Morpheus
Catalogue technique / 23 études

Des réalisations documentées, des limites explicites.

Ce catalogue regroupe les études de cas réalisées et les projets encore en préparation. Chaque page distingue les validations réelles, les preuves publiques et les travaux futurs.

Études documentées

Un catalogue organisé par domaine opérationnel.

PRA / Backup

Restaurabilité et preuve de reprise.

Virtualisation

Hôte KVM, snapshots, conteneurs système et validation PRA sur plateforme de test.

Réseau & services

NAT libvirt, services locaux et conteneurisation applicative.

Infrastructure physique à venir

Serveur acquis et pare-feu OPNsense disponible ; Proxmox, segmentation physique et SOC restent à déployer et valider.

Hardening & chaîne de confiance

Noyau, boot, chiffrement, firewall, AppArmor et sandbox applicative.

Hardening
Projet opérationnel

Vue d'ensemble du hardening système complet

Synthèse du durcissement Arch Linux complet: kernel, sysctl, nftables, services, AppArmor, Firejail, permissions, audit et limites connues.

  • Kernel
  • Synthèse couches
  • Score Lynis de référence documenté comme tendance, pas comme objectif unique.
Kernel
Projet de support

Hardening Kernel

Paramètres boot et runtime pour réduire l'exploitation kernel: mémoire, LSM, sysctl, réseau bas niveau et validation post-reboot.

  • Boot
  • Paramètres mémoire
  • Lecture de la ligne de commande effective après reboot.
Boot
Projet vitrine

Boot Trust Morpheus

Chaîne de confiance au boot: systemd-boot, UKI, Secure Boot, LUKS, TPM, FIDO2 et contrôles après restauration PRA.

  • systemd-boot
  • Règle UKI
  • bootctl status confirme l'entrée et le bootloader attendus.
Auth
Projet de support

FIDO2 + LUKS

Clés FIDO2 opérationnelles pour LUKS, SDDM, Hyprlock et des comptes sensibles, avec voies de secours conservées.

  • LUKS2
  • Matrice d'accès
  • Vérification des slots LUKS par type, pas par numéro publié.
UKI
Projet de support

UKI stale après update

Runbook public pour diagnostiquer et réparer un UKI en retard après mise à jour kernel, mkinitcpio, Secure Boot ou chaîne LUKS/TPM.

  • Boot actuel
  • Diagnostic
  • L'inspection UKI publiée fournit un état nominal de référence pour les comparaisons de version.
Firewall
Projet de support

Firewall nftables

Configuration nftables deny-by-default pour poste Arch Linux: filtrage entrant, ICMP limité, DHCP, forward bloqué et validations réseau.

  • INPUT
  • Configuration de base
  • nftables.service est activé et son dernier chargement est réussi.
AppArmor
Projet de support

AppArmor

Confinement applicatif AppArmor sur Arch Linux: activation LSM, profils enforce/complain, logs, stratégie de déploiement et dépannage.

  • MAC kernel
  • Activation
  • Vérification du statut AppArmor et des profils actifs.
Firejail
Projet de support

Politique d'isolation applicative

Politique Firejail pragmatique sur Arch Linux: applications de confiance, clients Internet et outils de traitement de fichiers isolés sans casser FIDO2 ou Wayland.

  • Namespaces
  • N0 — Trusted
  • firejail --version et profils disponibles vérifiés.

SecOps & audit

Détection locale, exploitation Waybar, quickstart opérateur et audit Lynis.