Funk-lab/ansible
alkatrazz ae30eb299d feat(security): durcissement edge funklab.online (vraie IP client + rate-limit + TLS/headers)
- Traefik externalTrafficPolicy: Local → IP client réelle (fin du SNAT kube-proxy)
- middleware ratelimit par IP (100/min, burst 200) sur les 6 routes publiques
- middleware security-headers (HSTS, nosniff, X-Frame SAMEORIGIN, Referrer-Policy)
- TLSOption globale : plancher TLS 1.2 + ciphers modernes
- Guacamole REMOTE_IP_VALVE → ban anti-bruteforce par IP (fin du piège n°5)
- nftables : fermeture des ports Internet legacy 9080/9081 (HTTP clair redondant)
- allowCrossNamespace pour mutualiser les middlewares depuis infra
- docs : section Durcissement (public-domain.md) + CAA OVH + pièges à jour

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-07-07 22:55:42 +02:00
..
group_vars chore(vault): archive le secret OIDC ArgoCD (#93) 2026-07-07 17:33:24 +02:00
host_vars feat(wireguard): accès distant au lab via VPN (Freebox 51820/udp → s01) (#80) 2026-07-07 11:11:43 +02:00
playbooks feat(wireguard): accès distant au lab via VPN (Freebox 51820/udp → s01) (#80) 2026-07-07 11:11:43 +02:00
roles feat(security): durcissement edge funklab.online (vraie IP client + rate-limit + TLS/headers) 2026-07-07 22:55:42 +02:00
ansible.cfg feat: initial commit — Ansible roles storage-01/gpu-01 opérationnels 2026-05-12 17:17:03 +02:00
inventory.yml feat: initial commit — Ansible roles storage-01/gpu-01 opérationnels 2026-05-12 17:17:03 +02:00
requirements.yml feat: initial commit — Ansible roles storage-01/gpu-01 opérationnels 2026-05-12 17:17:03 +02:00