wiki/Catalogue-Self-Hosted/apps/app-warpgate.md

---

title: Warpgate created: 2026-06-07 updated: 2026-06-07 type: app tags: [catalogue, remote-access, bastion, zero-trust, ssh, mysql] confidence: high contested: false sources: [https://selfh.st/apps/?tag=Remote+Access, https://github.com/warp-tech/warpgate]

🌐 Warpgate

Bastion SSH/HTTP/MySQL moderne, intelligent et sans agent, basé sur une approche zero-trust.

📋 Informations Générales

Attribut	Valeur
Nom	Warpgate
Slug	warpgate
Description	Bastion zero-trust pour SSH, HTTP et MySQL sans agent client
Site officiel	https://warpgate.warp-tech.dev
Repository	https://github.com/warp-tech/warpgate
Stars	7 098 ⭐
Licence	Apache-2.0 / commercial (dual)
Langage principal	Rust
Catégorie	Remote Access
Tags	[catalogue, remote-access, bastion, zero-trust, ssh, mysql]

📝 Description

Warpgate est un bastion SSH/HTTP/MySQL écrit en Rust qui se place devant vos services internes pour exposer un point d'accès unique, auditable et sécurisé. Contrairement à un VPN, il fonctionne par application : l'utilisateur s'authentifie auprès de Warpgate, puis accède de manière contrôlée aux services backend sans configurer de tunnel.

Le positionnement est celui du "smart bastion" : pas besoin d'agent sur la machine cible, pas de forwarding de port à gérer, et un modèle de permissions déclaratif (rôles + targets) lisible dans un fichier TOML. Chaque session est enregistrée (logs, métadonnées) et peut être rejouée pour SSH.

Cas d'usage typiques : administrer un parc hétérogène (Linux/Windows) sans VPN, offrir un accès ponctuel à un prestataire sur une cible précise, ou centraliser l'authentification MySQL pour des développeurs.

🚀 Installation

Via Docker (recommandé)

# docker-compose.yml
services:
  warpgate:
    image: ghcr.io/warp-tech/warpgate:latest
    container_name: warpgate
    restart: unless-stopped
    ports:
      - "2222:2222"   # SSH
      - "8443:8443"   # HTTPS UI/admin
    volumes:
      - ./data:/data
    environment:
      - WARPGATE_ADMIN_PASSWORD=ChangeMe!

Installation manuelle

Télécharger le binaire statique Rust depuis la page GitHub Releases, créer un utilisateur dédié warpgate, exécuter warpgate setup puis warpgate run --config /etc/warpgate.toml.

⚙️ Configuration

• Définir des targets (hôte + protocole + port) et des rôles accordant l'accès à certaines targets.
• Authentification locale ou via OIDC / SAML (Keycloak, Google, Azure AD).
• Session recording natif pour SSH (rejouable en TTY).
• Logs structurés en JSON exportables vers Loki, Elasticsearch ou un syslog distant.
• Pas d'agent : Warpgate relaie la connexion au backend.

🔗 Alternatives

• Apache Guacamole — passerelle RDP/VNC/SSH HTML5, plus polyvalente mais plus lourde.
• Teleport — bastion zero-trust entreprise, plus complet (RDP, Kubernetes, DB) mais payant en version advanced.
• Cloudflared / Pangolin — reverse tunnels avec authentification centralisée.

🔒 Sécurité

• Approche zero-trust : authentification systématique, pas de confiance implicite au réseau.
• MFA supportée via TOTP et OIDC (délégué à l'IdP).
• Audit log complet : qui s'est connecté, à quelle target, quand, combien de temps.
• Codebase Rust sans dépendance système lourde, surface d'attaque réduite.

📚 Ressources

• Documentation officielle : https://warpgate.warp-tech.dev/docs
• Démo en ligne : https://warpgate.warp-tech.dev/demo
• Article de présentation : https://smallstep.com/blog/warpgate-zero-trust-bastion/

🔗 Pages Liées

• cat-remote-access
• app-guacamole — alternative RDP/VNC/SSH HTML5
• app-meshcentral — gestion de machines distantes
• app-traefik — reverse proxy pour exposer l'UI Warpgate
• securisation-home-lab
• recettes-docker-compose