Bundle extension · X01
Bunker numérique
Sandbox d'exécution, AppArmor/SELinux, sonde Falco eBPF, Zero Trust gateway : 8 toolkits pour rendre le pivot inopérant.
Le hardening avancé qui se greffe sur n’importe quel starter.
Sandbox d’exécution, AppArmor/SELinux, sonde Falco, segmentation réseau, Zero Trust gateway, user-per-stack et serveurs MCP sécurisés. 8 toolkits de durcissement.
// pourquoi ce bundle existe
Le scénario que ce bundle anticipe.
Tu as un B02-B05 déployé, ça tourne, tu commences à exister sur le radar. Premier scan ciblé : nmap, nikto, des bots qui tentent des paths exotiques (/.git, /admin, /wp-login.php). Ce n'est plus du bruit : c'est de la reconnaissance active. À ce stade, les défenses par défaut (TLS, headers, fail2ban) ne suffisent plus contre un attaquant qui prend 30 minutes pour chercher ton point faible.
L'extension Bunker pose les contre-mesures de niveau pro : sandbox d'exécution par user Linux, profils AppArmor/SELinux sur les containers, sonde Falco/Tetragon (détection comportementale eBPF au syscall), segmentation réseau, Zero Trust gateway (Tailscale/Pomerium), user-per-stack Coolify et serveurs MCP allowlistés. Tu ne fermes plus des ports : tu rends l'attaquant qui rentre incapable de pivoter.
$ cat angles-morts.txt
Les angles morts que ce bundle ferme.
Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.
Architecture emboîtée
Un starter empile tous les précédents
Les six starters ne sont pas six offres séparées : c'est une seule pile. X01contient l'intégralité des bundles précédents, chacun avec son périmètre, et y ajoute sa propre couche. Tu ne paies jamais deux fois la même brique.
$ tree X01/
Ce qu'il y a dans la boîte.
Chaque toolkit est livré avec son code, son runbook, et ses tests. Pas de SaaS caché, pas d'abonnement implicite — tu possèdes tout ce que tu déploies.
$ ls direct/ # ce que X01 ajoute en propre
$ mitre-attack --highlight X01
Les maillons verrouillés dans la kill-chain.
La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.
$ mitre map --attack-to-defend X01
Chaque problème, sa contre-mesure.
Pour chaque technique d'attaque ATT&CK qui vise X01, la mesure concrète qu'il pose pour la neutraliser — risque à gauche, parade en face.
Un container privilégié ou une capability mal cadrée permet de s'échapper vers l'hôte.
Profils AppArmor/SELinux + user-per-stack : l'échappement n'a plus de chemin.
Une CVE noyau permet une élévation de privilèges locale après une première intrusion.
Seccomp + capabilities minimales + Falco : les syscalls anormaux sont bloqués ou détectés.
Après une première compromission, l'attaquant pivote en SSH d'un service à l'autre.
Zero Trust gateway (SSO imposé) + segmentation réseau : le pivot latéral est bloqué.
Une backdoor PAM ou SSH installe un accès permanent et silencieux.
Tetragon détecte en temps réel toute modification des binaires et configs sensibles.
$ cat faq.md
Tu hésites ? Lis ça.
Falco/Tetragon, c'est tenable à exploiter ?
Le bundle livre des règles pré-tunées + un dashboard Grafana qui filtre 95% du bruit. Compte 1 jour d'apprentissage initial, ensuite tu reçois 0-3 alertes utiles par semaine.
Zero Trust gateway, ça veut dire VPN obligatoire ?
Pas un VPN traditionnel, mais un proxy identity-aware (Tailscale / Pomerium) qui impose SSO avant même que la requête atteigne l'app. Tes outils admin (Coolify, Grafana, Falco UI) deviennent invisibles depuis Internet ouvert.
C'est compatible avec B01 ou je dois tout refaire ?
Compatible. L'extension se greffe sur tout starter B01-B05. Compte 2 à 4 jours d'intégration selon ton aisance Linux.
$ ./preorder --bundle X01
Pas encore en vente, mais réserve ta place.
Laisse-moi ton email — tu seras prévenu·e en priorité au lancement, avec une réduction pré-achat. Aucune newsletter, aucun spam : juste l'annonce du jour J.
X01te paraît trop, ou pas assez ?
// ou compare les 6 starters d'un coup d'œil sur le tableau de couverture