Des réalisations documentées, des limites explicites.
Ce catalogue regroupe les études de cas réalisées et les projets encore en préparation. Chaque page distingue les validations réelles, les preuves publiques et les travaux futurs.
Études documentées
Un catalogue organisé par domaine opérationnel.
PRA / Backup
Restaurabilité et preuve de reprise.
Virtualisation
Hôte KVM, snapshots, conteneurs système et validation PRA sur plateforme de test.
KVM sur Arch Linux
Installation KVM/libvirt sur Arch, réseau NAT default et VM PRA de référence pour tester les restaurations Morpheus.
- Hyperviseur
- VM jetables
- Boot post-restore vérifié avant de considérer le runbook utilisable.
Virt-Manager & Snapshots
Gestion graphique des VM libvirt, configuration matérielle, snapshots, rollback et clonage pour sécuriser les tests.
- Console
- Assistant VM
- Virt-Manager se connecte à la session libvirt attendue.
LXC sur Arch Linux
Mise en œuvre et débogage d'un conteneur système LXC non privilégié, depuis les contrôles de l'hôte jusqu'à la validation d'un service nginx.
- Isolation système
- Démarrage non privilégié
- Support cgroups et namespaces vérifié avant création.
Réseau & services
NAT libvirt, services locaux et conteneurisation applicative.
Libvirt NAT & nftables
Exceptions nftables minimales pour conserver une politique forward deny-by-default tout en laissant fonctionner le NAT libvirt.
- Host
- Deny-by-default
- Validation syntaxique avant chargement.
Docker sur Arch Linux
Installation, validation du moteur et base d'exploitation Docker sur Arch Linux avec un modèle de privilège explicite et des extensions futures vers Compose et les services homelab.
- Engine
- Installation contrôlée
- docker.service est actif et démarre proprement sur l'hôte.
CUPS (Impression)
Service d'impression CUPS utilisé localement en production, avec écoute localhost, logs exploitables et workflow de dépannage.
- Service
- Configuration sécurisée
- cups.service est opérationnel sur le poste utilisé en production.
Infrastructure physique à venir
Serveur acquis et pare-feu OPNsense disponible ; Proxmox, segmentation physique et SOC restent à déployer et valider.
Proxmox VE sur serveur physique
Serveur physique acquis; l'installation Proxmox VE, l'inventaire réel et l'architecture finale restent à valider.
- Hôte Proxmox
- Cadrage avant installation
- Inventaire matériel validé avant installation : CPU, RAM, stockage, NICs et support virtualisation.
Réseau homelab physique
Pare-feu OPNsense disponible; segmentation physique, VLAN, ACL et supervision réseau restent à déployer et valider.
- Pare-feu OPNsense
- Topologie avant câblage
- Plan de ports, trunks et VLANs relu avant configuration réelle.
SOC sur serveur physique
Projet de SOC auto-hébergé sur un serveur physique acquis; architecture, composants et capacité restent à valider après inventaire.
- Hyperviseur
- Inventaire d'abord
- Inventaire matériel et budget de ressources validés avant le déploiement.
Hardening & chaîne de confiance
Noyau, boot, chiffrement, firewall, AppArmor et sandbox applicative.
Vue d'ensemble du hardening système complet
Synthèse du durcissement Arch Linux complet: kernel, sysctl, nftables, services, AppArmor, Firejail, permissions, audit et limites connues.
- Kernel
- Synthèse couches
- Score Lynis de référence documenté comme tendance, pas comme objectif unique.
Hardening Kernel
Paramètres boot et runtime pour réduire l'exploitation kernel: mémoire, LSM, sysctl, réseau bas niveau et validation post-reboot.
- Boot
- Paramètres mémoire
- Lecture de la ligne de commande effective après reboot.
Boot Trust Morpheus
Chaîne de confiance au boot: systemd-boot, UKI, Secure Boot, LUKS, TPM, FIDO2 et contrôles après restauration PRA.
- systemd-boot
- Règle UKI
- bootctl status confirme l'entrée et le bootloader attendus.
FIDO2 + LUKS
Clés FIDO2 opérationnelles pour LUKS, SDDM, Hyprlock et des comptes sensibles, avec voies de secours conservées.
- LUKS2
- Matrice d'accès
- Vérification des slots LUKS par type, pas par numéro publié.
UKI stale après update
Runbook public pour diagnostiquer et réparer un UKI en retard après mise à jour kernel, mkinitcpio, Secure Boot ou chaîne LUKS/TPM.
- Boot actuel
- Diagnostic
- L'inspection UKI publiée fournit un état nominal de référence pour les comparaisons de version.
Firewall nftables
Configuration nftables deny-by-default pour poste Arch Linux: filtrage entrant, ICMP limité, DHCP, forward bloqué et validations réseau.
- INPUT
- Configuration de base
- nftables.service est activé et son dernier chargement est réussi.
AppArmor
Confinement applicatif AppArmor sur Arch Linux: activation LSM, profils enforce/complain, logs, stratégie de déploiement et dépannage.
- MAC kernel
- Activation
- Vérification du statut AppArmor et des profils actifs.
Politique d'isolation applicative
Politique Firejail pragmatique sur Arch Linux: applications de confiance, clients Internet et outils de traitement de fichiers isolés sans casser FIDO2 ou Wayland.
- Namespaces
- N0 — Trusted
- firejail --version et profils disponibles vérifiés.
SecOps & audit
Détection locale, exploitation Waybar, quickstart opérateur et audit Lynis.
Auditd & SecOps
Pile SecOps locale: auditd, corrélateur, FIM, Secure Boot, sauvegarde, SSD, Waybar, Dunst, maintenance et rapports.
- Audit
- Bruit après mise à jour
- Fixtures de régression pour vérifier qu'un événement boot attendu reste informatif.
Dashboard SecOps local
Console SecOps locale en React et TypeScript : posture, preuves, timeline SQLite, Analytics, drill-down et durcissement systemd.
- Preuves bornées
- Contrats avant interface
- 43 tests automatisés : API, contrats, stockage et collecteur.
SecOps Quickstart Ops
Fiche opérateur publique pour lire Waybar SecOps, interpréter les niveaux, lancer les diagnostics et cadrer une réponse à incident sans exposer les chemins privés.
- Statut
- Check quotidien
- Lecture nominale OK T0 avec maintenance détaillée dans l'infobulle.
SecOps & Backup Waybar
Interface locale qui transforme SecOps, intégrité, Restic, support backup et maintenance en états Waybar lisibles et actionnables.
- SecOps
- SecOps
- État nominal SecOps: OK T0, INT OK, Health OK, class info.
Audit Lynis
Audit de sécurité système avec Lynis et arch-audit: score, warnings, suggestions, exceptions justifiées, priorisation et limites sur Arch Linux.
- Audit ponctuel
- Score
- Score et nombre de tests extraits depuis le rapport structuré.