reconnaître cette entrée (par exemple « Proxmox HMT — téléphone »).\nLe QR code : scanne-le avec ton app d\u0026rsquo;authentification. Elle va créer une entrée qui affiche un code à 6 chiffres renouvelé toutes les 30 secondes.\nVerify Code : tape le code à 6 chiffres affiché par ton app, pour prouver que la synchronisation fonctionne.\nFenêtre TOTP avec QR code, scanné dans Proton Authenticator\n💡 Le QR code est un secret — voici pourquoi je le montre quand même. Ce QR code (et le champ Secret en clair à côté) encode la graine qui génère tes codes à 6 chiffres. Quiconque met la main dessus peut générer tes codes 2FA à volonté, et ta double authentification ne protège plus rien.\nSi je l\u0026rsquo;affiche ici, c\u0026rsquo;est parce que toutes les captures de cet article sont faites sur une VM Proxmox de démonstration, montée exprès et détruite dès les captures terminées. Le secret que tu vois n\u0026rsquo;existe déjà plus.\nSur ton serveur réel, traite ce secret comme un mot de passe : ne le capture pas, ne le partage pas, ne le laisse pas traîner. Et si jamais il a été exposé (une capture envoyée à quelqu\u0026rsquo;un, par exemple), régénère-le : rouvre l\u0026rsquo;entrée TOTP, clique Randomize, re-scanne le nouveau QR dans ton app, et supprime l\u0026rsquo;ancienne entrée.\nValide.\nÀ partir de maintenant, la 2FA est active sur ce compte : à la prochaine connexion, après le mot de passe, Proxmox te demandera le code.\n⚠️ Ne te déconnecte pas encore. On génère d\u0026rsquo;abord les clés de récupération (section suivante), ton filet de secours si tu perds ton téléphone. Sinon, un téléphone perdu = un compte définitivement inaccessible.\nEt root@pam ? root est le passe-partout qu\u0026rsquo;on garde au coffre. On ne s\u0026rsquo;en sert plus au quotidien, mais il reste le compte de secours — et un compte de secours qui peut tout faire mérite lui aussi sa 2FA. La procédure est identique : connecte-toi en root, va dans Datacenter → Permissions → Two Factor, Add → TOTP, scanne, vérifie, valide. Fais-le après avoir validé que ton compte dédié + 2FA + clés de récupération fonctionne de bout en bout, pour ne pas verrouiller les deux comptes d\u0026rsquo;un coup en cas de souci.\nNote — La 2FA mérite à elle seule un article complet : enforcement au niveau du realm (rendre la 2FA obligatoire pour tous les comptes), clés matérielles WebAuthn (YubiKey, passkeys), gestion fine de la récupération. On y reviendra. Ici, on pose l\u0026rsquo;essentiel : TOTP sur tes deux comptes, c\u0026rsquo;est déjà l\u0026rsquo;immense majorité du bénéfice.\n3. Générer tes clés de récupération Tu as maintenant une 2FA active. Pose-toi la vraie question : que se passe-t-il si tu perds ton téléphone, qu\u0026rsquo;il tombe en panne, ou que tu réinstalles ton app d\u0026rsquo;authentification sans sauvegarde ? Réponse brutale : sans filet, tu es définitivement enfermé dehors. Ton mot de passe ne suffit plus, et le code TOTP, perdu à jamais.\nC\u0026rsquo;est là qu\u0026rsquo;interviennent les clés de récupération (recovery keys). Ce sont des codes à usage unique que tu génères à l\u0026rsquo;avance et que tu mets de côté en lieu sûr. Si tu perds ton second facteur, tu utilises une de ces clés à la place du code TOTP pour te reconnecter — une seule fois par clé. C\u0026rsquo;est ta sortie de secours.\n⚠️ Ne saute pas cette étape. C\u0026rsquo;est précisément l\u0026rsquo;étape que les gens zappent « parce que ça marche déjà », et c\u0026rsquo;est exactement celle qui leur coûte une réinstallation complète le jour où le téléphone lâche.\nGénérer les clés Toujours connecté en ton-prenom@pve, va dans Datacenter → Permissions → Two Factor, clique sur Add, puis cette fois choisis Recovery Keys.\nMenu Two Factor → Add → Recovery Keys\nProxmox te demande ton mot de passe pour confirmer (fenêtre Add: TFA recovery keys).\nFenêtre de confirmation par mot de passe avant génération des clés\nIl génère ensuite 10 clés numérotées de 0 à 9. Un bandeau te prévient sans ambiguïté : « Please record recovery keys — they will only be displayed now ». Traduction : c\u0026rsquo;est maintenant ou jamais, elles ne seront plus jamais réaffichées. Deux boutons t\u0026rsquo;aident à les sauvegarder : Copy Recovery Keys (pour les coller dans ton gestionnaire de mots de passe) et Print Recovery Keys (pour une copie papier).\nListe des 10 clés de récupération générées\nLes mettre en sécurité — tout de suite C\u0026rsquo;est maintenant ou jamais : ces clés ne seront plus jamais réaffichées. Copie-les et range-les dans un endroit sûr et séparé de ton téléphone (sinon le filet et le trapèze tombent ensemble). Quelques bonnes options :\nTon gestionnaire de mots de passe (par exemple Proton ou Vaultwarden, si tu l\u0026rsquo;auto-héberges déjà — cohérent avec la démarche).\nImprimées sur papier, rangées physiquement.\nUn fichier chiffré sur un support que tu contrôles.\nCe qu\u0026rsquo;il ne faut pas faire : les laisser dans une note non chiffrée, dans un mail, ou dans le même téléphone que ton app TOTP.\n💡 Comme pour le secret TOTP, je peux afficher ces clés dans l\u0026rsquo;article parce qu\u0026rsquo;elles appartiennent à une VM de démonstration détruite juste après. Sur ton vrai serveur, traite-les comme un trousseau de secours : aussi sensibles que ton mot de passe maître.\nChaque clé ne fonctionne qu\u0026rsquo;une fois. Quand tu en utilises une, elle est consommée. Tu peux à tout moment regénérer un nouveau lot (ce qui invalide l\u0026rsquo;ancien) depuis ce même écran.\n4. Activer le pare-feu intégré de Proxmox Proxmox embarque son propre pare-feu, sans rien à installer. Jusqu\u0026rsquo;ici, ton interface est protégée par un compte dédié et la 2FA — mais elle reste joignable par n\u0026rsquo;importe quelle machine capable de l\u0026rsquo;atteindre sur le réseau. Le pare-feu, c\u0026rsquo;est la dernière serrure : il décide qui a le droit ne serait-ce que de frapper à la porte.\nComprendre les trois niveaux Le pare-feu Proxmox fonctionne sur trois niveaux, et c\u0026rsquo;est la source de confusion numéro un quand on débute :\nDatacenter : l\u0026rsquo;interrupteur global et les politiques par défaut. Tant que l\u0026rsquo;interrupteur est éteint ici, aucun pare-feu ne filtre quoi que ce soit, peu importe les autres niveaux.\nNode (ton serveur, ici LABHMT) : protège le serveur Proxmox lui-même — donc ton interface web et ton accès SSH. C\u0026rsquo;est là qu\u0026rsquo;on pose les règles d\u0026rsquo;accès au serveur.\nVM / conteneur : protège chaque machine virtuelle individuellement.\n« Pourquoi ne pas tout faire au niveau Datacenter ? » C\u0026rsquo;est la question logique, et elle cache le piège principal. Le niveau Datacenter n\u0026rsquo;est pas l\u0026rsquo;endroit où l\u0026rsquo;on filtre l\u0026rsquo;accès à ton serveur : c\u0026rsquo;est l\u0026rsquo;interrupteur général plus les règles communes à tous les nœuds d\u0026rsquo;un cluster. Si tu actives le pare-feu au niveau Datacenter mais pas au niveau Node, le pare-feu ne filtre aucun trafic vers ton serveur — les règles ne s\u0026rsquo;appliquent à aucun des deux niveaux. Autrement dit, le Datacenter seul est un interrupteur qui ne commande rien tant que le Node n\u0026rsquo;est pas allumé lui aussi. C\u0026rsquo;est précisément ça qui donne aux gens la fausse impression d\u0026rsquo;être protégés alors qu\u0026rsquo;ils ne le sont pas.\nIl y a aussi un argument de cohérence : une règle « autorise 8006 depuis mon LAN » posée au Datacenter s\u0026rsquo;appliquerait à tous tes futurs serveurs. Sur ton homelab à un seul nœud, ça ne change rien aujourd\u0026rsquo;hui ; mais le jour où tu ajoutes un deuxième serveur avec un réseau différent, cette règle « globale » te suit partout et peut ne plus coller. On pose donc les règles d\u0026rsquo;accès là où elles concernent réellement ce serveur : au niveau Node.\nLa logique qu\u0026rsquo;on applique, en résumé :\nNode : pare-feu activé + règles d\u0026rsquo;accès au serveur (8006, 22). C\u0026rsquo;est là que ça protège vraiment.\nDatacenter : politiques par défaut (Input/Output) + interrupteur global activé, sans quoi le Node ne filtre rien.\nAujourd\u0026rsquo;hui on se concentre sur la protection du serveur (niveaux Node + Datacenter). Le pare-feu par VM est un sujet à part qu\u0026rsquo;on verra plus tard.\nL\u0026rsquo;ordre qui t\u0026rsquo;évite de te verrouiller dehors Voici la règle d\u0026rsquo;or, et elle n\u0026rsquo;est pas négociable :\n⚠️ On crée TOUJOURS la règle qui autorise ton accès AVANT d\u0026rsquo;activer le pare-feu. Si tu actives d\u0026rsquo;abord et règles ensuite, tu prends le risque de te couper l\u0026rsquo;accès à ta propre interface et de devoir aller dépanner depuis la console physique du serveur. L\u0026rsquo;ordre correct : 1) créer la règle d\u0026rsquo;autorisation, 2) régler les politiques, 3) seulement ensuite, activer.\nProxmox a bien une règle de protection qui laisse en général passer l\u0026rsquo;accès depuis ton réseau local, mais on ne va pas s\u0026rsquo;y fier aveuglément : selon ta configuration réseau (réseau séparé, accès à distance, VLAN), elle peut ne pas s\u0026rsquo;appliquer comme tu l\u0026rsquo;imagines. La méthode « règle d\u0026rsquo;abord » est sûre dans tous les cas. C\u0026rsquo;est un réflexe à prendre une fois pour toutes.\nÉtape 1 — Créer la règle d\u0026rsquo;autorisation On autorise les deux portes dont tu as besoin pour administrer le serveur :\n8006 : l\u0026rsquo;interface web de Proxmox.\n22 : l\u0026rsquo;accès SSH au serveur.\nVa sur ton node (LABHMT dans l\u0026rsquo;arborescence à gauche) → Firewall → Add.\nNode LABHMT → Firewall, aucune règle, bouton Add\nCrée une première règle :\nDirection : in (trafic entrant).\nAction : ACCEPT.\nInterface : laisse vide. Une règle sans interface s\u0026rsquo;applique à toutes les interfaces du serveur — c\u0026rsquo;est plus simple et plus sûr quand on débute, car on n\u0026rsquo;a pas à se soucier de savoir quel bridge porte l\u0026rsquo;administration.\nProtocol : tcp.\nSource : l\u0026rsquo;adresse ou la plage de ton réseau d\u0026rsquo;administration, en notation CIDR (par exemple 192.168.1.0/24 pour tout ton LAN). Restreindre à ton réseau plutôt que de laisser ouvert à tout le monde, c\u0026rsquo;est précisément l\u0026rsquo;intérêt.\nDest. port : 8006. Attention : c\u0026rsquo;est bien le port de destination qu\u0026rsquo;on renseigne (la porte du serveur qu\u0026rsquo;on veut autoriser), pas le « Source port » qui, lui, doit rester vide — le port d\u0026rsquo;origine côté client est aléatoire.\nComment : un libellé clair, par exemple Accès interface web depuis LAN.\n⚠️ Mets TA vraie plage réseau, pas l\u0026rsquo;exemple. 192.168.1.0/24 n\u0026rsquo;est qu\u0026rsquo;un exemple. Si ton réseau est en 192.168.0.x, 10.0.0.x ou autre, mets ta plage à toi. Pour la connaître, regarde l\u0026rsquo;adresse IP de la machine depuis laquelle tu administres Proxmox. Te tromper ici, c\u0026rsquo;est te verrouiller dehors dès que tu actives le pare-feu — et devoir passer par le filet de secours de l\u0026rsquo;étape 4.\nFenêtre Add: Rule avec Dest. port 8006 et Source port vide\nRecommence pour le port 22 (SSH), à l\u0026rsquo;identique en changeant juste le port de destination et le commentaire. Tu dois te retrouver avec deux règles, le port bien visible dans la colonne D.Port.\nLes deux règles créées : ports 22 et 8006 en D.Port\n💡 Documente tes règles avec un commentaire. Dans six mois, tu ne te souviendras pas de pourquoi telle règle existe. Un commentaire par règle, c\u0026rsquo;est cinq secondes maintenant et une soirée gagnée plus tard.\nÉtape 2 — Régler la politique par défaut Va dans Datacenter → Firewall → Options. C\u0026rsquo;est ici, au niveau Datacenter, que se règlent les politiques par défaut — ce que fait le pare-feu pour tout ce que tes règles n\u0026rsquo;ont pas explicitement traité :\nInput Policy : DROP — tout ce qui entre et n\u0026rsquo;est pas autorisé par une règle est jeté. C\u0026rsquo;est le cœur d\u0026rsquo;un pare-feu sain : on bloque par défaut, on autorise au cas par cas.\nOutput Policy : ACCEPT — on laisse sortir librement le trafic du serveur. On pourra durcir ça plus tard, mais pour commencer, garder la sortie ouverte évite de casser des choses (mises à jour, DNS, etc.).\nDatacenter → Firewall → Options avec Input Policy DROP et Output Policy ACCEPT\nÉtape 3 — Activer le pare-feu ⚠️ Avant d\u0026rsquo;activer, vérifie que tes règles sont vraiment là. Le blocage le plus courant vient de règles qui semblent créées dans l\u0026rsquo;interface mais ne sont pas réellement enregistrées au niveau du node. Avant d\u0026rsquo;allumer, contrôle trois choses : (1) tes règles 8006/22 apparaissent bien dans LABHMT → Firewall ; (2) leur Source correspond à TA vraie plage réseau ; (3) tu n\u0026rsquo;as pas oublié l\u0026rsquo;un des deux interrupteurs ci-dessous. Si une règle manque, tu te verrouilleras dès le passage en DROP.\nMaintenant que la règle d\u0026rsquo;autorisation existe et que les politiques sont posées, on peut allumer. Deux interrupteurs à activer :\nAu niveau Node : LABHMT → Firewall → Options → passe Firewall sur Yes. C\u0026rsquo;est ce qui fait réellement appliquer le filtrage sur ton serveur.\nAu niveau Datacenter : Datacenter → Firewall → Options → passe Firewall sur Yes. C\u0026rsquo;est l\u0026rsquo;interrupteur global.\nActivation de l\u0026rsquo;interrupteur Firewall global au niveau Datacenter\n⚠️ Le piège qui rend tout le reste inutile. L\u0026rsquo;interrupteur Firewall du niveau Datacenter est sur No par défaut. Tant qu\u0026rsquo;il reste sur No, le pare-feu ne filtre rien — même si tes règles existent et que ta politique est sur DROP. Beaucoup de gens règlent tout consciencieusement, oublient ce dernier interrupteur, et croient être protégés alors que rien n\u0026rsquo;est actif. Vérifie qu\u0026rsquo;il est bien passé sur Yes.\nUne fois les deux activés, le pare-feu filtre : seules tes machines autorisées peuvent atteindre l\u0026rsquo;interface et le SSH, tout le reste est bloqué.\nÉtape 4 — Le filet de secours (si jamais tu te verrouilles) Même en suivant l\u0026rsquo;ordre, gardons une porte de sortie documentée. Si un jour tu te retrouves bloqué hors de ton interface à cause d\u0026rsquo;une règle, tout n\u0026rsquo;est pas perdu : tu peux toujours accéder à la console physique de ton serveur (écran + clavier, ou la console KVM de ton hébergeur). De là, deux options en ligne de commande :\npve-firewall stop Cette commande arrête le pare-feu immédiatement, le temps que tu corriges ta règle depuis l\u0026rsquo;interface.\nOu, pour désactiver le pare-feu au niveau Datacenter en éditant directement le fichier de configuration :\nnano /etc/pve/firewall/cluster.fw Dans la section [OPTIONS], passe la ligne enable: 1 à enable: 0, sauvegarde, et le pare-feu global est coupé.\nC\u0026rsquo;est la seule étape de tout cet article qui passe par la ligne de commande — et encore, uniquement en cas de pépin. Si tu as bien créé ta règle d\u0026rsquo;autorisation avant d\u0026rsquo;activer, tu ne devrais jamais en avoir besoin. Mais le connaître, c\u0026rsquo;est dormir tranquille.\n5. Vérifier que tout fonctionne C\u0026rsquo;est l\u0026rsquo;étape qui sépare « j\u0026rsquo;ai cliqué des trucs » de « mon serveur est verrouillé et je le sais ». On contrôle, dans l\u0026rsquo;ordre, que chaque serrure tient :\n1. Le compte dédié + 2FA. Déconnecte-toi, puis reconnecte-toi avec ton compte ton-prenom@pve. Après le mot de passe, Proxmox doit te réclamer le code à 6 chiffres de ton app (écran Second login factor required). Si tu accèdes à tout l\u0026rsquo;environnement après avoir saisi le code, cette serrure tient.\nÉcran « Second login factor required » réclamant le code TOTP\n2. Les clés de récupération. Tu n\u0026rsquo;as pas besoin d\u0026rsquo;en consommer une pour vérifier — ce serait du gâchis. Assure-toi simplement qu\u0026rsquo;elles sont rangées en lieu sûr, séparées de ton téléphone, et que tu sais où les retrouver le jour où tu en auras besoin.\n3. Le pare-feu. Recharge l\u0026rsquo;interface : elle répond, donc ta règle d\u0026rsquo;autorisation pour le port 8006 fonctionne. Si tu as un second appareil sur ton réseau (un autre ordinateur, ton téléphone en Wi-Fi), connecte-toi à l\u0026rsquo;interface depuis lui aussi : ça confirme que tout ton LAN autorisé passe bien. Si tu veux pousser la vérification, tente une connexion depuis un appareil hors de ta plage autorisée (par exemple ton téléphone en 4G, hors Wi-Fi) : l\u0026rsquo;interface ne doit pas répondre. C\u0026rsquo;est la preuve que le pare-feu bloque réellement le reste.\nSi ces trois points sont au vert, c\u0026rsquo;est gagné : ton interface Proxmox n\u0026rsquo;est plus accessible qu\u0026rsquo;avec ton compte, ton téléphone, et depuis ton réseau.\n6. Ce qu\u0026rsquo;on a fait, et ce qui vient ensuite Récapitulons le chemin parcouru. Ton interface Proxmox est passée d\u0026rsquo;un accès root unique et nu à quatre couches qui se complètent :\nUn compte dédié pour le quotidien — ta clé perso, au lieu du passe-partout.\nLa double authentification sur ce compte et sur root — une seconde serrure qui résiste même à un mot de passe volé.\nDes clés de récupération mises de côté — ta sortie de secours si tu perds ton téléphone.\nLe pare-feu intégré, activé aux bons niveaux, qui ne laisse atteindre l\u0026rsquo;interface que depuis ton réseau.\nC\u0026rsquo;est déjà un niveau de sécurité que beaucoup d\u0026rsquo;installations « en production » n\u0026rsquo;ont pas. Tu peux être satisfait du résultat.\nMais on n\u0026rsquo;a pas tout fait, et c\u0026rsquo;est volontaire. Une porte reste ouverte, qu\u0026rsquo;on a laissée de côté pour ne pas tout mélanger : l\u0026rsquo;accès SSH au système Debian qui héberge Proxmox. Pour l\u0026rsquo;instant, ce serveur se connecte encore probablement en root avec un mot de passe — exactement ce qu\u0026rsquo;on vient de corriger pour l\u0026rsquo;interface web, mais à l\u0026rsquo;étage en dessous. Désactiver le login root en SSH, passer aux clés plutôt qu\u0026rsquo;aux mots de passe, ajouter une protection contre les tentatives répétées : c\u0026rsquo;est le sujet de la deuxième partie. Et comme ce durcissement SSH vaut pour n\u0026rsquo;importe quel serveur Linux — pas seulement Proxmox — il te resservira partout, y compris sur ton VPS.\n","permalink":"https://homemadetech.fr/posts/securiser-proxmox-partie-1/","summary":"\u003cp\u003eTu viens d\u0026rsquo;installer Proxmox VE 9, et si tu as suivi l\u0026rsquo;\u003ca href=\"https://homemadetech.fr/posts/installer-proxmox/\"\u003earticle précédent\u003c/a\u003e, tu as maintenant une interface d\u0026rsquo;administration qui tourne, accessible dans ton navigateur sur le port 8006. Tu t\u0026rsquo;y connectes avec \u003ccode\u003eroot\u003c/code\u003e et le mot de passe choisi à l\u0026rsquo;installation. Ça marche, c\u0026rsquo;est satisfaisant, et c\u0026rsquo;est exactement là que la plupart des gens s\u0026rsquo;arrêtent.\u003c/p\u003e\n\u003cp\u003eProblème : \u003ccode\u003eroot\u003c/code\u003e, c\u0026rsquo;est le passe-partout de tout le bâtiment. Il ouvre absolument toutes les portes — créer, détruire, reconfigurer, effacer. Or tu ne te balades pas avec le passe dans la poche du matin au soir juste pour ouvrir ton propre bureau. Tu prends ta clé perso pour le quotidien, et tu gardes le passe-partout au coffre, pour les urgences. Travailler en \u003ccode\u003eroot\u003c/code\u003e toute la journée sur ton hyperviseur, c\u0026rsquo;est exactement l\u0026rsquo;inverse : se promener avec le passe en permanence. Et le jour où ce mot de passe fuite, est deviné, ou se retrouve dans une fuite de données quelconque, ce n\u0026rsquo;est pas une porte qui s\u0026rsquo;ouvre, c\u0026rsquo;est tout le bâtiment qui s\u0026rsquo;écroule — l\u0026rsquo;intégralité de tes machines virtuelles.\u003c/p\u003e","title":"Sécuriser Proxmox : compte dédié, 2FA et pare-feu (partie 1)"},{"content":"Dans l\u0026rsquo;article précédent, tu as installé Proxmox VE 9 sur ton mini-PC. Tu as un hyperviseur qui tourne, une interface web qui s\u0026rsquo;ouvre, et probablement une impression bizarre : \u0026ldquo;OK, et maintenant je fais quoi ?\u0026rdquo;. C\u0026rsquo;est exactement la question à laquelle cet article va répondre.\nOn va installer ton premier service utile. Pas un truc abstrait — un outil que tu vas voir fonctionner dès le premier jour, et qui va changer ton expérience web à la maison, je parle ici de Pi-hole. C\u0026rsquo;est un bloqueur de publicités et de trackers qui fonctionne au niveau de ton réseau, pas au niveau de ton navigateur. Concrètement : une fois en place, plus de pubs sur les appareils connectés à ton réseau. Le tout, sans avoir besoin d\u0026rsquo;installer la moindre extension.\nOn va le déployer dans un conteneur LXC sur Proxmox. C\u0026rsquo;est ton premier conteneur, donc on va prendre le temps. On utilisera l\u0026rsquo;interface graphique de Proxmox, pas de ligne de commande compliquée. Compte une bonne heure si c\u0026rsquo;est ta première fois.\nAvant de démarrer : à ce stade, ton Proxmox tourne encore avec les réglages par défaut. C\u0026rsquo;est volontaire — on s\u0026rsquo;occupe de Pi-hole d\u0026rsquo;abord parce que c\u0026rsquo;est ce qui rend ton homelab utile au quotidien. Dans le prochain article, on reviendra sur Proxmox pour le configurer proprement : mises à jour, sauvegardes, double authentification. D\u0026rsquo;ici là, garde ton interface admin sur ton réseau local uniquement.\nPourquoi installer Pi-hole Avant de se lancer, deux minutes pour comprendre ce que tu vas mettre en place. Pas pour faire de la théorie — pour que tu saches ce que Pi-hole fait, et surtout ce qu\u0026rsquo;il ne fait pas. C\u0026rsquo;est important, parce qu\u0026rsquo;un outil qu\u0026rsquo;on déploie sans en connaître ses limites finit toujours par décevoir.\nCe que fait Pi-hole. Quand un appareil de ton réseau veut se connecter à un site, il demande à un serveur DNS : \u0026ldquo;donne-moi l\u0026rsquo;adresse IP de ce nom de domaine\u0026rdquo;. Pi-hole se met au milieu de cette conversation. Si le nom demandé est sur sa liste noire — un domaine publicitaire, un tracker, un service de télémétrie — il répond \u0026ldquo;ce site n\u0026rsquo;existe pas\u0026rdquo;. L\u0026rsquo;appareil arrête de chercher, et la pub ne s\u0026rsquo;affiche pas. C\u0026rsquo;est aussi simple que ça.\nCette technique s\u0026rsquo;appelle un DNS sinkhole. L\u0026rsquo;avantage est énorme : ça fonctionne pour tous les appareils de ton réseau sans rien installer dessus. Un seul service à maintenir, un effet sur toute la maison.\nCe que Pi-hole ne fait pas. Pi-hole bloque au niveau du nom de domaine. Donc tout ce qui contourne le DNS lui échappe :\nLes publicités YouTube intégrées au flux vidéo (servies depuis le même domaine que la vidéo elle-même)\nLes pubs Instagram dans l\u0026rsquo;app (l\u0026rsquo;app peut ignorer le DNS du réseau)\nTout ce qui passe par un VPN ou un DNS chiffré côté client\nPi-hole n\u0026rsquo;est pas une solution miracle. C\u0026rsquo;est une couche dans une défense plus large. Mais c\u0026rsquo;est la couche la plus simple à mettre en place et celle qui a l\u0026rsquo;effet le plus visible immédiatement.\nPourquoi en LXC plutôt qu\u0026rsquo;en VM. Pi-hole est un service sans état, ultra-léger : 30 Mo de RAM en idle, démarrage en deux secondes. Le mettre dans une machine virtuelle complète serait du gâchis. Un conteneur LXC fait exactement ce qu\u0026rsquo;il faut : isolation, snapshots Proxmox natifs, ressources minimales. C\u0026rsquo;est aussi l\u0026rsquo;occasion parfaite de découvrir les LXC, qui vont devenir ton outil principal pour la plupart des services qu\u0026rsquo;on déploiera ensuite.\nCe qu\u0026rsquo;il te faut avant de commencer Trois choses à avoir sous la main avant de cliquer.\nProxmox VE 9 fonctionnel. Si tu n\u0026rsquo;as pas encore franchi cette étape, l\u0026rsquo;article précédent te guide. Cet article-ci suppose que tu peux ouvrir l\u0026rsquo;interface Proxmox dans ton navigateur, voir ton nœud, et que tout fonctionne.\nUne adresse IP libre sur ton réseau local. Pi-hole a besoin d\u0026rsquo;une IP fixe, parce que tous tes appareils vont l\u0026rsquo;utiliser comme serveur DNS — si elle change, plus rien ne marche. Repère une adresse libre dans ta plage : par exemple, si ta box pousse des IP entre 192.168.1.100 et 192.168.1.200, tu peux prendre une adresse plus basse. Pour cet article, je vais utiliser 192.168.1.50 comme exemple, tu adapteras à ta config.\nAccès à l\u0026rsquo;admin de ta box internet. À la fin de l\u0026rsquo;installation, on va dire à ta box d\u0026rsquo;utiliser Pi-hole comme DNS. Donc il te faut tes identifiants d\u0026rsquo;admin. Si tu ne les as jamais utilisés, ils sont en général sous la box, ou dans ton espace client opérateur.\nCréer le conteneur LXC On entre dans le concret. L\u0026rsquo;objectif de cette section : créer une machine légère, isolée, qui hébergera Pi-hole. On va passer par l\u0026rsquo;interface graphique de Proxmox, étape par étape. C\u0026rsquo;est un peu long la première fois, mais tu vas apprendre la mécanique des conteneurs LXC — un savoir-faire que tu réutiliseras pour la majorité des services qu\u0026rsquo;on déploiera ensuite.\nÀ savoir : il existe une autre méthode. La communauté Proxmox maintient des scripts d\u0026rsquo;installation automatisée (community-scripts/ProxmoxVE sur GitHub) qui créent un conteneur Pi-hole prêt à l\u0026rsquo;emploi en une seule commande. C\u0026rsquo;est pratique quand on sait déjà ce qu\u0026rsquo;on fait. Pour cet article, on prend la voie longue : tu comprends chaque étape, tu sauras refaire seul, et le jour où tu utiliseras le script, ce sera en toute conscience.\nTélécharger le template Debian 13 Un conteneur LXC se construit à partir d\u0026rsquo;un template — une image de base d\u0026rsquo;un système Linux minimal. Proxmox en propose une liste officielle qu\u0026rsquo;il télécharge à la demande. On va prendre Debian 13 \u0026ldquo;Trixie\u0026rdquo;, dernière version : légère, stable, bien supportée par Pi-hole.\nTéléchargement de la template Debian 13 dans Proxmox\nDans le panneau de gauche, sélectionne ton stockage local sous ton nœud. Clique sur l\u0026rsquo;onglet CT Templates, puis sur le bouton Templates. Dans la fenêtre qui s\u0026rsquo;ouvre, tape debian dans le champ de recherche, sélectionne debian-13-standard, et clique sur Download en bas à droite. Quelques dizaines de secondes plus tard, la template apparaît dans la liste de tes templates disponibles. Tu peux fermer la fenêtre.\nLancer la création du conteneur Bouton Create CT en haut à droite de l\u0026rsquo;interface Proxmox\nEn haut à droite de l\u0026rsquo;interface Proxmox, clique sur Create CT. Un assistant s\u0026rsquo;ouvre avec une série d\u0026rsquo;onglets que tu vas remplir l\u0026rsquo;un après l\u0026rsquo;autre.\nOnglet General — identité du conteneur Onglet General avec le hostname et le mot de passe root\nCT ID : Proxmox propose un numéro automatique. Tu peux laisser tel quel ou en mettre un dont tu te souviendras facilement. Sur mes captures, tu verras 401 — c\u0026rsquo;est parce que mon serveur a déjà d\u0026rsquo;autres conteneurs en service. Chez toi ce sera probablement 100, 101 ou un nombre proche.\nHostname : Pi-Hole. C\u0026rsquo;est le nom du conteneur, court et descriptif.\nPassword / Confirm password : choisis un mot de passe solide pour l\u0026rsquo;utilisateur root du conteneur. Tu en auras besoin pour te connecter à la console.\nLaisse Unprivileged container coché — c\u0026rsquo;est le mode par défaut, plus sûr. Clique Next.\nOnglet Template — quel système on installe Sélection de debian-13-standard comme template\nStorage : local.\nTemplate : sélectionne debian-13-standard dans le menu déroulant (celle qu\u0026rsquo;on vient de télécharger). Clique Next.\nOnglet Disks — espace disque Allocation de 5 Go de disque\nUne seule chose à régler : la taille du disque. Pi-hole est ultra-léger, 5 Go suffisent largement pour le système et plusieurs années de logs. Le stockage local-lvm est correct par défaut. Clique Next.\nOnglet CPU — puissance de calcul Allocation d\u0026rsquo;un seul vCPU\nCores : 1. Un seul cœur virtuel suffit. Pi-hole n\u0026rsquo;a quasiment rien à calculer. Clique Next.\nOnglet Memory — mémoire vive 512 Mo de RAM alloués au conteneur\nMemory : 512 Mo. Swap : 512 Mo.\nC\u0026rsquo;est généreux pour Pi-hole qui tourne avec une trentaine de mégaoctets en utilisation normale, mais la marge te permettra d\u0026rsquo;ajouter des blocklists volumineuses sans souci. Clique Next.\nOnglet Network — c\u0026rsquo;est ici que ça compte Configuration réseau du conteneur avec IP statique 192.168.1.50\nCinq champs à régler avec attention. C\u0026rsquo;est la seule étape un peu dense de toute la création.\nName : eth0. C\u0026rsquo;est le nom de l\u0026rsquo;interface réseau dans le conteneur, on garde la convention standard.\nBridge : vmbr0. C\u0026rsquo;est le pont réseau de Proxmox, celui qui relie tes conteneurs à ton réseau physique. Si tu n\u0026rsquo;en as pas créé d\u0026rsquo;autre, c\u0026rsquo;est le bon.\nVLAN Tag : laisse vide. Si tu as segmenté ton réseau avec des VLAN (réseau invité, IoT, etc.), c\u0026rsquo;est ici que tu indiquerais le numéro du VLAN sur lequel le conteneur doit vivre. Sur un réseau plat de box opérateur — cas le plus courant — laisse ce champ vide. On reviendra sur les VLAN dans un futur article dédié à OPNsense.\nIPv4 : coche Static. Pi-hole a besoin d\u0026rsquo;une IP fixe, comme on l\u0026rsquo;a expliqué dans les prérequis.\nIPv4/CIDR : 192.168.1.50/24. C\u0026rsquo;est l\u0026rsquo;IP libre que j\u0026rsquo;ai choisie. Verifie qu\u0026rsquo;elle soit libre sur ta box via son interface web. Le /24 indique le masque de sous-réseau standard d\u0026rsquo;un réseau domestique.\nGateway (IPv4) : 192.168.1.1. C\u0026rsquo;est l\u0026rsquo;IP de ta box internet. Adapte si ta box a une autre IP.\nPour IPv6, on laisse en DHCP par défaut. Clique Next.\nOnglet DNS — quel serveur pour résoudre les noms Laisse les valeurs par défaut. Le conteneur utilisera les serveurs DNS du nœud Proxmox pour le moment. C\u0026rsquo;est suffisant pour télécharger les paquets pendant l\u0026rsquo;installation de Pi-hole. Clique Next.\nOnglet Confirm — récapitulatif Récapitulatif des paramètres du conteneur avant création\nVérifie le résumé. Si tout est correct, clique Finish. Si quelque chose cloche, Back et tu reviens à l\u0026rsquo;onglet concerné.\nCréation en cours Le log de création du conteneur — TASK OK en dernière ligne\nProxmox lance la création. Une fenêtre de log s\u0026rsquo;ouvre. Quelques secondes plus tard, tu dois voir TASK OK en vert à la dernière ligne. C\u0026rsquo;est bon, ton conteneur existe.\nDémarrer le conteneur Démarrage du conteneur Pi-hole\nDans le panneau de gauche, ton nouveau conteneur apparaît sous ton nœud. Clique dessus, puis sur le bouton Start en haut à droite. Quelques secondes plus tard, son statut passe au vert. Pi-hole n\u0026rsquo;est pas encore installé — pour l\u0026rsquo;instant, tu as juste un Debian 13 vide qui tourne, c\u0026rsquo;est la fondation.\nInstaller Pi-hole Le conteneur tourne, il est vide. On va maintenant y installer Pi-hole. À partir d\u0026rsquo;ici, on passe en ligne de commande. Pas de panique : quelques commandes à taper, et un installeur interactif qui pose des questions en mode \u0026ldquo;suivant, suivant, terminer\u0026rdquo;. Comme un installeur Windows, version texte.\nSe connecter à la console du conteneur Connexion à la console du conteneur depuis l\u0026rsquo;interface Proxmox\nDans Proxmox, sélectionne ton conteneur Pi-hole dans le panneau de gauche, puis clique sur Console dans le menu central. Une fenêtre noire s\u0026rsquo;ouvre avec une invite de connexion.\nUne remarque sur mes captures : tu vas voir sur mon panneau de gauche d\u0026rsquo;autres conteneurs (Netdata, Affine, Jellyfin, etc.). C\u0026rsquo;est mon homelab personnel qui a déjà plusieurs services. Toi tu n\u0026rsquo;auras qu\u0026rsquo;un seul conteneur Pi-hole pour l\u0026rsquo;instant, et c\u0026rsquo;est très bien comme ça. Tu construiras ta liste au fil des articles.\nTape root puis appuie sur Entrée. Tape ton mot de passe (rien ne s\u0026rsquo;affiche pendant que tu tapes, c\u0026rsquo;est normal — c\u0026rsquo;est une sécurité standard sous Linux), Entrée. Tu es maintenant dans ton conteneur.\nMettre à jour le système et installer curl Mise à jour du système et installation de curl\nTrois choses à faire avant de pouvoir installer Pi-hole : mettre à jour la liste des paquets, appliquer les mises à jour disponibles, et installer curl — un petit outil qui télécharge le contenu d\u0026rsquo;une URL et dont on aura besoin juste après. On enchaîne tout en une seule ligne :\napt update \u0026amp;\u0026amp; apt upgrade -y \u0026amp;\u0026amp; apt install curl -y Cette commande chaîne trois opérations grâce aux \u0026amp;\u0026amp;, qui veulent dire \u0026ldquo;exécute la commande suivante seulement si la précédente a réussi\u0026rdquo; :\napt update rafraîchit la liste des paquets disponibles depuis les dépôts Debian\napt upgrade -y installe toutes les mises à jour, le -y répond automatiquement \u0026ldquo;oui\u0026rdquo; à la question de confirmation\napt install curl -y installe curl, qui n\u0026rsquo;est pas présent par défaut dans la template Debian fournie par Proxmox — c\u0026rsquo;est volontaire, la template est minimaliste et c\u0026rsquo;est à toi d\u0026rsquo;ajouter les outils selon tes besoins\nL\u0026rsquo;ensemble prend une à deux minutes selon ta connexion. Quand l\u0026rsquo;invite revient, tu es prêt pour la suite.\nLancer l\u0026rsquo;installeur officiel Pi-hole Lancement du script d\u0026rsquo;installation officiel après l\u0026rsquo;installation de curl\nPi-hole fournit un script d\u0026rsquo;installation qu\u0026rsquo;on récupère et qu\u0026rsquo;on exécute en une seule commande :\ncurl -sSL https://install.pi-hole.net | bash Ce que fait cette commande, en clair : curl télécharge le contenu du script depuis le site officiel pi-hole.net, et le | bash envoie ce contenu directement à l\u0026rsquo;interpréteur de commandes pour exécution. Tu ne télécharges pas un fichier sur le disque, tu exécutes le script à la volée.\nUn mot sur la sécurité : faire confiance à un script qu\u0026rsquo;on exécute en root sans le lire, ce n\u0026rsquo;est pas un réflexe à généraliser. Dans le cas de Pi-hole, l\u0026rsquo;URL install.pi-hole.net est l\u0026rsquo;URL officielle du projet, recommandée par la documentation, et le script est open source consultable sur GitHub. C\u0026rsquo;est une exception justifiée, pas une habitude à prendre.\nRépondre aux questions de l\u0026rsquo;installeur L\u0026rsquo;installeur Pi-hole se lance et affiche une série d\u0026rsquo;écrans en mode texte sur fond bleu-gris. Tu navigues avec les flèches du clavier, Tab pour passer entre les boutons, Espace pour cocher une case, Entrée pour valider.\nPremier écran de bienvenue de l\u0026rsquo;installeur Pi-hole\nÉcran d\u0026rsquo;accueil et donations : lis le message d\u0026rsquo;introduction, Entrée pour valider.\nLancement effectif de l\u0026rsquo;installation\nLancement de l\u0026rsquo;installation : l\u0026rsquo;installeur confirme qu\u0026rsquo;il va transformer ce conteneur en serveur Pi-hole. Entrée.\nRappel sur la nécessité d\u0026rsquo;une IP statique\nAvertissement IP statique : l\u0026rsquo;installeur rappelle que Pi-hole a besoin d\u0026rsquo;une IP fixe. C\u0026rsquo;est déjà fait dans Proxmox lors de la création du conteneur. Entrée.\nSélection de Quad9 comme serveur DNS upstream\nChoix du serveur DNS upstream : c\u0026rsquo;est l\u0026rsquo;étape importante. Pi-hole bloque les domaines indésirables, mais pour tous les autres, il doit interroger un serveur DNS extérieur. Sélectionne Quad9 (filtered, ECS, DNSSEC) avec les flèches, puis Espace pour cocher, puis Entrée.\nPourquoi Quad9 ? Fondation à but non lucratif basée en Suisse, politique no-log officielle, filtrage anti-malware natif inclus. Aligné avec une démarche de souveraineté technique européenne. Une alternative possible est NextDNS, un service français avec un dashboard personnel et des blocklists configurables — plus puissant mais plus complexe, on en reparlera dans un futur article.\nConfirmation de l\u0026rsquo;utilisation de la blocklist par défaut\nBlocklist par défaut : l\u0026rsquo;installeur propose d\u0026rsquo;activer une blocklist initiale (StevenBlack unified hosts). Accepte avec Yes.\nInterface web admin : laisse coché. C\u0026rsquo;est elle qui te permet de gérer Pi-hole depuis ton navigateur.\nServeur web (lighttpd) : laisse coché. Nécessaire pour que l\u0026rsquo;interface admin fonctionne.\nLogs des requêtes : laisse activé. Tu auras besoin du journal pour vérifier que ça marche et diagnostiquer si quelque chose coince.\nFin de l\u0026rsquo;installation Écran de fin d\u0026rsquo;installation avec l\u0026rsquo;URL d\u0026rsquo;accès et le mot de passe admin\nQuelques minutes plus tard, l\u0026rsquo;installeur affiche un écran de récapitulatif. Note immédiatement deux informations :\nL\u0026rsquo;URL d\u0026rsquo;accès à l\u0026rsquo;interface admin : http://192.168.1.50/admin\nLe mot de passe admin généré aléatoirement\nCe mot de passe est affiché une seule fois. Si tu le perds, tu peux le redéfinir avec la commande pihole setpassword depuis la console du conteneur.\nPi-hole est installé. Il tourne. On va maintenant lui rendre visite dans le navigateur.\nPremier accès à l\u0026rsquo;interface Pi-hole Pi-hole est installé, il tourne en arrière-plan dans ton conteneur. Le moment satisfaisant : voir l\u0026rsquo;interface répondre dans ton navigateur.\nSe connecter à l\u0026rsquo;interface admin Page de login de l\u0026rsquo;interface admin Pi-hole\nOuvre ton navigateur et tape l\u0026rsquo;URL affichée à la fin de l\u0026rsquo;installation :\nhttp://192.168.1.50/admin Une page de connexion s\u0026rsquo;affiche avec le logo Pi-hole. Saisis le mot de passe que l\u0026rsquo;installeur t\u0026rsquo;a généré (celui que tu as noté à l\u0026rsquo;étape précédente), clique sur Log in.\nLe dashboard, premier coup d\u0026rsquo;œil Le dashboard Pi-hole au premier lancement, avant la première mise à jour de Gravity\nBienvenue dans l\u0026rsquo;interface Pi-hole. Tu vois quatre indicateurs en haut : nombre total de requêtes DNS, nombre de requêtes bloquées, pourcentage de blocage, et nombre de domaines sur les blocklists. Trois sont à zéro, c\u0026rsquo;est normal — aucun appareil n\u0026rsquo;utilise encore Pi-hole comme serveur DNS.\nEn revanche, tu vas probablement voir un message \u0026ldquo;Error (-2)\u0026rdquo; dans le cadre vert \u0026ldquo;Domains on Lists\u0026rdquo;, et des indicateurs rouges/orange sur Lists dans le menu de gauche. Pas de panique : c\u0026rsquo;est un état transitoire normal juste après l\u0026rsquo;installation. La base de blocage Gravity n\u0026rsquo;a pas encore fini de charger les blocklists. On va régler ça tout de suite.\nAvant ça, deux ajustements rapides : changer le mot de passe pour un truc dont tu te souviendras, puis lancer la première mise à jour de Gravity.\nChanger le mot de passe admin Le mot de passe généré par l\u0026rsquo;installeur est solide mais imprononçable. Tu vas l\u0026rsquo;utiliser souvent dans les premiers jours, autant en choisir un dont tu te souviens. Depuis la console du conteneur (la même fenêtre Proxmox qu\u0026rsquo;à la section précédente) :\npihole setpassword La commande te demande de taper ton nouveau mot de passe, puis de le confirmer. Rien ne s\u0026rsquo;affiche à l\u0026rsquo;écran pendant la saisie — c\u0026rsquo;est normal. Tu peux te reconnecter à l\u0026rsquo;interface web avec ce nouveau mot de passe.\nMettre à jour la base de blocage Pi-hole utilise une base de données qu\u0026rsquo;il appelle Gravity : c\u0026rsquo;est le moteur qui agrège toutes les blocklists configurées en une seule grande liste de domaines à bloquer. L\u0026rsquo;installeur a chargé une première version, mais elle n\u0026rsquo;est pas encore complètement opérationnelle — d\u0026rsquo;où le message d\u0026rsquo;erreur sur le dashboard. On va la rafraîchir maintenant pour partir avec une base à jour.\nLancement de la mise à jour de Gravity depuis l\u0026rsquo;interface\nDans le menu de gauche, va dans Tools puis Update Gravity. Clique sur le gros bouton Update. Le traitement prend quelques dizaines de secondes.\nConfirmation de la mise à jour réussie de Gravity\nQuand tu vois le message Success! en vert et le détail des étapes du traitement, ta base de blocage est à jour. Tu peux retourner sur le dashboard : le message d\u0026rsquo;erreur a disparu, et le compteur \u0026ldquo;Domains on Lists\u0026rdquo; affiche maintenant le nombre réel de domaines bloqués (environ 82 000 avec la blocklist StevenBlack par défaut).\nFaire utiliser Pi-hole par ton réseau Pi-hole tourne, il est prêt. Mais pour l\u0026rsquo;instant, aucun appareil de ton réseau ne sait qu\u0026rsquo;il existe. Quand ton téléphone veut joindre un site, il demande l\u0026rsquo;adresse au serveur DNS que ta box lui a indiqué — généralement le DNS de ton opérateur (Free, Orange, SFR, Bouygues), pas Pi-hole.\nIl faut donc dire à ta box : \u0026ldquo;désormais, indique Pi-hole comme serveur DNS à tous les appareils qui se connectent\u0026rdquo;. Une seule modification à faire, et tout ton réseau passe par Pi-hole automatiquement.\nAccéder à l\u0026rsquo;interface admin de ta box Ouvre ton navigateur et tape l\u0026rsquo;adresse de ta box dans la barre d\u0026rsquo;URL :\nFreebox : http://mafreebox.freebox.fr ou http://192.168.1.254\nLivebox (Orange) : http://192.168.1.1\nSFR Box : http://192.168.1.1 ou http://192.168.0.1\nBbox (Bouygues) : http://192.168.1.254 ou http://gestionbbox.lan\nConnecte-toi avec tes identifiants admin. Si tu ne les as jamais utilisés, ils sont en général sous la box (étiquette) ou dans ton espace client opérateur.\nModifier le serveur DNS poussé par le DHCP Cherche dans l\u0026rsquo;interface admin une section appelée DHCP, Réseau local, Configuration LAN, ou similaire. Le nom exact varie selon ta box. Dans cette section, tu vas trouver un ou deux champs Serveur DNS ou DNS primaire / DNS secondaire.\nRemplace les valeurs actuelles par l\u0026rsquo;IP de ton Pi-hole :\nDNS primaire : 192.168.1.50\nDNS secondaire : laisse vide, ou mets une seconde fois 192.168.1.50\nSurtout, ne mets pas un autre DNS en secondaire (8.8.8.8, 1.1.1.1, etc.). Si tu le fais, tes appareils alterneront entre Pi-hole et ce DNS de secours, et tu auras un filtrage à moitié actif — déroutant à diagnostiquer.\nEnregistre la modification. Ta box va probablement redémarrer son service DHCP : pas de panique, ça dure quelques secondes.\nPropager le changement aux appareils Le changement de DNS dans ta box ne s\u0026rsquo;applique aux appareils qu\u0026rsquo;au renouvellement de leur bail DHCP — ce qui peut prendre plusieurs heures. Pour forcer la prise en compte immédiate, le plus simple est de couper-réactiver son Wi-Fi.\nSur ton ordinateur, tu peux aussi forcer le renouvellement en console :\nsudo dhclient -r \u0026amp;\u0026amp; sudo dhclient sous Linux,\nipconfig /release \u0026amp;\u0026amp; ipconfig /renew sous Windows.\nVérifier que Pi-hole filtre bien Le test de vérité. Deux méthodes complémentaires, l\u0026rsquo;une rapide depuis le terminal, l\u0026rsquo;autre visuelle dans ton navigateur.\nTest rapide en ligne de commande Ouvre un terminal sur n\u0026rsquo;importe quel appareil de ton réseau. Tape :\ndig @192.168.1.50 doubleclick.net Décodage de la commande : dig est l\u0026rsquo;outil standard pour faire une requête DNS manuelle. Le @192.168.1.50 force dig à interroger directement Pi-hole (et pas le DNS configuré sur ta machine). doubleclick.net est un domaine publicitaire géré par Google, présent dans toutes les blocklists sérieuses.\nDans la réponse, cherche la ligne ANSWER SECTION. Tu dois voir quelque chose comme :\ndoubleclick.net. 2 IN A 0.0.0.0 Le 0.0.0.0 est la réponse \u0026ldquo;ce domaine n\u0026rsquo;existe pas\u0026rdquo; renvoyée par Pi-hole. Si tu vois ça, Pi-hole fonctionne et bloque correctement.\nSi tu vois une vraie adresse IP à la place du 0.0.0.0, c\u0026rsquo;est que ta requête n\u0026rsquo;a pas été traitée par Pi-hole. Vérifie l\u0026rsquo;IP du conteneur (192.168.1.50 ou la tienne) et que le LXC est bien démarré.\nTest visuel dans le navigateur Visite un site connu pour ses publicités intrusives (un site d\u0026rsquo;actualités gratuit, par exemple). Les emplacements publicitaires apparaissent maintenant comme des espaces vides. Pas de \u0026ldquo;publicité bloquée par AdBlock\u0026rdquo;, pas d\u0026rsquo;extension à installer : juste le silence du DNS qui refuse de répondre.\nLe dashboard Pi-hole après quelques heures d\u0026rsquo;utilisation\nRetourne sur le dashboard Pi-hole : http://192.168.1.50/admin. Sur ma capture, prise après quelques heures d\u0026rsquo;utilisation : 615 requêtes DNS traitées, 311 bloquées, plus de 50 % du trafic filtré. Trois appareils actifs sur le réseau. Le graphique d\u0026rsquo;activité commence à se remplir.\nCe chiffre de 50 % te paraît énorme ? Il est plutôt représentatif. Une bonne moitié des requêtes DNS d\u0026rsquo;un appareil moderne ne sert ni à charger un site, ni à utiliser une app — elle sert à alimenter des trackers, des régies pub, de la télémétrie. Pi-hole les coupe à la racine. Tu peux maintenant observer ce qui se passe réellement sur ton réseau.\nEt maintenant ? Pi-hole tourne, ton réseau est filtré, tes appareils respirent. Tu viens de déployer ton premier service dans un conteneur LXC sur Proxmox — mécanique que tu vas réutiliser pour la quasi-totalité des services qu\u0026rsquo;on installera dans les prochains articles.\nLa suite immédiate : configurer Proxmox proprement. Pour l\u0026rsquo;instant, ton hyperviseur tourne encore avec les réglages par défaut. Dans le prochain article, on revient à la base : mises à jour, sauvegardes automatiques, double authentification, et le réflexe que personne ne fait jamais — vérifier qu\u0026rsquo;une sauvegarde restaure vraiment. C\u0026rsquo;est moins spectaculaire que Pi-hole, mais c\u0026rsquo;est ce qui transforme un homelab amateur en homelab durable.\nPour aller plus loin avec Pi-hole. Ce qu\u0026rsquo;on a fait ici est la base. Pi-hole permet beaucoup plus : segmenter ton réseau en groupes (utiliser des blocklists différentes pour les enfants, le télétravail, les invités), ajouter des blocklists thématiques, gérer les exceptions, créer des règles regex personnalisées. On y reviendra dans un article dédié à la configuration avancée.\nSi tu utilises OPNsense ou un routeur custom. Tu as remarqué qu\u0026rsquo;on s\u0026rsquo;est arrêté à la solution simple : changer le DNS dans la box opérateur. Un appareil malin peut contourner Pi-hole en codant en dur un DNS public comme 8.8.8.8. La réponse propre, c\u0026rsquo;est de forcer tout le trafic DNS du réseau vers Pi-hole avec une règle de redirection. Sujet d\u0026rsquo;un article futur sur OPNsense.\nPour l\u0026rsquo;instant, profite. Ouvre ton dashboard Pi-hole dans 24h et regarde la quantité de trackers qui essayaient discrètement de te suivre. C\u0026rsquo;est révélateur.\n","permalink":"https://homemadetech.fr/posts/installer-pihole-lxc/","summary":"\u003cp\u003eDans \u003ca href=\"https://homemadetech.fr/posts/installer-proxmox/\"\u003el\u0026rsquo;article précédent\u003c/a\u003e, tu as installé Proxmox VE 9 sur ton mini-PC. Tu as un hyperviseur qui tourne, une interface web qui s\u0026rsquo;ouvre, et probablement une impression bizarre : \u0026ldquo;OK, et maintenant je fais quoi ?\u0026rdquo;. C\u0026rsquo;est exactement la question à laquelle cet article va répondre.\u003c/p\u003e\n\u003cp\u003eOn va installer ton premier service utile. Pas un truc abstrait — un outil que tu vas voir fonctionner dès le premier jour, et qui va changer ton expérience web à la maison, je parle ici de \u003cstrong\u003ePi-hole\u003c/strong\u003e. C\u0026rsquo;est un bloqueur de publicités et de trackers qui fonctionne au niveau de ton réseau, pas au niveau de ton navigateur. Concrètement : une fois en place, plus de pubs sur les appareils connectés à ton réseau. Le tout, sans avoir besoin d\u0026rsquo;installer la moindre extension.\u003c/p\u003e","title":"Pi-hole sur Proxmox : ton premier service, ton réseau sans pubs"},{"content":"Tu as un mini PC qui prend la poussière, ou tu viens d\u0026rsquo;en acheter un d\u0026rsquo;occasion exprès pour ça. Dans une grosse demi-heure, ce ne sera plus un PC : ce sera un serveur. Un vrai — capable de faire tourner plusieurs machines en même temps, que tu pilotes depuis le navigateur de ton ordinateur habituel, chez toi, sans payer un abonnement à personne.\nPour y arriver, on va installer Proxmox VE 9, un système gratuit et open source dont le seul métier est de faire tourner d\u0026rsquo;autres systèmes. On appelle ça un hyperviseur : au lieu d\u0026rsquo;installer Windows ou Linux sur ta machine, tu installes Proxmox, et c\u0026rsquo;est lui qui héberge ensuite autant de machines virtuelles que ton matériel le permet. Si le mot « homelab » ou l\u0026rsquo;intérêt de la démarche ne te parle pas encore, commence plutôt par notre article sur le homelab : ici, on part du principe que tu sais pourquoi tu fais ça, et on s\u0026rsquo;occupe du comment.\nCe tuto est écrit pour quelqu\u0026rsquo;un qui n\u0026rsquo;a jamais installé ce genre de système. On fait tout ensemble, écran par écran, et à chaque étape je t\u0026rsquo;explique pourquoi on fait le choix qu\u0026rsquo;on fait — pas juste où cliquer. Je te préviendrai aussi des deux ou trois pièges classiques, ceux où à peu près tout le monde tombe et que la plupart des tutos passent sous silence.\nCe que tu vas obtenir À la fin, ton mini PC tournera entièrement sous Proxmox VE. Tu y accéderas depuis n\u0026rsquo;importe quel navigateur sur ton réseau, via une interface web, en tapant une adresse du type https://192.168.1.50:8006. Tu n\u0026rsquo;auras plus besoin de brancher écran ni clavier dessus : il vivra dans un coin, allumé, et tu le piloteras à distance. À ce stade il sera prêt à accueillir ta première machine virtuelle ou ton premier conteneur — mais ça, ce sera le sujet du prochain article. Ici, on s\u0026rsquo;arrête à un Proxmox installé, à jour, propre et sécurisé sur les bases.\nPour qui c\u0026rsquo;est, et pour qui ça ne l\u0026rsquo;est pas C\u0026rsquo;est pour toi si tu veux dédier une machine entière à ton homelab et que tu acceptes l\u0026rsquo;idée qu\u0026rsquo;elle ne servira plus qu\u0026rsquo;à ça. Aucune compétence Linux n\u0026rsquo;est requise pour cette étape : si tu sais brancher une clé USB et entrer dans le menu de démarrage d\u0026rsquo;un PC, tu as le niveau.\nCe n\u0026rsquo;est pas le bon tuto si tu cherches à installer Proxmox à côté de ton Windows pour garder les deux : ça ne marche pas comme ça, et on va voir pourquoi juste en dessous. Ce n\u0026rsquo;est pas non plus un tuto NAS — Proxmox sait faire du stockage, mais si ton besoin principal c\u0026rsquo;est un serveur de fichiers, d\u0026rsquo;autres solutions sont plus adaptées. Et ce n\u0026rsquo;est pas une installation pour de la production critique où la moindre minute de coupure pose problème : on monte un homelab, pas un datacenter.\nCe qu\u0026rsquo;il te faut vraiment Soyons honnêtes sur les prérequis, parce que rater l\u0026rsquo;un d\u0026rsquo;eux te bloque en plein milieu :\nLe mini PC qui deviendra ton serveur. Processeur 64 bits Intel ou AMD, avec la virtualisation matérielle (VT-x chez Intel, AMD-V chez AMD) — on vérifiera et on l\u0026rsquo;activera ensemble dans le BIOS, ne t\u0026rsquo;inquiète pas de ça maintenant. Proxmox tourne sur du matériel modeste ; quelques Go de RAM suffisent pour démarrer, mais vise plutôt 8 Go ou plus si tu veux faire tourner plusieurs machines confortablement.\nUn disque dans ce mini PC que tu acceptes d\u0026rsquo;effacer entièrement. C\u0026rsquo;est le point le plus important de toute cette liste, donc je le dis tout de suite et je le redirai au moment critique : l\u0026rsquo;installation efface tout sur le disque cible. Pas de cohabitation avec un autre système, pas de récupération. Si ce mini PC contient quoi que ce soit que tu veux garder, sauvegarde-le ailleurs avant de commencer.\nUne clé USB d\u0026rsquo;au moins 4 Go, dont le contenu sera lui aussi effacé. L\u0026rsquo;ISO de Proxmox VE 9 pèse près de 2 Go, donc oublie les vieilles clés de 1 ou 2 Go que certains tutos recommandent encore.\nUn deuxième ordinateur (ton PC habituel, sous Windows, Linux ou macOS) pour télécharger l\u0026rsquo;ISO et fabriquer la clé USB.\nUn écran et un clavier à brancher sur le mini PC, le temps de l\u0026rsquo;installation seulement. Une fois Proxmox installé, tu pourras tout débrancher et le piloter depuis le navigateur.\nCompte une trentaine de minutes en tout. L\u0026rsquo;installation elle-même ne prend que quelques minutes ; c\u0026rsquo;est la préparation et les vérifications autour qui demandent le plus de soin — et c\u0026rsquo;est exactement là qu\u0026rsquo;on va passer du temps, parce que c\u0026rsquo;est là que ça se joue.\n1. Le seul prérequis qui peut vraiment te bloquer Avant de fabriquer quoi que ce soit, il faut régler une chose dans ton mini PC. Une seule, mais si tu la rates, l\u0026rsquo;installation ira peut-être au bout sans que tu comprennes pourquoi rien ne fonctionne ensuite. Autant la traiter maintenant, à froid, plutôt qu\u0026rsquo;en panique à l\u0026rsquo;étape 4.\nLa virtualisation matérielle, et pourquoi Proxmox ne tourne pas sans Proxmox fait tourner des machines virtuelles. Pour que ce soit rapide et pas une simulation poussive, le processeur doit savoir le faire lui-même, au niveau du silicium. Cette capacité s\u0026rsquo;appelle VT-x chez Intel et AMD-V chez AMD. Le processeur doit prendre en charge la virtualisation matérielle au niveau du BIOS/UEFI : sans Intel VT-x ou AMD-V activé, le moteur de virtualisation de Proxmox (KVM) ne fonctionne pas.\nDeux bonnes nouvelles. La première : à peu près tous les processeurs Intel et AMD des quinze dernières années savent faire ça. Les processeurs grand public comme les AMD Ryzen et Intel Core gèrent les fonctions dont Proxmox a besoin ; mini PC, ordinateurs de bureau et serveurs conviennent tous pour un homelab. Si ton mini PC a moins de quinze ans, le matériel est quasi certainement capable.\nLa seconde : le problème n\u0026rsquo;est presque jamais le matériel, c\u0026rsquo;est que la fonction est désactivée par défaut dans le BIOS chez beaucoup de fabricants. On va donc juste l\u0026rsquo;activer.\nUne précision pour t\u0026rsquo;éviter une confusion fréquente : tu vas peut-être croiser le terme VT-d (ou AMD-Vi, ou IOMMU). Ce n\u0026rsquo;est pas la même chose, et tu n\u0026rsquo;en as pas besoin aujourd\u0026rsquo;hui. VT-d / AMD-Vi sert uniquement à passer un périphérique physique (carte graphique, carte réseau) directement à une machine virtuelle ; ce n\u0026rsquo;est pas requis pour la virtualisation standard. Ce sera le sujet d\u0026rsquo;un article bien plus tard. Pour l\u0026rsquo;instant, un seul mot d\u0026rsquo;ordre : VT-x ou AMD-V, rien d\u0026rsquo;autre.\nEntrer dans le BIOS et activer la bonne option La manœuvre est toujours la même, seuls les noms changent d\u0026rsquo;une marque à l\u0026rsquo;autre — et je ne vais pas te mentir en te donnant une procédure unique qui marcherait partout, parce qu\u0026rsquo;elle n\u0026rsquo;existe pas. Le principe :\nDémarre (ou redémarre) le mini PC et, dès les premières secondes, appuie en boucle sur la touche qui ouvre le BIOS/UEFI. C\u0026rsquo;est en général Suppr, F2 ou F10, à enfoncer au moment du démarrage. Si tu rates le coche, l\u0026rsquo;OS démarre normalement : tu éteins et tu recommences, ce n\u0026rsquo;est pas grave.\nUne fois dans le BIOS, cherche un réglage nommé Intel Virtualization Technology, Intel VT-x, ou côté AMD SVM Mode ou AMD-V. Il est souvent rangé dans une section Advanced, CPU Configuration, ou Overclocking selon le constructeur. C\u0026rsquo;est l\u0026rsquo;inconvénient des BIOS : aucune norme d\u0026rsquo;organisation. Fouille les menus, le nom est ce qui compte, pas l\u0026rsquo;emplacement.\nPasse l\u0026rsquo;option sur Enabled, enregistre (en général la touche F10, « Save and Exit »), et laisse repartir la machine.\nExemple sur un BIOS récent (onglet « Avancé ») : la ligne « Technologie de virtualisation Intel » doit être sur « Activé ». Le tien sera organisé différemment, mais c\u0026rsquo;est ce nom-là que tu cherches. (Photo d\u0026rsquo;écran : on ne peut pas capturer un BIOS autrement.)\nSi tu ne trouves vraiment pas l\u0026rsquo;option après avoir tout parcouru, note la référence exacte de ta carte mère ou de ton mini PC et cherche « [modèle] enable virtualization BIOS ». Sur certaines machines OEM — vieux Dell de bureau notamment — c\u0026rsquo;est non seulement désactivé d\u0026rsquo;usine mais planqué dans un sous-menu peu évident.\nTu peux laisser le BIOS de côté une fois ça fait. On y reviendra une dernière fois plus tard pour choisir de démarrer sur la clé USB, mais ce sera rapide.\nDeux conseils périmés que tu vas lire ailleurs — et qu\u0026rsquo;il faut ignorer Première idée reçue :** « désactive le Secure Boot avant d\u0026rsquo;installer »**. C\u0026rsquo;était vrai il y a quelques années, ça ne l\u0026rsquo;est plus. Depuis Proxmox VE 8.1, le Secure Boot est pris en charge nativement et fonctionne « out of the box ». Sur Proxmox VE 9, dans l\u0026rsquo;immense majorité des cas, tu n\u0026rsquo;as rien à désactiver. Ne touche au Secure Boot que si l\u0026rsquo;installeur refuse explicitement de démarrer — pas par superstition. Beaucoup de tutos, même récents, recopient ce conseil sans l\u0026rsquo;avoir revérifié : maintenant tu sais.\nSeconde idée reçue, plus rare mais tenace :** « prends une clé USB de 1 Go »**. Refusé. L\u0026rsquo;ISO de Proxmox VE 9 pèse près de 2 Go ; on est déjà passé dessus dans les prérequis, mais comme on parle BIOS et matériel, autant le redire ici où ça compte : 4 Go minimum, sinon tu ne pourras même pas écrire l\u0026rsquo;image.\nDernier point pratique, vite réglé : prévois un câble Ethernet branché sur le mini PC. Le Wi-Fi n\u0026rsquo;est pas pris en charge pendant l\u0026rsquo;installation et reste peu fiable pour un hyperviseur. Un serveur, ça vit au bout d\u0026rsquo;un câble. Et si tu te demandais : non, ça ne tourne pas sur un Raspberry Pi — Proxmox VE exige une architecture 64 bits x86-64 et n\u0026rsquo;est pas compatible avec l\u0026rsquo;architecture ARM du Raspberry Pi.\n2. Télécharger l\u0026rsquo;ISO — et vérifier que c\u0026rsquo;est bien le bon fichier Où télécharger, et seulement là L\u0026rsquo;ISO de Proxmox VE se récupère sur un seul endroit : la page de téléchargement officielle, proxmox.com/en/downloads. Pas un lien de forum, pas un miroir « plus rapide » trouvé sur Google, pas l\u0026rsquo;archive d\u0026rsquo;un blog. Cherche la section Proxmox VE 9.1 ISO Installer, clique sur Download. Au moment où j\u0026rsquo;écris, la version est 9.1-1, l\u0026rsquo;ISO pèse 1,83 Go, publiée le 19 novembre 2025. Aucun compte, c\u0026rsquo;est gratuit, sans inscription.\nCette règle « la source officielle, point » n\u0026rsquo;est pas de la rigidité. C\u0026rsquo;est le premier geste concret de souveraineté du tuto : tu décides toi-même d\u0026rsquo;où vient le logiciel qui va devenir le socle de ton homelab, au lieu de laisser un moteur de recherche décider pour toi.\nLa page de téléchargement officielle. Le bouton « Download » lance l\u0026rsquo;ISO ; juste en dessous, le SHA256SUM qu\u0026rsquo;on va comparer dans un instant.\nLe contrôle de 10 secondes que presque personne ne fait Quand tu télécharges un fichier de près de 2 Go, il peut se corrompre en route sans que tu le voies — ça arrive vraiment. Le symptôme, ce sera une clé USB qui refuse de démarrer ou un installeur qui plante, et tu passeras des heures à accuser ta clé ou ton BIOS. Ce n\u0026rsquo;est pas théorique : des utilisateurs ont perdu une soirée entière à déboguer avant de réaliser que l\u0026rsquo;ISO téléchargé depuis le miroir officiel était corrompu — son empreinte ne correspondait pas. Dix secondes de vérification leur auraient évité quatre heures.\nLe principe est simple. Un fichier possède une « empreinte » unique, une longue suite de caractères calculée à partir de son contenu : sa somme de contrôle SHA256. Change un seul bit, l\u0026rsquo;empreinte change du tout au tout. Proxmox affiche l\u0026rsquo;empreinte attendue juste à côté du bouton de téléchargement : chaque ISO est accompagné de son SHA256SUM affiché directement sur la page. Tu calcules celle de ton fichier, tu compares. Identiques : c\u0026rsquo;est bon. Différentes : tu supprimes et tu recommences.\nPour ça, tu vas ouvrir un terminal. Si tu n\u0026rsquo;as jamais fait ça, respire : ici tu ne lances aucun programme, tu ne modifies rien, tu demandes juste à l\u0026rsquo;ordinateur de te lire un nombre. C\u0026rsquo;est l\u0026rsquo;action la plus inoffensive qui soit — impossible de casser quoi que ce soit. Sous Windows, tape « cmd » dans le menu Démarrer et ouvre l\u0026rsquo;Invite de commandes. Sous Linux ou macOS, cherche « Terminal ». Place-toi dans le dossier où est ton ISO (souvent Téléchargements), puis tape la ligne correspondant à ton système :\nWindows (invite de commandes) : CertUtil -hashfile proxmox-ve_9.1-1.iso SHA256\nLinux : sha256sum proxmox-ve_9.1-1.iso\nmacOS : shasum -a 256 proxmox-ve_9.1-1.iso\nAdapte le nom au fichier que tu as réellement téléchargé. Tu obtiens une longue chaîne. Pas besoin de comparer les 64 caractères un par un : vérifie les 6 premiers et les 6 derniers avec ceux affichés sur la page Proxmox. S\u0026rsquo;ils collent, ton fichier est bon. Sinon, on ne « répare » pas un ISO : tu retélécharges.\nTu as remarqué que je ne te donne pas l\u0026rsquo;empreinte à recopier ici — c\u0026rsquo;est volontaire, et c\u0026rsquo;est toute la leçon. Si tu copiais le hash depuis mon article, tu vérifierais juste que ton fichier correspond à ce qu\u0026rsquo;un blog a écrit, pas qu\u0026rsquo;il vient de Proxmox. La valeur de référence doit toujours venir de la source officielle, jamais d\u0026rsquo;un intermédiaire, moi compris. Ce réflexe vaut bien au-delà de Proxmox : c\u0026rsquo;est exactement ce qu\u0026rsquo;on veut t\u0026rsquo;installer pour de bon.\nPour aller plus loin (facultatif, tu peux sauter). Le SHA256 attrape la corruption et les miroirs défectueux — les cas réels et fréquents. Il existe un cran au-dessus, la vérification de signature GPG, qui prouve que les empreintes viennent bien de Proxmox même si la page web était compromise. Proxmox publie pour ça un fichier de sommes signé par sa clé de release officielle. C\u0026rsquo;est le sujet d\u0026rsquo;un article dédié à venir — inutile de t\u0026rsquo;en occuper aujourd\u0026rsquo;hui. Le SHA256, lui, n\u0026rsquo;est pas optionnel : fais-le.\nÀ gauche, la commande sha256sum et son résultat dans le terminal ; à droite, le SHA256SUM de la page Proxmox. Les deux chaînes doivent être identiques.\n3. Créer la clé USB d\u0026rsquo;installation On a l\u0026rsquo;ISO, on l\u0026rsquo;a vérifié. Il faut maintenant le transformer en clé USB capable de démarrer ton mini PC. Le rappel qui compte le plus, tout de suite : l\u0026rsquo;opération efface intégralement la clé USB. Tout ce qu\u0026rsquo;elle contient disparaît, sans corbeille, sans retour. Prends une clé vide ou dont le contenu ne vaut rien — et au moment de choisir la cible dans l\u0026rsquo;outil, vérifie deux fois que tu pointes bien la clé et pas un disque dur externe branché à côté.\nUn mot sur le « pourquoi » avant le « comment ». L\u0026rsquo;ISO de Proxmox n\u0026rsquo;est pas un simple fichier qu\u0026rsquo;on copie sur la clé : c\u0026rsquo;est une image hybride, conçue pour être recopiée secteur par secteur. On ne glisse pas l\u0026rsquo;ISO sur la clé comme un document — on l\u0026rsquo;écrit dessus, bit à bit, en remplaçant tout. Retiens ce mot :** écrire en mode DD**, c\u0026rsquo;est précisément ça, et c\u0026rsquo;est ce qui fait que certaines méthodes marchent et d\u0026rsquo;autres non. Bonne nouvelle : avec le bon outil, tu n\u0026rsquo;as même pas à t\u0026rsquo;en soucier, il le fait pour toi.\nLa méthode recommandée sous Windows : Rufus Sur de vieux tutos français, tu liras que « Rufus ne marche pas pour Proxmox, il faut Etcher ». C\u0026rsquo;est faux, et ça ne l\u0026rsquo;a jamais vraiment été. Pire : ces tutos te font choisir manuellement un « mode DD » dans un menu, en te prévenant que si tu te trompes tout casse. Bonne nouvelle, ce piège n\u0026rsquo;existe plus : les versions actuelles de Rufus reconnaissent l\u0026rsquo;image Proxmox et forcent le bon mode toutes seules. Tu n\u0026rsquo;as aucun choix dangereux à faire. On va le voir écran par écran.\nRécupère Rufus sur rufus.ie — la version « portable » suffit, il n\u0026rsquo;y a rien à installer, tu double-cliques et c\u0026rsquo;est ouvert. Tu obtiens cette fenêtre :\nRufus au démarrage. On va remplir deux choses seulement : le périphérique (ta clé) et l\u0026rsquo;image (l\u0026rsquo;ISO Proxmox). On ne touche à rien d\u0026rsquo;autre.\nBranche ta clé USB maintenant si ce n\u0026rsquo;est pas déjà fait. Premier champ, « Périphérique » : déroule-le et sélectionne ta clé. Repère-la à sa taille (une clé de 16 Go s\u0026rsquo;affiche « [16 Go] »). Si tu n\u0026rsquo;as qu\u0026rsquo;une clé branchée, elle est déjà sélectionnée — vérifie quand même que ce n\u0026rsquo;est pas un disque dur externe.\nLes deux seuls champs qui comptent : « Périphérique » (ta clé USB) et le bouton « SÉLECTION » pour l\u0026rsquo;image ISO. Le reste, Rufus le règle tout seul.\nDeuxième champ, sous « Type de démarrage » : clique sur le bouton SÉLECTION à droite. Une fenêtre de fichiers s\u0026rsquo;ouvre. Va dans ton dossier Téléchargements, choisis l\u0026rsquo;ISO Proxmox que tu as vérifié à l\u0026rsquo;étape précédente, et valide.\nLe bouton SÉLECTION ouvre l\u0026rsquo;explorateur de fichiers. On y choisit l\u0026rsquo;ISO proxmox-ve_9.1-1 téléchargé et vérifié juste avant.\nÀ l\u0026rsquo;instant où tu valides l\u0026rsquo;ISO, Rufus l\u0026rsquo;analyse et affiche tout seul cette fenêtre — c\u0026rsquo;est le moment important :\n« Image ISOHybrid détectée […] seule l\u0026rsquo;écriture en mode DD est applicable. » Rufus a reconnu l\u0026rsquo;image Proxmox et impose lui-même le bon mode. Tu n\u0026rsquo;as rien à choisir.\nLis-la une fois pour comprendre, puis clique OK. C\u0026rsquo;est tout. Là où les vieux tutos te faisaient choisir entre « mode ISO » et « mode DD » en te terrorisant sur l\u0026rsquo;erreur à ne pas commettre, Rufus moderne a tranché pour toi : il force le mode DD parce que c\u0026rsquo;est le seul qui marche avec Proxmox. Le piège historique n’existe tout simplement plus — tu ne peux pas te tromper ici.\nClique maintenant sur DÉMARRER, en bas. Rufus te montre un dernier avertissement, et celui-là, lis-le vraiment :\nLe dernier filet de sécurité : Rufus nomme la clé qu\u0026rsquo;il va effacer. Vérifie que c\u0026rsquo;est bien ta clé (ici « HMT (F:) [16 Go] ») et pas autre chose, puis OK.\nVérifie que le nom et la taille correspondent bien à ta clé — c\u0026rsquo;est ta dernière chance avant l\u0026rsquo;effacement. Si c\u0026rsquo;est bon, clique OK. Rufus écrit l\u0026rsquo;image ; ça prend deux à quatre minutes. Quand la barre de statut repasse au vert sur « PRÊT », la clé est faite :\nRufus a vérifié l\u0026rsquo;ISO Proxmox et est prêt à écrire : barre verte « PRÊT », bouton DÉMARRER actif. Un clic et l\u0026rsquo;écriture commence.\nNe retire pas la clé en l\u0026rsquo;arrachant : attends que Rufus ait fini (barre verte), ferme-le, puis éjecte la clé proprement (clic droit sur la clé dans l\u0026rsquo;explorateur → Éjecter). Sous Windows, tu verras peut-être surgir « ce disque doit être formaté » :** ignore et ferme cette fenêtre**, ne formate surtout rien. C\u0026rsquo;est normal — Windows ne sait pas lire le format Linux que la clé porte désormais. Ça ne veut pas dire qu\u0026rsquo;elle est cassée, au contraire : ça prouve que ça a marché.\nSous Linux ou macOS Si tu n\u0026rsquo;es pas sous Windows, balenaEtcher (etcher.balena.io) fait le même travail avec trois boutons : Flash from file (ton ISO), Select target (ta clé), Flash. Il gère le mode DD tout seul lui aussi, et filtre les disques système pour t\u0026rsquo;empêcher de viser la mauvaise cible. C\u0026rsquo;est volontairement bref ici : le parcours Windows ci-dessus est le cas le plus courant, et Etcher est suffisamment simple pour ne pas nécessiter de pas-à-pas.\nEt Ventoy, alors ?\nTu connais peut-être Ventoy : tu l\u0026rsquo;installes une fois sur la clé, puis tu y déposes autant d\u0026rsquo;ISO que tu veux, et un menu te laisse choisir au démarrage. Très pratique sur le papier quand on multiplie les installations. Je te le déconseille pour Proxmox, et pas par principe : c\u0026rsquo;est un piège documenté et toujours d\u0026rsquo;actualité. Une installation de Proxmox VE 9 bootée via Ventoy peut provoquer un kernel panic, parce que Ventoy injecte un paramètre noyau qui est repris par le système installé. Le pire : l\u0026rsquo;installation semble réussir, puis la machine refuse de redémarrer — et le problème peut réapparaître plus tard après une simple mise à jour du noyau. Pour un débutant, c\u0026rsquo;est indiagnostiquable : tu n\u0026rsquo;as aucun moyen de relier une panne d\u0026rsquo;aujourd\u0026rsquo;hui à une clé fabriquée la semaine dernière. Les méthodes ci-dessus, si elles échouent, échouent tout de suite et visiblement, ce qui est bien plus sain. Ventoy reste un excellent outil pour d\u0026rsquo;autres usages — juste pas pour celui-ci.\n4. Booter sur la clé et installer Proxmox Branche la clé USB sur le mini PC, l\u0026rsquo;écran et le clavier aussi, le câble Ethernet, et allume. À partir d\u0026rsquo;ici, tout se passe sur le mini PC, plus sur ton ordinateur habituel.\nDémarrer sur la clé, pas sur le disque Par défaut, le mini PC va essayer de démarrer sur son disque interne, pas sur ta clé. Il faut lui forcer la main. Dès l\u0026rsquo;allumage, appuie en boucle sur la touche du menu de démarrage ponctuel — souvent F11, F12 ou Échap selon la carte mère. Comme pour le BIOS en section 1, il n\u0026rsquo;y a pas de touche universelle : si tu ne sais pas, tente-les l\u0026rsquo;une après l\u0026rsquo;autre, tu ne risques rien à te tromper, la machine redémarre simplement.\nUn menu te liste les supports disponibles. Choisis la ligne qui correspond à ta clé USB (souvent le nom de la marque de la clé, ou une entrée commençant par « UEFI: USB… »). Si tout va bien, tu arrives sur l\u0026rsquo;écran d\u0026rsquo;accueil de l\u0026rsquo;installeur Proxmox.\nSur certaines machines, l\u0026rsquo;ordre de démarrage se règle dans le BIOS (onglet « Démarrage »). L\u0026rsquo;idée est la même : faire passer la clé USB avant le disque interne.\nL\u0026rsquo;assistant, écran par écran L\u0026rsquo;installeur tient en quelques écrans. Je te dis à chaque fois quoi choisir et pourquoi, parce que deux de ces choix t\u0026rsquo;engagent pour la vie de ton serveur.\nÉcran d\u0026rsquo;accueil. Sélectionne « Install Proxmox VE (Graphical) » et valide. Si l\u0026rsquo;écran reste noir ou que l\u0026rsquo;affichage déconne, reviens en arrière et prends « Terminal UI » à la place : mêmes fonctions, meilleure compatibilité matérielle. Pour la grande majorité des mini PC, le mode graphique passe sans souci. L\u0026rsquo;écran d\u0026rsquo;accueil de l\u0026rsquo;installeur. « Install Proxmox VE (Graphical) » est le bon choix par défaut ; « Terminal UI » est le plan B si l\u0026rsquo;affichage pose problème.\nLicence (EULA). Tu lis, tu cliques « I agree ». Rien à décider. Le contrat de licence : Proxmox VE est sous licence libre AGPL v3. Un clic sur « I agree » et on avance.\nDisque de destination — l\u0026rsquo;étape la plus dangereuse. L\u0026rsquo;installeur te demande sur quel disque installer Proxmox. Ce disque sera entièrement effacé et repartitionné. C\u0026rsquo;est ici, et seulement ici, que tu peux te tromper de cible. Le piège classique : la clé USB est encore branchée, donc elle apparaît aussi dans la liste. Repère le bon disque par sa taille — c\u0026rsquo;est le disque interne du mini PC, pas la clé qui est plus petite et porte souvent un nom évident. Prends ton temps, vérifie deux fois. Une fois sûr, clique sur Options : c\u0026rsquo;est là que se joue le choix du système de fichiers. Le choix du disque cible. Ici « /dev/sda (32.00GiB) » — la mention « QEMU HARDDISK » apparaît parce que cette installation a été faite dans une machine virtuelle pour le tuto ; sur ton vrai mini PC, tu liras le nom du fabricant (Samsung, Crucial, Toshiba…). Dans tous les cas : repère le disque par sa taille, pas par son nom.\nLe système de fichiers — ton seul vrai choix technique. Dans Options, le système de fichiers par défaut est ext4 ; ZFS, XFS et BTRFS (en aperçu technologique) sont aussi proposés. Pour toi, sur un mini PC avec un seul disque : ext4, sans hésiter, c\u0026rsquo;est le défaut, tu n\u0026rsquo;y touches pas. Pourquoi je tranche aussi net : ext4 convient à la plupart des usages ; ZFS apporte snapshots et redondance mais réclame beaucoup plus de RAM (environ 4 Go, plus 1 Go par To de disque) et n\u0026rsquo;a d\u0026rsquo;intérêt qu\u0026rsquo;avec plusieurs disques. Sur une machine à un seul disque, l\u0026rsquo;activer ne t\u0026rsquo;apporte rien et te coûte de la mémoire que tes futures machines virtuelles voudront. ZFS est excellent, ce sera un sujet d\u0026rsquo;article à part entière le jour où ton homelab grandira — pas aujourd\u0026rsquo;hui. Ferme Options, continue.\nPays, fuseau horaire, clavier. L\u0026rsquo;installeur autodétecte la plupart de ces réglages. Vérifie quand même : France, Europe/Paris, clavier français. Un clavier mal réglé ici et tu taperas ton mot de passe de travers à l\u0026rsquo;étape suivante sans le voir.\nLocalisation : France, Europe/Paris, clavier French. Souvent déjà bon par autodétection — on vérifie quand même, surtout le clavier.\nMot de passe root et e-mail. Le compte root, c\u0026rsquo;est le contrôle total de la machine — il sert à te connecter à l\u0026rsquo;interface web et en SSH. Ce n\u0026rsquo;est pas un mot de passe à bâcler : c\u0026rsquo;est la clé de tout ton serveur. Mets-en un solide, long, que tu notes dans ton gestionnaire de mots de passe immédiatement. Pour l\u0026rsquo;e-mail, mets une vraie adresse : ce n\u0026rsquo;est pas du spam, Proxmox s\u0026rsquo;en sert pour t\u0026rsquo;alerter quand une sauvegarde échoue ou qu\u0026rsquo;un disque montre des signes de faiblesse. Tu veux recevoir ces mails-là. L\u0026rsquo;écran du mot de passe root et de l\u0026rsquo;adresse e-mail. L\u0026rsquo;installeur propose « mail@example.invalid » par défaut — remplace-le par une vraie adresse, c\u0026rsquo;est par là que Proxmox t\u0026rsquo;alertera des incidents.\nConfiguration réseau — l\u0026rsquo;écran qui fait peur, et le seul vrai piège. Respire : cet écran arrive presque toujours déjà rempli. En démarrant, l\u0026rsquo;installeur a demandé une adresse à ta box et a pré-rempli l\u0026rsquo;IP, la passerelle et le DNS tout seul. Tu n\u0026rsquo;as pas une page blanche pleine de jargon — tu as des valeurs proposées à vérifier. Trois champs, trois réflexes :\nLa passerelle : laisse-la telle quelle. C\u0026rsquo;est l\u0026rsquo;adresse de ta box (du type 192.168.1.1), trouvée correctement par l\u0026rsquo;installeur — la même que tu taperais dans un navigateur pour aller sur son interface d\u0026rsquo;administration. C\u0026rsquo;est ton repère : tout ton réseau maison vit dans la même famille d\u0026rsquo;adresses qu\u0026rsquo;elle.\nLe DNS — un choix qui n\u0026rsquo;est pas neutre. L\u0026rsquo;installeur a pré-rempli le DNS de ta box, et la voie facile serait de le laisser. Sauf que le DNS, c\u0026rsquo;est ce qui voit toutes les requêtes que ton serveur va faire — chaque nom de domaine consulté passe par là. Le confier à ton FAI, c\u0026rsquo;est lui donner un journal de l\u0026rsquo;activité de ta machine, sans contrepartie. Tu peux faire un autre choix, et c\u0026rsquo;est ce que je fais ici : 9.9.9.9 (Quad9). Hébergé en Suisse, qui ne loggue pas les requêtes pour les revendre, et qui bloque au passage les domaines de malwares connus. Trois bénéfices à la place d\u0026rsquo;un compromis. Si tu préfères Cloudflare (1.1.1.1) ou un autre, le principe reste : un DNS public que tu as choisi, plutôt que celui que ton opérateur t\u0026rsquo;a imposé par défaut. C\u0026rsquo;est le premier geste de souveraineté numérique sur ce serveur.\nL\u0026rsquo;interface : prends ta carte filaire. Les interfaces actives sont marquées d\u0026rsquo;un rond plein — c\u0026rsquo;est celle où ton câble est branché.\nL\u0026rsquo;adresse IP — le seul vrai piège du tuto ici. L\u0026rsquo;adresse pré-remplie a été empruntée à ta box, mais Proxmox va la figer définitivement. Le souci : ta box ignore qu\u0026rsquo;elle est figée, et un jour elle pourrait la redonner à un autre appareil — conflit, Proxmox injoignable, et tu n\u0026rsquo;y comprends rien des mois plus tard. La parade est simple : garde les trois premiers nombres identiques (ils définissent ton réseau), mais change le dernier pour un nombre élevé, genre 50 ou 200. Si l\u0026rsquo;écran propose 192.168.1.137, mets 192.168.1.50. Les box distribuent rarement les adresses hautes : tu t\u0026rsquo;évites le conflit. Note cette adresse — c\u0026rsquo;est elle que tu taperas dans ton navigateur, pour toujours, pour piloter ton serveur.\nLe nom d\u0026rsquo;hôte : un nom complet du type pve.home.lan. C\u0026rsquo;est juste le nom de ta machine ; le suffixe .home.lan est parfait pour un homelab, aucun DNS réel requis. Et tu ne peux renseigner qu\u0026rsquo;une adresse IPv4 ou IPv6, pas les deux : reste en IPv4, largement suffisant ici.\nL\u0026rsquo;écran réseau. Hostname HMT.home.lan, IP 192.168.1.51 (dernier nombre choisi pour éviter le conflit DHCP), passerelle 192.168.1.1 (la box), DNS 9.9.9.9 (Quad9, choisi à la place du DNS opérateur).\nRécapitulatif. L\u0026rsquo;installeur résume tous tes choix : relis chaque ligne, le bouton Previous permet de corriger. C\u0026rsquo;est ta dernière sortie de secours avant l\u0026rsquo;effacement du disque. Relis surtout le disque cible et l\u0026rsquo;IP. Quand tout est bon, Install. Le récapitulatif final. Relis surtout deux lignes : « Disk(s) » (le bon disque ?) et « IP CIDR » (l\u0026rsquo;adresse que tu viens de choisir). C\u0026rsquo;est le dernier point de non-retour.\nÇa tourne, puis ça redémarre L\u0026rsquo;installeur formate le disque et copie les paquets — quelques minutes selon la vitesse du disque. Tu n\u0026rsquo;as rien à faire. À la fin, il te demande de retirer le média et redémarre.** Retire la clé USB maintenant**, sinon le mini PC risque de redémarrer dessus et de te reproposer l\u0026rsquo;installeur en boucle.\nAprès le redémarrage, l\u0026rsquo;écran n\u0026rsquo;affiche plus une interface graphique mais une simple ligne de connexion en mode texte, accompagnée d\u0026rsquo;une adresse du type https://192.168.1.50:8006.** C\u0026rsquo;est normal, ce n\u0026rsquo;est pas une erreur.** Proxmox ne se pilote pas depuis cet écran : il se pilote depuis le navigateur d\u0026rsquo;un autre ordinateur. Note l\u0026rsquo;adresse affichée, débranche écran et clavier si tu veux — le mini PC peut désormais vivre dans son coin. La suite se passe ailleurs.\nL\u0026rsquo;écran après installation : austère, en texte, et c\u0026rsquo;est voulu. Note bien l\u0026rsquo;adresse affichée (ici https://192.168.1.51:8006) — c\u0026rsquo;est par là que tout se passera désormais.\n5. Première connexion : l\u0026rsquo;interface web et le popup qui inquiète tout le monde Rejoindre ton serveur depuis ton ordinateur Retourne sur ton ordinateur habituel, sur le même réseau que le mini PC. Ouvre ton navigateur et tape l\u0026rsquo;adresse notée à la fin de l\u0026rsquo;installation, du type https://192.168.1.50:8006. Le https:// et le :8006 ne sont pas optionnels : sans eux, ça ne répond pas.\nPremier accroc, attendu : ton navigateur affiche un gros avertissement de sécurité, « connexion non privée » ou « risque potentiel ».** C\u0026rsquo;est normal, et ça ne veut pas dire que c\u0026rsquo;est dangereux.** Proxmox génère son propre certificat, signé par lui-même, parce qu\u0026rsquo;il vient de naître et que personne d\u0026rsquo;extérieur ne l\u0026rsquo;a encore certifié. Sur ton réseau local, entre ton navigateur et ton propre serveur, ça ne pose aucun problème de sécurité réel. Tu passes l\u0026rsquo;avertissement : « Avancé » puis « Continuer » sous Chrome, « Accepter le risque » sous Firefox. Mettre un vrai certificat reconnu est possible et utile dans certains cas — ce sera un sujet d\u0026rsquo;article plus tard, pas aujourd\u0026rsquo;hui.\nL\u0026rsquo;avertissement de certificat à la première connexion. Pas une attaque : Proxmox a signé son propre certificat, c\u0026rsquo;est normal sur ton réseau local. « Avancé » puis « Accepter le risque » pour passer.\nTu arrives sur l\u0026rsquo;écran de connexion. Identifiant root, le mot de passe que tu as défini à l\u0026rsquo;installation, et le champ « Realm » sur « Linux PAM standard authentication ». Tu es dans l\u0026rsquo;interface de ton serveur.\nL\u0026rsquo;écran de connexion web. Identifiant : root. Mot de passe : celui défini à l\u0026rsquo;installation. Realm : « Linux PAM standard authentication ».\nLe popup « No valid subscription » : ce que c\u0026rsquo;est vraiment Première chose à l\u0026rsquo;écran : une fenêtre annonce que tu n\u0026rsquo;as pas d\u0026rsquo;abonnement valide. Beaucoup de débutants paniquent ici, croient avoir une version d\u0026rsquo;essai, une bombe à retardement, un truc bridé. Mettons ça au clair, parce que c\u0026rsquo;est exactement le genre de zone grise que ce blog ne passe pas sous silence.\nLe fameux popup « No valid subscription ». Pas une version d\u0026rsquo;essai, pas une limitation : un simple rappel commercial. Clique OK, tu as déjà tout.\nProxmox VE est un logiciel libre et entièrement gratuit. La version gratuite est pleinement fonctionnelle ; les abonnements payants sont optionnels et donnent accès au dépôt « Entreprise » (plus testé) et au support technique professionnel. Tu n\u0026rsquo;as pas une version amputée : tu as tout. Pas de fonction verrouillée, pas de compteur, pas d\u0026rsquo;expiration. Le popup n\u0026rsquo;est pas un avertissement de licence, c\u0026rsquo;est un rappel commercial — l\u0026rsquo;équivalent d\u0026rsquo;un « pensez à nous soutenir » qui s\u0026rsquo;affiche à chaque connexion.\nLe modèle est honnête, et il faut le dire tel quel : Proxmox est une boîte qui développe un logiciel sérieux et doit en vivre. Le deal, c\u0026rsquo;est « gratuit et complet pour tout le monde, payez si vous voulez du support officiel et des mises à jour passées par un cycle de test plus long ».\nPour un homelab d\u0026rsquo;apprentissage, la version gratuite est non seulement suffisante, elle est la norme. Pour une entreprise en production, prendre un abonnement est un choix raisonnable, pas une extorsion. Les deux usages sont légitimes ; à toi de savoir dans lequel tu es. Tu coches « ne plus afficher » si l\u0026rsquo;option est là, ou tu cliques simplement OK, et tu avances.\nPourquoi tu dois quand même agir : le dépôt par défaut ne marchera pas Voilà le vrai point technique, et il est concret. Sur une installation neuve depuis l\u0026rsquo;ISO, Proxmox est configuré pour aller chercher ses mises à jour sur le dépôt Entreprise. Or ce dépôt exige un abonnement : sans abonnement, toute tentative de mise à jour échoue avec une erreur de source de paquets. Si tu ne fais rien, ton serveur ne pourra jamais se mettre à jour. Il faut donc le pointer vers le dépôt sans abonnement, gratuit, qui reçoit les mêmes mises à jour avec un cycle de test un peu plus court. C\u0026rsquo;est parfaitement adapté à un homelab, et c\u0026rsquo;est légitime — ce n\u0026rsquo;est pas un contournement, c\u0026rsquo;est un dépôt que Proxmox fournit officiellement exprès pour ça.\nBasculer le dépôt, proprement, sans toucher au terminal Beaucoup de tutos te font éditer des fichiers en ligne de commande. Inutile et risqué pour un débutant : depuis Proxmox VE 7, la gestion des dépôts se fait directement dans l\u0026rsquo;interface web, panneau Repositories — activer ou désactiver un dépôt y est pris en charge. On reste dans le navigateur.\nDans l\u0026rsquo;arbre à gauche, clique sur ton nœud (le nom de ta machine, ex. pve), puis dans le menu central déroule Updates → Repositories. D\u0026rsquo;abord cliquer sur le nœud (le nom de ta machine, ici « HMT »), puis sur « Repositories » dans le menu central.\nTu vois la liste des dépôts configurés. Sur une installation 9.1 neuve, deux dépôts Entreprise sont actifs : pve-enterprise et ceph-enterprise. Sélectionne chacun des deux et clique sur Disable. Le panneau Repositories sur une install neuve. Les deux dépôts à désactiver sont ceux qui pointent vers enterprise.proxmox.com (pve-enterprise et ceph-enterprise) — bandeau d\u0026rsquo;avertissement jaune en haut. Sélectionne-les un par un et clique Disable.\nClique sur Add. Une fenêtre te propose une liste de dépôts à ajouter : choisis le dépôt No-Subscription et valide. La fenêtre « Add: Repository » : on choisit « No-Subscription ». Sa description confirme que c\u0026rsquo;est le dépôt recommandé hors production, sans clé d\u0026rsquo;abonnement.\nC\u0026rsquo;est tout. Ton serveur ira désormais chercher ses mises à jour sur le dépôt gratuit.\nUne note de fraîcheur, parce que c\u0026rsquo;est exactement là que tu te démarques des vieux tutos : Proxmox VE 9 repose sur Debian 13 et utilise le nouveau format de sources « deb822 » en fichiers .sources, plus les anciens fichiers .list à une ligne. Concrètement, si tu suis un tuto écrit pour la version 8 qui te fait éditer pve-enterprise.list, ce fichier n\u0026rsquo;existe pas pareil chez toi et tu vas t\u0026rsquo;arracher les cheveux. En passant par l\u0026rsquo;interface graphique comme ci-dessus, tu te fiches complètement de ce détail : ça marche quelle que soit la version.\nEt la suppression du popup ? Tu vas trouver partout des scripts qui suppriment le popup pour de bon. Évite, au moins à ce stade : ils modifient un fichier interne de Proxmox et se font écraser à chaque mise à jour — tu empiles de la bidouille sur une machine que tu apprends tout juste à maîtriser, pour gagner un clic à la connexion.\nLe popup n\u0026rsquo;est pas un piège, c\u0026rsquo;est un rappel commercial. Les deux réponses saines : cliquer OK, ça ne coûte rien ; ou, si Proxmox t\u0026rsquo;est vraiment utile sur la durée, prendre un abonnement pour soutenir le projet. Le patcher tout en profitant du gratuit, c\u0026rsquo;est juste du confort.\nTon dépôt est maintenant correct. Il reste une chose à faire avant de considérer ton serveur comme propre : le mettre à jour. On le fait tout de suite, et on le fait dans la section suivante non par hasard, mais parce que mettre à jour est un réflexe de sécurité, pas une formalité.\n6. Mettre à jour et verrouiller : les deux réflexes avant de partir Ton serveur est installé, accessible, son dépôt est correct. Avant de le laisser vivre sa vie, deux gestes. Pas optionnels, pas « quand j\u0026rsquo;aurai le temps » : c\u0026rsquo;est ce qui sépare un serveur qu\u0026rsquo;on subit d\u0026rsquo;un serveur qu\u0026rsquo;on maîtrise.\nMettre à jour : un réflexe de sécurité, pas une corvée On a basculé le dépôt en section 5 précisément pour pouvoir faire ça maintenant. Un système fraîchement installé n\u0026rsquo;est jamais à jour : l\u0026rsquo;ISO a été figé à une date, et depuis, des correctifs de sécurité sont sortis. Tourner sur un Proxmox non patché, c\u0026rsquo;est l\u0026rsquo;exact inverse de la souveraineté technique — tu ne contrôles pas une machine dont tu ignores les failles connues. Les gens qui possèdent réellement leur infra la mettent à jour. C\u0026rsquo;est le premier geste, pas le dernier.\nOn reste dans l\u0026rsquo;interface web, comme pour le dépôt — et ce n\u0026rsquo;est pas qu\u0026rsquo;une question de confort débutant. Proxmox exige une commande de mise à jour précise (apt full-upgrade, pas apt upgrade) : se tromper peut désinstaller des paquets critiques du système. Proxmox bloque d\u0026rsquo;ailleurs explicitement la mauvaise commande avec un avertissement. Le bouton de l\u0026rsquo;interface, lui, lance toujours la bonne séquence : impossible de te tromper. Pour une fois, le clic est objectivement plus sûr que la commande.\nDans l\u0026rsquo;arbre à gauche, clique sur ton nœud (le nom de ta machine), puis dans le menu central :** Updates**.\nClique sur Refresh. Une fenêtre s\u0026rsquo;ouvre et va chercher la liste des paquets à jour disponibles. C\u0026rsquo;est l\u0026rsquo;équivalent d\u0026rsquo;un apt update : ça ne met rien à jour, ça récupère juste l\u0026rsquo;inventaire de ce qui a changé. Ferme la fenêtre quand c\u0026rsquo;est fini.\nL\u0026rsquo;onglet Updates après Refresh : la liste des paquets à mettre à jour. L\u0026rsquo;ordre des trois actions est explicite — (1) sélectionner Updates dans le menu, (2) cliquer Refresh pour récupérer l\u0026rsquo;inventaire, (3) cliquer Upgrade pour lancer la mise à jour.\nClique sur Upgrade en haut. Une console s\u0026rsquo;ouvre et lance la vraie mise à jour — l\u0026rsquo;interface exécute sous le capot la même séquence que la ligne de commande. Réponds « Y » si on te le demande, et laisse faire. La console Upgrade. Elle lance la bonne commande toute seule et te demande de confirmer par « Y ». Aucune commande à taper, aucun risque de se tromper.\nSur une install neuve, il peut y avoir beaucoup de paquets, c\u0026rsquo;est normal. Quand la console indique que c\u0026rsquo;est terminé, c\u0026rsquo;est fait. Si la mise à jour incluait un nouveau noyau, Proxmox te le signalera : un redémarrage est alors nécessaire pour qu\u0026rsquo;il soit réellement utilisé. Tu ne redémarres pas à chaque mise à jour, seulement quand le noyau ou une brique critique a changé — Proxmox te le dit, tu ne devines pas.\nUn mot d\u0026rsquo;honnêteté pour t\u0026rsquo;éviter un piège que d\u0026rsquo;autres tutos ne mentionnent jamais : ce que tu viens de faire, c\u0026rsquo;est une mise à jour de routine dans la même version. C\u0026rsquo;est sûr et c\u0026rsquo;est ce que Proxmox propose lui-même. Une montée de version majeure (passer d\u0026rsquo;une 8 à une 9, par exemple) est une opération complètement différente, plus risquée, qu\u0026rsquo;on ne fait surtout pas via cette console graphique — Proxmox le déconseille explicitement, car elle est interrompue en cours de route. Tu n\u0026rsquo;as pas ce cas aujourd\u0026rsquo;hui, mais maintenant tu sais que ce n\u0026rsquo;est pas le même geste. Ce sera un article à part.\nNe jamais exposer Proxmox sur internet Le second réflexe, et celui-là, grave-le. Ton interface Proxmox, c\u0026rsquo;est le plan de contrôle de tout ton homelab : qui y entre peut tout faire — créer, détruire, lire, éteindre. L\u0026rsquo;exposer directement sur internet, c\u0026rsquo;est-à-dire la rendre joignable depuis l\u0026rsquo;extérieur de ton réseau, c\u0026rsquo;est offrir cette toute-puissance au premier scanner automatique venu. Et il en passe en permanence.\nLa règle est simple et sans exception au stade où tu en es :** ton interface Proxmox reste sur ton réseau local, point**. Tu y accèdes depuis chez toi, sur le même réseau, comme on l\u0026rsquo;a fait. Tu n\u0026rsquo;ouvres aucun port vers elle sur ta box. Tu ne la mets pas « juste deux minutes » accessible de l\u0026rsquo;extérieur pour tester depuis le travail. C\u0026rsquo;est exactement le genre de raccourci qui finit en serveur compromis pendant que tu dors.\n« Mais alors comment j\u0026rsquo;y accède quand je ne suis pas chez moi ? » Bonne question, et la réponse n\u0026rsquo;est pas « je l\u0026rsquo;expose quand même ». La réponse, c\u0026rsquo;est un tunnel privé entre toi et ton réseau — un VPN auto-hébergé type WireGuard — qui te fait entrer dans ton réseau au lieu d\u0026rsquo;ouvrir ton réseau au monde. C\u0026rsquo;est précisément le genre de brique qui mérite son propre article, et qui s\u0026rsquo;inscrit pile dans le créneau de ce blog. Pour aujourd\u0026rsquo;hui, retiens juste le principe :** on n\u0026rsquo;expose pas, on tunnelise**. Le reste viendra.\nUne dernière précision honnête : Proxmox embarque un pare-feu intégré, mais ne te crois pas protégé par défaut pour autant. Le configurer correctement est un sujet à part entière, et surtout un pare-feu n\u0026rsquo;a jamais été une autorisation d\u0026rsquo;exposer le plan de contrôle. La vraie protection à ton niveau, ce n\u0026rsquo;est pas une règle de pare-feu sophistiquée, c\u0026rsquo;est de ne pas mettre la cible dehors. Simple, et radicalement efficace.\nÀ ce point, tu as un Proxmox installé, accessible, à jour et que tu sais ne pas mettre en danger. C\u0026rsquo;est un socle propre. Le reste de ton homelab se construira dessus.\n7. Questions fréquentes Proxmox est-il vraiment gratuit ? Oui, entièrement. Proxmox VE est un logiciel libre, gratuit, sans version bridée ni fonction verrouillée. Les abonnements payants sont optionnels : ils donnent accès au support officiel et à un dépôt de mises à jour passé par un cycle de test plus long, utile en production d\u0026rsquo;entreprise. Pour un homelab, la version gratuite n\u0026rsquo;est pas un pis-aller, c\u0026rsquo;est la norme. Le popup « No valid subscription » à la connexion est un rappel commercial, pas une limitation.\nQuelle taille de clé USB faut-il pour installer Proxmox ? Au moins 4 Go. L\u0026rsquo;ISO de Proxmox VE 9 pèse près de 2 Go, donc les clés de 1 ou 2 Go que recommandent encore beaucoup de vieux tutos ne suffisent plus. N\u0026rsquo;importe quelle clé de 4 Go ou plus fait l\u0026rsquo;affaire ; inutile d\u0026rsquo;investir dans une clé rapide, elle ne sert qu\u0026rsquo;une fois pour l\u0026rsquo;installation.\nRufus ou balenaEtcher pour créer la clé ? Les deux fonctionnent et gèrent correctement l\u0026rsquo;image Proxmox. Sous Windows, Rufus est parfait : les versions actuelles reconnaissent l\u0026rsquo;ISO Proxmox et appliquent automatiquement le bon mode d\u0026rsquo;écriture, tu n\u0026rsquo;as aucun réglage piégeux à choisir (contrairement à ce que racontent de vieux tutos). Sous Linux ou macOS, balenaEtcher fait le même travail en trois clics. Le pas-à-pas complet est dans la section sur la création de la clé.\nFaut-il désactiver le Secure Boot avant d\u0026rsquo;installer Proxmox ? Non, dans la quasi-totalité des cas. C\u0026rsquo;était nécessaire il y a quelques années, plus aujourd\u0026rsquo;hui : depuis Proxmox VE 8.1, le Secure Boot est pris en charge nativement. Beaucoup de tutos, même récents, recopient ce conseil périmé. Ne touche au Secure Boot que si l\u0026rsquo;installeur refuse explicitement de démarrer — pas par précaution inutile.\nProxmox tourne-t-il sur un Raspberry Pi ? Non. Proxmox VE exige une architecture 64 bits x86-64 (processeurs Intel ou AMD) et n\u0026rsquo;est pas compatible avec l\u0026rsquo;architecture ARM du Raspberry Pi. En revanche, un mini PC d\u0026rsquo;occasion à processeur Intel ou AMD est parfaitement adapté, et c\u0026rsquo;est même la machine de départ idéale pour un premier homelab.\nCombien de RAM faut-il pour Proxmox ? Le minimum officiel est très bas (2 Go) mais trompeur : il ne couvre que l\u0026rsquo;évaluation. Compte 4 Go pour démarrer réellement, et vise plutôt 8 Go ou plus si tu veux faire tourner plusieurs machines virtuelles confortablement — le système hôte consomme déjà 1 à 2 Go à lui seul.\nPeut-on installer Proxmox à côté de Windows pour garder les deux ? Non, et c\u0026rsquo;est important : l\u0026rsquo;installeur efface intégralement le disque cible. Il n\u0026rsquo;y a pas de double démarrage Windows/Proxmox. Si tu veux à la fois Windows et Proxmox, la logique s\u0026rsquo;inverse : tu installes Proxmox sur la machine, puis tu fais tourner Windows dans une machine virtuelle au-dessus. Proxmox est le socle, pas un invité.\nQuelle est la différence entre une machine virtuelle et un conteneur LXC ? Une machine virtuelle (VM) émule un ordinateur complet avec son propre système d\u0026rsquo;exploitation : isolation maximale, mais plus lourde. Un conteneur LXC partage le noyau de l\u0026rsquo;hôte : beaucoup plus léger et rapide, idéal pour des services Linux, mais moins isolé. Proxmox sait faire les deux, et savoir lequel choisir selon le besoin sera au cœur du prochain article.\nFaut-il un écran branché en permanence sur le serveur ? Non, seulement le temps de l\u0026rsquo;installation. Une fois Proxmox installé, le mini PC se pilote entièrement depuis le navigateur d\u0026rsquo;un autre ordinateur : tu peux débrancher écran et clavier et le laisser tourner dans un coin. C\u0026rsquo;est tout l\u0026rsquo;intérêt d\u0026rsquo;un serveur.\nConclusion : tu as un serveur, maintenant Reprenons ce que tu viens de faire, parce que ça compte. Tu es parti d\u0026rsquo;un mini PC qui ne servait à rien. Tu en as fait un hyperviseur : tu as vérifié ton matériel, fabriqué une clé d\u0026rsquo;installation propre, vérifié que le fichier téléchargé était bien le bon, installé Proxmox VE 9 écran par écran en comprenant chaque choix, basculé le serveur sur le bon dépôt, mis à jour, et appris la règle qui le gardera en vie — on n\u0026rsquo;expose pas le plan de contrôle.\nCe n\u0026rsquo;est pas rien. La plupart des gens qui « ont un homelab » ont cliqué sur des boutons sans savoir ce qu\u0026rsquo;ils faisaient. Toi, tu sais pourquoi ext4 et pas ZFS sur ta machine, pourquoi le mode DD, pourquoi vérifier une empreinte, pourquoi le popup d\u0026rsquo;abonnement n\u0026rsquo;est pas un piège. C\u0026rsquo;est exactement la différence entre subir sa technique et la maîtriser — et c\u0026rsquo;est tout l\u0026rsquo;objet de ce blog.\nTon mini PC tourne dans son coin, sans écran, joignable depuis ton navigateur. C\u0026rsquo;est un socle propre. Vide, pour l\u0026rsquo;instant : un serveur sans rien dessus ne fait rien. C\u0026rsquo;est normal, et c\u0026rsquo;est là que ça devient intéressant.\nCe qui vient ensuite Un Proxmox installé, c\u0026rsquo;est une page blanche. Un serveur prêt, mais qui ne fait encore rien. La vraie satisfaction, c\u0026rsquo;est le premier service qui tourne dessus et que tu utilises pour de vrai — celui dont l\u0026rsquo;effet se voit dans la journée, sur tous les appareils de ta maison à la fois. Ce sera Pi-hole : ton bloqueur de publicités et de trackers à l\u0026rsquo;échelle du réseau entier.\nD\u0026rsquo;ici là, ton travail est fait : tu as un serveur qui t\u0026rsquo;attend. Laisse-le tourner, reconnecte-toi à l\u0026rsquo;interface, balade-toi dans les menus sans rien casser. Se familiariser avec un outil éteint la peur de l\u0026rsquo;outil. C\u0026rsquo;est le meilleur usage que tu puisses faire de la semaine qui vient.\nTu as installé Proxmox en suivant ce guide ? Tu as buté sur une étape, ou un point mériterait d\u0026rsquo;être clarifié ? Dis-le — ce sont les retours qui rendent ces tutos meilleurs.\nTa tech, tes règles, ta liberté.\n","permalink":"https://homemadetech.fr/posts/installer-proxmox/","summary":"\u003cp\u003eTu as un mini PC qui prend la poussière, ou tu viens d\u0026rsquo;en acheter un d\u0026rsquo;occasion exprès pour ça. Dans une grosse demi-heure, ce ne sera plus un PC : ce sera un serveur. Un vrai — capable de faire tourner plusieurs machines en même temps, que tu pilotes depuis le navigateur de ton ordinateur habituel, chez toi, sans payer un abonnement à personne.\u003c/p\u003e\n\u003cp\u003ePour y arriver, on va installer \u003cstrong\u003eProxmox VE 9\u003c/strong\u003e, un système gratuit et open source dont le seul métier est de faire tourner d\u0026rsquo;autres systèmes. On appelle ça un hyperviseur : au lieu d\u0026rsquo;installer Windows ou Linux sur ta machine, tu installes Proxmox, et c\u0026rsquo;est \u003cem\u003elui\u003c/em\u003e qui héberge ensuite autant de machines virtuelles que ton matériel le permet. Si le mot « homelab » ou l\u0026rsquo;intérêt de la démarche ne te parle pas encore, commence plutôt par \u003ca href=\"/posts/qu-est-ce-qu-un-homelab/\"\u003enotre article sur le homelab\u003c/a\u003e : ici, on part du principe que tu sais \u003cem\u003epourquoi\u003c/em\u003e tu fais ça, et on s\u0026rsquo;occupe du \u003cem\u003ecomment\u003c/em\u003e.\u003c/p\u003e","title":"Installer Proxmox VE 9 pas à pas : transforme un mini PC en serveur"},{"content":"Google sait à quelle heure tu te lèves. Netflix décide de ce que tu vas regarder ce soir. Ton thermostat parle à un serveur en Chine. Tes photos de vacances dorment chez Amazon. Et ton gestionnaire de mots de passe — celui que tu utilises justement pour qu\u0026rsquo;on ne te les vole pas — vit chez une entreprise dont tu ne connais pas le PDG.\nTu sens que quelque chose cloche. Tu n\u0026rsquo;es pas parano. Tu n\u0026rsquo;es pas non plus prêt à tout débrancher du jour au lendemain. Tu veux juste, doucement, reprendre la main sur ce qui t\u0026rsquo;appartient — sans devoir devenir ingénieur système ni signer un pacte de renoncement avec le numérique.\nC\u0026rsquo;est exactement ce que permet un homelab.\nUn homelab, c\u0026rsquo;est ton cloud, ton serveur média, ton bouclier réseau et ton terrain de jeu — tout ça, chez toi, sur ton matériel, sous tes règles. Ça peut tenir dans un mini-PC à 200 €, voire dans un vieux laptop qui prend la poussière dans un placard. Et contrairement à ce qu\u0026rsquo;on lit partout, ce n\u0026rsquo;est pas un truc d\u0026rsquo;admin système. C\u0026rsquo;est une affaire de personnes qui veulent garder la main sur leur indépendance et leurs données.\nDans cet article, on va voir concrètement ce qu\u0026rsquo;est un homelab, ce qu\u0026rsquo;il remplace dans ta vie numérique, combien ça coûte vraiment, et par où commencer si tu pars de zéro.\n1. C\u0026rsquo;est quoi un homelab, vraiment ? Si tu cherches « homelab » sur Google, tu trouveras un truc du genre : un serveur installé chez soi pour tester des configurations de matériel, de systèmes d\u0026rsquo;exploitation, etc. C\u0026rsquo;est juste, mais c\u0026rsquo;est sec. Et surtout, ça ne dit rien de pourquoi quelqu\u0026rsquo;un de normal en monterait un en 2026.\nDans la plupart des articles que tu vas croiser, le homelab est présenté comme un bac à sable pour apprendre l\u0026rsquo;informatique. Un terrain de jeu pour futurs ingénieurs, étudiants en BTS, admins sys en herbe. « Un endroit où échouer en privé », comme disent les anglophones. Cette définition est vraie.\nElle n\u0026rsquo;est juste pas la mienne.\nIci, sur Home Made Tech, un homelab c\u0026rsquo;est autre chose. C\u0026rsquo;est un acte.\nC\u0026rsquo;est le geste, petit ou gros, par lequel tu reprends la main sur tes outils numériques. Tu ranges tes photos chez toi au lieu de chez Amazon. Tu regardes tes films depuis ta propre bibliothèque au lieu de prier pour que Netflix ne les retire pas. Tu fais tourner ton gestionnaire de mots de passe sur une machine que tu peux toucher. L\u0026rsquo;apprentissage vient avec, c\u0026rsquo;est inévitable et c\u0026rsquo;est tant mieux — mais ce n\u0026rsquo;est pas le but. Le but, c\u0026rsquo;est l\u0026rsquo;indépendance.\nConcrètement, à quoi ça ressemble ? Un homelab, c\u0026rsquo;est un ou plusieurs ordinateurs allumés chez toi, sur lesquels tournent des services que tu utilises au quotidien. Ces ordinateurs peuvent être :\nun vieux laptop qui prenait la poussière, un mini-PC neuf de la taille d\u0026rsquo;un livre de poche, un Raspberry Pi à 80 €, un NAS prêt à l\u0026rsquo;emploi, ou plus tard, plusieurs machines qui se parlent entre elles. Peu importe le matériel. Ce qui définit un homelab, c\u0026rsquo;est ce que tu en fais et pourquoi.\nUne précision avant de continuer : tu vas lire partout qu\u0026rsquo;il faut bien distinguer homelab (l\u0026rsquo;infrastructure à la maison) et self-hosting (le fait d\u0026rsquo;héberger ses propres services, parfois sur un serveur loué ailleurs — un VPS, par exemple). C\u0026rsquo;est un débat légitime entre puristes. Ici, on ne va pas s\u0026rsquo;y attarder. Pour la suite de cet article, homelab = ton infrastructure à la maison, sur laquelle tu héberges tes propres services. Les deux notions se recouvrent largement en pratique, et c\u0026rsquo;est cette zone de recouvrement qui nous intéresse.\nSi tu devais retenir une seule phrase :\nUn homelab, c\u0026rsquo;est ton bout d\u0026rsquo;Internet à toi, posé chez toi. Tu le maîtrises, et il te rend ta liberté.\n2. Ce qu\u0026rsquo;un homelab remplace dans ta vie numérique OK, assez de théorie. Concrètement, qu\u0026rsquo;est-ce que tu fais avec un homelab ? Tu remplaces des services que tu utilises tous les jours, qui appartiennent à des entreprises qui ne te veulent pas forcément du mal, mais qui ne te veulent pas non plus que du bien.\nVoici les remplacements les plus courants. Pour chacun, je te dis honnêtement ce que tu gagnes et ce que tu perds — parce que t\u0026rsquo;embarquer dans une migration en te promettant le paradis serait te mentir.\nTes fichiers : Google Drive, Dropbox, iCloud → Nextcloud Tu héberges ton propre cloud de fichiers. Synchro automatique sur ton ordi et ton téléphone, partage par lien, calendrier et contacts si tu veux. Ce que tu gagnes : un espace illimité (selon tes disques), tes fichiers chez toi, aucune analyse de leur contenu. Ce que tu perds : la fluidité de la collaboration temps réel à plusieurs sur un même document. Nextcloud sait le faire, mais ça reste moins léché que Google Docs.\nTes photos : Google Photos, iCloud Photos → Immich En 2026, Immich est devenu sérieusement crédible. Reconnaissance faciale, recherche par objet (« plage », « chien »), apps iOS/Android natives, sauvegarde automatique depuis ton téléphone. Ce que tu gagnes : tes photos restent chez toi, l\u0026rsquo;IA d\u0026rsquo;analyse tourne sur ton propre serveur. Ce que tu perds : moins de polish sur certains détails, et c\u0026rsquo;est à toi de gérer les sauvegardes (si ton disque crashe et que t\u0026rsquo;as pas de backup, tes souvenirs partent avec).\nTes films et séries : Netflix, Disney+, Prime → Jellyfin Tu te constitues ta propre bibliothèque, accessible depuis n\u0026rsquo;importe quel appareil chez toi. Ce que tu gagnes : plus d\u0026rsquo;abonnements qui s\u0026rsquo;empilent, plus de contenus qui disparaissent du catalogue parce qu\u0026rsquo;un contrat a expiré, plus de pubs. Ce que tu perds : la découverte algorithmique du dimanche soir et le catalogue mondial à la demande. Tu deviens responsable de ce que tu regardes — pour beaucoup, c\u0026rsquo;est un gain, pas une perte.\nNote : Plex existe aussi, mais en 2025 ils ont doublé le tarif lifetime à 250 $ et fait passer le streaming à distance en option payante. Jellyfin reste 100 % gratuit, ouvert, sans compte cloud. Choix évident en 2026.\nTa musique et tes audiobooks : Spotify, Audible → Navidrome, Audiobookshelf Même logique que pour la vidéo. Tu écoutes ce que tu possèdes. Ce que tu gagnes : zéro abonnement, zéro tracking de ton humeur musicale. Ce que tu perds : les playlists algorithmiques infinies. Si tu vis dans « Discover Weekly », la transition sera frustrante.\nTa domotique : Alexa, Google Home → Home Assistant Probablement le remplacement le plus puissant du lot. Ce que tu gagnes : tout fonctionne en local, sans serveur distant, avec une compatibilité massive de matériel. Plus jamais ton ampoule qui refuse de s\u0026rsquo;allumer parce que les serveurs de la marque sont down. Ce que tu perds : le côté « plug-and-play ». Home Assistant demande un vrai effort d\u0026rsquo;apprentissage initial. C\u0026rsquo;est un des projets les plus gratifiants, mais aussi l\u0026rsquo;un des plus exigeants.\nTes mots de passe : 1Password, LastPass → Vaultwarden Compatible avec les apps Bitwarden (iOS, Android, navigateurs). Ce que tu gagnes : tes mots de passe chez toi, gratuit, fonctionnalités premium incluses. Ce que tu perds : quasiment rien. C\u0026rsquo;est le remplacement le plus indolore de cette liste, et probablement par lequel commencer.\nEt l\u0026rsquo;IA ? ChatGPT, Claude → Ollama, Open WebUI Tu peux faire tourner des modèles d\u0026rsquo;IA en local. Ce que tu gagnes : aucune de tes conversations ne part chez OpenAI ou Anthropic. Ce que tu perds : beaucoup. Les modèles que tu peux faire tourner chez toi en 2026 sont impressionnants pour leur taille, mais ils ne rivalisent pas avec les modèles cloud de dernière génération. C\u0026rsquo;est un terrain d\u0026rsquo;avenir, à explorer une fois tes fondations posées — pas la première brique.\nUn mot sur la sécurité. Remplacer ses services, c\u0026rsquo;est un premier pas. Mais un homelab sérieux implique aussi un travail de fond — pare-feu correctement configuré, journaux de ce qui se passe sur ton réseau, double authentification partout, sauvegardes vérifiées. C\u0026rsquo;est un sujet en soi, qu\u0026rsquo;on traite dans des articles dédiés. Pour l\u0026rsquo;instant, retiens ce principe : plus tu héberges chez toi, plus tu deviens responsable de ce qui s\u0026rsquo;y passe. C\u0026rsquo;est le revers de la médaille mais aussi le prix de la liberté.\nTu remarques le schéma : sur la plupart de ces services, tu ne perds quasiment rien sur l\u0026rsquo;usage de tous les jours. Tu gagnes ton indépendance, et tu acceptes une part de responsabilité.\n3. Pourquoi ça bouge maintenant Disons-le franchement : le self-hosting n\u0026rsquo;est pas mainstream. Pas en 2026, et probablement pas dans cinq ans. Si tu te lances, tu rejoins une petite communauté. Mais cette minorité grossit, et elle grossit pour des raisons précises, pas par mode passagère.\nTrois signaux convergent.\nLes prix montent, les modèles se durcissent Les services cloud sur lesquels tu t\u0026rsquo;appuies tous les jours ne sont pas figés. Ils évoluent — généralement dans le sens du portefeuille de l\u0026rsquo;éditeur, pas du tien.\nGoogle Photos : le palier gratuit de 15 Go n\u0026rsquo;a quasiment pas bougé en dix ans, pendant que la taille moyenne d\u0026rsquo;une photo a doublé. Résultat mécanique : tu finis par payer. Plex : en avril 2025, le tarif « à vie » est passé de 119 $ à 250 $, et le streaming à distance — la fonctionnalité de base — est devenu payant. Même dans le monde pro, des géants comme VMware ont fait flamber leurs tarifs après un rachat — provoquant un mouvement de fuite vers des alternatives ouvertes comme Proxmox, qu\u0026rsquo;on retrouve dans la plupart des homelabs. Tu n\u0026rsquo;as aucun contrôle sur ces changements. Tu n\u0026rsquo;as même pas voix au chapitre.\nLes services se referment Au-delà du prix, c\u0026rsquo;est la trajectoire qui inquiète. Des fonctionnalités qui étaient gratuites passent en option payante. Des comptes « lifetime » deviennent « lifetime + abonnement actif ». Des services s\u0026rsquo;éteignent du jour au lendemain (Google a un cimetière à part entière). Des contenus disparaissent des catalogues de streaming parce qu\u0026rsquo;un contrat a expiré.\nTu ne possèdes rien. Tu loues l\u0026rsquo;accès, et le bailleur peut changer les règles quand il veut.\nLa communauté grossit, et les outils ont mûri Il y a trois ans, monter un homelab demandait un week-end de bricolage, des connaissances Linux solides, et beaucoup de patience. En 2026, ce n\u0026rsquo;est plus vrai. Quelques chiffres pour situer :\nLe forum r/selfhosted a doublé en taille entre 2023 et 2024, passant de 84 000 à plus de 136 000 membres, et continue de croître. Jellyfin dépasse désormais Plex sur les nouvelles installations dans un rapport de deux contre un. Immich, l\u0026rsquo;alternative à Google Photos, a atteint sa première version stable fin 2025. En mars 2026, la version 2.6 est sortie avec une qualité d\u0026rsquo;usage qui rivalise avec Google. Home Assistant, Nextcloud, Proxmox : tous matures, documentés, traduits. Le matériel a suivi le même chemin. Un mini-PC neuf à 150 €, consommant 15 W, suffit à faire tourner la moitié des services évoqués dans la section précédente.\nCe qui change, en réalité, ce n\u0026rsquo;est pas que les gens « se réveillent ». C\u0026rsquo;est que le décalage entre ce que les grandes plateformes promettent et ce qu\u0026rsquo;elles offrent vraiment devient de plus en plus visible — au moment précis où les alternatives deviennent réellement accessibles.\nTu peux rejoindre ce mouvement maintenant, pendant que le terrain est encore en construction. Ou attendre qu\u0026rsquo;on te force la main dans cinq ans, quand ton abonnement préféré aura triplé et que ton service favori aura disparu.\n4. Les cinq piliers d\u0026rsquo;un homelab Un homelab, ce n\u0026rsquo;est pas un seul outil ni un seul usage. C\u0026rsquo;est une infrastructure, et toute infrastructure repose sur des fondations. Pour t\u0026rsquo;aider à visualiser ce que tu peux faire, voici les cinq piliers fonctionnels d\u0026rsquo;un homelab. Tu peux n\u0026rsquo;en activer qu\u0026rsquo;un seul au début, ou trois, ou les cinq. Aucune obligation. Aucun ordre figé.\n🗄️ Stocker Garder tes fichiers, tes photos, tes sauvegardes — tout ce qui compose ta vie numérique — sous ton toit. C\u0026rsquo;est généralement le point d\u0026rsquo;entrée du homelab, et souvent celui qui change le plus de choses au quotidien. Outils typiques : un NAS (Synology, TrueNAS, Unraid), ou simplement Nextcloud sur n\u0026rsquo;importe quelle machine.\n🎬 Diffuser Écouter, regarder, lire ce que tu possèdes, depuis n\u0026rsquo;importe quel appareil de la maison. Ton propre Netflix, ta propre médiathèque, ta propre bibliothèque audio. Outils typiques : Jellyfin pour la vidéo, Navidrome pour la musique, Audiobookshelf pour les livres audio et les podcasts.\n🛡️ Sécuriser Bloquer ce que tu ne veux pas voir entrer, gérer ce qui sort, garder l\u0026rsquo;œil sur ce qui se passe. Pubs, trackers, mots de passe, accès à distance sécurisé. Outils typiques : Pi-hole ou AdGuard Home pour le filtrage réseau, Vaultwarden pour les mots de passe, Wireguard pour ton VPN personnel.\n🤖 Automatiser Faire en sorte que ta maison, tes routines, tes données s\u0026rsquo;occupent d\u0026rsquo;elles-mêmes quand c\u0026rsquo;est possible. Allumer les lumières, sauvegarder un dossier toutes les nuits, déclencher une action quand tu rentres chez toi. Outils typiques : Home Assistant pour la domotique, n8n pour automatiser des flux entre services.\n🧪 Expérimenter L\u0026rsquo;aspect « bac à sable » qu\u0026rsquo;on retrouve dans toutes les définitions classiques du homelab. Tester une nouvelle distribution Linux, monter une machine virtuelle jetable, jouer avec un modèle d\u0026rsquo;IA local. Outils typiques : Proxmox comme hyperviseur, Docker pour conteneuriser, Ollama pour l\u0026rsquo;IA locale.\nTu remarqueras que les quatre premiers piliers couvrent ce que tu fais déjà aujourd\u0026rsquo;hui avec des services cloud. Le cinquième, « Expérimenter », est le bonus — celui qui te donne les moyens de comprendre tes outils en profondeur, si tu le souhaites un jour.\nPersonne ne te demande de tout activer en même temps. Un homelab se construit par couches. C\u0026rsquo;est une aventure. Tu peux très bien démarrer avec le Stockage uniquement, et y rester un an avant d\u0026rsquo;ajouter un deuxième pilier.\n5. Combien ça coûte vraiment C\u0026rsquo;est la question qui freine la plupart des gens. La réponse honnête : de 0 € à plusieurs milliers d\u0026rsquo;euros, selon où tu places le curseur. Voilà trois paliers concrets pour situer.\nPalier 1 : 0 € — Tu utilises ce que tu as Tu as un vieux laptop dans un placard ? Un ancien PC de bureau qui traîne depuis que tu es passé sur portable ? C\u0026rsquo;est ton homelab. Tu installes une distribution Linux (Ubuntu Server, Debian) ou même un système comme TrueNAS Scale, tu y ajoutes Docker, et tu peux déjà faire tourner Nextcloud, Jellyfin, Vaultwarden, Pi-hole. Aucune dépense.\nLe piège honnête : un vieux laptop consomme souvent 30 à 50 W en permanence, contre 8 à 15 W pour un mini-PC moderne. Sur un an, allumé 24h/24, ça fait une différence d\u0026rsquo;environ 50 à 80 € sur ta facture d\u0026rsquo;électricité. Le « gratuit » n\u0026rsquo;est gratuit que les premiers mois.\nPalier 2 : 150 à 300 € — Le mini-PC dédié C\u0026rsquo;est le point d\u0026rsquo;entrée recommandé en 2026, et de loin le meilleur rapport investissement/résultat. Pour environ 150 €, tu trouves un mini-PC neuf à base d\u0026rsquo;Intel N100 (Beelink, MinisForum, GMKtec), livré avec 16 Go de RAM et 500 Go de SSD. La taille d\u0026rsquo;un livre de poche, silencieux, environ 10 W de consommation.\nAvec ça tu fais tourner sans difficulté une dizaine de services en simultané : ton cloud personnel, ton serveur de médias, ton bloqueur de pubs réseau, ton gestionnaire de mots de passe, ta domotique. Tu peux y rester plusieurs années avant d\u0026rsquo;avoir besoin de plus.\nVariante intéressante : un mini-PC d\u0026rsquo;occasion d\u0026rsquo;entreprise (Lenovo M720q Tiny, HP EliteDesk Mini, Dell OptiPlex Micro) autour de 80 à 130 € sur le marché de l\u0026rsquo;occasion. Performances souvent supérieures au N100, mais consommation un peu plus élevée.\nPalier 3 : 500 à 1 500 € — L\u0026rsquo;infrastructure complète Si tu veux séparer les rôles, le palier suivant ressemble à : un NAS dédié (Synology, ou TrueNAS sur du matériel maison) pour le stockage, un mini-PC pour les services, un switch réseau intelligent, et éventuellement un boîtier OPNsense en frontal pour la sécurité. Compte 800 à 1 500 € pour un setup complet, robuste, dimensionné pour durer cinq à dix ans.\nC\u0026rsquo;est rarement le point de départ — c\u0026rsquo;est ce vers quoi on tend après deux ou trois ans.\nLes coûts qu\u0026rsquo;on ne mentionne jamais Au-delà du matériel, deux postes existent que personne n\u0026rsquo;évoque honnêtement :\nL\u0026rsquo;électricité. Un mini-PC moderne en 24/7 coûte environ 2 à 4 € par mois sur ta facture (tarif français résidentiel 2026). Un vieux serveur reconditionné peut monter à 15-25 € par mois. Pas dramatique, mais à intégrer dans le calcul si tu fais ça pour économiser sur tes abonnements.\nLe temps. C\u0026rsquo;est le vrai coût, et il n\u0026rsquo;est pas chiffrable. Compter quelques week-ends d\u0026rsquo;installation au début, puis une à deux heures de maintenance par mois en rythme de croisière. Si tu n\u0026rsquo;aimes pas apprendre, ce n\u0026rsquo;est probablement pas pour toi. Si tu aimes ça, c\u0026rsquo;est précisément ce qui rend l\u0026rsquo;expérience agréable.\n6. Par où commencer si tu n\u0026rsquo;y connais rien Le piège du débutant en homelab, c\u0026rsquo;est de vouloir tout planifier avant d\u0026rsquo;avoir touché à quoi que ce soit. Ne fais pas ça. Tu vas passer trois mois à comparer des cartes mères, lire des forums sur le ZFS et finir par ne jamais commencer.\nLa règle est simple : prends ce que tu as ou achète le strict minimum, installe un premier service ce week-end, et apprends en faisant. Tu améliores ensuite, projet après projet.\nÉtape 1 : La machine Si tu as un vieux PC ou laptop qui traîne → c\u0026rsquo;est ton homelab. Aucune excuse pour repousser. Quand tu auras gagné en confort et que la facture d\u0026rsquo;électricité te tirera l\u0026rsquo;oreille, tu passeras au mini-PC dédié.\nSi tu pars vraiment de zéro et que tu veux investir d\u0026rsquo;emblée → achète un mini-PC Intel N100 entre 130 et 180 € (Beelink S12 Pro, EQ12, ou modèles équivalents chez MinisForum ou GMKtec). Configuration recommandée : 16 Go de RAM, 500 Go de SSD.\nÉtape 2 : Le système d\u0026rsquo;exploitation Une machine sans système d\u0026rsquo;exploitation, c\u0026rsquo;est du métal qui ne sait rien faire. Tu connais Windows ou macOS — eux aussi sont des systèmes d\u0026rsquo;exploitation. Mais pour un homelab, on n\u0026rsquo;utilise ni l\u0026rsquo;un ni l\u0026rsquo;autre : ils sont lourds, ils envoient tes données ailleurs, ils ne sont pas conçus pour tourner 24h/24 sans surveillance.\nTu vas donc installer un système conçu pour ça, à partir d\u0026rsquo;une clé USB. C\u0026rsquo;est l\u0026rsquo;étape qui fait peur la première fois, et c\u0026rsquo;est aussi celle que tu n\u0026rsquo;auras à faire qu\u0026rsquo;une seule fois.\nL\u0026rsquo;option recommandée : Proxmox. C\u0026rsquo;est un hyperviseur — un système qui te permet de faire tourner plusieurs « machines virtuelles » indépendantes sur la même machine physique. Plus complet, plus flexible à long terme, mais demande un peu plus d\u0026rsquo;apprentissage initial. C\u0026rsquo;est la stack référence des homelabs sérieux.\nÉtape 3 : Ton premier service — Pi-hole Quel que soit le système choisi, ton premier service à installer, c\u0026rsquo;est Pi-hole.\nC\u0026rsquo;est un bloqueur de publicités et de trackers qui s\u0026rsquo;installe au niveau de ton réseau, pas de tes navigateurs. Concrètement : tu l\u0026rsquo;installes sur ta machine, tu changes l\u0026rsquo;adresse DNS de ton routeur pour qu\u0026rsquo;elle pointe vers Pi-hole, et tous les appareils de ta maison — téléphones, télé, tablettes, consoles — n\u0026rsquo;affichent plus de pubs ni de trackers. Sans installer d\u0026rsquo;application sur chacun. Sans abonnement.\nPourquoi c\u0026rsquo;est le bon premier projet :\nL\u0026rsquo;effet est immédiat et visible. Tu verras la différence dans la journée. Le risque est nul. Si quelque chose se passe mal, tu remets l\u0026rsquo;ancien DNS de ton routeur, et tout redevient comme avant en trente secondes. Tu apprends en vrai. Tu touches au DNS, à Docker, à un service qui tourne en arrière-plan. Les bases techniques du homelab, en condensé. C\u0026rsquo;est un acte qui te ressemble. Reprendre la main sur ce qui rentre dans ta maison via le réseau, c\u0026rsquo;est déjà de la souveraineté. Ensuite Une fois Pi-hole en route et stable, tu choisis ton deuxième service en fonction de ce qui te frustre le plus dans ta vie numérique actuelle. Tu paies trop d\u0026rsquo;abonnements de streaming ? Installe Jellyfin. Tes photos saturent Google ? Installe Immich. Tu veux quitter ton gestionnaire de mots de passe cloud ? Installe Vaultwarden.\nUn service à la fois. Bien installé, bien compris, bien sauvegardé. Puis le suivant.\nSur Home Made Tech, je vais documenter chacune de ces installations, étape par étape, sans rien sauter. Proxmox est le sujet de l\u0026rsquo;article suivant.\nReprendre la main, doucement Pendant que tu lisais cet article, Google a continué de savoir à quelle heure tu te lèves demain. Netflix a continué à décider de ce que tu regarderais ce soir. Ton thermostat a continué à parler à son serveur en Chine. Rien de tout ça n\u0026rsquo;a changé.\nMais toi, tu as quelque chose de neuf : tu sais qu\u0026rsquo;il existe une autre voie. Petite, imparfaite, faite à la main. Une voie où tu ne demandes plus la permission, où tu n\u0026rsquo;attends plus la prochaine hausse de tarif, où tu n\u0026rsquo;es plus surpris quand un service ferme ses portes sans prévenir.\nUn homelab, ce n\u0026rsquo;est pas un truc d\u0026rsquo;expert. Ce n\u0026rsquo;est pas un caprice de geek. C\u0026rsquo;est juste une décision — celle de reprendre la main sur des outils qui font partie de ta vie quotidienne. Tu commences avec un vieux laptop ou un petit boîtier à 150 €. Tu installes Proxmox ce week-end, et Pi-hole la semaine d\u0026rsquo;après. Et tu vois ce qui se passe.\nPersonne d\u0026rsquo;autre ne le fera à ta place. Et il n\u0026rsquo;y a pas de meilleur moment pour commencer que maintenant — pendant que les outils sont devenus accessibles, et avant que tes abonnements ne triplent.\nTa tech, tes règles, ta liberté.\n","permalink":"https://homemadetech.fr/posts/qu-est-ce-qu-un-homelab/","summary":"Un homelab, c\u0026rsquo;est ton bout d\u0026rsquo;Internet à toi, posé chez toi. On va voir ce que c\u0026rsquo;est, ce qu\u0026rsquo;il remplace concrètement, combien ça coûte, et par où commencer.","title":"Homelab : c'est quoi, à quoi ça sert, et pourquoi en créer un"}]