Jbsky

Homelab

Infrastructure auto-hebergee, securisee, automatisee

Ancien plombier reconverti dans le monde de l informatique, je suis aujourd hui ingenieur integrateur, passionne par la technique, la bidouille et tout ce qui tourne autour de l open-source.

Ce site documente mon homelab : un environnement concu comme une infrastructure de production. Chaque composant est durci, containerise, signe et monitore.

Architecture

flowchart TB
    Internet((Internet))
    Internet --> Suricata["Suricata IPS - NFQUEUE inline"]
    Suricata --> VyOS["VyOS Firewall - 21 zones"]
    VyOS --> HAProxy["HAProxy - TLS termination"]
    VyOS --> BIND9["BIND9 - DNS split-horizon"]
    VyOS --> Squid["Squid - SSL Bump"]
    VyOS --> K3s["K3s Cluster"]
    HAProxy --> Traefik["Traefik - Ingress"]
    Traefik --> Varnish["Varnish - Cache HTTP"]
    Varnish --> WAF["WAF nginx - ModSecurity"]
    WAF --> WordPress["WordPress - PHP-FPM"]
    Squid --> ICAP["c-icap"]
    ICAP --> ClamAV["ClamAV - Antivirus"]

8 images Docker tier Platine

Tous les services critiques sont compiles from source et empaquetes dans des images FROM scratch -- zero shell, zero OS, surface d attaque minimale.

bind9-hardened (19 MB) -- DNS autoritatif, split-horizon, 18 vues, DNSSEC validation

suricata-hardened (~25 MB) -- IPS inline NFQUEUE, 50K rules, drop malware et CnC

squid-hardened (~20 MB) -- Proxy HTTPS transparent, SSL Bump, inspection IoT

clamav-hardened (~30 MB) -- Antivirus, scan ICAP temps reel

c-icap-hardened (~15 MB) -- Connecteur Squid vers ClamAV

nginx-waf-hardened (~22 MB) -- ModSecurity v3 + OWASP CRS 4.x

php-fpm-hardened (~35 MB) -- WordPress runtime, FastCGI healthcheck

varnish-hardened (~18 MB) -- Cache HTTP, compilateur VCL TCC embarque

Chaque image integre : Full RELRO, PIE, SSP, FORTIFY SOURCE, binaire Go statique, tini PID 1, non-root avec setcap, signature cosign OIDC, SBOM, scan Trivy.

Stack

  • Virtualisation : Proxmox VE (LXC et KVM)
  • Routage et Firewall : VyOS rolling (zone-based, 21 zones, Podman)
  • Orchestration : K3s (Kubernetes leger)
  • Reverse proxy : HAProxy vers Traefik vers WAF nginx
  • CI/CD : GitHub Actions + GitLab CI
  • Monitoring : Graylog 7, Uptime Kuma, Prometheus
  • IaC : Ansible, Terraform

Articles techniques

Retrouvez tous les articles techniques sur le Blog : chaque composant y est documente en detail avec son architecture, sa strategie de hardening, sa configuration et ses gotchas.

Contact

  • Adresse e-mail : webmaster@jbsky.fr
  • LinkedIn : Julien Blais
  • GitHub : github.com/jbsky
  • Site : jbsky.fr