Bunker numérique
Sandbox d'exécution, AppArmor/SELinux, sonde Falco eBPF, Zero Trust gateway — 8 toolkits pour rendre le pivot inopérant.
Le hardening avancé qui se greffe sur n’importe quel starter.
Pas encore d'achat possible — inscris-toi pour être prévenu·e en priorité au lancement.
Sandbox d’exécution, AppArmor/SELinux, sonde Falco, segmentation réseau, Zero Trust gateway, user-per-stack et serveurs MCP sécurisés. 8 toolkits de durcissement.
# Le scénario qu'on refuse de revivre.
Tu as un B02-B05 déployé, ça tourne, tu commences à exister sur le radar. Premier scan ciblé : nmap, nikto, des bots qui tentent des paths exotiques (/.git, /admin, /wp-login.php). Ce n'est plus du bruit — c'est de la reconnaissance active. À ce stade, les défenses par défaut (TLS, headers, fail2ban) ne suffisent plus contre un attaquant qui prend 30 minutes pour chercher ton point faible.
L'extension Bunker pose les contre-mesures de niveau pro : sandbox d'exécution par user Linux, profils AppArmor/SELinux sur les containers, sonde Falco/Tetragon (détection comportementale eBPF au syscall), segmentation réseau, Zero Trust gateway (Tailscale/Pomerium), user-per-stack Coolify et serveurs MCP allowlistés. Tu ne fermes plus des ports — tu rends l'attaquant qui rentre incapable de pivoter.
# Les angles morts que ce bundle ferme.
Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.
Processus applicatifs partagent le même UID Linux
→ Un service compromis = accès à tous les autres en latéral.
Containers sans profil MAC
→ Échappement container vers l'hôte trivial via CVE noyau ou capability mal cadrée.
Pas de détection comportementale
→ Attaquant pivote pendant des semaines, tu le découvres après la fuite.
Ports admin exposés sur Internet
→ Coolify, Grafana, n8n attaqués via 0-days dès leur publication.
# Les maillons verrouillés dans la kill-chain.
La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.
maillons en couleur : verrouillés par X01 · maillons grisés : couverts par d'autres bundles (cf. /bundles)
# Ce qu'il y a dans la boîte.
Chaque toolkit est livré avec son code, son runbook, et ses tests. Pas de SaaS caché, pas d'abonnement implicite — tu possèdes tout ce que tu déploies.
- T-08-06MCP servers sécurisésAllowlist + RBAC + scopes OAuth, audit. Partagé entre le bunker (X01) et l’atelier dev (X03).
- T-09-03Hardening exécution sandboxUtilisateurs Linux, capabilities, sudo restreint, isolation des processus, seccomp.
- T-09-04Container hardening (AppArmor/SELinux)Profils MAC, images distroless.
- T-09-05Sonde Falco / TetragonDétection comportementale au niveau syscall, basée eBPF.
- T-09-08Network segmentationVLAN/firewall, micro-segmentation, réseaux Docker et filtrage inter-services.
- T-09-09Endpoints discovery hardenedCartographie de l'exposition d'API, gestion de la surface d'attaque.
- T-09-10Zero Trust gatewayProxy identity-aware (Tailscale / Pomerium), SSO en amont. Plus aucun port public exposé.
- T-09-15User-per-stack (Coolify scoped)Isolation par stack, principe du moindre privilège.
# Techniques d'attaque contrées par X01.
Ce que X01ajoute en propre, détaillé. Référencé MITRE ATT&CK (cliquable) — chaque technique pointe vers la fiche officielle.
- T1611Escape to Host
Container privilégié ou capability mal cadrée permet l'échappement. AppArmor/SELinux + user-per-stack neutralisent.
- T1068Exploitation for Privilege Escalation
Local privesc via CVE noyau. Seccomp + capabilities minimales + Falco détecte les syscalls anormaux.
- T1021.004Remote Services: SSH
Pivot SSH inter-services après compromission. Zero Trust gateway impose SSO + segmentation réseau bloque le pivot.
- T1556Modify Authentication Process
Backdoor PAM/SSH. Tetragon détecte la modification des binaires sensibles en temps réel.
# Contre-mesures posées par X01.
Référentiel D3FEND (MITRE), pendant défensif d'ATT&CK. Ci-dessous, ce que X01 pose en propre.
- D3-SCFSystem Call Filtering
Profils seccomp + AppArmor par container, blocage des syscalls non nécessaires.
- D3-PSEPProcess Segment Execution Prevention
Images distroless, runtime non-root, capabilities Linux strictement plafonnées.
- D3-NTANetwork Traffic Analysis
Falco/Tetragon (eBPF) — détection comportementale au niveau syscall, alerting temps réel.
- D3-NINetwork Isolation
Segmentation VLAN/firewall, micro-segmentation Docker, Zero Trust gateway (Tailscale/Pomerium) en frontal.
# Tu hésites ? Lis ça.
Falco/Tetragon, c'est tenable à exploiter ?
Le bundle livre des règles pré-tunées + un dashboard Grafana qui filtre 95% du bruit. Compte 1 jour d'apprentissage initial, ensuite tu reçois 0-3 alertes utiles par semaine.
Zero Trust gateway, ça veut dire VPN obligatoire ?
Pas un VPN traditionnel — un proxy identity-aware (Tailscale / Pomerium) qui impose SSO avant même que la requête atteigne l'app. Tes outils admin (Coolify, Grafana, Falco UI) deviennent invisibles depuis Internet ouvert.
C'est compatible avec B01 ou je dois tout refaire ?
Compatible — l'extension se greffe sur tout starter B01-B05. Compte 2 à 4 jours d'intégration selon ton aisance Linux.
# Pas encore en vente, mais réserve ta place.
Laisse-moi ton email — tu seras prévenu·e en priorité au lancement, avec une réduction pré-achat. Aucune newsletter, aucun spam : juste l'annonce du jour J.