Services hébergés
Le homelab héberge une dizaine de services critiques, tous containerisés et durcis.
Images Docker hardened (tier Platine)
Toutes les images suivent le même pattern multi-stage :
Stage 1: builder ── Compile from source + hardening flags
Stage 2: gobuilder ── Binary Go init (healthcheck + entrypoint)
Stage 3: prep ── Assemble runtime (libs + binaries + tini)
Stage 4: FROM scratch ── Image finale zero-shellServices sur VyOS (containers Podman)
| Service | Port | Rôle |
|---|---|---|
| BIND9 | 53/udp,tcp | DNS autoritatif + cache + split-horizon |
| Squid | 3128, 3130 | Proxy HTTP + SSL Bump transparent |
| c-icap | 1344 | Serveur ICAP (pont Squid ↔ ClamAV) |
| ClamAV | 3310 | Antivirus, signatures mises à jour |
| HAProxy | 80, 443 | TLS termination, SNI routing |
| Suricata | NFQUEUE | IPS inline sur le trafic WAN |
| Uptime Kuma | 3001 | Monitoring disponibilité |
Services sur K3s (Kubernetes)
| Service | Namespace | Rôle |
|---|---|---|
| WordPress | jbsky-fr-production | Ce site (PHP-FPM hardened) |
| WAF nginx | waf | ModSecurity + OWASP CRS |
| Varnish | varnish | Cache HTTP |
| Traefik | kube-system | Ingress controller |
CI/CD
Chaque image a 3 workflows GitHub Actions automatisés :
- build-push : lint + build multi-platform + sign + scan
- version-watch : détection upstream + auto-rebuild
- security-audit : Trivy + Grype hebdomadaire