ID.nl logo
Je privacy gegarandeerd: zo zet je een veilige SFTP-verbinding op
© Reshift Digital
Huis

Je privacy gegarandeerd: zo zet je een veilige SFTP-verbinding op

FTP (File Transfer Protocol) was decennialang het protocol bij uitstek voor het versturen van bestanden. Maar omdat het geen beveiliging biedt, wordt dit protocol bijna niet meer gebruikt. SFTP is heel wat veiliger, aangezien zowel de gegevens als de authenticatie (het aanmelden) versleuteld worden.

In dit artikel nemen we je mee in hoe je een sftp-verbinding op kunt zetten, zodat je veilig bestanden kunt versturen.

  • OpenSSH-server installeren
  • Mobiele verbinding opzetten
  • Sleutels genereren
  • Portforwarding instellen

Lees ook: Bestanden uitwisselen met Cyberduck

Om een SFTP-verbinding op te kunnen zetten, hebben we een SFTP/SSH-server nodig, omdat commando’s en data via een ssh-datastream (Secure Shell) worden versleuteld. Handig is dat er in Windows 10/11 standaard al zo’n server aanwezig is, in de vorm van OpenSSH, een opensource-implementatie van SSH die in 1999 door enkele OpenBSD-ontwikkelaars werd uitgebracht. Je vindt meer informatie over dit protocol op www.openssh.com.

©nomaden - stock.adobe.com

Bij een SFTP-verbinding wordt data versleuteld met SSH.

OpenSSH-server

Je vindt deze OpenSSH-server in Windows als volgt: open de module Instellingen van Windows (Windows-toets+I), open het onderdeel Apps en klik op Optionele onderdelen (in Windows 10 vind je dit bij Apps en onderdelen). Wellicht zie je hier de OpenSSH-client al staan, maar wij hebben voor ons opzet ook nog de optie OpenSSH-server nodig. Staat deze niet in de lijst, klik dan op Een onderdeel toevoegen (Windows 10) of op Functies weergeven (Windows 11) en scrol tot bij OpenSSH-server. Plaats een vinkje bij dit onderdeel en klik op Installeren (Windows 10) of op Volgende / Installeren (Windows 11). Eventueel herhaal je dit voor OpenSSH-client. Herstart daarna je pc.

OpenSSH-server is een optioneel onderdeel van Windows.

Gegevens veilig bewaren?

Bekijk usb-sticks met wachtwoordbeveiliging

Handmatige installatie

Werk je met een nog oudere eerdere Windows-versie of lukt de installatie van de OpenSSH-server onverhoopt niet, dan kan het nog handmatig. Download de recentste stabiele versie. Er zijn versies voor Windows 32 en 64 bit.

Pak het gedownloade zip-bestand uit naar de map C:\Program Files\openssh. Vervolgens klik je met rechts op Windows PowerShell in het Windows-startmenu en kies je Als administrator uitvoeren. Voer nu eerst dit commando uit (gevolgd door een druk op Enter):

cd "c:\program files\openssh"

Voer daarna het volgende commando uit:

Powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1

De sshd- en ssh-agent-services worden nu geïnstalleerd. Je kunt PowerShell nu afsluiten.

Services

Je vindt nu ook OpenSSH-server (kortweg sshd) in de lijst met optionele onderdelen. Deze service moet natuurlijk wel operationeel zijn en dit kan vanuit het onderdeel Services. Druk op Windows-toets+R en voer services.msc uit. Scrol tot bij OpenSSH Authentication Agent (kortweg ssh-agent), selecteer deze en klik linksboven op De service starten. Zie je deze optie niet, dubbelklik dan op de service en stel het Opstarttype in op Handmatig. Na je bevestiging met OK is de optie wel beschikbaar. Om er zeker van te zijn dat deze service altijd paraat staat, stel je het Opstarttype in op Automatisch. Herhaal deze procedure voor de service OpenSSH SSH Server.

In het onderdeel Services regel je hoe de OpenSSH-server start.

Firewall (via PowerShell)

De OpenSSH-services zijn nu geïnstalleerd en operationeel, maar mogelijk krijg je last van een spelbreker: de firewall. We gaan ervan uit dat je de ingebouwde Windows-firewall gebruikt. Die moet je duidelijk maken dat hij de aanvragen bedoeld voor de OpenSSH-server niet mag blokkeren. De snelste manier is via Windows PowerShell, dat je weer als administrator dient op te starten. Hier tik je dan de volgende commandoregel in:

New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH SSH Server' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

Eventueel voeg je hier de parameter -Profile Private aan toe als je de regel tot dit netwerkprofiel wilt beperken.

Met deze opdracht open je de firewall voor de server.

Firewall (via Defender)

Het kan ook stapsgewijs, vanuit het venster Windows Defender Firewall met geavanceerde beveiliging. Je opent dit venster door op Windows-toets+R te drukken, waarna je wf.msc uitvoert.

Klik in het linkerdeelvenster op Regels voor binnenkomend verkeer en in het rechterdeelvenster op Nieuwe regel. In het dialoogvenster selecteer je Poort en druk je op Volgende. Bij Specifieke lokale poorten vul je het (standaard) poortnummer 22 in. Druk op Volgende, kies De verbinding toestaan, druk nogmaals op Volgende en laat bij voorkeur alleen het vinkje staan bij Privé. Vul een naam in, bijvoorbeeld OpenSSH, en sluit af met Voltooien. De regel is toegevoegd.

Ook via deze toegankelijkere route is de firewall in te stellen.

SFTP versus FTPS FTP is zonder meer onveilig. Een veiliger alternatief is FTPS ofwel FTP over SSL/TLS (Secure Sockets Layer / Transport Layer Security), een cryptografisch protocol dat ook voor andere communicatievormen wordt gebruikt, zoals surfen en e-mailen. Net als FTP werkt ook FTPS met twee verbindingen, via een controle- en een datakanaal.

SFTP ofwel SSH FTP (Secure Shell FTP) werkt geheel anders dan FTP(S). Zo zet SFTP voor zowel de authenticatie als de dataoverdrachten slechts één verbinding op, wat handiger is achter firewalls. Beide onderdelen worden ook versleuteld, terwijl bij FTPS vaak alleen de data worden versleuteld.

Lokale test (met WinSCP)

Je OpenSSH-server is klaar voor gebruik. Dit kun je testen vanaf de pc waarop je OpenSSH-server draait, met een geschikte client zoals WinSCP of FileZilla. Eerst WinSCP: download en installeer het programma. Start het op en klik op Nieuwe Sessie. In het venster Inloggen klik je op Nieuwe Site. Bij Bestandsprotocol kies je SFTP, waarna je localhost invult bij Adres doelcomputer en 22 bij Poortnummer. Bij Gebruikersnaam en Wachtwoord vul je de inloggegevens van je Windows-account in. Klik op Opslaan en geef je verbinding een naam. Selecteer deze en klik op Inloggen. Er zal dan een melding verschijnen over een onbekende serversleutel. Aangezien het om jouw machine gaat, kun je gerust op Ja of OK klikken. De verbinding is gereed.

Test met WinSCP of de server bereikbaar is.

Lokale test (FileZilla)

Werk je liever met FileZilla Client, dan kan dat ook. Download de software en installeer hem (pas op dat je geen ongewenste software mee-installeert). Start FileZilla Client, open Bestand / Sitebeheer. Klik op Nieuwe site en vul een naam in. Bij Protocol kies je SFTP - SSH File Transfer Protocol. Host en Poort stel je respectievelijk in op localhost en 22. En bij Gebruiker en Wachtwoord vul je je Windows-inloggegevens in.

Ook nu zal er een melding opduiken van een onbekende serversleutel. Aangezien het om jouw machine gaat, kun je gerust op Ja of OK klikken. De verbinding is gereed.

Het testen kan ook met FileZilla, als je daar liever mee werkt.

Je bestanden overal kunnen openen? Vind een geschikte NAS 👇

Mobiele verbinding

Het kan ook handig zijn om via een smartphone verbinding met de OpenSSH-server te kunnen maken. We nemen een Android-toestel als voorbeeld met de gratis app Cx File Explorer, beschikbaar in de Play Store. Start de app, selecteer Network, tik op de plusknop boven New Location, kies Remote en selecteer SFTP. Bij Host vul je de hostnaam of het lokale ip-adres van je OpenSSH-server in. Je vindt dit adres door op die pc in de Opdrachtprompt het commando ipconfig uit te voeren. Laat Port ingesteld staan op 22, en vul bij Username en Password je Windows-inloggegevens in. Bevestig met OK, waarna de mappenlijst van de server tevoorschijn komt.

Het wordt al interessanter: verbinding maken vanaf je smartphone.

Android-smartphone nodig?

Bekijk & vergelijk alle nieuwe modellen

Sleutelpaar genereren

Wanneer je de OpenSSH-server van buitenaf wilt bereiken, is het veiliger om met een zogenoemd sleutelpaar te werken, met een private en een publieke sleutel. De stappen tot en met ‘Anders verbinden’ zijn optioneel en vergen wel enige voorbereiding.

Start Opdrachtprompt als administrator op en voer het commando ssh-keygen uit, bij voorkeur vanuit je eigen profielmap (C:\Users\<accountnaam>). Dit bestand bevindt zich na de installatie van OpenSSH-server standaard in de map %windir%\system32\openssh (maar aangezien deze locatie in de path-variabele is opgenomen, vindt Opdrachtprompt dit zelf wel). Geef een bestandsnaam op en eventueel een wachtwoord (2x).

Sleutelparen zijn veiliger dan wachtwoorden, maar moet je wel voorbereiden.

Private sleutel

De gemaakte sleutels zijn bewaard in de bestanden <je_bestandsnaam> en <je_bestandsnaam>.pub, standaard in map van waaruit je de opdracht hebt gegeven; we nemen aan op dezelfde machine als waar de OpenSSH-server draait. Volg de volgende stappen: controleer nogmaals dat de OpenSSH-services actief zijn en voer het volgende commando uit vanaf de Opdrachtprompt:

ssh-add <pad_naar_je_private_sleutel>

Dit is dus het pad naar het bestand <je_bestandsnaam>.

De OpenSSH-agentservice regelt je lokale private sleutel(s) en, nadat je het wachtwoord correct hebt ingevoerd, neemt hij deze de nieuwe sleutel in de lokale sleutelstore op.

De OpenSSH-agentservice bewaart de nieuwe sleutel.

Publieke sleutel

Nu moet je nog je publieke sleutel aan de OpenSSH-server koppelen. Kopieer het bestand <je_bestandsnaam>.pub naar de map .ssh, een submap van je profielmap. Indien nodig maak je deze submap eerst. Hernoem het gekopieerde bestand naar authorized_keys (zonder bestandsextensie). Ben je administrator op het systeem, dan moet je dit bestand kopiëren naar de verborgen map C:\Programdata\ssh, onder de naam administrators_authyorized_keys.

Vervolgens navigeer je naar het bestand sshd_config, standaard in de map C:\Programdata\ssh. Open dit in je favoriete teksteditor (eventueel Kladblok).

Verwijder het hekje (#) bij de regels PubkeyAuthentication yes en StrictModes yes, en wijzig die laatste regel vervolgens in StrictModes no.

Koppel de publieke sleutel aan de OpenSSH-server.

Verbinding via WinSCP

Sla het gewijzigde bestand op en herstart de service vanaf de Opdrachtprompt met deze opdracht:

net stop sshd && net start sshd

Nu moet je je SFTP-client nog aanpassen, zodat die de private sleutel doorstuurt naar de server. In WinSCP doe je dit als volgt: selecteer de verbinding, klik op Bewerken en op Geavanceerd. Bij SSH klik je op Authenticatie en verwijs je bij Privé-sleutelbestand naar je private sleutelbestand. Dit moet je wel eerst laten converteren naar een ondersteund formaat (.ppk van de tool Putty). Bevestig vervolgens met OK, bewaar de configuratie en verbind je met de server. Indien je je private sleutel met een wachtwoord had vergrendeld, moet je dit wel eerst invoeren.

Kies bij Authenticatie voor Privé-sleutelbestand.

Anders verbinden

We tonen ook nog even hoe je in FileZilla Client een verbinding opzet via een private ssh-sleutel. De werkwijze is vergelijkbaar met die van WinSCP. Het volstaat in het venster van Sitebeheer via de knop Bladeren naar je private sleutelbestand te navigeren. Ook hier zal het programma voorstellen de sleutel eerst naar een ondersteund ppk-formaat te converteren.

Maak je gebruik van de mobiele app Cx File Explorer, tik dan bij het aanmaken van je inloggegevens op More en vervolgens op het pijltje bij Private Key, waarna je ook hier naar je private sleutelbestand verwijst.

Het verbinden via een ssh-sleutel gaat in FileZilla op een vergelijkbare manier.

Portforwarding

Wanneer de OpenSSH-server zich op een pc achter een router bevindt (en die kans is groot), dan laat deze zich doorgaans niet zomaar van buitenaf bereiken. Een mogelijke oplossing is een portforwarding-regel in je router in te stellen. Open de betreffende rubriek in de (web)interface van je router en voer de volgende gegevens in: een naam voor je regel, tcp-poortnummer 22 en het interne ip-adres van je OpenSSH-server.

Mocht je router zich nog achter een andere router bevinden, dan is het niet uitgesloten dat je op de ‘buitenste’ router eerst een vergelijkbare portforwarding-regel moet opstellen die naar het interne ip-adres van je ‘binnenste’ router verwijst.

Om de server van buitenaf te bereiken, moet je poort 22 koppelen aan het interne ip-adres van de server.

DDNS

Het is vervelend dat je het publieke ip-adres van je router/netwerk moet kennen om een verbinding van buitenaf te maken met je SFTP-server. De kans is ook groot dat dit adres dynamisch wordt toegekend door je provider en dus zomaar kan wijzigen. Beide problemen los je op met een DDNS-dienst, die een eigen domeinnaam aan dat adres koppelt waarna een client elke wijziging van je ip-adres meteen aan de DDNS-dienst doorgeeft.

Je kunt zo’n dienst gratis gebruiken via Dynu. Meld je aan en open in het Control Panel de optie DDNS Services. Klik op Add, en kies bij Use Our Domain Name een eigen host (zoals mijn-sftp-server) en een toplevel-domein (bijvoorbeeld ddnsfree.com). Bevestig met ADD en met Save. Klaar! Via de Dynu IP Update Client kun je vervolgens een client downloaden die vanaf je pc en via je aanmelding met je Dynu-account, de koppeling tussen je hostnaam en je publieke ip-adres netjes intact houdt.

Met antivirussoftware houd je je computer vrij van corrupte bestanden 👇

▼ Volgende artikel
Een echte herfstklus: zo maak je je dakgoot schoon
© © 2019, JJ Gouin All Rights Reserved
Huis

Een echte herfstklus: zo maak je je dakgoot schoon

Met de herfst in aantocht dwarrelen de bladeren weer massaal naar beneden – en niet zelden belanden ze in je dakgoot. Samen met ander vuil kan dat de afvoer verstoppen, vooral bij nat weer. Om lekkages en andere problemen te voorkomen, is het verstandig je dakgoot regelmatig schoon te maken. Maar hoe pak je dat aan?

⏱️ Dit artikel in het kort:
  • Gereedschap: dit heb je nodig

  • De dakgoot schoonmaken: hoe vaak en wanneer?

  • Stappenplan dakgoot schoonmaken

  • Dakgoot schoonmaken? Zo doe je het veilig

  • Slimme tips voor een schone dakgoot

Lees ook: 🍂 Herfstklus: zo maak je je tuinmeubilair winterklaar

Gereedschap: wat heb je nodig?

Voor het doorspoelen van je dakgoten is een tuinslang onmisbaar. Monteer hier een dakgootreiniger op: een opzetstuk met borstel en harkje waarmee je vuil verwijdert en de goot grondig schoonmaakt. Met een telescoopsteel kun je zelfs vanaf de grond werken – handig en veilig. Toch is het slim om af en toe de ladder te nemen, zodat je goed kunt zien wat je doet en geen hoeken overslaat.

Lees ook: Zo werk je veilig in de hoogte met een ladder

Handschoenen zijn een must, of het nu tuinhandschoenen of huishoudhandschoenen zijn. Draag daarnaast oude kleding met lange mouwen, want het water dat uit de goot spat is meestal niet schoon.

Zink of kunststof

Dakgoten zijn meestal van zink of kunststof. Bij zinken dakgoten is het extra belangrijk om ze goed schoon te houden, omdat rottende bladeren de beschermende oxidelaag kunnen aantasten.

Een dakgoot heeft altijd een lichte helling, zodat het water naar de regenpijp kan stromen. Met een tuinslang kun je controleren of dit goed werkt. Blijft het water staan, dan moet je de dakgoot repareren. Dit is vooral van belang bij zinken dakgoten vanwege het risico op aantasting van de oxidelaag. Het repareren van een zinken dakgoot is relatief eenvoudig, bijvoorbeeld met rubber seal, reparatietape of vloeibare zink.

Hoe vaak en wanneer schoonmaken?

Eén keer per jaar je dakgoot reinigen is meestal genoeg. Woon je echter tussen veel bomen, dan kun je beter wat vaker aan de slag. Meer blad betekent immers meer kans op verstopping. De beste periode voor de grote schoonmaak is het late najaar: als het niet meer vriest en de meeste bladeren gevallen zijn. Net na een regenbui werkt het schoonmaken makkelijker, omdat het vuil dan losser ligt. Je kunt de goot ook zelf natmaken met de tuinslang.

©bildlove

Stappenplan voor een schone dakgoot

Voordat je begint: veiligheid eerst! Gebruik een stevige ladder die stabiel op een vlakke ondergrond staat. Draag kleding die vies mag worden (bijvoorbeeld een oud shirt met lange mouwen, een stevige broek en rubberen handschoenen) zodat je beschermd bent tegen vuil en scherpe randen.

1 - Verwijder grof vuil

Gebruik een plastic schep, gootschep of oude spatel om bladeren, takjes en ander afval uit de goot te halen. Leg een zeil op de grond of gebruik een emmer of vuilniszak om het netjes te houden. Heb je vooral droog blad in de goot liggen, dan kan een bladblazer met speciaal opzetstuk ook uitkomst bieden.

2 - Spoel alles goed door

Spoel de goot en regenpijp door met een tuinslang, van het ene uiteinde naar het andere. Zo controleer je meteen of het water goed doorstroomt. Blijft er vuil achter, gebruik dan een schuurspons of staalborstel om het te verwijderen.

3 - Controleer op verstoppingen en schade

Kijk tijdens het schoonmaken of er geen blokkades in de afvoerpijp zitten. Gebruik eventueel een ontstoppingsveer. Controleer ook de staat van de goot zelf: scheuren, losse verbindingen of roestige beugels kun je beter direct repareren of vervangen.

4 - Onderhoud op de lange termijn

Een jaarlijkse schoonmaakbeurt houdt je dakgoot in goede conditie. Zo voorkom je dat water blijft staan of in huis doordringt, wat schimmel of vochtproblemen kan veroorzaken.

5 - Maak je dakgoot winterklaar

Voordat de vorst invalt, is een extra controle aan te raden. Blokkades kunnen in de winter leiden tot ijsvorming en schade aan de goot.

❄️ IJsdammen

Een ijsdam ontstaat wanneer smeltwater van sneeuw of ijs op het dak niet goed kan wegstromen door een verstopte dakgoot. Het water bevriest vervolgens aan de randen van het dak, waardoor er een opeenhoping van ijs ontstaat. Dit kan leiden tot ernstige problemen, zoals lekkages, omdat het smeltwater zich onder de dakbedekking kan ophopen en in je huis kan sijpelen. IJsdammen kunnen ook extra gewicht op de dakgoten en het dak veroorzaken, wat schade kan aanrichten.

©Tomasz Zajda


Veilig werken op hoogte

Zorg altijd voor een stevige, stabiele ladder op een vlakke ondergrond. Draag schoenen met grip en overweeg een veiligheidsharnas bij hogere daken. Is de ladder nat, wacht dan tot deze droog is. Laat bij voorkeur iemand in de buurt blijven terwijl je werkt.


Slimme tips voor een blijvend schone goot

Bladvangers helpen, maar houden niet alles tegen. Klein vuil kan alsnog ophopen en zelfs mosgroei veroorzaken. Bevestig tijdens het schoonmaken je emmer of vuilniszak aan de ladder, zodat je beide handen vrij hebt. Laat je het vuil liever op de grond vallen, dan moet je later nog opruimen – extra werk dus.

Een hogedrukreiniger kan handig zijn, maar gebruik een lage stand om schade te voorkomen. Een gewone tuinslang met een goede sproeikop werkt vaak net zo goed.


▼ Volgende artikel
Bouw je eigen dashboard met Homepage: al je webapplicaties overzichtelijk op één plek
Huis

Bouw je eigen dashboard met Homepage: al je webapplicaties overzichtelijk op één plek

Heb je meer dan een handvol webapplicaties op een Linux-server draaien? Dan is een dashboard met links naar deze applicaties een uitkomst. Het project Homepage biedt precies dat, inclusief widgets die allerlei statistieken van je services weergeven. In dit artikel installeren we Homepage en laten we je zien hoe je het integreert met je bestaande services.

Dit gaan we doen

In deze masterclass richten we een persoonlijk dashboard in met Homepage. Je leert hoe je de tool installeert in Docker, services groepeert en uitbreidt met widgets voor statistieken zoals cpu- en geheugengebruik, uptime of weersinformatie. We laten zien hoe je containers automatisch herkent, monitoring toevoegt en ook bladwijzers of alternatieve dashboards gebruikt. Zo krijg je één centrale plek waar je al je webapplicaties en services snel terugvindt en beheert.

Lees ook: Windows gebruiken naast of binnen Linux? Zo krijg je het soepel aan de praat met Docker


⬇️ Code downloaden

In dit artikel staat voorbeelden met YAML-code. Omdat YAML erg gevoelig is voor foute spaties en inspringingen, kun je die code beter downloaden en daarna bekijken of kopiëren. Zie het bestand homecode.txt, beschikbaar via deze link.


Homepage helpt je om diverse webapplicaties in één dashboard te organiseren. Dit is handig als je services in Docker-containers draait of eenvoudig toegang wilt tot de beheerpagina’s van apparaten zoals je modem, router en NAS.

Hoewel dit klinkt als een veredelde bookmark-manager, doet Homepage meer dan alleen links op een pagina verzamelen. Het project ondersteunt widgets voor meer dan honderd services en kan zo bijvoorbeeld het cpu- en geheugenverbruik van je hypervisor of het aantal ongelezen artikels in je RSS-lezer tonen. Je hoeft daardoor vaak zelfs niet op de links te klikken om even snel de status van je services te bekijken.

Docker Compose

We gaan ervan uit dat je een Linux-server hebt waarop je services met behulp van Docker Compose in Docker-containers draait. Homepage draai je dan gewoon in een Docker-container naast je bestaande services, al zijn er ook andere installatie-opties. In ons voorbeeld draaien we Docker op Debian 12. Maak om te beginnen een map waarin de container van Homepage zijn data en configuratie kan opslaan, met deze opdracht:

$ mkdir -p containers/homepage

Zet vervolgens in je bestand docker-compose.yml (het bestand waarin je al je containers definieert) een service voor Homepage:

services:

  homepage:

    image: ghcr.io/gethomepage/homepage:latest

    container_name: homepage

    ports:

      - 3000:3000

    volumes:

      - /home/koan/containers/homepage:/app/config

    environment:

      HOMEPAGE_ALLOWED_HOSTS: debian.home:3000

    restart: unless-stopped

Homepage kun je op diverse manieren installeren.

Homepage opstarten

Wijzig in het gedefinieerde volume de directory vóór de dubbele punt naar het volledige pad van de directory die je voor de container hebt aangemaakt. Stel de waarde van de omgevingsvariabele HOMEPAGE_ALLOWED_HOSTS gelijk aan het domein of het ip-adres van de host, gescheiden door een dubbele punt van het poortnummer. Als je met een reverse proxy werkt, zet je hier het domein waarop de applicatie via die proxy bereikbaar is.

Start de container met:

$ docker-compose up -d

Zodra het image gedownload is en de container draait, open je Homepage in je browser op de url die je in HOMEPAGE_ALLOWED_HOSTS hebt gedefinieerd. Je ziet dan een voorbeeldpagina met van boven naar onder een header, groepen met services en groepen met bladwijzers.

Het standaarddashboard van Homepage vlak na de installatie.

Informatiewidgets

In de header vind je enkele informatiewidgets. Hoewel deze niet de kern van de functionaliteit van Homepage uitmaken, bieden ze nuttige aanvullende informatie. Standaard zie je het cpu-verbruik, het beschikbare geheugen en de vrije schijfruimte van de host. Er is ook een tekstveld om te zoeken via DuckDuckGo. De definitie van deze twee widgets vind je in het bestand widgets.yaml in de directory van de Homepage-container.

In de online documentatie van de informatiewidgets lees je hoe je hun gedrag aanpast. Zo kunnen we de widget Resources ook de uptime van het systeem laten tonen (uptime: true) en met de optie expanded: true meer informatie over de cpu, het geheugen en de schijfruimte laten weergeven. De widget ziet er dan als volgt uit in widgets.yaml:

- resources:

    label: System

    expanded: true

    cpu: true

    memory: true

    uptime: true

    disk: /

Weersomstandigheden

Homepage biedt twee widgets om het weer in de header te tonen: één via Open-Meteo en één via OpenWeatherMap. De eerste vereist geen registratie, dus daarvoor hoef je alleen maar de gps-coördinaten van je locatie in te voeren. In widgets.yaml ziet dat er als volgt uit:

- openmeteo:

    label: Attenrode

    latitude: 50.8773405

    longitude: 4.9213237

    timezone: Europe/Brussels

    units: metric

    cache: 5

    format:

      maximumFractionDigits: 1

Met cache: 5 laten we de widget de weergegevens vijf minuten lang cachen om de servers van Open-Meteo te ontlasten. Verder biedt Homepage nog andere informatiewidgets aan, bijvoorbeeld voor beurskoersen of de datum en tijd.

In de header van Homepage plaats je allerlei informatiewidgets.

Services toevoegen

De kernfunctionaliteit van Homepage ligt uiteraard in het groeperen van services in één dashboard. De standaardconfiguratie voegt drie groepen toe met elk één service. De YAML-code hiervoor vind je in het bestand services.yaml. Vervang die door je eigen groepen. Je kunt bijvoorbeeld een groep Network aanmaken met links naar de beheerinterfaces van je modem/router en accesspoints:

- Network:

  - Proximus:

      href: http://192.168.1.1

      description: Modem

      icon: mdi-web

  - OpenWrt:

      href: http://gl-mt3000.home

      description: Accesspoint

      icon: openwrt

De eigenschap icon kan een absolute url zijn of een naam uit de lijst op de website Dashboard Icons. Begin de naam van een pictogram met mdi- voor een keuze uit Material Design Icons , met si- voor een keuze uit Simple, of met sh- voor een keuze uit Self-Hosted Dashboard Icons.

Ook groepen kunnen een pictogram krijgen. Dat definieer je dan in het bestand settings.yaml:

layout:

  Network:

    icon: mdi-lan-connect

  Infrastructure:

    icon: mdi-server-network

  Services:

    icon: mdi-apps

Services en groepen kun je pictogrammen geven, bijvoorbeeld van de website Self-Hosted Dashboard Icons.

Servicewidgets

Tot nu toe lijkt ons dashboard wat op een veredeld lijstje met bladwijzers. Maar Homepage ondersteunt ook servicewidgets voor meer dan honderd services. Controleer in de lijst of je services ondersteund zijn. Draai je bijvoorbeeld OPNsense op je router, dan krijg je met de volgende widget de processorbelasting, het gebruikte geheugen, en de upload- en downloadhoeveelheden van je WAN-interface te zien:

- OPNsense:

      href: https://opnsense.home

      description: Router

      icon: opnsense

      widget:

        type: opnsense

        url: https://opnsense.home

        username: KEY

        password: SECRET

Voor username en password vul je de API-sleutel en het ‘secret’ in die je in de webinterface van OPNsense aanmaakt via System / Access / Users. De documentatie van Homepage voor de OPNsense-widget legt dit gedetailleerd uit. Wil je slechts een deel van de statistieken zien, dan kan dat door de widget uit te breiden met een regel als:

fields: ["wanDownload", "wanUpload"]

Homepage ondersteunt widgets voor meer dan honderd services.

Meerdere widgets

Je kunt een service ook van meerdere widgets voorzien. Dat is bijvoorbeeld handig bij monitoringtools zoals Uptime Kuma. Voeg aan de OPNsense-service dan de OPNsense-widget toe voor servicespecifieke statistieken en de widget van Uptime Kuma voor beschikbaarheidsstatistieken. In plaats van één object widget bevat de service dan een object widgets met een lijst die beide widgets bevat:

  - OPNsense:

      href: https://opnsense.home

      description: Router

      icon: opnsense

      widgets:

        - type: opnsense

          url: https://opnsense.home

          username: KEY

          password: SECRET

        - type: uptimekuma

          url: https://uptime-kuma.rubus.home

          slug: router

          fields: ["uptime", "incident"]

De widget van Uptime Kuma gebruikt data van een statuspagina. Die moet je dus eerst in Uptime Kuma aanmaken, en de naam van de statuspagina vul je bij slug in de widget in. Als de statuspagina bijvoorbeeld toegankelijk is via https://uptime-kuma.rubus.home/status/router, dan is de slug router.

Homepage kan een statuspagina van Uptime Kuma in een service integreren.

Beschikbaarheid monitoren

Ook zonder speciale monitoringtools kun je met Homepage eenvoudig te zien krijgen of al je services momenteel online zijn. Dat kan met de eigenschap ping of siteMonitor in de service. Voeg bijvoorbeeld aan de service voor OPNsense ping: opnsense.home toe. Homepage stuurt dan regelmatig een ICMP-echopakket (ping) naar de host en toont de beschikbaarheid in de rechterbovenhoek van het kader van de service.

Met siteMonitor: https://opnsense.home daarentegen voert Homepage een HTTP HEAD-verzoek uit naar de url om te controleren of de webpagina beschikbaar is. Zo weet je niet alleen dat de host online is, maar ook dat de webserver tenminste draait en de pagina aanbiedt. Let op dat je hier de volledige url met https:// of http:// dient te gebruiken. De stijl van de getoonde status kun je overigens in settings.yaml aanpassen met bijvoorbeeld statusStyle: dot of statusStyle: basic.

Enkele services met pictogrammen, widgets en statusinformatie.

Docker-containers integreren

Als je services in Docker-containers draait, kan Homepage via de API van de Docker-engine statistieken over die containers opvragen en zelfs automatisch services herkennen. Configureer hiervoor een Docker-instance voor Homepage in docker.yaml. Als je Homepage met de Docker-socket laat verbinden, kan dat met de volgende configuratie:

local-docker:

  socket: /var/run/docker.sock

In je Docker Compose-bestand moet je deze socket als volume in de Homepage-container aankoppelen:

    volumes:

      - /home/koan/containers/homepage:/app/config

      - /var/run/docker.sock:/var/run/docker.sock

Docker Socket Proxy

Een veiliger alternatief om Homepage toegang tot Docker te geven, is via Docker Socket Proxy. Je laat die laatste dan rechtstreeks met de Docker-socket verbinden en de andere containers via een HTTP API beperkte bevoegdheden geven. Voeg daarvoor in je Docker Compose-bestand de volgende service voor Docker Socket Proxy toe:

  docker-socket-proxy:

    image: ghcr.io/tecnativa/docker-socket-proxy:0.3.0

    container_name: docker-socket-proxy

    volumes:

      - /var/run/docker.sock:/var/run/docker.sock:ro

    environment:

      CONTAINERS: 1

    restart: unless-stopped

Standaard geeft Docker Socket Proxy sterk ingeperkte API-toegang tot de Docker-engine, en sowieso alleen-lezen. Met de omgevingsvariabele CONTAINERS: 1 geven we toegang tot informatie over containers, precies wat Homepage nodig heeft.

Wijzig nu in het bestand docker.yaml de definitie van local-docker naar:

local-docker:

  host: docker-socket-proxy

  port: 2375

Omdat de container van Docker Socket Proxy zich in hetzelfde netwerk als Homepage bevindt, is die onder de naam docker-socket-proxy bereikbaar, wat we hier als host invullen.

Maak dan de containers opnieuw aan met de opdrachten:

docker-compose down

docker-compose up -d

Containers monitoren

Containers die in hetzelfde Docker Compose-bestand als Homepage zijn gedefinieerd, kun je nu door die laatste laten monitoren. Je moet dan bij de service in services.yaml de Docker-server en de naam van de container opgeven, bijvoorbeeld:

- Services:

  - FreshRSS:

      href: http://debian.home:8081

      description: Feed aggregator

      icon: freshrss

      server: local-docker

      container: freshrss

De waarde van server is hier de naam van de Docker-instance in docker.yaml, namelijk local-docker. De waarde van container is hier de naam van de container, gedefinieerd in container_name in het Docker Compose-bestand.

Na het herladen van de webpagina van Homepage krijgt de FreshRSS-service de status RUNNING in de rechterbovenhoek of EXITED wanneer de container gestopt is. Klik op de status voor gedetailleerdere statistieken zoals de processorbelasting, het geheugengebruik en netwerkverkeer.

Services automatisch detecteren

Elke keer dat je nu een service toevoegt, moet je de container aan je Docker Compose-bestand toevoegen en een definitie van de service aan het bestand services.yaml van Homepage. Maar Homepage ondersteunt ook het automatisch detecteren van services voor containers met behulp van labels. Met deze aanpak hoef je services.yaml niet meer bij te werken en hoef je slechts één bestand te veranderen. Voor FreshRSS kan dat bijvoorbeeld als volgt:

  freshrss:

    image: docker.io/freshrss/freshrss:1.26.1-alpine

    container_name: freshrss

    ports:

      - 8081:80

    volumes:

      - /home/koan/containers/freshrss/data:/var/www/FreshRSS/data

      - /home/koan/containers/freshrss/extensions:/var/www/FreshRSS/extensions

    environment:

      CRON_MIN: "1,31"

      TZ: Europe/Brussels

    restart: unless-stopped

    labels:

      - homepage.group=Services

      - homepage.name=FreshRSS

      - homepage.href=http://debian.home:8081

      - homepage.description=Feed aggregator

      - homepage.icon=freshrss

In de labels van deze container geef je dus aan dat je in de groep Services een service met de naam FreshRSS toevoegen, met de gegeven link, beschrijving en pictogram. De opties server en container uit de vorige paragraaf zijn met deze aanpak overbodig, omdat Homepage deze automatisch via de API van de geconfigureerde Docker-instance verkrijgt. Na opnieuw het uitvoeren de volgende twee commando’s ontdekt Homepage automatisch de service en voegt deze aan de juiste groep toe:

docker-compose down

docker-compose up -d

Widgets

Op dezelfde manier kun je widgets toevoegen via labels. In het voorbeeld uit de vorige stap voeg je dan de volgende labels toe:

      - homepage.widget.type=freshrss

      - homepage.widget.url=http://freshrss

      - homepage.widget.username=USER

      - homepage.widget.password=PASSWORD

Wil je meerdere widgets aan een container toevoegen, geef dan elk widget een index:

      - homepage.widgets[0].type=freshrss

      - homepage.widgets[0].url=http://freshrss

      - homepage.widgets[0].username=USER

      - homepage.widgets[0].password=PASSWORD

      - homepage.widgets[1].type=uptimekuma

      - homepage.widgets[1].url=https://uptime-kuma.rubus.home

      - homepage.widgets[1].slug=freshrss

Wanneer je nu de container van FreshRSS opnieuw aanmaakt en opstart, detecteert Homepage de widgets en toont ze bij de service.

Alternatieven voor Homepage

Hoewel Homepage een krachtige tool is, zijn er talrijke alternatieven om een dashboard voor al je services te maken, elk met hun eigen benadering. Houd je niet van YAML-configuraties, dan biedt Homarr een gebruiksvriendelijk alternatief om met slepen en neerzetten allerlei services toe te voegen.

Ook populair is Heimdall. Het is minder naar eigen smaak aan te passen dan Homepage of Homarr, maar daardoor eenvoudig om mee aan de slag te gaan.

Bevalt de aanpak met YAML-bestanden je wel, maar ligt Homepage je niet helemaal, kijk dan eens naar Dashy.

Bookmarks

Tot slot kan Homepage ook gewone bladwijzers aan je dashboard toevoegen. Je kunt ze net op dezelfde manier als services groeperen, maar het zijn slechts links zonder extra functionaliteiten zoals widgets en monitoring. Bladwijzers definieer je in het bestand bookmarks.yaml van Homepage, dat er standaard als volgt uitziet:

- Developer:

  - GitHub:

    - abbr: GH

      href: https://github.com

- Social:

  - Reddit:

    - abbr: RE

      href: https://reddit.com

- Entertainment:

  - YouTube:

    - abbr: YT

      href: https://youtube.com

Vervang deze groepen met bladwijzers door jouw eigen keuzes. Dit is bijvoorbeeld handig om alle links naar portaalsites of accounts bij belangrijke diensten op één pagina te verzamelen. Homepage toont dan per groep een lijst met bladwijzers met hun afkorting (de waarde van abbr), naam en het domein van de link.

Wil je in plaats van een afkorting een pictogram bij een bladwijzer tonen, gebruik dan icon in plaats van abbr en geef daar net zoals bij services de naam van een pictogram op. En vul description bij een bladwijzer in om een beschrijving in de plaats van het domein te zien. Ook de groepen van bladwijzers kun je een pictogram geven. Net zoals voor de groepen van services definieer je die pictogrammen in settings.yaml.

Een volledig dashboard van Homepage met header, services en bladwijzers.

En verder

Homepage biedt nog veel meer mogelijkheden dan we hier kunnen behandelen. Vooral in het bestand settings.yaml zijn er nog allerlei aanpassingen mogelijk. Zo kun je een achtergrondafbeelding instellen en daarop allerlei filters toepassen. Ook het thema en het kleurenpalet, die je beide via pictogrammen onderaan de pagina kunt aanpassen, zijn vast in te stellen.

Ook de lay-out van het dashboard is configureerbaar. Zo neemt standaard elke groep een kolom in, waarbij de services onder elkaar komen te staan. Maar met style: row bij een groep laat je de services in die groep naast elkaar in een rij weergeven. Ook het aantal kolommen, de stijl van de header en nog meer zijn in te stellen.

Homepage is tot in de kleinste details aan te passen.

Speciaal voor de jongste Linux-fans

(dit vinden ze zeker leuk!)