Introduction

Depuis plusieurs années, je fais tourner une bonne partie de mon quotidien numérique sur une infrastructure self-hosted : services web, Git, RSS, gestionnaire de mots de passe, domotique, etc.

Le tout repose principalement sur :

  • 1 VPS (services web critiques)
  • 1 NAS Synology (Gitea, backups)
  • 1 Raspberry Pi 4 (Home Assistant OS)

Tout orchestré avec Docker.

En 2026, j’ai décidé de reprendre cette infra quasiment de zéro, avec quelques objectifs :

  • Réduire la consommation de ressources
  • Centraliser l’authentification avec un SSO
  • Renforcer la sécurité réseau (WAF, filtrage géographique, images durcies)

SSO : Authelia partout

Historiquement, je m’appuyais sur Authentik pour le SSO, mais j’ai fini par le remplacer par Authelia. Authentik reste très complet, mais consomme davantage de ressources et ajoute une certaine complexité que je n’avais plus envie de gérer sur un petit VPS. Authelia, au contraire, est plus léger et se concentre sur l’essentiel.

Aujourd’hui, Authelia joue le rôle de point d’entrée unique pour l’authentification. J’utilise son support OIDC pour intégrer tous mes services :

  • Gitea (forge Git)
  • Vaultwarden (gestionnaire de mots de passe)
  • Arcane (en remplacement de Portainer pour piloter Docker)
  • Miniflux (lecteur RSS)

Le résultat est très satisfaisant au quotidien : une seule authentification forte (2FA possible) permet d’accéder à l’ensemble de mes services critiques, tout en gardant un contrôle précis sur les niveaux d’authentification selon la sensibilité du service.

Sécurité réseau : Multi-couches et filtrage strict

La sécurité est non négociable. J’ai mis en place une défense en profondeur : Internet -> GeoBlock FR only (nftables) -> Traefik -> Crowdsec WAF -> BunkerWeb (WAF facultatif) -> Authelia OIDC SSO -> services

Les couches de sécurité :

  • GeoBlock nftables : Uniquement les IP françaises (trafic rejeté avant même Docker).
  • Traefik + Crowdsec : WAF dynamique qui analyse les logs et bloque les IPs malveillantes en temps réel.
  • Bunkerweb : Reverse proxy sécurisé avec ModSecurity pour les services critiques.
  • Docker Hardened Images (DHI) : Images distroless qui éliminent 95% des CVE possibles.

GitOps et automatisation

  • Gitea sur Synology avec runner Actions et SSO OIDC via Authelia.
  • Pipeline pour ce blog Hugo : Build automatique + déploiement SFTP sur OVH (hébergement gratuit).

Réseau étendu : WireGuard et Home Assistant

Le VPS est relié à mon Raspberry Pi (Home Assistant OS) via un tunnel WireGuard. Cela me permet d’accéder à la domotique depuis n’importe où, toujours via le même SSO.

Synthèse

Ancienne infraNouvelle infra
AuthentikAuthelia
PortainerArcane
Images stdDHI
Pas de WAFCrowdsec

Cette refonte m’a permis de consolider mon infra en gardant une empreinte mémoire très faible et une sécurité renforcée.

Rendez-vous bientôt pour les détails techniques !