wiki/Catalogue-Self-Hosted/apps/app-dockpeek.md

---

title: Dockpeek created: 2026-06-07 updated: 2026-06-07 type: app tags: [catalogue, docker, securite, dashboard, python, auto-hebergement] confidence: high contested: false sources: [https://selfh.st/apps/?tag=Docker, https://github.com/dockpeek/dockpeek]

🐳 Dockpeek

Le tableau de bord de vos ports exposés : voyez d'un coup d'œil quels conteneurs Docker ont des ports ouverts sur votre réseau, et à qui ils sont accessibles. L'outil idéal pour auditer la surface d'attaque d'un homelab.

📋 Informations Générales

Champ	Valeur
Site web	(GitHub)
GitHub	dockpeek/dockpeek
License	MIT
Langage	Python (Flask)
Étoiles GitHub	1795 ⭐
Dernière MAJ	2026-05-28
Catégorie	cat-docker

📝 Description

Dockpeek est un dashboard web minimaliste qui interroge le daemon Docker pour lister tous les conteneurs en cours d'exécution, leurs ports mappés, et — surtout — qui peut y accéder (localhost, réseau Docker, IP de l'hôte). C'est un outil d'audit de surface d'attaque pensé pour les homelabs.

L'idée : vous avez 30 conteneurs, vous ne vous souvenez plus de tous les ports mappés sur 0.0.0.0, et vous ne savez pas si votre base de données exposée sur 5432 est accessible depuis Internet. Dockpeek répond en un coup d'œil.

• ✅ Détection automatique des ports mappés sur 0.0.0.0, 127.0.0.1, ou IP spécifique
• ✅ Indicateurs visuels : vert (sûr, localhost), orange (LAN), rouge (0.0.0.0 = Internet)
• ✅ Scan UPnP / NAT-PMP : détecte si votre box/routeur a forwardé des ports vers votre hôte Docker
• ✅ Multi-hôte : peut superviser plusieurs daemons Docker distants (via socket SSH)
• ✅ Page de statut publique : utile pour partager un inventaire avec l'équipe
• ✅ Léger : Python + Flask, pas de base de données, peu de RAM consommée
• ✅ Pas de modification : c'est un outil d'audit read-only, il n'arrête/ne touche jamais vos conteneurs

Dockpeek vs app-portainer : Portainer fait tout (gestion, déploiement, MAJ…) ; Dockpeek fait une seule chose (audit des ports) mais le fait bien. C'est le complément idéal de Portainer. Dockpeek vs docker ps : Dockpeek ajoute la couche d'intelligence réseau (qui peut joindre ce port ?).

🚀 Installation

Docker Compose (recommandé)

# docker-compose.yml
version: '3.8'
services:
  dockpeek:
    image: ghcr.io/dockpeek/dockpeek:latest
    container_name: dockpeek
    restart: unless-stopped
    ports:
      - "8000:8000"  # Web UI
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro  # ⚠️ lecture seule seulement
    environment:
      - TZ=Europe/Paris
      - DP_HOSTNAME=homelab
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.dockpeek.rule=Host(`dockpeek.example.com`)"
      - "traefik.http.routers.dockpeek.entrypoints=websecure"
      - "traefik.http.routers.dockpeek.tls.certresolver=letsencrypt"

Python (sans Docker)

git clone https://github.com/dockpeek/dockpeek.git
cd dockpeek && pip install -r requirements.txt
python -m dockpeek

⚙️ Configuration Initiale

1. Monter le socket Docker en read-only : :ro est indispensable, Dockpeek n'écrit rien
2. Accéder à l'UI : http://IP:8000
3. Vérifier la liste des conteneurs : tous les conteneurs actifs s'affichent avec leurs ports mappés
4. Auditer la colonne "Bind" : repérer les conteneurs liés à 0.0.0.0 et décider si c'est intentionnel
5. Lancer un scan UPnP (bouton dans l'UI) pour voir si votre box a forwardé un port
6. Ajouter un second hôte Docker distant dans la config pour superviser un cluster

🔄 Alternatives

Open Source

• Portainer (app-portainer) — GUI complète, fait beaucoup plus que l'audit
• Dozzle (app-dozzle) — viewer de logs, pas d'audit réseau
• Docker Bench for Security — script d'audit sécurité complet (CIS)
• Trivy — scanner de vulnérabilités d'images, pas d'audit réseau
• nmap + greffons — plus bas niveau

Comparaison Dockpeek vs alternatives

Critère	Dockpeek	Portainer	Docker Bench	Trivy
Audit ports exposés	✅	⚠️ partiel	✅	❌
Interface web	✅	✅	❌ (rapport)	❌
Gestion conteneurs	❌	✅	❌	❌
Scan vulnérabilités	❌	❌	⚠️ partiel	✅
Multi-hôte	✅	✅	❌	❌
Setup	2 min	5 min	10 min	10 min

Verdict : Dockpeek est le spécialiste de l'audit des ports. Si vous voulez juste savoir « qu'est-ce qui est exposé où ? », c'est lui. Pour le reste, combinez avec app-portainer et un scanner de vulnérabilités.

Propriétaires (ce que Dockpeek remplace)

• Censys / Shodan (scans externes payants)
• Portainer Business (audit réseau partiel)
• Aqua Security (payant)

🔐 Sécurité

• ⚠️ Socket Docker monté : même en ro, le socket reste sensible. Privilégier un accès via app-docker-socket-proxy-docker qui filtre l'API
• Ne pas exposer Dockpeek sur Internet : l'UI révèle votre topologie réseau. Restreindre à localhost ou VPN (app-wireguard / app-tailnet)
• Activer un reverse-auth (ex : app-authentik ou app-authelia) devant l'UI si elle doit être accessible à plusieurs utilisateurs

📚 Ressources

• GitHub dockpeek/dockpeek
• Documentation

Pages Liées

• cat-docker — Catégorie Docker
• app-portainer / app-dockge / app-yacht — GUI Docker
• app-traefik — Reverse-proxy
• recettes-docker-compose — Compose files
• securisation-home-lab — Bonnes pratiques