Prévenir
Hardening noyau, services systemd, firewall local, isolation applicative et permissions restrictives.
Ce portfolio documente un environnement Linux personnel réécrit sous la forme d'un ensemble d'études de cas publiques: hardening, mini-SIEM local, chaîne de confiance Secure Boot / UKI, PRA Restic, réseau et observabilité opérateur. Le détail de mon positionnement candidat, de mes objectifs et de mes projets phares se trouve sur la page Profil.
Hardening noyau, services systemd, firewall local, isolation applicative et permissions restrictives.
Audit kernel, FIM, corrélation, scoring, états Waybar et rapports exploitables.
Backups vérifiés, smoke restore, PRA, Secure Boot maintenable et récupération testée sur plateforme de validation.
Architecture
Arch Linux, noyau stable, permissions cohérentes, services limités et hygiène de configuration.
Secure Boot, UKI, LUKS, TPM/FIDO et contrôles après mise à jour pour détecter les artefacts stale.
AppArmor, Firejail, profils applicatifs et arbitrage entre sécurité stricte et usage desktop.
nftables, libvirt NAT, KVM, virt-manager, LXC, Docker et services locaux non exposés.
auditd, FIM, corrélation d'événements, réduction du bruit et classification maintenance/sécurité.
Restic, timers systemd, retry, smoke restore et procédures de récupération testées en VM.
Projets phares
Console SecOps locale en React et TypeScript : posture, preuves, timeline SQLite, Analytics, drill-down et durcissement systemd.
Pile SecOps locale: auditd, corrélateur, FIM, Secure Boot, sauvegarde, SSD, Waybar, Dunst, maintenance et rapports.
Flux public anonymisé d'une restauration PRA complète: sauvegarde Restic, disque cible, LUKS, UKI, Secure Boot et contrôles après restauration.
Chaîne de confiance au boot: systemd-boot, UKI, Secure Boot, LUKS, TPM, FIDO2 et contrôles après restauration PRA.
Exceptions nftables minimales pour conserver une politique forward deny-by-default tout en laissant fonctionner le NAT libvirt.
Installation KVM/libvirt sur Arch, réseau NAT default et VM PRA de référence pour tester les restaurations Morpheus.
Validation
Permissions, services systemd, audit Lynis et vérification des changements après mise à jour.
VM UEFI, réseau NAT, snapshots et tests de restauration hors machine principale.
Logs classés, scoring, FIM OK/DIFF, bruit système réduit et état opérateur Waybar.
Backups automatisés, préchecks, retry, smoke restore et séparation des secrets.
Chaque page suit la même logique: contexte, contraintes, architecture, décisions, validation, résultats et limites.
Les éléments exploitables restent privés: chemins exacts, secrets, logs bruts, règles complètes et commandes dangereuses.
Le portfolio expose les décisions, les contrôles et les résultats utiles, sans rendre l'environnement privé reproductible.