Morpheus
Christopher FILBIEN, Christopher Filbien, Christopher-Filbien, MorpheusZeroTrace

Un environnement Linux personnel transformé en études de cas SecOps publiques.

Ce portfolio documente un environnement Linux personnel réécrit sous la forme d'un ensemble d'études de cas publiques: hardening, mini-SIEM local, chaîne de confiance Secure Boot / UKI, PRA Restic, réseau et observabilité opérateur. Le détail de mon positionnement candidat, de mes objectifs et de mes projets phares se trouve sur la page Profil.

01

Prévenir

Hardening noyau, services systemd, firewall local, isolation applicative et permissions restrictives.

02

Observer

Audit kernel, FIM, corrélation, scoring, états Waybar et rapports exploitables.

03

Restaurer

Backups vérifiés, smoke restore, PRA, Secure Boot maintenable et récupération testée sur plateforme de validation.

Architecture

Une documentation publique construite par couches.

Schéma conceptuel des couches de sécurité Morpheus
Vue publique et non sensible: le portfolio montre les couches, les décisions et les contrôles, pas les chemins, rulesets ou runbooks privés.
01

Socle système

Arch Linux, noyau stable, permissions cohérentes, services limités et hygiène de configuration.

02

Chaîne de confiance

Secure Boot, UKI, LUKS, TPM/FIDO et contrôles après mise à jour pour détecter les artefacts stale.

03

Isolation

AppArmor, Firejail, profils applicatifs et arbitrage entre sécurité stricte et usage desktop.

04

Réseau & validation

nftables, libvirt NAT, KVM, virt-manager, LXC, Docker et services locaux non exposés.

05

Détection

auditd, FIM, corrélation d'événements, réduction du bruit et classification maintenance/sécurité.

06

Résilience

Restic, timers systemd, retry, smoke restore et procédures de récupération testées en VM.

Projets phares

Six études pour évaluer rapidement ma méthode et mes compétences.

SecOps
Projet vitrine

Dashboard SecOps local

Console SecOps locale en React et TypeScript : posture, preuves, timeline SQLite, Analytics, drill-down et durcissement systemd.

  • Preuves bornées
  • Contrats avant interface
  • 43 tests automatisés : API, contrats, stockage et collecteur.
SecOps
Projet vitrine

Auditd & SecOps

Pile SecOps locale: auditd, corrélateur, FIM, Secure Boot, sauvegarde, SSD, Waybar, Dunst, maintenance et rapports.

  • Audit
  • Bruit après mise à jour
  • Fixtures de régression pour vérifier qu'un événement boot attendu reste informatif.
PRA
Projet vitrine

Restauration PRA automatisée

Flux public anonymisé d'une restauration PRA complète: sauvegarde Restic, disque cible, LUKS, UKI, Secure Boot et contrôles après restauration.

  • Source de sauvegarde
  • Runbook restaurable
  • Restauration complète et réparations après restauration validées sur VM vierge en 11 min 13 s.
Boot
Projet vitrine

Boot Trust Morpheus

Chaîne de confiance au boot: systemd-boot, UKI, Secure Boot, LUKS, TPM, FIDO2 et contrôles après restauration PRA.

  • systemd-boot
  • Règle UKI
  • bootctl status confirme l'entrée et le bootloader attendus.
Network
Projet opérationnel

Libvirt NAT & nftables

Exceptions nftables minimales pour conserver une politique forward deny-by-default tout en laissant fonctionner le NAT libvirt.

  • Host
  • Deny-by-default
  • Validation syntaxique avant chargement.
Lab
Projet de support

KVM sur Arch Linux

Installation KVM/libvirt sur Arch, réseau NAT default et VM PRA de référence pour tester les restaurations Morpheus.

  • Hyperviseur
  • VM jetables
  • Boot post-restore vérifié avant de considérer le runbook utilisable.

Validation

Chaque sujet est rattaché à une preuve observable.

Hardening

Permissions, services systemd, audit Lynis et vérification des changements après mise à jour.

Virtualisation

VM UEFI, réseau NAT, snapshots et tests de restauration hors machine principale.

Détection

Logs classés, scoring, FIM OK/DIFF, bruit système réduit et état opérateur Waybar.

PRA

Backups automatisés, préchecks, retry, smoke restore et séparation des secrets.

Documentation

Chaque page suit la même logique: contexte, contraintes, architecture, décisions, validation, résultats et limites.

Anonymisation

Les éléments exploitables restent privés: chemins exacts, secrets, logs bruts, règles complètes et commandes dangereuses.

Portée

Le portfolio expose les décisions, les contrôles et les résultats utiles, sans rendre l'environnement privé reproductible.