Infrastructure auto-hebergee, securisee, automatisee
Ce site documente un homelab concu comme un environnement de production : chaque composant est durci, containerise, signe et monitore.
7 images Docker tier Platine
Tous les services critiques sont compiles from source et empaquetes dans des images FROM scratch — zero shell, zero OS, surface d attaque minimale.
bind9-hardened (19 MB) — DNS autoritatif, split-horizon, 18 vues, DNSSEC validation
suricata-hardened (~25 MB) — IPS inline NFQUEUE, 50K rules, drop malware et CnC
squid-hardened (~20 MB) — Proxy HTTPS transparent, SSL Bump, inspection IoT
clamav-hardened (~30 MB) — Antivirus, scan ICAP temps reel
c-icap-hardened (~15 MB) — Connecteur Squid vers ClamAV
nginx-waf-hardened (~22 MB) — ModSecurity v3 + OWASP CRS 4.x
php-fpm-hardened (~35 MB) — WordPress runtime, FastCGI healthcheck
Chaque image integre : Full RELRO, PIE, SSP, FORTIFY SOURCE, binaire Go statique, tini PID 1, non-root avec setcap, signature cosign OIDC, SBOM, scan Trivy.
Stack
- Virtualisation : Proxmox VE
- Routage : VyOS (zone-based, 21 zones, Podman)
- Orchestration : K3s
- Reverse proxy : HAProxy vers Traefik vers WAF
- CI/CD : GitHub Actions + GitLab CI
- Monitoring : Graylog 7, Uptime Kuma, Prometheus
- IaC : Ansible, Terraform
Articles techniques
Infrastructure : VyOS routeur zone-based, BIND9 hardened, Stack proxy Squid SSL Bump, Reverse proxy HAProxy Traefik
Securite : Suricata IPS NFQUEUE, WAF nginx ModSecurity CRS, CI/CD cosign Trivy SBOM
Services : PHP-FPM hardened WordPress, K3s cluster Kubernetes, Monitoring Graylog Uptime Kuma