Basculer la recherche
Basculer le menu
31
195
1
3.9K
Le Wiki de Lug
Changer de menu des préférences
Basculer le menu personnel
Non connecté(e)
Votre adresse IP sera visible au public si vous faites des modifications.

« Hermes » : différence entre les versions

De Le Wiki de Lug
Autres actions
← Modification précédente
Admin (discussion | contributions)
Bureaucrates, Administrateurs d’interface, Administrateurs
2 628 modifications
 
(44 versions intermédiaires par le même utilisateur non affichées)
Ligne 39 : Ligne 39 :


  Display name [192.168.2.216:11434]: <font color = blue>Ollama</font>
  Display name [192.168.2.216:11434]: <font color = blue>Ollama</font>
-----
* Llama.cpp :
<font color = gold>Select provider:</font>
><font color = lightgreen>(○) Custom endpoint (enter URL manually)</font>
Custom OpenAI-compatible endpoint configuration:
API base URL [e.g. <nowiki>https://</nowiki>api.example.com/v1]: http<font color = red>s</font>://<font color = blue>IP_OLLAMA</font>:<font color = green>11434</font>/v1
-----
-----
Remplir les options désirées puis fin de l'installation :
Remplir les options désirées puis fin de l'installation :
Ligne 51 : Ligne 58 :
  # systemctl enable hermes-gateway.service       
  # systemctl enable hermes-gateway.service       
  # systemctl start hermes-gateway.service
  # systemctl start hermes-gateway.service
== Configuration ==
== Configuration ==
=== Activer le serveur API ===
=== Activer le serveur API ===
Ligne 67 : Ligne 75 :
   | niveau = grave
   | niveau = grave
   | icône = grave
   | icône = grave
   | texte  = Si API_SERVER_HOST=0.0.0.0 : L’API est accessible sur le réseau. Limiter l’accès via firewall ou réseau privé recommandé.
   | texte  = Si <code>API_SERVER_HOST=0.0.0.0</code> : l’API est accessible sur le réseau. Définir impérativement une clé <code>API_SERVER_KEY</code> longue et aléatoire, au minimum 16 caractères, idéalement générée avec <code>openssl rand -hex 32</code>. Limiter aussi l’accès via firewall ou réseau privé recommandé.
}}
}}
On relance le service :
On relance le service :
  # systemctl restart hermes-gateway.service
  # systemctl restart hermes-gateway.service
Ligne 77 : Ligne 85 :
Pour vérifier le modèle exposé :
Pour vérifier le modèle exposé :
  # curl http://<font color = blue>IP_HERMES</font>:8642/v1/models -H "Authorization: Bearer <font color = blue>maclefsecrete</font>"
  # curl http://<font color = blue>IP_HERMES</font>:8642/v1/models -H "Authorization: Bearer <font color = blue>maclefsecrete</font>"
=== Retarder le démarrage de Hermes au boot pour laisser le temps aux autres services de se lancer ===
# systemctl edit hermes-gateway.service
Ajouter dans la zone d’édition (partie supérieure du fichier) :
<font color = grey>...</font>
<font color = grey>### Anything between here and the comment below will become the contents of the drop-in file</font>
<font color = blue>[Service]
ExecStartPre=/bin/sh -c 'uptime=$(cut -d. -f1 /proc/uptime); [ "$uptime" -lt 120 ] && sleep 30 || true'</font>
<font color = grey>### Edits below this comment will be discarded</font>
<font color = grey>...</font>
{{Méta bandeau
  | niveau = information
  | icône = information
  | texte  =
Cette commande ajoute une pause de 30 secondes uniquement si la machine a démarré depuis moins de 120 secondes.
Cela permet d’éviter que Hermes tente de se connecter trop tôt à certains services encore en cours de démarrage.
}}
=== Utiliser une CA privée avec Hermes ===
Si Hermes doit se connecter à un service HTTPS signé par une CA privée locale, il peut être nécessaire d’indiquer explicitement à Python et aux bibliothèques HTTP quel bundle de certificats utiliser.
Éditer l’override systemd du service :
# systemctl edit hermes-gateway.service
Ajouter dans la zone d’édition (partie supérieure du fichier) :
<font color = grey>...</font>
<font color = grey>### Anything between here and the comment below will become the contents of the drop-in file</font>
<font color = blue>[Service]
Environment="SSL_CERT_FILE=/etc/ssl/certs/ca-certificates.crt"
Environment="REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt"
Environment="CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt"</font>
<font color = grey>### Edits below this comment will be discarded</font>
<font color = grey>...</font>
Explication rapide :
* <code>SSL_CERT_FILE</code> : utilisé par Python / OpenSSL
* <code>REQUESTS_CA_BUNDLE</code> : utilisé par la bibliothèque Python <code>requests</code>
* <code>CURL_CA_BUNDLE</code> : utilisé par <code>curl</code> et parfois comme variable de repli
Puis recharger et redémarrer le service :
# systemctl daemon-reload
# systemctl restart hermes-gateway.service
==== Cas particulier : bundle certifi du venv Hermes ====
Dans certains cas, le runtime Python embarqué par Hermes peut continuer à utiliser le bundle interne de certifi au lieu du magasin système.
Si curl valide déjà le certificat avec /etc/ssl/certs/ca-certificates.crt mais que Hermes/OpenAI/httpx échoue avec CERTIFICATE_VERIFY_FAILED, on peut remplacer le bundle certifi du venv Hermes par le bundle système.
Sauvegarder le bundle actuel :
# cp /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem.bak
Remplacer par le bundle système :
# cp /etc/ssl/certs/ca-certificates.crt /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem
Attention : cette modification peut être écrasée lors d’une mise à jour de Hermes, du venv Python ou du paquet certifi.
===== Automatiser le remplacement du certificat du venv =====
On édite le service Hermes :
# systemctl edit hermes-gateway.service
Ajouter dans la zone d’édition (partie supérieure du fichier) :
<font color = grey>...</font>
<font color = grey>### Anything between here and the comment below will become the contents of the drop-in file</font>
<font color = blue>[Service]
ExecStartPre=/bin/cp /etc/ssl/certs/ca-certificates.crt /root/.hermes/hermes-agent/venv/lib/python<font color = green>3.11</font>/site-packages/certifi/cacert.pem</font>
<font color = grey>### Edits below this comment will be discarded</font>
<font color = grey>...</font>
Puis recharger systemd et redémarrer le service :
# systemctl daemon-reload
# systemctl restart hermes-gateway.service
=== Éditer le prompt système ===
=== Éditer le prompt système ===
Dans le fichier de configuration :
Dans le fichier de configuration :
Ligne 121 : Ligne 205 :
=== Signal ===
=== Signal ===
Signal est une messagerie instantanée axée sur la confidentialité.
Signal est une messagerie instantanée axée sur la confidentialité.
Tous les messages et appels y sont chiffrés de bout en bout par défaut via le Signal Protocol, de sorte que ni Signal ni un tiers ne peuvent lire leur contenu. Signal se distingue aussi par une collecte de données très limitée, l’absence de publicité et de traqueurs, ainsi qu’un effort particulier pour réduire les métadonnées accessibles au service.
Tous les messages et appels y sont chiffrés de bout en bout par défaut via le Signal Protocol, de sorte que ni Signal ni un tiers ne peuvent en lire le contenu. Signal se distingue également par une collecte de données très limitée, l’absence de publicité et de traqueurs, ainsi qu’un effort particulier pour réduire les métadonnées accessibles au service.


Signal permet de relier Hermes à la messagerie chiffrée Signal.
Signal permet de relier Hermes à la messagerie chiffrée Signal.
La connexion ne se fait pas directement avec le téléphone, mais via <code>signal-cli</code> exécuté en mode daemon HTTP, auquel Hermes se connecte ensuite.
La connexion ne se fait pas directement avec le téléphone, mais via <code>signal-cli</code> exécuté en mode daemon HTTP, auquel Hermes se connecte ensuite.
* Installation :
* Installation :
Via [[Docker|Docker]]
==== Via [[Docker|Docker]] ====
  # mkdir -p /opt/signal-cli-rest-api
{{Méta bandeau
  # vi /opt/signal-cli-rest-api/docker-compose.yml
  | niveau = information
  | icône = information
  | texte  =  Installation séparée (Docker sur autre machine) : Les images et fichiers audio générés par Hermes ne peuvent pas être envoyés en pièces jointes natives, signal-cli n'a pas accès au cache local de Hermes (/root/.hermes/image_cache/). Seules les URLs brutes seront transmises.
Pour les pièces jointes natives (images, audio TTS, vidéos), installer signal-cli sur le même serveur qu'Hermes via [[Hermes#Native|l'installation native]].
}}
  # mkdir -p /opt/signal-cli
  # vi /opt/signal-cli/docker-compose.yml


  services:
  services:
   signal-cli-rest-api:
   signal-cli:
     image: bbernhard/signal-cli-rest-api:latest
     image: registry.gitlab.com/packaging/signal-cli/signal-cli-jre:latest
     environment:
     container_name: signal-cli
      - MODE=normal #supported modes: json-rpc, native, normal
    restart: unless-stopped
      #- AUTO_RECEIVE_SCHEDULE=0 22 * * * #enable this parameter on demand (see description below)
    command: daemon --http 0.0.0.0:8080
     ports:
     ports:
       - "<font color = blue>127.0.0.1</font>:<font color = green>8080</font>:8080" # 127.0.0.1 si installé sur la meme machine que Hermes, pour la rendre inaccessible depuis le reseau
       - "<font color = blue>IP_SERVEUR</font>:8080:8080" # Remplacer par IP du serveur, ou 127.0.0.1 pour restreindre acces local uniquement
     volumes:
     volumes:
       - "./signal-cli-config:/home/.local/share/signal-cli"
       - signal-cli-data:/var/lib/signal-cli
    tmpfs:
      - /tmp:exec
volumes:
  signal-cli-data:


# docker compose -f /opt/signal-cli-rest-api/docker-compose.yml --project-directory /opt/signal-cli-rest-api up -d
  # docker compose -f /opt/signal-cli/docker-compose.yml --project-directory /opt/signal-cli up -d
* Connexion au téléphone :
* Connexion au téléphone :
Installer <code>qrencode</code> :
# apt install qrencode
Dans le terminal :
Dans le terminal :
  # docker exec -it signal-cli-rest-api-signal-cli-rest-api-1 signal-cli link -n "MonServeurSignal"
  # docker exec signal-cli signal-cli link -n "<font color = blue>HermesAgent</font>" > /tmp/signal-link.txt 2>&1 & sleep 3 && grep -o 'sgnl://[^ ]*' /tmp/signal-link.txt | qrencode -t ANSIUTF8 && wait
Scanner le qrcode avec l'application Signal via <code>Paramètre</code> -> <code>Appareils associés</code>
 
Puis scanner le QR code avec l’application Signal via <code>Paramètres</code> -> <code>Appareils associés</code>.
* Connecter Hermes à Signal :
# hermes setup
 
<font color = gold>Connect a messaging platform? (Telegram, Discord, etc.)</font>
-> <font color = lightgreen>●) Set up messaging now (recommended)</font>
Puis redémarrer le service :
# systemctl restart hermes-gateway.service
* Communiquer avec le serveur via Signal (depuis le téléphone dans l'application Signal) :
** Appuyer sur l’icône ✏️ (nouveau message)
** Tout en haut de la liste, "Note to Self" ou votre propre nom apparaît
** Taper votre message : Hermes répond dans cette même conversation
** (Optionnel) taper <code>/sethome</code> pour définir le canal par défaut pour les notifications et les tâches planifiées.
 
==== Native ====
* Installation :
On installe les dépendances si nécessaire :
# apt update && apt upgrade
# apt install tar qrencode openjdk-<font color = green>25</font>-jre-headless
{{Méta bandeau
  | niveau = information
  | icône = information
  | texte  =  Si l'installation échoue, vérifier la compatibilité Java : <code>signal-cli --version</code>. En cas d'erreur <code>UnsupportedClassVersionError</code>, installer la version Java requise via <code>apt install openjdk-<font color = blue>XX</font>-jre-headless</code>.
}}
On Installe le programme :
# cd /tmp
# VERSION=$(curl -Ls -o /dev/null -w %{url_effective} <nowiki>https://</nowiki>github.com/AsamK/signal-cli/releases/latest | sed 's/^.*\/v//')
# curl -L -O "<nowiki>https://</nowiki>github.com/AsamK/signal-cli/releases/download/v${VERSION}/signal-cli-${VERSION}.tar.gz"
# tar xf "signal-cli-${VERSION}.tar.gz" -C /opt
# ln -sf "/opt/signal-cli-${VERSION}/bin/signal-cli" /usr/local/bin/
# rm /tmp/signal-cli-${VERSION}.tar.gz
Appareillage du téléphone :
# signal-cli link -n "HermesAgent" > /tmp/signal-link.txt 2>&1 & sleep 5 && grep -o 'sgnl://[^ ]*' /tmp/signal-link.txt | qrencode -t ANSIUTF8 && wait
Puis scanner le QR code avec l’application Signal via <code>Paramètres</code> -> <code>Appareils associés</code>.
 
On créé un service :
# vi /etc/systemd/system/signal-cli.service
 
[Unit]
Description=signal-cli daemon
After=network.target
[Service]
ExecStart=/usr/local/bin/signal-cli --account +<font color = blue>VOTRE_NUMERO</font> daemon --http 127.0.0.1:8080
Restart=always
RestartSec=5
[Install]
WantedBy=multi-user.target
 
# systemctl daemon-reload
# systemctl enable --now signal-cli
# systemctl status signal-cli
* Connecter Hermes à Signal :
# hermes setup
 
<font color = gold>Connect a messaging platform? (Telegram, Discord, etc.)</font>
-> <font color = lightgreen>●) Set up messaging now (recommended)</font>
Puis redémarrer le service :
# systemctl restart hermes-gateway.service
* Communiquer avec le serveur via Signal (depuis le téléphone dans l'application Signal) :
** Appuyer sur l’icône ✏️ (nouveau message)
** Tout en haut de la liste, "Note to Self" ou votre propre nom apparaît
** Taper votre message : Hermes répond dans cette même conversation
** (Optionnel) taper <code>/sethome</code> pour définir le canal par défaut pour les notifications et les tâches planifiées.
==== Mise à jour automatique ====
{{Méta bandeau
  | niveau = information
  | icône = information
  | texte  =  Il est recommandé de mettre à jour l'application Signal au moins tous les trois mois.
}}
* Version native :
On créé un script :
# vi /usr/local/bin/update-signal-cli.sh
 
#!/bin/bash
systemctl stop signal-cli
cd /tmp
# Télécharger la nouvelle version
VERSION=$(curl -Ls -o /dev/null -w %{url_effective} <nowiki>https://</nowiki>github.com/AsamK/signal-cli/releases/latest | sed 's/^.*\/v//')
curl -L -O "<nowiki>https://</nowiki>github.com/AsamK/signal-cli/releases/download/v${VERSION}/signal-cli-${VERSION}.tar.gz"
tar xf "signal-cli-${VERSION}.tar.gz" -C /opt
ln -sf "/opt/signal-cli-${VERSION}/bin/signal-cli" /usr/local/bin/signal-cli
rm /tmp/signal-cli-${VERSION}.tar.gz
# Vérifier la compatibilité Java
if ! signal-cli --version > /dev/null 2>&1; then
    # Extraire la version Java requise depuis l'erreur
    REQUIRED=$(signal-cli --version 2>&1 | grep -o 'class file version [0-9]*' | grep -o '[0-9]*')
    # Convertir class version en version Java (class 69 = Java 25, 65 = Java 21, etc.)
    JAVA_VERSION=$((REQUIRED - 44))
    echo "Java $JAVA_VERSION requis, installation..."
    apt install -y openjdk-${JAVA_VERSION}-jre-headless
    update-alternatives --set java /usr/lib/jvm/java-${JAVA_VERSION}-openjdk-amd64/bin/java
fi
systemctl start signal-cli
 
# chmod +x /usr/local/bin/update-signal-cli.sh
On ajoute le script au crontab :
# crontab -e
Ajouter :
<font color = grey>...</font>
0 3 1 * * /usr/local/bin/update-signal-cli.sh
{{Méta bandeau
  | niveau = information
  | icône = information
  | texte  =
* 0 → minute 0
* 3 → 3h du matin
* 1 → le 1er du mois
* * → tous les mois
* * → peu importe le jour de la semaine
}}
* Version docker :
Voir [[Watchtower]] pour la mise à jour automatique de tous les containers Docker. (tuto à faire..)


= Commandes =
= Commandes =
Ligne 175 : Ligne 391 :
  # hermes doctor
  # hermes doctor
= MCP =
= MCP =
== [[IA_MCP#SearXNG|SearXNG]] ==
=== [[IA_MCP#SearXNG|SearXNG]] ===


  # vi ~/.hermes/config.yaml
  # vi ~/.hermes/config.yaml


On inscrit le serveur (créer la section <code>mcp_servers</code> si absente) :
On inscrit le serveur MCP SearXNG (créer la section <code>mcp_servers</code> si absente) :


  <font color=grey>...
  <font color=grey>...
Ligne 190 : Ligne 406 :
   | niveau = modéré
   | niveau = modéré
   | icône = modéré
   | icône = modéré
   | texte  = La section <code>mcp_servers</code> doit être au niveau racine (tout à gauche)
   | texte  = La section <code>mcp_servers</code> doit être au niveau racine (tout à gauche). Vérifier également que le port correspond bien à celui exposé par le conteneur MCP SearXNG.
  }}
  }}


On redémarre le service :
On redémarre le service :
  # systemctl restart hermes-gateway.service
  # systemctl restart hermes-gateway.service


Ou depuis Hermes :
Ou depuis Hermes :
  /reload-mcp
  /reload-mcp


Test :
Test :
  # hermes mcp list
  # hermes mcp list
  # hermes mcp test searxng
  # hermes mcp test searxng
* Prompt système recommandé (voir [[#Éditer_le_prompt_système|Éditer le prompt système]]) :
TOOLS:
- For current, recent, uncertain, or factual information, use mcp_searxng_searxng_web_search.
- To read a specific URL, use mcp_searxng_web_url_read.
- For system tasks, use terminal.
RULES:
- Respond in the same language as the user.
- Do not invent tool results.
- If a tool fails, say so.
- Do not use tools for simple rewriting, translation, or opinion unless needed.
* Recommandation :
Il est recommandé de désactiver le service natif correspondant :
# hermes tools
Décocher :
🔍 Web Search & Scraping  (web_search, web_extract)  [no API key]


== [[IA_MCP#MCP_SearXNG_Enhanced_Server_(HTTP_Edition)|MCP SearXNG Enhanced Server (HTTP Edition)]] ==
Le serveur <code>ihor-sokoliuk/mcp-searxng</code> expose notamment les outils suivants :
# vi ~/.hermes/config.yaml


On inscrit le serveur (créer la section <code>mcp_servers</code> si absente) :
searxng_web_search
searxng_search_suggestions
searxng_instance_info
web_url_read


<font color=grey>...
* Prompt système recommandé (voir [[#Éditer_le_prompt_système|Éditer le prompt système]]) :
mcp_servers:</font>
  searxng:
    url: "http://<font color=blue>IP_MCP</font>:<font color=green>8000</font>/mcp"
<font color=grey>...</font>


{{Méta bandeau
concise: |-
  | niveau = modéré
  You are a concise assistant. Keep responses brief and to the point.
  | icône = modéré
  | texte  = La section <code>mcp_servers</code> doit être au niveau racine (tout à gauche)
  TOOLS:
}}
  - For current, recent, upcoming, time-sensitive, location-specific, or uncertain factual questions, use mcp_searxng_searxng_web_search.
  - To read a specific URL, use mcp_searxng_web_url_read.
  - For search suggestions, use mcp_searxng_searxng_search_suggestions.
  - For SearXNG instance capabilities, categories, engines, locales, and plugins, use mcp_searxng_searxng_instance_info.
  - For system tasks, use terminal.
  RULES:
  - Respond in the same language as the user.
  - Do not invent tool results.
  - If a tool fails, say so explicitly.
  - Do not promise to continue later, follow up later, or say that results are still coming.
  - When the user asks multiple questions, use the tools needed, then answer all requested items in one final structured response.
  - Never answer current, recent, upcoming, time-sensitive, location-specific, or uncertain factual questions without using the required tool first.
  - This includes weather, news, prices, schedules, releases, availability, rankings, versions, and other facts that may have changed.
  - If no tool result is available, say you cannot verify and do not guess.
  - Use search categories when relevant.
  - For image searches, use mcp_searxng_searxng_web_search with categories=images.
  - For video searches, use mcp_searxng_searxng_web_search with categories=videos.
  - For image results, output direct image URLs using markdown image syntax: ![](URL)
  - For video results, output links in this format: 🎬 [Titre de la vidéo](URL)
  - Do not use tools for simple rewriting, translation, or opinion unless needed.


On redémarre le service :
-----
# systemctl restart hermes-gateway.service


Ou depuis Hermes :
* Recommandation :
/reload-mcp


Test :
# hermes mcp list
# hermes mcp test searxng
* Prompt système recommandé (voir [[#Éditer_le_prompt_système|Éditer le prompt système]]) :
TOOLS:
- For current, recent, upcoming, or uncertain information, first use mcp_searxng_get_current_datetime, then use mcp_searxng_search_web.
- To read a specific URL, use mcp_searxng_get_website.
- For system tasks, use terminal.
RULES:
- Respond in the same language as the user.
- Do not invent tool results.
- If a tool fails, say so.
- Use search categories when relevant.
- Do not use tools for simple rewriting, translation, or opinion unless needed.
- For image results, output direct image URLs using markdown image syntax: ![](URL)
- For video results, output links in this format: 🎬 [Titre de la vidéo](URL)
* Recommandation :
Il est recommandé de désactiver le service natif correspondant :
Il est recommandé de désactiver le service natif correspondant :
  # hermes tools
  # hermes tools
Décocher :
Décocher :
  🔍 Web Search & Scraping  (web_search, web_extract)  [no API key]
  🔍 Web Search & Scraping  (web_search, web_extract)  [no API key]

Dernière version du 30 juin 2026 à 14:55

Prérequis

(Hermes seul)

  • Une machine ou VM dédiée (LXC compatible)

Pour un Hermes de base (sans LLM local) :

  • RAM :
    • 1 Go → minimum (test uniquement)
    • 2 Go → recommandé
    • 4 Go -> confortable
  • CPU / vCPU :
    • 1 vCPU → suffisant
    • 2 vCPU → recommandé
  • Espace disque :
    • 5 Go → minimum
    • 10 Go → confortable
  • GPU :
    • Inutile

Installation Hermes (service dédié)

Installation (Debian)

# apt update && apt upgrade
# apt install curl git
# curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash

How would you like to set up Hermes?
> (○) Quick setup — provider, model & messaging (recommended)
  • Ollama local :
Select provider:
>(○) Custom endpoint (enter URL manually)

Custom OpenAI-compatible endpoint configuration:
API base URL [e.g. https://api.example.com/v1]: http://IP_OLLAMA:11434/v1
API key [optional]:

Detected model: mon_model
Use this model? [Y/n]: Y

Context length in tokens [leave blank for auto-detect]:

Display name [192.168.2.216:11434]: Ollama
  • Llama.cpp :
Select provider:
>(○) Custom endpoint (enter URL manually)

Custom OpenAI-compatible endpoint configuration:
API base URL [e.g. https://api.example.com/v1]: https://IP_OLLAMA:11434/v1

Remplir les options désirées puis fin de l'installation : 

Launch hermes chat now? [Y/n]: y

Ensuite, inscrire Hermes comme service pour qu'il se lance automatiquement :

  • Sur une machine physique ou VM :
# hermes gateway install --system
  • Dans un LXC :
# hermes gateway install --system --run-as-user root

# systemctl enable hermes-gateway.service      
# systemctl start hermes-gateway.service

Configuration

Activer le serveur API

On édite le fichier : 

# vi ~/.hermes/.env

Ajouter : 

...
API_SERVER_ENABLED=true
API_SERVER_KEY="maclefsecrete"
# pour autoriser toutes les interfaces :
API_SERVER_HOST=0.0.0.0
# pour autoriser une seule interface :
# API_SERVER_HOST=IP_HERMES
API_SERVER_PORT=8642
Si API_SERVER_HOST=0.0.0.0 : l’API est accessible sur le réseau. Définir impérativement une clé API_SERVER_KEY longue et aléatoire, au minimum 16 caractères, idéalement générée avec openssl rand -hex 32. Limiter aussi l’accès via firewall ou réseau privé recommandé.

On relance le service : 

# systemctl restart hermes-gateway.service

Pour tester : 

# curl http://IP_HERMES:8642/health

Doit renvoyer : 

{"status":"ok"}

Pour vérifier le modèle exposé : 

# curl http://IP_HERMES:8642/v1/models -H "Authorization: Bearer maclefsecrete"

Retarder le démarrage de Hermes au boot pour laisser le temps aux autres services de se lancer

# systemctl edit hermes-gateway.service

Ajouter dans la zone d’édition (partie supérieure du fichier) : 

...
### Anything between here and the comment below will become the contents of the drop-in file

[Service]
ExecStartPre=/bin/sh -c 'uptime=$(cut -d. -f1 /proc/uptime); [ "$uptime" -lt 120 ] && sleep 30 || true'

### Edits below this comment will be discarded
...
Cette commande ajoute une pause de 30 secondes uniquement si la machine a démarré depuis moins de 120 secondes.

Cela permet d’éviter que Hermes tente de se connecter trop tôt à certains services encore en cours de démarrage.

Utiliser une CA privée avec Hermes

Si Hermes doit se connecter à un service HTTPS signé par une CA privée locale, il peut être nécessaire d’indiquer explicitement à Python et aux bibliothèques HTTP quel bundle de certificats utiliser.

Éditer l’override systemd du service : 

# systemctl edit hermes-gateway.service

Ajouter dans la zone d’édition (partie supérieure du fichier) : 

...
### Anything between here and the comment below will become the contents of the drop-in file

[Service]
Environment="SSL_CERT_FILE=/etc/ssl/certs/ca-certificates.crt"
Environment="REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt"
Environment="CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt"

### Edits below this comment will be discarded
...

Explication rapide :

  • SSL_CERT_FILE : utilisé par Python / OpenSSL
  • REQUESTS_CA_BUNDLE : utilisé par la bibliothèque Python requests
  • CURL_CA_BUNDLE : utilisé par curl et parfois comme variable de repli

Puis recharger et redémarrer le service : 

# systemctl daemon-reload
# systemctl restart hermes-gateway.service

Cas particulier : bundle certifi du venv Hermes

Dans certains cas, le runtime Python embarqué par Hermes peut continuer à utiliser le bundle interne de certifi au lieu du magasin système.

Si curl valide déjà le certificat avec /etc/ssl/certs/ca-certificates.crt mais que Hermes/OpenAI/httpx échoue avec CERTIFICATE_VERIFY_FAILED, on peut remplacer le bundle certifi du venv Hermes par le bundle système.

Sauvegarder le bundle actuel : 

# cp /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem.bak

Remplacer par le bundle système : 

# cp /etc/ssl/certs/ca-certificates.crt /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem

Attention : cette modification peut être écrasée lors d’une mise à jour de Hermes, du venv Python ou du paquet certifi.

Automatiser le remplacement du certificat du venv

On édite le service Hermes : 

# systemctl edit hermes-gateway.service

Ajouter dans la zone d’édition (partie supérieure du fichier) : 

...
### Anything between here and the comment below will become the contents of the drop-in file

[Service]
ExecStartPre=/bin/cp /etc/ssl/certs/ca-certificates.crt /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem

### Edits below this comment will be discarded
...

Puis recharger systemd et redémarrer le service : 

# systemctl daemon-reload
# systemctl restart hermes-gateway.service

Éditer le prompt système

Dans le fichier de configuration : 

# vi ~/.hermes/config.yaml

On édite ou vérifie le profil utilisé dans la section display : 

...
 display:
  compact: false
  personality: kawaii
  resume_display: full
...

Puis on modifie le prompt système via le profil correspondant dans la section agent : 

...
agent:
  max_turns: 90
  gateway_timeout: 1800
  restart_drain_timeout: 60
  api_max_retries: 3
  service_tier: 
  tool_use_enforcement: auto
  gateway_timeout_warning: 900
  gateway_notify_interval: 600
  verbose: false
  reasoning_effort: medium
  personalities:
    helpful: You are a helpful, friendly AI assistant.
    concise: You are a concise assistant. Keep responses brief and to the point.
...

Enfin, on redémarre le service : 

# systemctl restart hermes-gateway.service

⚠️ Attention, pour que les lignes contenant : ne soient pas interprétées comme des personnalités dans le fichier YAML, il faut écrire le prompt sous forme de bloc multiligne avec le symbole |, en respectant l'indentation. Exemple : 

    concise: |
      You are a concise assistant. Keep responses brief and to the point.
      TOOLS:
      - For current, recent, uncertain, or factual information, use mcp_searxng_searxng_web_search.
      - To read a specific URL, use mcp_searxng_web_url_read.
      - For system tasks, use terminal.

      RULES:
      - Respond in the same language as the user.
      - Do not invent tool results.
      - If a tool fails, say so.
      - Do not use tools for simple rewriting, translation, or opinion unless needed.

Signal

Signal est une messagerie instantanée axée sur la confidentialité. Tous les messages et appels y sont chiffrés de bout en bout par défaut via le Signal Protocol, de sorte que ni Signal ni un tiers ne peuvent en lire le contenu. Signal se distingue également par une collecte de données très limitée, l’absence de publicité et de traqueurs, ainsi qu’un effort particulier pour réduire les métadonnées accessibles au service.

Signal permet de relier Hermes à la messagerie chiffrée Signal. La connexion ne se fait pas directement avec le téléphone, mais via signal-cli exécuté en mode daemon HTTP, auquel Hermes se connecte ensuite.

  • Installation :

Via Docker

Installation séparée (Docker sur autre machine) : Les images et fichiers audio générés par Hermes ne peuvent pas être envoyés en pièces jointes natives, signal-cli n'a pas accès au cache local de Hermes (/root/.hermes/image_cache/). Seules les URLs brutes seront transmises.

Pour les pièces jointes natives (images, audio TTS, vidéos), installer signal-cli sur le même serveur qu'Hermes via l'installation native. 

# mkdir -p /opt/signal-cli
# vi /opt/signal-cli/docker-compose.yml

services:
  signal-cli:
    image: registry.gitlab.com/packaging/signal-cli/signal-cli-jre:latest
    container_name: signal-cli
    restart: unless-stopped
    command: daemon --http 0.0.0.0:8080
    ports:
      - "IP_SERVEUR:8080:8080" # Remplacer par IP du serveur, ou 127.0.0.1 pour restreindre acces local uniquement
    volumes:
      - signal-cli-data:/var/lib/signal-cli
    tmpfs:
      - /tmp:exec

volumes:
  signal-cli-data:

 # docker compose -f /opt/signal-cli/docker-compose.yml --project-directory /opt/signal-cli up -d
  • Connexion au téléphone :

Installer qrencode : 

# apt install qrencode

Dans le terminal : 

# docker exec signal-cli signal-cli link -n "HermesAgent" > /tmp/signal-link.txt 2>&1 & sleep 3 && grep -o 'sgnl://[^ ]*' /tmp/signal-link.txt | qrencode -t ANSIUTF8 && wait

Puis scanner le QR code avec l’application Signal via Paramètres -> Appareils associés.

  • Connecter Hermes à Signal :
# hermes setup

Connect a messaging platform? (Telegram, Discord, etc.)
-> ●) Set up messaging now (recommended)

Puis redémarrer le service : 

# systemctl restart hermes-gateway.service
  • Communiquer avec le serveur via Signal (depuis le téléphone dans l'application Signal) :
    • Appuyer sur l’icône ✏️ (nouveau message)
    • Tout en haut de la liste, "Note to Self" ou votre propre nom apparaît
    • Taper votre message : Hermes répond dans cette même conversation
    • (Optionnel) taper /sethome pour définir le canal par défaut pour les notifications et les tâches planifiées.

Native

  • Installation :

On installe les dépendances si nécessaire : 

# apt update && apt upgrade
# apt install tar qrencode openjdk-25-jre-headless
Si l'installation échoue, vérifier la compatibilité Java : signal-cli --version. En cas d'erreur UnsupportedClassVersionError, installer la version Java requise via apt install openjdk-XX-jre-headless.

On Installe le programme : 

# cd /tmp
# VERSION=$(curl -Ls -o /dev/null -w %{url_effective} https://github.com/AsamK/signal-cli/releases/latest | sed 's/^.*\/v//')
# curl -L -O "https://github.com/AsamK/signal-cli/releases/download/v${VERSION}/signal-cli-${VERSION}.tar.gz"
# tar xf "signal-cli-${VERSION}.tar.gz" -C /opt
# ln -sf "/opt/signal-cli-${VERSION}/bin/signal-cli" /usr/local/bin/
# rm /tmp/signal-cli-${VERSION}.tar.gz

Appareillage du téléphone : 

# signal-cli link -n "HermesAgent" > /tmp/signal-link.txt 2>&1 & sleep 5 && grep -o 'sgnl://[^ ]*' /tmp/signal-link.txt | qrencode -t ANSIUTF8 && wait

Puis scanner le QR code avec l’application Signal via Paramètres -> Appareils associés.

On créé un service : 

# vi /etc/systemd/system/signal-cli.service

[Unit]
Description=signal-cli daemon
After=network.target

[Service]
ExecStart=/usr/local/bin/signal-cli --account +VOTRE_NUMERO daemon --http 127.0.0.1:8080
Restart=always
RestartSec=5

[Install]
WantedBy=multi-user.target

# systemctl daemon-reload
# systemctl enable --now signal-cli
# systemctl status signal-cli
  • Connecter Hermes à Signal :
# hermes setup

Connect a messaging platform? (Telegram, Discord, etc.)
-> ●) Set up messaging now (recommended)

Puis redémarrer le service : 

# systemctl restart hermes-gateway.service
  • Communiquer avec le serveur via Signal (depuis le téléphone dans l'application Signal) :
    • Appuyer sur l’icône ✏️ (nouveau message)
    • Tout en haut de la liste, "Note to Self" ou votre propre nom apparaît
    • Taper votre message : Hermes répond dans cette même conversation
    • (Optionnel) taper /sethome pour définir le canal par défaut pour les notifications et les tâches planifiées.

Mise à jour automatique

Il est recommandé de mettre à jour l'application Signal au moins tous les trois mois.
  • Version native :

On créé un script : 

# vi /usr/local/bin/update-signal-cli.sh

#!/bin/bash
systemctl stop signal-cli
cd /tmp

# Télécharger la nouvelle version
VERSION=$(curl -Ls -o /dev/null -w %{url_effective} https://github.com/AsamK/signal-cli/releases/latest | sed 's/^.*\/v//')
curl -L -O "https://github.com/AsamK/signal-cli/releases/download/v${VERSION}/signal-cli-${VERSION}.tar.gz"
tar xf "signal-cli-${VERSION}.tar.gz" -C /opt
ln -sf "/opt/signal-cli-${VERSION}/bin/signal-cli" /usr/local/bin/signal-cli
rm /tmp/signal-cli-${VERSION}.tar.gz

# Vérifier la compatibilité Java
if ! signal-cli --version > /dev/null 2>&1; then
    # Extraire la version Java requise depuis l'erreur
    REQUIRED=$(signal-cli --version 2>&1 | grep -o 'class file version [0-9]*' | grep -o '[0-9]*')
    # Convertir class version en version Java (class 69 = Java 25, 65 = Java 21, etc.)
    JAVA_VERSION=$((REQUIRED - 44))
    echo "Java $JAVA_VERSION requis, installation..."
    apt install -y openjdk-${JAVA_VERSION}-jre-headless
    update-alternatives --set java /usr/lib/jvm/java-${JAVA_VERSION}-openjdk-amd64/bin/java
fi

systemctl start signal-cli

# chmod +x /usr/local/bin/update-signal-cli.sh

On ajoute le script au crontab : 

# crontab -e

Ajouter : 

...
0 3 1 * * /usr/local/bin/update-signal-cli.sh
  • 0 → minute 0
  • 3 → 3h du matin
  • 1 → le 1er du mois
  • * → tous les mois
  • * → peu importe le jour de la semaine
  • Version docker :

Voir Watchtower pour la mise à jour automatique de tous les containers Docker. (tuto à faire..)

Commandes

  • Lancer l’interface interactive :
# hermes
  • Choisir le modèle et le provider LLM :
# hermes model
  • Configurer les outils disponibles :
# hermes tools
  • Modifier une configuration spécifique :
# hermes config set
  • Démarrer le gateway (Telegram, Discord, etc.) :
# hermes gateway
  • Lancer le script de configuration complet :
# hermes setup
  • Migrer depuis OpenClaw :
# hermes claw migrate
  • Mettre à jour Hermes :
# hermes update
  • Diagnostiquer les problèmes :
# hermes doctor

MCP

SearXNG

# vi ~/.hermes/config.yaml

On inscrit le serveur MCP SearXNG (créer la section mcp_servers si absente) : 

...
mcp_servers:
  searxng:
    url: "http://IP_MCP:3000/mcp"
...
La section mcp_servers doit être au niveau racine (tout à gauche). Vérifier également que le port correspond bien à celui exposé par le conteneur MCP SearXNG.

On redémarre le service : 

# systemctl restart hermes-gateway.service

Ou depuis Hermes : 

/reload-mcp

Test : 

# hermes mcp list
# hermes mcp test searxng

Le serveur ihor-sokoliuk/mcp-searxng expose notamment les outils suivants : 

searxng_web_search
searxng_search_suggestions
searxng_instance_info
web_url_read

concise: |-
  You are a concise assistant. Keep responses brief and to the point.

  TOOLS:
  - For current, recent, upcoming, time-sensitive, location-specific, or uncertain factual questions, use mcp_searxng_searxng_web_search.
  - To read a specific URL, use mcp_searxng_web_url_read.
  - For search suggestions, use mcp_searxng_searxng_search_suggestions.
  - For SearXNG instance capabilities, categories, engines, locales, and plugins, use mcp_searxng_searxng_instance_info.
  - For system tasks, use terminal.

  RULES:
  - Respond in the same language as the user.
  - Do not invent tool results.
  - If a tool fails, say so explicitly.
  - Do not promise to continue later, follow up later, or say that results are still coming.
  - When the user asks multiple questions, use the tools needed, then answer all requested items in one final structured response.
  - Never answer current, recent, upcoming, time-sensitive, location-specific, or uncertain factual questions without using the required tool first.
  - This includes weather, news, prices, schedules, releases, availability, rankings, versions, and other facts that may have changed.
  - If no tool result is available, say you cannot verify and do not guess.
  - Use search categories when relevant.
  - For image searches, use mcp_searxng_searxng_web_search with categories=images.
  - For video searches, use mcp_searxng_searxng_web_search with categories=videos.
  - For image results, output direct image URLs using markdown image syntax: ![](URL)
  - For video results, output links in this format: 🎬 [Titre de la vidéo](URL)
  - Do not use tools for simple rewriting, translation, or opinion unless needed.
  • Recommandation :

Il est recommandé de désactiver le service natif correspondant : 

# hermes tools

Décocher : 

🔍 Web Search & Scraping  (web_search, web_extract)  [no API key]
Récupérée de "https://lugwiki.stcgrupo.es/index.php?title=Hermes&oldid=4091"
Dernière modification
La dernière modification de cette page a été faite le 30 juin 2026 à 14:55.