66471934af
Knowledge base of ~80+ markdown files across 14 domains (00-13), Logseq graph, hardware design files (KiCAD), infrastructure configs, and talas-wiki static site. Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com> |
||
|---|---|---|
| .. | ||
| README.md | ||
Sécurité — WAF, TLS, Accès, Antivirus
Ce dossier regroupe toutes les configurations et outils de protection des services Talas.
Stack de sécurité déployée
Couche réseau — WireGuard + HAProxy
| Composant | Rôle | Serveur |
|---|---|---|
| WireGuard | VPN d'accès aux serveurs + exposition des services sur Internet | R720 #1 |
| HAProxy | Reverse proxy, terminaison TLS, routage vers les services | R720 #1 |
| Let's Encrypt | Certificats TLS automatiques via certbot | R720 #1 |
Flux : Internet → Fibre Orange → WireGuard/port forward → HAProxy (TLS + WAF) → services
Pas de Cloudflare, pas de Tailscale, pas de CDN tiers. 100% self-hosted.
Couche applicative — Coraza WAF
| Composant | Rôle |
|---|---|
| Coraza WAF | Web Application Firewall open source, intégré à HAProxy |
| OWASP CRS | Core Rule Set — règles de détection SQLi, XSS, path traversal, etc. |
Configuration :
- Paranoia level dynamique (ajustable par environnement)
- Logs au format personnalisé → Filebeat → Elasticsearch → Kibana
- 245+ règles application-multi actives
Couche administration — JumpServer
| Composant | Rôle |
|---|---|
| JumpServer | Bastion SSH/RDP open source |
Fonctionnalités :
- Interface web d'administration
- Audit vidéo de toutes les sessions terminal
- RBAC (contrôle d'accès par rôle)
- MFA obligatoire
- Gestion des assets (serveurs, comptes, credentials)
- Intégration Hashicorp Vault pour les secrets
Couche applicative Veza — Sécurité intégrée
Sécurité implémentée dans le code Veza (voir 03_APPS_&_SERVICES/ARCHITECTURE_VEZA) :
| Mécanisme | Description |
|---|---|
| JWT RS256 | Authentification par tokens asymétriques (avec fallback HS256) |
| CSRF tokens | Stockés dans Redis, obligatoires en production sur tous les POST/PUT/DELETE |
| Rate limiting | Global : 1000 req/s. Par IP : 100 req/s. Par endpoint : variable. |
| ClamAV | Scan antivirus de tous les fichiers uploadés (port 13310) |
| Bcrypt | Hash des mots de passe |
| AES-256-GCM | Chiffrement des tokens OAuth |
| WebAuthn/Passkeys | Authentification sans mot de passe |
| MFA TOTP | Double authentification par application |
| Verrouillage de compte | Après N tentatives échouées (Redis ou in-memory) |
| Audit logging | Log automatique de tous les POST/PUT/DELETE |
| Security headers | HSTS, CSP, X-Content-Type-Options, X-Frame-Options |
Gestion des secrets — Hashicorp Vault
| Usage | Description |
|---|---|
| Clés SSH | Générées et stockées dans Vault, distribuées automatiquement |
| Tokens API | Rotation via Vault |
| Mots de passe DB | Stockage sécurisé |
Rôle Ansible : ssh-keygen-and-store (génération → Vault → distribution)
Rôles Ansible associés
| Rôle | Description |
|---|---|
haproxy |
Reverse proxy + Coraza WAF + TLS |
ssh-keygen-and-store |
Génération de clés SSH + stockage Vault |
nftables |
Règles de filtrage réseau |
Contenu de ce dossier
coraza/: règles WAF, profils de paranoïa, logs personnaliséshaproxy/: configuration reverse proxy, backends, frontends, TLSwireguard/: configuration VPN, clés, peersnftables/: règles de filtrage IPcertbot/: scripts de renouvellement TLSvault/: politiques, secrets paths
Voir aussi
- 04_INFRA_DEPLOIEMENT/Architecture_Serveurs/ARCHITECTURE_INFRA — Architecture complète
- 04_INFRA_DEPLOIEMENT/Monitoring_Logs/README — Monitoring et logs (dont logs WAF)
- 03_APPS_&_SERVICES/ARCHITECTURE_VEZA — Sécurité applicative Veza
- 00_META/Glossaire/GLOSSAIRE_TALAS — Termes (Coraza, HAProxy, WireGuard, etc.)