L'auto-hébergement a une promesse magnifique : vos clés, vos données, vos règles. Et il a un prix bien réel. Il faut configurer un VPS, ouvrir correctement un tunnel SSH, se repérer dans les lignes de commande Linux, et prendre une série de décisions de configuration sans se tromper avec la petite angoisse de casser quelque chose en chemin. C'est souvent là que la promesse fait face à la réalité.
Au moment de préparer le reboot de Kryll, nous avons posé la question directement à la communauté. 58 % se disaient prêts à auto-héberger leur instance, à condition qu'ils soient accompagnés. Autrement dit, pour près de six personnes sur dix, l'installation n'était pas une simple étape technique.
L'installeur de KryllOS a été pensé exactement pour ces personnes. Trois étapes. Cinq minutes. Une instance opérationnelle, et déjà sécurisée.
Pourquoi un wizard d'installation pour un bot de trading auto-hébergé ?
KryllOS est volontairement auto-hébergé. Vos clés API restent sur votre machine, vos données de trading ne partent sur aucun cloud tiers, personne n'a la custody de vos fonds. C'est un choix de souveraineté totale, mais c'est aussi un choix qui, traditionnellement, impose à l'utilisateur d'avoir quelques connaissances techniques.
On refuse ce compromis. L'idée de KryllOS, c'est la puissance d'un outil pro avec la simplicité d'une app grand public. Le wizard d'installation incarne exactement cette philosophie : il automatise ce qu'un sysadmin expérimenté ferait à la main, et il le fait mieux qu'un tuto copié-collé, parce qu'il embarque les bonnes pratiques de sécurité par défaut.
Concrètement, l'installeur KryllOS prend en charge trois missions pour vous :
- Connexion SSH à votre VPS (plus besoin de jongler avec votre terminal et votre clé privée)
- Durcissement de la sécurité avec la création d'un utilisateur Linux dédié ainsi que la configuration du firewall et des règles de connexion à distance ; et, en option, le port-knocking
- Déploiement de KryllOS sur votre VPS et configuration de l'app KryllOS sur votre ordinateur
Vous cliquez trois fois, vous attendez cinq minutes, vous tradez.
Les 3 étapes du wizard KryllOS
Étape 1 : Connecter votre VPS à KryllOS
Sur le premier écran, le wizard vous demande trois informations :
- L'adresse IP de votre VPS
- Le mot de passe root de ce VPS
- Un nom d'utilisateur à créer pour KryllOS
Le choix de créer un utilisateur dédié, plutôt que de faire tourner KryllOS avec les droits root, n'est pas anecdotique. C'est le principe du moindre privilège : même dans le scénario improbable où une faille viendrait à affecter l'application, l'attaquant se retrouverait confiné à un compte aux droits limités, loin du pouvoir absolu qu'offre root.
Étape 2 : Choisir le mode d'installation : Native ou Docker
L'installateur KryllOS proposera 2 options d'installation :
- Installation native : si votre VPS est dédié à KryllOS, c'est le choix le plus simple et le plus direct. KryllOS s'installe directement sur le système, sans couche supplémentaire.
- Installation dockerisée : c'est l'option pour les utilisateurs avancés, ceux qui disposent déjà d'un VPS actif hébergeant d'autres services. Imaginez Docker comme une boîte hermétique posée sur votre serveur. KryllOS s'exécute à l'intérieur, complètement isolé du reste du système. Aucun conflit possible avec vos autres logiciels, aucune interférence dans les deux sens.
Sur ce même écran, vous trouverez une case à cocher qui peut paraître anodine mais qui vaut de l'or : le port-knocking.
Le port-knocking, ou l'art de rendre son serveur invisible
Le port-knocking, c'est un mécanisme de sécurité un peu oublié mais diaboliquement efficace. Il permet de rendre votre serveur complètement invisible puisque aucun port n'est ouvert. Pour un scanner automatisé qui cherche des VPS vulnérables, votre machine n'existe tout simplement pas.
Mais comment ça fonctionne concrètement ?
Imaginez une porte secrète dans un mur qui, en apparence, n'a aucune entrée. Pour que la porte s'ouvre, il faut frapper selon un code précis : trois coups, puis deux, puis cinq. Quiconque ne connaît pas ce code ne voit qu'un mur lisse.
Le port-knocking fonctionne exactement sur ce principe. Un serveur dispose de milliers de "portes" appelées ports, et c'est par ces portes que transitent les connexions. Normalement, certains ports restent ouverts en permanence, comme celui du SSH, qui permet de se connecter à distance. C'est justement ces ports ouverts que les hackers et leurs robots scrutent sans relâche pour trouver une faille.
Avec le port-knocking, plus aucun port n'est ouvert par défaut. À la place, le serveur écoute discrètement les tentatives de connexion sur une séquence précise de ports, par exemple 1200, puis 3456, puis 7890, dans le bon ordre et dans un délai limité. Cette séquence, c'est la "frappe secrète". Si vous la connaissez et l'envoyez correctement, le serveur ouvre alors dynamiquement le port SSH, juste le temps de votre connexion, avant de le refermer aussitôt. Pour tout le monde, la porte n'a jamais existé.
Comment un hacker peut-il compromettre une machine qui n'existe même pas à ses yeux ? C'est exactement l'idée. KryllOS empile déjà plusieurs couches de sécurité (user dédié, isolation Docker, connexion SSH durcie), et le port-knocking vient poser la cerise sur le gâteau : la couche d'invisibilité. Une case à cocher, et votre VPS disparaît de la carte.
Étape 3 : Résumé et déploiement
Le dernier écran récapitule l'ensemble des choix effectués. Vous relisez, vous cliquez sur déployer, et l'installateur prend le relais.
En arrière-plan, il enchaîne une séquence précise :
- Connexion sécurisée au VPS
- Vérification de la compatibilité système
- Configuration de l'environnement
- Installation de KryllOS
- Vérifications finales pour s'assurer que tout tourne correctement
En moins de cinq minutes, KryllOS est en place. L'application est directement accessible sur votre machine locale, déjà connectée à votre VPS.
Ce qui reste entre vos mains, après l'installation
L'installation s'achève, et vous vous retrouvez avec bien plus qu'une simple instance configurée. En coulisses, le wizard a mené deux chantiers en parallèle.
D'un côté, sur votre VPS : KryllOS est déployé, le serveur est durci, l'environnement est isolé, et vos clés API ne quitteront jamais cette machine.
De l'autre côté, sur votre ordinateur : l'application KryllOS a été configurée localement. C'est elle qui devient votre poste de pilotage. Elle établit un tunnel SSH sécurisé vers votre VPS, et vous donne accès à l'intégralité de l'interface KryllOS depuis une app native, sans jamais passer par un navigateur ou un service tiers. Le VPS fait tourner le moteur. L'application, sur votre machine, tient le volant.
Le vieil adage de la crypto "not your keys, not your coins" s'étend ici au trading automatisé. Vos stratégies tournent chez vous, pour vous. Et votre seul point de contact avec tout ça, c'est une interface pensée pour être utilisée, pas redoutée.
