vellis/wiki
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
wiki/Catalogue-Self-Hosted/apps/app-safeline.md
T
vellis bda02d587f Initial vault setup
2026-06-09 18:40:21 +02:00

4.0 KiB
Raw Permalink Blame History

title, created, updated, type, tags, confidence, contested, sources
title created updated type tags confidence contested sources
SafeLine 2026-06-08 2026-06-08 app
catalogue
app
firewall
auto-hebergement
medium false
https://selfh.st/apps/?search=safeline
https://github.com/chaitin/SafeLine

🛡️ SafeLine

WAF (Web Application Firewall) auto-hébergé en Go, édité par Chaitin, avec détection sémantique, anti-bot, anti-DDoS L7 et reverse proxy intégré.

📊 Métadonnées

Champ Valeur
Nom SafeLine
Slug safeline
Catégorie principale cat-firewall
Langage Go (28)
Stars 21468
Dernière MAJ 2025-11-05
Repo github.com/chaitin/SafeLine
Site ly.safepoint.cloud/fUxS0GW

📝 Description

SafeLine est un WAF open source auto-hébergé développé par la société chinoise Chaitin Tech, bâti en Go et livré sous forme d'image Docker autonome. À la différence de ModSecurity, SafeLine embarque sa propre engine d'analyse (basée sur la détection sémantique et l'apprentissage automatique) et un reverse proxy NGINX intégré, ce qui permet un déploiement one-shot derrière un domaine exposé.

Le projet cible les attaques OWASP Top 10 (SQLi, XSS, RCE, path traversal, désérialisation, etc.), ainsi que les abus bots (anti-brute-force, anti-credential-stuffing, captcha) et le DDoS applicatif L7 (HTTP flood). Une console web d'administration permet d'ajouter des sites protégés, de visualiser les alertes, de gérer les règles personnalisées et de tuner le moteur de détection.

🐳 Installation Docker

services:
  safeline:
    image: chaitin/safeline-mgmt:latest
    container_name: safeline
    restart: unless-stopped
    ports:
      - "9443:9443"
    volumes:
      - ./data:/data
    environment:
      - PUID=1000
      - PGID=1000
      - SAFELINE_DOMAIN=admin.example.com
      - SAFELINE_API_URL=http://safeline-mgmt:1443

⚠️ Adapte image/port/volumes selon le README officiel : https://github.com/chaitin/SafeLine

🔀 Reverse Proxy (Traefik)

services:
  safeline:
    image: chaitin/safeline-mgmt:latest
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.safeline.rule=Host(`safeline.example.com`)"
      - "traefik.http.routers.safeline.entrypoints=websecure"
      - "traefik.http.routers.safeline.tls.certresolver=letsencrypt"
      - "traefik.http.services.safeline.loadbalancer.server.port=9443"

🔧 Configuration

  • Première connexion : accéder à https://<host>:9443 et créer le compte administrateur
  • Ajouter les sites à protéger (domain ou upstream service), le WAF s'intercale en reverse proxy
  • Activer la détection sémantique (engine maison Chaitin) en plus des règles OWASP CRS si activé
  • Brancher l'API Slack / Webhook / Telegram pour recevoir les alertes en temps réel

🔀 Alternatives

Open source :

  • BunkerWeb (NGINX + ModSecurity + UI moderne, Python)
  • ModSecurity (moteur historique, CRS OWASP)
  • Coraza (WAF Go, compatible ModSecurity, super-performant)
  • CrowdSec (fail2ban collaboratif, complément à un WAF)
  • Naxsi (WAF NGINX natif, scoring)

Propriétaires :

  • Cloudflare WAF (SaaS leader mondial)
  • AWS WAF (WAF managé Amazon, intégré à CloudFront/ALB)
  • Imperva WAF, F5 BIG-IP AWAF (enterprise, appliance)

🔒 Sécurité

  • Console d'admin par défaut exposée en HTTPS sur le port 9443, à placer derrière un reverse proxy avec auth forte
  • Changer immédiatement le mot de passe admin par défaut
  • Isoler SafeLine sur un réseau Docker dédié : il est en coupure réseau sur les flux applicatifs, donc critique

📚 Ressources

🔗 Pages Liées

Reference in New Issue View Git Blame Copy Permalink