Jbsky

Blog

  • Varnish : Cache HTTP, routage VCL et WordPress

    Cet article documente le service de cache HTTP Varnish : le routage VCL entre les backends WordPress, la strategie de cache, les probes et le workflow de mise a jour VCL. Position dans l architecture flowchart LR Internet((Internet)) --> HAProxy["HAProxy TLS"] HAProxy --> Traefik["Traefik Ingress"] Traefik --> Varnish["Varnish Cache"] Varnish -->|"MISS"| WP["WordPress Pod"] Varnish -->|"HIT"| […]

  • Varnish Hardened : cache HTTP FROM scratch

    Varnish Cache 7.7.3 compile from source et empaquete dans une image FROM scratch tier Platine. 8e image hardened du homelab. Role Varnish est le cache HTTP qui accelere les reponses WordPress. Il se place entre Traefik (ingress K3s) et le pod WordPress, et sert les pages statiques directement depuis la memoire. Image Propriete Valeur Image […]

  • Proxy transparent : SSL Bump, ICAP et antivirus ClamAV

    Cet article documente l architecture du service proxy transparent du homelab : le routage PBR, l interception HTTPS via SSL Bump, et la chaine d inspection antivirus ICAP. Architecture du flux flowchart LR subgraph iot["VLAN IoT"] device["Appareil IoT"] end subgraph vyos["VyOS"] pbr["PBR table 100"] nft["nft REDIRECT<br/>dans netns Squid"] end subgraph proxy["Container Squid"] squid["Squid<br/>peek+splice"] end subgraph […]

  • DNS : Architecture split-horizon et challenges ACME

    Cet article documente l architecture du service DNS du homelab : le systeme de vues split-horizon, les zones, les forwarders et l integration avec les challenges ACME pour Let's Encrypt. Split-horizon : une vue par sous-reseau BIND9 gere 18 vues distinctes. Chaque sous-reseau de l inventaire Ansible genere automatiquement sa propre vue avec des reponses […]

  • WAF : Regles ModSecurity, OWASP CRS et protection applicative

    Le WAF (Web Application Firewall) est le dernier maillon de la chaine reverse-proxy avant les backends applicatifs. Il inspecte chaque requete HTTP entrante et bloque celles qui correspondent a des patterns d'attaque connus. Cet article couvre la configuration du service WAF, ses regles ModSecurity, le Core Rule Set OWASP et les adaptations specifiques au homelab. […]

  • IPS : Strategie de detection et gestion des rules Suricata

    Suricata en mode IPS inline (NFQUEUE) inspecte chaque paquet du trafic WAN et peut bloquer les menaces en temps reel. Mais la puissance d'un IPS reside dans la qualite de ses regles et la strategie de gestion adoptee. Cet article couvre la politique de rules, le processus de mise a jour, et les optimisations de […]

  • WordPress : Architecture pod, volumes et workflow K3s

    Le deploiement WordPress sur K3s repose sur une architecture pod multi-containers avec separation stricte des responsabilites. Cet article detaille la structure du pod, la gestion des volumes, les ConfigMaps et le workflow de mise a jour. Architecture du pod Chaque pod WordPress contient quatre containers et un initContainer : flowchart TD subgraph pod ["Pod WordPress"] […]

  • Pattern FROM scratch : construire une image Docker tier Platine

    Cet article documente le pattern commun utilise pour construire les 7 images Docker hardened du homelab. Chaque image suit la meme architecture multi-stage et les memes principes de securite. Pourquoi FROM scratch Une image FROM scratch ne contient aucun OS : pas de shell, pas de package manager, pas de coreutils. Seuls les binaires strictement […]

  • BIND9 Hardened : Strategie de deploiement, tests et CI/CD

    Cet article documente la strategie complete de deploiement de l image BIND9 hardened : creation des jeux de donnees de test, validation, pipeline CI/CD et mise en production. Vue d ensemble du pipeline flowchart LR subgraph dev["Developpement"] code["Dockerfile<br/>init.go<br/>go.mod"] end subgraph build["Build"] docker["docker build<br/>multi-stage"] end subgraph test["Tests"] local["Test local<br/>docker run + dig"] parallel["Test parallele<br/>VyOS IP .11"] […]

  • Let's Encrypt : Certificats TLS automatises avec DNS-01 et TSIG

    Role dans l architecture Les certificats TLS Let's Encrypt securisent tous les services exposes du homelab. Le renouvellement est entierement automatise via le challenge DNS-01 : certbot prouve la propriete du domaine en creant un enregistrement TXT dans la zone DNS, valide par les serveurs Let's Encrypt. Flux de renouvellement sequenceDiagram actor Admin participant Certbot […]