Catégorie : Images Hardened

Varnish Cache 7.7.3 compile from source et empaquete dans une image FROM scratch tier Platine. 8e image hardened du homelab. Role Varnish est le cache HTTP qui accelere les reponses WordPress. Il se place entre Traefik (ingress K3s) et le pod WordPress, et sert les pages statiques directement depuis la memoire. Image Propriete Valeur Image […]

Cet article documente le pattern commun utilise pour construire les 7 images Docker hardened du homelab. Chaque image suit la meme architecture multi-stage et les memes principes de securite. Pourquoi FROM scratch Une image FROM scratch ne contient aucun OS : pas de shell, pas de package manager, pas de coreutils. Seuls les binaires strictement […]

Introduction Faire tourner WordPress en production sur Kubernetes avec une image de 35 Mo au lieu de 700 Mo, sans shell, sans outils superflus, avec un healthcheck FastCGI en Go pur — c'est le pari de notre stack PHP-FPM hardened. Cet article détaille l'architecture complète déployée sur notre cluster K3s, en production et en intégration. […]

Introduction Suricata est déployé en mode IPS inline sur le routeur VyOS via le mécanisme Linux NFQUEUE. Contrairement au mode IDS passif (copie miroir du trafic), le mode IPS permet de bloquer activement les paquets malveillants avant qu'ils n'atteignent leur destination. Cet article détaille l'architecture choisie, la construction de l'image durcie, la gestion des règles […]

Rôle Web Application Firewall protégeant tous les services exposés publiquement. Analyse chaque requête HTTP entrante selon les règles OWASP Core Rule Set et bloque les attaques connues (SQLi, XSS, RCE, path traversal, etc.). Position dans la chaîne flowchart LR Internet((Internet)) --> HAProxy["HAProxy<br/>TLS"] HAProxy -->|"re-encryption"| Traefik["Traefik<br/>Ingress"] Traefik --> WAF["WAF nginx<br/>ModSecurity + CRS"] WAF -->|"clean request"| Backend["Backend<br/>application"] […]

Rôle Proxy HTTPS transparent pour le VLAN IoT et proxy explicite pour les hôtes internes. Tout le trafic HTTP/HTTPS des objets connectés passe par cette stack pour inspection et analyse antivirus en temps réel. Architecture Trois containers Podman sur VyOS, issus d'un seul dépôt GitHub : Container Image Version Taille squid squid-hardened 7.5 ~25 MB […]

Rôle dans l'architecture BIND9 est le serveur DNS central du homelab. Il gère à la fois les zones internes (.home.arpa) et la zone publique, avec un système de vues (split-horizon) qui adapte les réponses selon le réseau source du client. flowchart LR subgraph Internes C["Clients internes"] end subgraph Externes E["Requetes externes"] end subgraph BIND9 VS["Vue […]