IdentifiantX01
Typeextension
Pour quicelui qui veut durcir au-delà du prêt-à-déployer
Prix bundle497 €

Bundle extension · X01

Bunker numérique

Sandbox d'exécution, AppArmor/SELinux, sonde Falco eBPF, Zero Trust gateway : 8 toolkits pour rendre le pivot inopérant.

Le hardening avancé qui se greffe sur n’importe quel starter.

Sandbox d’exécution, AppArmor/SELinux, sonde Falco, segmentation réseau, Zero Trust gateway, user-per-stack et serveurs MCP sécurisés. 8 toolkits de durcissement.

// pourquoi ce bundle existe

Le scénario que ce bundle anticipe.

Tu as un B02-B05 déployé, ça tourne, tu commences à exister sur le radar. Premier scan ciblé : nmap, nikto, des bots qui tentent des paths exotiques (/.git, /admin, /wp-login.php). Ce n'est plus du bruit : c'est de la reconnaissance active. À ce stade, les défenses par défaut (TLS, headers, fail2ban) ne suffisent plus contre un attaquant qui prend 30 minutes pour chercher ton point faible.

L'extension Bunker pose les contre-mesures de niveau pro : sandbox d'exécution par user Linux, profils AppArmor/SELinux sur les containers, sonde Falco/Tetragon (détection comportementale eBPF au syscall), segmentation réseau, Zero Trust gateway (Tailscale/Pomerium), user-per-stack Coolify et serveurs MCP allowlistés. Tu ne fermes plus des ports : tu rends l'attaquant qui rentre incapable de pivoter.

$ cat angles-morts.txt

Les angles morts que ce bundle ferme.

Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.

angle mortProcessus applicatifs partagent le même UID LinuxUn service compromis = accès à tous les autres en latéral.
angle mortContainers sans profil MACÉchappement container vers l'hôte trivial via CVE noyau ou capability mal cadrée.
angle mortPas de détection comportementaleAttaquant pivote pendant des semaines, tu le découvres après la fuite.
angle mortPorts admin exposés sur InternetCoolify, Grafana, n8n attaqués via 0-days dès leur publication.

Architecture emboîtée

Un starter empile tous les précédents

Les six starters ne sont pas six offres séparées : c'est une seule pile. X01contient l'intégralité des bundles précédents, chacun avec son périmètre, et y ajoute sa propre couche. Tu ne paies jamais deux fois la même brique.

$ mitre-attack --highlight X01

Les maillons verrouillés dans la kill-chain.

La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.

recon
armement
livraison
exploit
install
c2
action
persist.
escalade
latéral
collecte
exfil
impact
maillon refermé par X01maillon couvert par une extension

$ mitre map --attack-to-defend X01

Chaque problème, sa contre-mesure.

Pour chaque technique d'attaque ATT&CK qui vise X01, la mesure concrète qu'il pose pour la neutraliser — risque à gauche, parade en face.

T1611Escape to Host

Un container privilégié ou une capability mal cadrée permet de s'échapper vers l'hôte.

mesure concrète

Profils AppArmor/SELinux + user-per-stack : l'échappement n'a plus de chemin.

T1068Exploitation for Privilege Escalation

Une CVE noyau permet une élévation de privilèges locale après une première intrusion.

mesure concrète

Seccomp + capabilities minimales + Falco : les syscalls anormaux sont bloqués ou détectés.

T1021.004Remote Services: SSH

Après une première compromission, l'attaquant pivote en SSH d'un service à l'autre.

mesure concrète

Zero Trust gateway (SSO imposé) + segmentation réseau : le pivot latéral est bloqué.

T1556Modify Authentication Process

Une backdoor PAM ou SSH installe un accès permanent et silencieux.

mesure concrète

Tetragon détecte en temps réel toute modification des binaires et configs sensibles.

$ d3fend --map # référentiel des contre-mesures

Les mesures ci-dessus se rattachent au référentiel défensif D3FEND (MITRE). Survole un code pour le détail de la contre-mesure.

$ cat faq.md

Tu hésites ? Lis ça.

Falco/Tetragon, c'est tenable à exploiter ?

Le bundle livre des règles pré-tunées + un dashboard Grafana qui filtre 95% du bruit. Compte 1 jour d'apprentissage initial, ensuite tu reçois 0-3 alertes utiles par semaine.

Zero Trust gateway, ça veut dire VPN obligatoire ?

Pas un VPN traditionnel, mais un proxy identity-aware (Tailscale / Pomerium) qui impose SSO avant même que la requête atteigne l'app. Tes outils admin (Coolify, Grafana, Falco UI) deviennent invisibles depuis Internet ouvert.

C'est compatible avec B01 ou je dois tout refaire ?

Compatible. L'extension se greffe sur tout starter B01-B05. Compte 2 à 4 jours d'intégration selon ton aisance Linux.

$ ./preorder --bundle X01

Pas encore en vente, mais réserve ta place.

Laisse-moi ton email — tu seras prévenu·e en priorité au lancement, avec une réduction pré-achat. Aucune newsletter, aucun spam : juste l'annonce du jour J.

Aucun paiement maintenant — on collecte les emails intéressés et on te recontacte au lancement avec une réduction pré-achat.

X01te paraît trop, ou pas assez ?

X02Gestion de criseextension suivante

// ou compare les 6 starters d'un coup d'œil sur le tableau de couverture

// mon écosystème

Connexion

Tape ton email, on t'envoie un lien magique sécurisé + un code à 6 chiffres. Pas de mot de passe à retenir.