Sécurité — Vue d'ensemble
La sécurité du homelab repose sur une approche en couches (defense in depth). Chaque couche comble les lacunes de la précédente.
Architecture de défense
Internet
│
├── [Couche 1] CrowdSec (bouncer Traefik)
│ Bannissement automatique des IPs malveillantes
│
├── [Couche 2] Traefik (reverse proxy TLS)
│ Seul point d'entrée, ports 80/443 uniquement
│
├── [Couche 3] UFW sur chaque VM
│ Filtrage des flux entrant par service
│
├── [Couche 4] Fail2Ban sur chaque VM
│ Anti-bruteforce SSH et HTTP
│
├── [Couche 5] SSH durci (port 2222, clé uniquement)
│ Pas de mot de passe, pas de root
│
└── [Couche 6] Proxmox firewall (nftables)
Protection des hyperviseurs
Couches détaillées
| Couche | Mécanisme | Détails |
|---|---|---|
| Périmètre | CrowdSec + Traefik | Bouncer intégré, blocklist communautaire, ports 80/443 uniquement |
| Réseau | UFW + /etc/hosts | Filtrage par source IP, résolution DNS locale |
| Anti-bruteforce | Fail2Ban | Jail SSH (port 2222), jail HTTP (Traefik logs) |
| Authentification | Keycloak OIDC | SSO central, les services délèguent à Keycloak |
| Secrets | Vault | PKI interne, KV v2, rotation, jamais en clair |
| Pipeline | SAST/DAST/SCAN | Semgrep, Bandit, Trivy, OWASP ZAP → DefectDojo |
Contraintes réseau
Réseau plat 192.168.1.0/24, pas de VLANs. L'isolation est logicielle :
- Le firewall Proxmox ne peut pas filtrer le trafic inter-VM (même bridge)
- Chaque VM est responsable de sa propre sécurité via UFW
- Aucun service exposé directement sur Internet sauf Traefik
Pour aller plus loin
- Matrice de flux — règles UFW détaillées par VM
- Hardening SSH — configuration et gestion des clés
- Vault — Secrets et PKI — gestion centralisée des credentials
- Keycloak SSO — authentification unique OIDC
- Pipeline DevSecOps — sécurité intégrée à la CI/CD