be lobo head
LoboGuard

Documentation

Manuel de Configuration LoboGuard

Introduction

Description Générale

LoboGuard est une solution avancée et sécurisée de surveillance, d'alerte, de gestion et de reporting pour les infrastructures Proxmox, utilisant Telegram comme interface de contrôle à distance et d'alerte. Ce manuel fournit un guide complet pour la configuration initiale du système.

Prérequis

  • Accès à Telegram (application mobile, desktop ou web)
  • Clé de licence LoboBrothers valide
  • Serveur LoboGuard déployé et accessible
  • Clusters Proxmox avec accès API depuis LoboGuard

Fonctionnalités Principales

Surveillance

Supervision continue de :

  • CPU et Mémoire
  • Disques et États
  • VMs/LXCs
  • Nœuds
  • Stockage
  • Réseaux
  • Sauvegardes
  • CEPH

Alertes intelligentes

Notifications automatiques via Telegram avec plusieurs types d'alertes :

  • Alertes ressources (CPU, RAM, Disque)
  • Alertes certificats SSL/TLS
  • Alertes synchronisation temps
  • Alertes pare-feu et sécurité
  • Alertes Haute Disponibilité
  • Alertes stockage Ceph et ZFS
  • Alertes sauvegarde et snapshots
  • Alertes abonnement système

Rapports

Manuels et programmés pour :

  • État Général
  • État VM/LXC
  • Stockage
  • Sauvegardes
  • Réseaux
  • Ceph

Architecture de Sécurité Avancée

LoboGuard implémente plusieurs couches de sécurité pour protéger votre infrastructure :

  • Authentification Multi-Facteurs
  • Contrôle d'Accès Granulaire
  • Protection Anti-Force Brute
  • Audit Complet
  • Jetons Uniques
  • Délais d'expiration de Session

Gestion à distance

Contrôle depuis Telegram avec authentification sécurisée :

  • Allumage, extinction, redémarrage VMs/LXCs
  • Gestion et exécution de sauvegardes
  • Gestion et exécution de snapshots

Multi-cluster

Support pour plusieurs environnements Proxmox selon la licence

  • Basic 1 cluster
  • Pro 3 clusters
  • Max 10 clusters

Configuration Bot Telegram

Accès BotFather

Étape 1 : Accéder à l'application Telegram

  1. Ouvrir Telegram (mobile, desktop ou web)
  2. Dans la barre de recherche, taper : @BotFather
  3. Cliquer sur le bot officiel vérifié avec ✅
  4. Appuyer sur START ou envoyer /start

Créer un Nouveau Bot

Étape 1 : Démarrer la création

Commande : /newbot

Étape 2 : Configurer le nom du bot

  • BotFather demanders le nom du bot
  • Répondre avec un nom descriptif : Bot de Gestion LoboGuard

Étape 3 : Configurer le nom d'utilisateur du bot

  • Doit se terminer par "bot"
  • Doit être unique sur toute la plateforme Telegram
  • Ne peut contenir que des lettres, chiffres et underscores
  • Exemple : loboguard_mgmt_bot

Obtenir le Token du Bot

Une fois le processus terminé, BotFather fournira :

IMPORTANT
  • Copier et sauvegarder le token immédiatement
  • NE PAS partager le token avec des tiers
  • Ce token est la clé d'accès à votre bot

IDs Telegram

Obtenir votre ID de Chat Personnel

Méthode 1 : Utiliser un bot auxiliaire

  1. Rechercher @userinfobot dans Telegram
  2. Lui envoyer /start
  3. Le bot répondra avec vos informations :
ID: 123456789 ← Ceci est votre Chat ID
First: Votre Nom
Lang: fr

Méthode 2 : Utiliser votre propre bot

  1. Envoyer /start à votre bot nouvellement créé
  2. Ouvrir dans le navigateur : https://api.telegram.org/bot/getUpdates
  3. Remplacer par votre token de bot
  4. Chercher le champ "id" dans "from": 12345678910

Créer et Configurer un Groupe Privé pour les Alertes

Étape 1 : Créer un groupe privé

  • Créer "Nouveau Groupe" dans Telegram
  • Nom d'exemple : "Alertes LoboGuard"
  • Ajouter les administrateurs qui recevront les alertes

Étape 2 : Ajouter le bot au groupe

  • Aller dans les informations du groupe → Modifier
  • Sélectionner Ajouter des membres
  • Rechercher votre bot : @loboguard_mgmt_bot
  • L'ajouter au groupe

Étape 3 : Configurer les permissions

Dans les informations du groupe :

Envoyer des messages
Envoyer des médias
Épingler des Messages

Obtenir l'ID du Chat de Groupe

Méthode simple : Dans Telegram Web

  • Sélectionner le groupe
  • Dans la barre du navigateur : https://web.telegram.org/k/#-4819707521
  • L'ID du groupe est : -4819707521 (toujours avec signe négatif pour les groupes privés)

Accès Initial et Configuration

Accès au Système

Étape 1 : Accéder au serveur

  • Naviguer vers : https://IP_SERVEUR:8443
  • Exemple : https://192.168.1.139:8443

Étape 2 : Gérer l'avertissement de certificat

Les navigateurs afficheront des avertissements tels que :

  • Chrome : "Votre connexion n'est pas privée"
  • Firefox : "Avertissement : Risque de sécurité potentiel"

Étape 3 : Accepter le certificat

  • Cliquer sur Paramètres avancés
  • Sélectionner Continuer vers [IP] (non sécurisé)
Note de Sécurité

Le certificat auto-signé est sécurisé et un nouveau est généré à chaque installation, bien que si vous voulez éviter les avertissements du navigateur, vous pouvez plus tard télécharger votre propre certificat SSL depuis l'interface d'administration.

Premier Accès et Changement de Mot de Passe

Identifiants par défaut :
Nom d'utilisateur : lobo
Mot de passe : guard

Changement de mot de passe obligatoire : Le système redirigera automatiquement vers le changement de mot de passe.

Exigences du nouveau mot de passe :

Minimum 8 caractères
Une lettre majuscule (A-Z)
Une lettre minuscule (a-z)
Un chiffre (0-9)

Accéder au Panneau de Configuration

Une fois le mot de passe changé :

  1. Cliquer sur Configuration dans le menu du haut
  2. Vous accéderez à l'assistant de configuration étape par étape

Configuration Bot (Assistant)

L'assistant guide à travers 6 étapes essentielles pour configurer complètement LoboGuard.

Configuration Licence (Étape 1/6)

Configuration :

  1. Entrer la clé de licence fournie par LoboBrothers
  2. Cliquer sur Suivant pour valider
Important

Une fois activée sur une machine, la licence ne peut pas être transférée vers une autre. Pour des changements, contacter le support.

Configuration Telegram (Étape 2/6)

Champ Description Exemple
Token Bot Token complet de BotFather 8452961006:AAHWhRkptJ937RgUgd5vC-Ml6biyyrME76I
Chat ID ID personnel pour la gestion 123456789
Chat ID Alertes ID de groupe pour les alertes -123456789 ou -100123456789
Astuce :

S'il y a des problèmes avec l'ID Chat Alertes, essayez d'ajouter le préfixe -100 avant l'ID du groupe, parfois l'ID réel pour l'API est avec -100 devant.

Tester la connexion : Cliquer sur Tester la connexion Telegram. Si réussi, vous recevrez des messages de confirmation dans les deux chats.

Configuration Sécurité (Étape 3/6)

Paramètre Description Recommandation
Secret Bot Clé d'accès initial Utiliser mot de passe sécurisé
ID Admin Super administrateur du bot Votre Chat ID personnel
Durée Bannissement Temps de blocage après échecs 3600 secondes (1 heure)
Tentatives Auth Max Tentatives avant bannissement 5 tentatives
Nombre Bans Max Combien de bans avant ban permanent 3 tentatives
Méthode Confirmation PIN et OTP (pour actions critiques) OTP (plus sécurisé et recommandé en production) PIN (développement ou commodité)
Tentatives PIN Max Tentatives PIN 3 tentatives
Tentatives OTP Max Tentatives code OTP 3 tentatives
Expiration OTP Validité du code 300 secondes (5 min)

Fonctions Admin :

Seul l'admin aura ces fonctionnalités supplémentaires dans Telegram, les autres recevront un message interdit.

  • /auth_status : Voir les utilisateurs authentifiés
  • /reset_auth : Réinitialiser authentifications et bannissements

Configuration Email (Étape 4/6)

Champ Gmail Outlook Personnalisé
Serveur SMTP smtp.gmail.com smtp.outlook.com votre.serveur.smtp
Port SMTP 587 (STARTTLS) 587 (STARTTLS) 587/465/25
Type Sécurité STARTTLS STARTTLS Selon le fournisseur
Nom d'utilisateur vous@gmail.com vous@outlook.com votre.utilisateur
Mot de passe Mot de passe App Mot de passe Normal/App Votre mot de passe
Pour Gmail :

Dans votre compte Gmail :

  1. Activer la vérification en 2 étapes
  2. Générer un mot de passe d'application
  3. Utiliser Configuration Rapide → Preset Gmail (Important, si vous remplissez manuellement, cela ne fonctionnera pas)

Configurer les destinataires OTP : Ajouter les emails qui recevront les codes de vérification pour les actions critiques.

Configuration Surveillance (Étape 5/6)

Fonctionnalités de Surveillance

Surveiller les Abonnements : Activer la surveillance des abonnements et licences système
Surveiller la Synchronisation Temps : Surveiller l'état de synchronisation temps système
Surveiller les Certificats : Surveiller l'expiration des certificats SSL/TLS
Surveiller le Pare-feu : Surveiller l'état du pare-feu et les règles
Surveiller Haute Disponibilité : Surveiller l'état du cluster haute disponibilité. Ajouter le mot "critical" aux notes d'une machine
Surveiller Stockage Ceph : Surveiller le système de stockage distribué Ceph
Surveiller Stockage ZFS : Surveiller les pools ZFS, datasets et état de réplication
Surveiller les Sauvegardes : Surveiller l'âge des sauvegardes
Surveiller les Snapshots : Surveiller l'âge des snapshots

Paramètres de Surveillance de Base

Paramètre Description Valeur par défaut
Intervalle Surveillance (secondes) Fréquence des vérifications d'état système 60 secondes

Seuils de Ressources

Métrique Seuil d'Alerte Temps d'Alerte
Seuil CPU (%) 90% 300 secondes
Seuil RAM (%) 90% 300 secondes
Seuil Disque (%) 90% -

Révision Finale (Étape 6/6)

Vérification finale :

Licence configurée
Telegram configuré
Sécurité configurée
Email configuré (optionnel mais requis pour OTP)
Surveillance configurée (valeurs par défaut utilisées si non modifiées)

Cliquer sur Terminer pour compléter la configuration de base.

Barre d'Actions Rapides :

Nous avons une barre d'actions rapides, où nous pouvons tester la configuration, aller aux logs, sauvegarder notre configuration, exporter, importer et gérer les sauvegardes.

Important :

Cette sauvegarde enregistrera toute la configuration principale de notre bot et les clusters que nous ajouterons ensuite dans la section cluster, car pour le moment notre bot ne démarrerait pas parce que, bien qu'il ait la configuration principale, nous n'avons pas enregistré les clusters que nous voulons gérer, surveiller et rapporter.

Configuration Cluster

Ajouter des Clusters Proxmox

Accéder aux Clusters :

  • Aller au menu Clusters
  • Cliquer sur Ajouter Cluster
Champ Description Exemple
Nom Cluster Nom descriptif PVE-LAB
URL API Point de terminaison Proxmox complet https://192.168.1.211:8006/api2/
Nom d'utilisateur Utilisateur avec permissions API monitor@pve
ID Token Identifiant du token monitorcluster
Secret Token Secret du token API xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Configuration Permissions API

Dans Proxmox VE :

1. Pour surveillance uniquement (lecture seule) :

  • Rôle : PVEAuditor
  • Permissions : Lecture état, ressources et configurations

2. Pour gestion complète :

  • Rôles : PVEAuditor + PVEVMAdmin
  • Permissions : Lecture + contrôle VMs/LXCs + sauvegardes + snapshots

Vérification SSL :

  • ✅ Activé : Pour certificats valides
  • ❌ Désactivé : Pour certificats auto-signés

Test de connexion : Si la configuration est correcte, vous verrez : ✅Connecté avec succès à Proxmox VE X.X.X

Gestion des Exclusions

À quoi ça sert ? Imaginez que vous avez des conteneurs et machines éteints et vous les allumez pour des problèmes ou tests spécifiques, eh bien vous pouvez exclure ces machines ou conteneurs par ID de surveillance. Pareil avec le stockage, nous mettons simplement le nom du stockage.

Types d'exclusions :

  • Machines Virtuelles : Exclure VMs par ID (ex: 100, 101, 102)
  • Conteneurs : Exclure LXCs par ID (ex: 200, 201)
  • Stockage : Exclure stockage par nom (ex: local-lvm, backup-storage)

Cas d'usage :

  • VMs/LXCs de test allumés occasionnellement
  • Stockage temporaire ou de développement
  • Ressources ne nécessitant pas surveillance continue

Une fois ceci fait, nous pourrions démarrer notre bot, pour cela nous allons au tableau de bord.

Démarrer le Bot :

Comme vous pouvez le voir notre bot ne fonctionne pas, nous devons cliquer sur Start pour commencer à travailler.

Une fois démarré dans notre chat Telegram si tout a été correctement configuré il nous dira :

Comme c'est la première fois que nous y accédons, il demandera le bot-secret ou pin selon la méthode sélectionnée en sécurité

Nous ne pourrons pas lui parler jusqu'à ce que nous écrivions notre secret bot ou dans ce cas comme nous avons sélectionné pin en sécurité, le pin. Comme système de sécurité et comme nous l'avons mentionné il a une limite de tentatives et une limite de bans, si vous accomplissez le nombre de bans, c'est-à-dire 3 bans par défaut s'il n'a pas été changé, il sera banni définitivement.

Chaque Ban a différentes phrases amusantes et aléatoires.

Si vous avez sélectionné otp en sécurité, d'abord il demandera le BOT_SECRET et ensuite l'OTP, donc, la sécurité est très élevée.

Important :

Toute modification dans la configuration ou cluster depuis l'interface web, pour qu'elle soit reflétée vous devez aller au tableau de bord et redémarrer le bot.

Avec ceci nous aurions notre bot totalement configuré et fonctionnel. Avant de passer aux fonctionnalités du bot nous allons expliquer le reste des sections de l'interface.

Administration Système

Gestion Certificat SSL

Fonctions disponibles :

  • Voir l'état actuel : Informations certificat actif
  • Télécharger certificat : Télécharger votre propre certificat
  • CSR : Générer CSR pour autorité de certification
  • Générer auto-signé : Créer nouveau certificat temporaire
  • Sauvegarde/Restaurer : Gérer sauvegardes certificats

Administration des Logs

Caractéristiques :

  • Nettoyage manuel : Supprimer logs plus anciens que N jours
  • Nettoyage automatique : Programmé quotidiennement à 02:00
  • Configuration flexible : Rétention personnalisable

Configuration Paramètres Système

Informations Profil :

  • Changement nom d'utilisateur et nom complet
  • Configuration email pour notifications
  • Langue interface et thème

Sécurité :

  • Changement mot de passe
  • Authentification à deux facteurs (2FA)
  • Délai d'expiration session

Configuration Email :

  • SMTP pour notifications interface web
  • Requis pour récupération mot de passe
  • Alertes email pour événements système

Types d'Alertes :

Alertes Connexion : Notifications d'accès
Alertes Sécurité : Événements sécurité
Alertes État Bot : Changements état bot
Alertes Changement Mot de Passe : Changements mot de passe
Alertes Changement Nom Utilisateur : Changements nom utilisateur

Vérification et Test

Tests de Connexion

Démarrer le bot :

  1. Aller au Tableau de bord
  2. Cliquer sur Démarrer Bot
  3. Vérifier état : "En cours d'exécution"

Message de bienvenue :

Le bot enverra des messages de confirmation indiquant :

Licence valide et validité
Clusters activés
Instructions pour commencer (/start)

Dépannage Problèmes Communs

Erreur : "Token bot invalide"

Causes :
  • Token mal copié ou incomplet
  • Espaces supplémentaires au début/fin
  • Token régénéré dans BotFather
Solution :
  • Vérifier token complet sans espaces
  • Régénérer si nécessaire : /mybots → sélectionner bot → API Token → Révoquer token actuel

Erreur : "Chat non trouvé" pour Chat ID

Causes :
  • ID incorrect ou non initialisé
  • Bot bloqué par utilisateur
  • N'a pas envoyé /start au bot
Solution :
  • Envoyer /start au bot personnel
  • Vérifier que le bot n'est pas bloqué
  • Confirmer ID positif pour chats personnels

Erreur : "Chat non trouvé" pour Chat ID Alertes

Causes :
  • Bot pas ajouté au groupe
  • ID groupe incorrect
  • Préfixe -100 manquant
Solution :
  • Vérifier que le bot est dans le groupe
  • Essayer avec -100 + ID groupe
  • Confirmer permissions bot dans groupe

Erreur : "Interdit : bot a été bloqué"

Solution :
  • Aller au chat avec le bot
  • Appuyer sur START ou DÉBLOQUER
  • Redémarrer bot dans Tableau de bord

Bonnes Pratiques de Sécurité

Pour le Token Bot

  • 🔒 Ne jamais partager le token publiquement
  • 💾 Sauvegarder dans gestionnaire mots de passe
  • 🔄 Régénérer si compromis comme nous l'avons vu précédemment /mybots → sélectionner bot → API Token → Révoquer token actuel

Pour les Groupes

  • 🔐 Garder les groupes privés
  • 👥 Seulement administrateurs nécessaires
  • ⚙️ Réviser permissions régulièrement

Pour le Système

  • 🌐 Ne pas exposer à internet, si vous voulez accès depuis autres endroits utiliser VPN ou systèmes sécurisés
  • 🛡️ Configurer pare-feu approprié
  • 💾 Effectuer sauvegardes périodiques
  • 🔐 Activer 2FA dans interface web et bot
  • 📧 Configurer notifications sécurité

Résumé Configuration

En terminant ce manuel vous aurez :

Bot Telegram créé avec token unique
Chat personnel configuré pour gestion directe
Groupe privé configuré pour alertes système
LoboGuard entièrement configuré et opérationnel
Clusters Proxmox surveillés et gérables
Système sécurisé avec authentification robuste

Le bot sera complètement opérationnel pour gérer votre infrastructure LoboGuard depuis Telegram avec capacités complètes de surveillance, alerte, gestion à distance et reporting.

1 / 8