Hardening — Defense en profondeur¶
Chaque composant de l'infrastructure est durci selon les recommandations CIS Benchmark et OWASP. Le hardening est applique de maniere systematique, du boot au reverse proxy.
Vue d'ensemble¶
L'infrastructure applique un modele de defense en profondeur : chaque couche est independante et defendable. Si un composant est compromis, les autres couches limitent l'impact.
Linux VMs — 7 couches¶
| Couche | Mesure | Detail |
|---|---|---|
| 1 | SSH | Cle uniquement, root interdit, AllowUsers |
| 2 | Sysctl | 4 profils adaptes (gateway, apps, SOC, firewall) |
| 3 | Filesystem | Permissions restrictives, noexec sur /tmp |
| 4 | Services | Desactivation systematique des services inutiles |
| 5 | Auditd | 17 regles, immutabilite (-e 2) |
| 6 | Docker | Daemon hardening, no-new-privileges, read-only rootfs |
| 7 | Reseau | nftables deny-all, flux explicites uniquement |
Windows Server RDS¶
| Mesure | Detail |
|---|---|
| SMBv1 | Desactive |
| Services inutiles | Spooler, Xbox, WSearch, MapsBroker desactives |
| Audit policies | Logon/Logoff, Account Logon, Privilege Use, Object Access, Policy Change |
| NTP | Synchronise vers Samba AD |
| GPO restrictions | PowerShell, cmd, mmc, regedit, taskmgr bloques pour non-admins |
| Installations | Bloquees pour les utilisateurs standard |
| Navigateur | Firefox uniquement, Edge supprime, moteur verrouille |
Samba Active Directory¶
| Mesure | Detail |
|---|---|
| Password policy | 12 chars min, complexite, lockout 5/30min |
| Historique | 24 mots de passe |
| Structure OU | Separation admin/utilisateurs pour le filtrage GPO |
CrowdSec¶
50+ scenarios de detection, bouncer Traefik en forward-auth, blocklists communautaires CAPI. Les IPs reelles sont propagees via forwardedHeaders.trustedIPs avec logs JSON.
Wazuh — Regles chirurgicales¶
Les regles custom distinguent l'activite conteneurisee de l'activite bare-metal. Les shells et commandes dans les containers sont en level 3 (pas supprimes) pour preserver la visibilite dans les dashboards.