Catégorie : Images Hardened
-
Varnish Hardened : cache HTTP FROM scratch
Varnish Cache 7.7.3 compile from source et empaquete dans une image FROM scratch tier Platine. 8e image hardened du homelab. Role Varnish est le cache HTTP qui accelere les reponses WordPress. Il se place entre Traefik (ingress K3s) et le pod WordPress, et sert les pages statiques directement depuis la memoire. Image Propriete Valeur Image […] -
Pattern FROM scratch : construire une image Docker tier Platine
Cet article documente le pattern commun utilise pour construire les 7 images Docker hardened du homelab. Chaque image suit la meme architecture multi-stage et les memes principes de securite. Pourquoi FROM scratch Une image FROM scratch ne contient aucun OS : pas de shell, pas de package manager, pas de coreutils. Seuls les binaires strictement […] -
BIND9 Hardened : Strategie de deploiement, tests et CI/CD
Cet article documente la strategie complete de deploiement de l image BIND9 hardened : creation des jeux de donnees de test, validation, pipeline CI/CD et mise en production. Vue d ensemble du pipeline flowchart LR subgraph dev["Developpement"] code["Dockerfile<br/>init.go<br/>go.mod"] end subgraph build["Build"] docker["docker build<br/>multi-stage"] end subgraph test["Tests"] local["Test local<br/>docker run + dig"] parallel["Test parallele<br/>VyOS IP .11"] […] -
PHP-FPM Hardened : WordPress zero-shell FROM scratch
Introduction Faire tourner WordPress en production sur Kubernetes avec une image de 35 Mo au lieu de 700 Mo, sans shell, sans outils superflus, avec un healthcheck FastCGI en Go pur — c'est le pari de notre stack PHP-FPM hardened. Cet article détaille l'architecture complète déployée sur notre cluster K3s, en production et en intégration. […] -
Suricata hardened : image Docker durcie pour NFQUEUE
Introduction Suricata est déployé en mode IPS inline sur le routeur VyOS via le mécanisme Linux NFQUEUE. Contrairement au mode IDS passif (copie miroir du trafic), le mode IPS permet de bloquer activement les paquets malveillants avant qu'ils n'atteignent leur destination. Cet article détaille l'architecture choisie, la construction de l'image durcie, la gestion des règles […] -
Stack Proxy : Squid SSL Bump + c-icap + ClamAV
Rôle Proxy HTTPS transparent pour le VLAN IoT et proxy explicite pour les hôtes internes. Tout le trafic HTTP/HTTPS des objets connectés passe par cette stack pour inspection et analyse antivirus en temps réel. Architecture Trois containers Podman sur VyOS, issus d'un seul dépôt GitHub : Container Image Version Taille squid squid-hardened 7.6 ~25 MB […] -
WAF nginx : ModSecurity + OWASP CRS FROM scratch
Rôle Web Application Firewall protégeant tous les services exposés publiquement. Analyse chaque requête HTTP entrante selon les règles OWASP Core Rule Set et bloque les attaques connues (SQLi, XSS, RCE, path traversal, etc.). Position dans la chaîne flowchart LR Internet((Internet)) --> HAProxy["HAProxy<br/>TLS"] HAProxy -->|"re-encryption"| Traefik["Traefik<br/>Ingress"] Traefik --> WAF["WAF nginx<br/>ModSecurity + CRS"] WAF -->|"clean request"| Backend["Backend<br/>application"] […] -
BIND9 Hardened : DNS autoritatif FROM scratch
Rôle dans l'architecture BIND9 est le serveur DNS central du homelab. Il gère à la fois les zones internes (.home.arpa) et la zone publique, avec un système de vues (split-horizon) qui adapte les réponses selon le réseau source du client. flowchart LR subgraph Internes C["Clients internes"] end subgraph Externes E["Requetes externes"] end subgraph BIND9 VS["Vue […]