J'ai essayé de construire une défense en profondeur — plusieurs couches indépendantes, comme ça si l'une flanche les autres compensent. C'est peut-être overkill pour un homelab mais c'est aussi le but : apprendre.
| Menace | Contre-mesure |
|---|---|
| Brute-force SSH / scan | Endlessh (tarpit) + fail2ban + SSH sur port 2222 |
| Exploits web (SQLi, XSS, LFi...) | SafeLine WAF |
| Accès non autorisé aux services | Authelia SSO + 2FA |
| IPs malveillantes connues | CrowdSec (blocklist communautaire) |
| Intrusion réseau | Suricata IDS/IPS |
| Bots SSH/Telnet | Cowrie honeypot |
| Malware / comportement anormal | Wazuh EDR + SIEM |
| Mots de passe faibles/réutilisés | Vaultwarden |
| Outil | Type | Rôle | Page |
|---|---|---|---|
| SafeLine | WAF | Filtrage HTTP applicatif | → |
| Authelia | SSO/MFA | Authentification centralisée | → |
| CrowdSec | IPS | Blocage IPs collaboratif | → |
| Wazuh | SIEM/EDR | Logs, alertes, réponse active | → |
| Suricata | IDS/IPS | Détection d'intrusion réseau | → |
| Cowrie | Honeypot | Piège SSH/Telnet | → |
| Endlessh | Tarpit | Ralentit les scanners SSH | — |
| fail2ban | Anti-brute | Ban IP après N échecs SSH | — |