Dernière version du 30 juin 2026 à 14:55

Prérequis

(Hermes seul)

Une machine ou VM dédiée (LXC compatible)

Pour un Hermes de base (sans LLM local) :

RAM :
- 1 Go → minimum (test uniquement)
- 2 Go → recommandé
- 4 Go -> confortable
CPU / vCPU :
- 1 vCPU → suffisant
- 2 vCPU → recommandé
Espace disque :
- 5 Go → minimum
- 10 Go → confortable
GPU :
- Inutile

Installation Hermes (service dédié)

Installation (Debian)

# apt update && apt upgrade
# apt install curl git
# curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash

How would you like to set up Hermes?
> (○) Quick setup — provider, model & messaging (recommended)

Ollama local :

Select provider:
>(○) Custom endpoint (enter URL manually)

Custom OpenAI-compatible endpoint configuration:
API base URL [e.g. https://api.example.com/v1]: http://IP_OLLAMA:11434/v1
API key [optional]:

Detected model: mon_model
Use this model? [Y/n]: Y

Context length in tokens [leave blank for auto-detect]:

Display name [192.168.2.216:11434]: Ollama

Llama.cpp :

Select provider:
>(○) Custom endpoint (enter URL manually)

Custom OpenAI-compatible endpoint configuration:
API base URL [e.g. https://api.example.com/v1]: https://IP_OLLAMA:11434/v1

Remplir les options désirées puis fin de l'installation :

Launch hermes chat now? [Y/n]: y

Ensuite, inscrire Hermes comme service pour qu'il se lance automatiquement :

Sur une machine physique ou VM :

# hermes gateway install --system

Dans un LXC :

# hermes gateway install --system --run-as-user root

# systemctl enable hermes-gateway.service      
# systemctl start hermes-gateway.service

Configuration

Activer le serveur API

On édite le fichier :

# vi ~/.hermes/.env

Ajouter :

...
API_SERVER_ENABLED=true
API_SERVER_KEY="maclefsecrete"
# pour autoriser toutes les interfaces :
API_SERVER_HOST=0.0.0.0
# pour autoriser une seule interface :
# API_SERVER_HOST=IP_HERMES
API_SERVER_PORT=8642

Si API_SERVER_HOST=0.0.0.0 : l’API est accessible sur le réseau. Définir impérativement une clé API_SERVER_KEY longue et aléatoire, au minimum 16 caractères, idéalement générée avec openssl rand -hex 32. Limiter aussi l’accès via firewall ou réseau privé recommandé.

On relance le service :

# systemctl restart hermes-gateway.service

Pour tester :

# curl http://IP_HERMES:8642/health

Doit renvoyer :

{"status":"ok"}

Pour vérifier le modèle exposé :

# curl http://IP_HERMES:8642/v1/models -H "Authorization: Bearer maclefsecrete"

Retarder le démarrage de Hermes au boot pour laisser le temps aux autres services de se lancer

# systemctl edit hermes-gateway.service

Ajouter dans la zone d’édition (partie supérieure du fichier) :

...
### Anything between here and the comment below will become the contents of the drop-in file

[Service]
ExecStartPre=/bin/sh -c 'uptime=$(cut -d. -f1 /proc/uptime); [ "$uptime" -lt 120 ] && sleep 30 || true'

### Edits below this comment will be discarded
...

Cette commande ajoute une pause de 30 secondes uniquement si la machine a démarré depuis moins de 120 secondes.

Cela permet d’éviter que Hermes tente de se connecter trop tôt à certains services encore en cours de démarrage.

Utiliser une CA privée avec Hermes

Si Hermes doit se connecter à un service HTTPS signé par une CA privée locale, il peut être nécessaire d’indiquer explicitement à Python et aux bibliothèques HTTP quel bundle de certificats utiliser.

Éditer l’override systemd du service :

# systemctl edit hermes-gateway.service

Ajouter dans la zone d’édition (partie supérieure du fichier) :

...
### Anything between here and the comment below will become the contents of the drop-in file

[Service]
Environment="SSL_CERT_FILE=/etc/ssl/certs/ca-certificates.crt"
Environment="REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt"
Environment="CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt"

### Edits below this comment will be discarded
...

Explication rapide :

SSL_CERT_FILE : utilisé par Python / OpenSSL
REQUESTS_CA_BUNDLE : utilisé par la bibliothèque Python requests
CURL_CA_BUNDLE : utilisé par curl et parfois comme variable de repli

Puis recharger et redémarrer le service :

# systemctl daemon-reload
# systemctl restart hermes-gateway.service

Cas particulier : bundle certifi du venv Hermes

Dans certains cas, le runtime Python embarqué par Hermes peut continuer à utiliser le bundle interne de certifi au lieu du magasin système.

Si curl valide déjà le certificat avec /etc/ssl/certs/ca-certificates.crt mais que Hermes/OpenAI/httpx échoue avec CERTIFICATE_VERIFY_FAILED, on peut remplacer le bundle certifi du venv Hermes par le bundle système.

Sauvegarder le bundle actuel :

# cp /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem.bak

Remplacer par le bundle système :

# cp /etc/ssl/certs/ca-certificates.crt /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem

Attention : cette modification peut être écrasée lors d’une mise à jour de Hermes, du venv Python ou du paquet certifi.

Automatiser le remplacement du certificat du venv

On édite le service Hermes :

# systemctl edit hermes-gateway.service

Ajouter dans la zone d’édition (partie supérieure du fichier) :

...
### Anything between here and the comment below will become the contents of the drop-in file

[Service]
ExecStartPre=/bin/cp /etc/ssl/certs/ca-certificates.crt /root/.hermes/hermes-agent/venv/lib/python3.11/site-packages/certifi/cacert.pem

### Edits below this comment will be discarded
...

Puis recharger systemd et redémarrer le service :

# systemctl daemon-reload
# systemctl restart hermes-gateway.service

Éditer le prompt système

Dans le fichier de configuration :

# vi ~/.hermes/config.yaml

On édite ou vérifie le profil utilisé dans la section display :

...
 display:
  compact: false
  personality: kawaii
  resume_display: full
...

Puis on modifie le prompt système via le profil correspondant dans la section agent :

...
agent:
  max_turns: 90
  gateway_timeout: 1800
  restart_drain_timeout: 60
  api_max_retries: 3
  service_tier: 
  tool_use_enforcement: auto
  gateway_timeout_warning: 900
  gateway_notify_interval: 600
  verbose: false
  reasoning_effort: medium
  personalities:
    helpful: You are a helpful, friendly AI assistant.
    concise: You are a concise assistant. Keep responses brief and to the point.
...

Enfin, on redémarre le service :

# systemctl restart hermes-gateway.service

⚠️ Attention, pour que les lignes contenant : ne soient pas interprétées comme des personnalités dans le fichier YAML, il faut écrire le prompt sous forme de bloc multiligne avec le symbole |, en respectant l'indentation. Exemple :

    concise: |
      You are a concise assistant. Keep responses brief and to the point.
      TOOLS:
      - For current, recent, uncertain, or factual information, use mcp_searxng_searxng_web_search.
      - To read a specific URL, use mcp_searxng_web_url_read.
      - For system tasks, use terminal.

      RULES:
      - Respond in the same language as the user.
      - Do not invent tool results.
      - If a tool fails, say so.
      - Do not use tools for simple rewriting, translation, or opinion unless needed.

Signal

Signal est une messagerie instantanée axée sur la confidentialité. Tous les messages et appels y sont chiffrés de bout en bout par défaut via le Signal Protocol, de sorte que ni Signal ni un tiers ne peuvent en lire le contenu. Signal se distingue également par une collecte de données très limitée, l’absence de publicité et de traqueurs, ainsi qu’un effort particulier pour réduire les métadonnées accessibles au service.

Signal permet de relier Hermes à la messagerie chiffrée Signal. La connexion ne se fait pas directement avec le téléphone, mais via signal-cli exécuté en mode daemon HTTP, auquel Hermes se connecte ensuite.

Installation :

Via Docker

Installation séparée (Docker sur autre machine) : Les images et fichiers audio générés par Hermes ne peuvent pas être envoyés en pièces jointes natives, signal-cli n'a pas accès au cache local de Hermes (/root/.hermes/image_cache/). Seules les URLs brutes seront transmises.

Pour les pièces jointes natives (images, audio TTS, vidéos), installer signal-cli sur le même serveur qu'Hermes via l'installation native.

# mkdir -p /opt/signal-cli
# vi /opt/signal-cli/docker-compose.yml

services:
  signal-cli:
    image: registry.gitlab.com/packaging/signal-cli/signal-cli-jre:latest
    container_name: signal-cli
    restart: unless-stopped
    command: daemon --http 0.0.0.0:8080
    ports:
      - "IP_SERVEUR:8080:8080" # Remplacer par IP du serveur, ou 127.0.0.1 pour restreindre acces local uniquement
    volumes:
      - signal-cli-data:/var/lib/signal-cli
    tmpfs:
      - /tmp:exec

volumes:
  signal-cli-data:

 # docker compose -f /opt/signal-cli/docker-compose.yml --project-directory /opt/signal-cli up -d

Connexion au téléphone :

Installer qrencode :

# apt install qrencode

Dans le terminal :

# docker exec signal-cli signal-cli link -n "HermesAgent" > /tmp/signal-link.txt 2>&1 & sleep 3 && grep -o 'sgnl://[^ ]*' /tmp/signal-link.txt | qrencode -t ANSIUTF8 && wait

Puis scanner le QR code avec l’application Signal via Paramètres -> Appareils associés.

Connecter Hermes à Signal :

# hermes setup

Connect a messaging platform? (Telegram, Discord, etc.)
-> ●) Set up messaging now (recommended)

Puis redémarrer le service :

# systemctl restart hermes-gateway.service

Communiquer avec le serveur via Signal (depuis le téléphone dans l'application Signal) :
- Appuyer sur l’icône ✏️ (nouveau message)
- Tout en haut de la liste, "Note to Self" ou votre propre nom apparaît
- Taper votre message : Hermes répond dans cette même conversation
- (Optionnel) taper /sethome pour définir le canal par défaut pour les notifications et les tâches planifiées.

Native

Installation :

On installe les dépendances si nécessaire :

# apt update && apt upgrade
# apt install tar qrencode openjdk-25-jre-headless

Si l'installation échoue, vérifier la compatibilité Java : signal-cli --version. En cas d'erreur UnsupportedClassVersionError, installer la version Java requise via apt install openjdk-XX-jre-headless.

On Installe le programme :

# cd /tmp
# VERSION=$(curl -Ls -o /dev/null -w %{url_effective} https://github.com/AsamK/signal-cli/releases/latest | sed 's/^.*\/v//')
# curl -L -O "https://github.com/AsamK/signal-cli/releases/download/v${VERSION}/signal-cli-${VERSION}.tar.gz"
# tar xf "signal-cli-${VERSION}.tar.gz" -C /opt
# ln -sf "/opt/signal-cli-${VERSION}/bin/signal-cli" /usr/local/bin/
# rm /tmp/signal-cli-${VERSION}.tar.gz

Appareillage du téléphone :

# signal-cli link -n "HermesAgent" > /tmp/signal-link.txt 2>&1 & sleep 5 && grep -o 'sgnl://[^ ]*' /tmp/signal-link.txt | qrencode -t ANSIUTF8 && wait

Puis scanner le QR code avec l’application Signal via Paramètres -> Appareils associés.

On créé un service :

# vi /etc/systemd/system/signal-cli.service

[Unit]
Description=signal-cli daemon
After=network.target

[Service]
ExecStart=/usr/local/bin/signal-cli --account +VOTRE_NUMERO daemon --http 127.0.0.1:8080
Restart=always
RestartSec=5

[Install]
WantedBy=multi-user.target

# systemctl daemon-reload
# systemctl enable --now signal-cli
# systemctl status signal-cli

Connecter Hermes à Signal :

# hermes setup

Connect a messaging platform? (Telegram, Discord, etc.)
-> ●) Set up messaging now (recommended)

Puis redémarrer le service :

# systemctl restart hermes-gateway.service

Communiquer avec le serveur via Signal (depuis le téléphone dans l'application Signal) :
- Appuyer sur l’icône ✏️ (nouveau message)
- Tout en haut de la liste, "Note to Self" ou votre propre nom apparaît
- Taper votre message : Hermes répond dans cette même conversation
- (Optionnel) taper /sethome pour définir le canal par défaut pour les notifications et les tâches planifiées.

Mise à jour automatique

Il est recommandé de mettre à jour l'application Signal au moins tous les trois mois.

Version native :

On créé un script :

# vi /usr/local/bin/update-signal-cli.sh

#!/bin/bash
systemctl stop signal-cli
cd /tmp

# Télécharger la nouvelle version
VERSION=$(curl -Ls -o /dev/null -w %{url_effective} https://github.com/AsamK/signal-cli/releases/latest | sed 's/^.*\/v//')
curl -L -O "https://github.com/AsamK/signal-cli/releases/download/v${VERSION}/signal-cli-${VERSION}.tar.gz"
tar xf "signal-cli-${VERSION}.tar.gz" -C /opt
ln -sf "/opt/signal-cli-${VERSION}/bin/signal-cli" /usr/local/bin/signal-cli
rm /tmp/signal-cli-${VERSION}.tar.gz

# Vérifier la compatibilité Java
if ! signal-cli --version > /dev/null 2>&1; then
    # Extraire la version Java requise depuis l'erreur
    REQUIRED=$(signal-cli --version 2>&1 | grep -o 'class file version [0-9]*' | grep -o '[0-9]*')
    # Convertir class version en version Java (class 69 = Java 25, 65 = Java 21, etc.)
    JAVA_VERSION=$((REQUIRED - 44))
    echo "Java $JAVA_VERSION requis, installation..."
    apt install -y openjdk-${JAVA_VERSION}-jre-headless
    update-alternatives --set java /usr/lib/jvm/java-${JAVA_VERSION}-openjdk-amd64/bin/java
fi

systemctl start signal-cli

# chmod +x /usr/local/bin/update-signal-cli.sh

On ajoute le script au crontab :

# crontab -e

Ajouter :

...
0 3 1 * * /usr/local/bin/update-signal-cli.sh

0 → minute 0
3 → 3h du matin
1 → le 1er du mois
* → tous les mois
* → peu importe le jour de la semaine

Version docker :

Voir Watchtower pour la mise à jour automatique de tous les containers Docker. (tuto à faire..)

Commandes

Lancer l’interface interactive :

# hermes

Choisir le modèle et le provider LLM :

# hermes model

Configurer les outils disponibles :

# hermes tools

Modifier une configuration spécifique :

# hermes config set

Démarrer le gateway (Telegram, Discord, etc.) :

# hermes gateway

Lancer le script de configuration complet :

# hermes setup

Migrer depuis OpenClaw :

# hermes claw migrate

Mettre à jour Hermes :

# hermes update

Diagnostiquer les problèmes :

# hermes doctor

MCP

SearXNG

# vi ~/.hermes/config.yaml

On inscrit le serveur MCP SearXNG (créer la section mcp_servers si absente) :

...
mcp_servers:
  searxng:
    url: "http://IP_MCP:3000/mcp"
...

La section mcp_servers doit être au niveau racine (tout à gauche). Vérifier également que le port correspond bien à celui exposé par le conteneur MCP SearXNG.

On redémarre le service :

# systemctl restart hermes-gateway.service

Ou depuis Hermes :

/reload-mcp

Test :

# hermes mcp list
# hermes mcp test searxng

Le serveur ihor-sokoliuk/mcp-searxng expose notamment les outils suivants :

searxng_web_search
searxng_search_suggestions
searxng_instance_info
web_url_read

Prompt système recommandé (voir Éditer le prompt système) :

concise: |-
You are a concise assistant. Keep responses brief and to the point.

TOOLS:
- For current, recent, upcoming, time-sensitive, location-specific, or uncertain factual questions, use mcp_searxng_searxng_web_search.
- To read a specific URL, use mcp_searxng_web_url_read.
- For search suggestions, use mcp_searxng_searxng_search_suggestions.
- For SearXNG instance capabilities, categories, engines, locales, and plugins, use mcp_searxng_searxng_instance_info.
- For system tasks, use terminal.

RULES:
- Respond in the same language as the user.
- Do not invent tool results.
- If a tool fails, say so explicitly.
- Do not promise to continue later, follow up later, or say that results are still coming.
- When the user asks multiple questions, use the tools needed, then answer all requested items in one final structured response.
- Never answer current, recent, upcoming, time-sensitive, location-specific, or uncertain factual questions without using the required tool first.
- This includes weather, news, prices, schedules, releases, availability, rankings, versions, and other facts that may have changed.
- If no tool result is available, say you cannot verify and do not guess.
- Use search categories when relevant.
- For image searches, use mcp_searxng_searxng_web_search with categories=images.
- For video searches, use mcp_searxng_searxng_web_search with categories=videos.
- For image results, output direct image URLs using markdown image syntax: ![](URL)
- For video results, output links in this format: 🎬 [Titre de la vidéo](URL)
- Do not use tools for simple rewriting, translation, or opinion unless needed.

Recommandation :

Il est recommandé de désactiver le service natif correspondant :

# hermes tools

Décocher :

🔍 Web Search & Scraping  (web_search, web_extract)  [no API key]