Questions G

[bernardlf]

Bonjour à tous,

Depuis 48h je configure mon premier NAS DS 214 Play et je rencontre plusieurs problèmes.

Concernant la sécurité des données :

- Je me posais la question du vol des disques durs, si quelqu'un essaie de les rebrancher peut-il récupérer les données ? Ebn parcourant le forum j'ai cru comprendre qu'il fallait créer des dossiers partagés chiffrés, cela veut-il dire qu'en cas de vol des disques, les données ne pourront être lues à moins d'entrer la clé ? Un peu comme avec Bitlocker sur Windows ?

Et que veut dire l'option "monter automatiquement" ? Quelle incidence si on la coche ?

Concernant l'accès au panneau de configuration :

- J'ai un HTTPS barré d'un trait rouge lorsque je me connecte à mon Nas via chrome, pour quelle raison ? Coment puis-je remédier au "problème" (si c’en est un) ?

Concernant l'accès au dossier par l'explorateur :

- Parfois, dans l'onglet réseau de l'explorateur de fichier Windows, le Diskstation disparait. Pas moyen de retrouver l'onglet DiskStation.

Et puis une fois j'ai cliqué sur le menu "recherche des imprimantes..." dans la barre du haut, je fais annuler et là, Windows me remet l'onget DiskStation.

Savez-vous quel paramètre je dois activer dans Windows pour qu'il maintienne l'onglet DiskStation ?

Concernant la sauvegarde sur OneDrive :

En discutant sur un autre topic, on m'a fait remarqué (merci Gaetan) que Cloud Sync était un outil de synchro avec OneDrive, pas un outil de sauvegarde sur Onedrive.

C'est à dire que si on supprime un document dans OneDrive, il se retrouve supprimé sur le Nas.

De là j'ai proposé l'idée de la synchro entre les dossiers du Nas à sauvegarder avec OneDrive avec les dossiers contenus dans OneDrive via l'outil SyncToy.

C'est à dire qu'on crée une liaison entre un dossier A dans le Nas et A' dans le Onedrive via Cloudsync en chosisssant l'option de synchro dans un seul sens : A vers A'.

Dans ce cas, un fichier supprimé dans A' ne se répercute pas dans A.

Pensez-vous que c'est une bonne façon de faire une sauvegarde de documents ? Y a t-il mieux à faire avec Onedrive ?

Merci par avance pour vos remarques.

[Sp@r0]

Dans l'ordre :

1 - c'est le but et pour la case à cocher si tu la coches pas a chaque démarrage du nas tu devra rentrer manuellement la clés à sécurité quand tu nous tiens .... De toute façon la notion de sécurité et de partage son un peu antinomique il faut que tu trouve l'équilibre qui te conviens quitte à pas mettre certain docs n'importe ou !!!

2 - accepte le certificat ou mets le site comme étant un site de confiance sinon tu peux installer ton propre certificat éligible à la notion de "site de confiance" tels que vu par chrome si tu en as un....

3 - Netbios c'est un peu de la daube tu n'y peut rien ajouté toi un raccourci vers ipdunas ce sera plus efficace tu peux aussi monter un partage réseau (clic droit connecter un lecteur réseau sur un partage du nas)

4 - effectivement mais synctoy ne tourne que sur un Pc c'est con, synctoy imite de manière assez basique les immenses fonctions de rsync qui est présent nativement sur le nas.

[bernardlf]

Merci pour ta réponse.

1- Ben en fait le seul moyen que j'ai trouvé pour chiffrer certaines données du Nas c'est de créer des dossiers partagés. En créant un dossier normal je n'ai pas cette option de chiffrage.

La terminologie m'a paru étrange mais j'avais contacté le service client Syno avant mon achat pour vérifier que le cryptage de dossiers était possible et on m'avait renvoyé vers ce tutoriel du dossier partagé. Mais techniquement je ne partage justement pas (avec des gens de l'extérieur) ces dossiers partagés chiffrés.

2- En fait chrome me propose de poursuivre sur ce "site dangereux" mais je n'ai pas la possibilité d'accepter quoique ce soit pour qu'il enlève sa barre rouge sur le https.

3- Oui tu as raison, un raccourci sera plus efficace.

4- Je ne connais pas Rsync, je vais faire des recherches dessus. Merci pour l'astuce.

[domlas]

La notion de "sécurité" est totalement différente de la notion de "sécurisation" tant à la mode actuellement.

Les mots de passe dit "complexes" ne le sont que pour nous humains. Un robot chercheur ne fait aucune différence entre les lettres "normales" et des signes plus ou moins cabalistiques.

Il faut bien comprendre qui recherche quoi. En fait le petit boutonneux derrière son écran qui essaye de te piquer tes données qui tu as toi-même téléchargé sur des sites accessibles à tout le monde, n'existe pratiquement pas. Il fait comme toi, il va sur les sites de téléchargement.

La grosse recherche est de réussir à entrer sur un serveur (ton syno en l’occurrence) pour y installer des choses douteuses comme des fonctions d'envois massifs de mails ou d'héberger des sites criminels à ton insu.

La meilleure protection est de ne pas permettre d'accès depuis internet. A partir de là si des accès sont quand même nécessaires, ne les réduire qu'au strict nécessaire en limitant au maximum les chemins d'accès (ports) et les personnes autorisées (identifs et MdP)

Il existe aussi un processus très efficace dans le syno qui consiste au blocage de l'IP du visiteur indésirable après 5 tentatives infructueuses en moins de 10mn par exemple.

Si le "cryptage" des données (https) est utile lors de transferts de courtes données sensibles comme les numéros de banques par exemple cela n'empêche nullement un escroc de pénétrer ta machine.

[bernardlf]

J'ai effectivement activé le blocage comme tu l'indiques (je me demande si ça n'était pas coché de base d'ailleurs).

Mais petite question : si tu dois partager des documents sur ton serveur avec un grand nombre de personnes (imagine qu'il faudrait créer un dossier qui serait mis à jour toutes les semaines et où les gens viendraient se connecter pour télécharger les documents mis à jour), comment procéderais-tu sur ton Nas sans compromettre la sécurité de ce dernier ?

Dans l'ordre :
1 - c'est le but et pour la case à cocher si tu la coches pas a chaque démarrage du nas tu devra rentrer manuellement la clés à sécurité quand tu nous tiens .... De toute façon la notion de sécurité et de partage son un peu antinomique il faut que tu trouve l'équilibre qui te conviens quitte à pas mettre certain docs n'importe ou !!!
2 - accepte le certificat ou mets le site comme étant un site de confiance sinon tu peux installer ton propre certificat éligible à la notion de "site de confiance" tels que vu par chrome si tu en as un....
3 - Netbios c'est un peu de la daube tu n'y peut rien ajouté toi un raccourci vers ipdunas ce sera plus efficace tu peux aussi monter un partage réseau (clic droit connecter un lecteur réseau sur un partage du nas)
4 - effectivement mais synctoy ne tourne que sur un Pc c'est con, synctoy imite de manière assez basique les immenses fonctions de rsync qui est présent nativement sur le nas.

Petit retour sur le dernier point. Je me suis rendu dans le menu de sauvegarde, j'ai consulté le menu de sauvegarde en local et au moment du choix des dossiers à sauvegarder, tous les dossiers partagés cryptés sont grisés, on ne peut les cocher.

[Sp@r0]

Pour la sécurisation c'est pas compliqué il faut savoir ce que l'on fait et n'ouvrir à l'extérieur les accès cas bonne escient après il faut mettre des mots de passes qui tiennent un peu la route (c la base) je conseil perso :

- 10 caractères

- de 3 types différents (minuscules, majuscule, chiffres, caractères spéciaux (? - @ ....)

- pas de date de nom commun ou de prénom et encore moins ayant un rapport avec toi

- un mot de passe différent à chaque fois (pas de compte de banque et de forum identique )

Pour l'histoire de la sauvegarde j'ai pas non plus dis que pour utiliser rsync comme ça cela ce faisait par l'interface graphique il faut le programmer en ligne de commande (ça prend 2 lignes voir une si on fait la deuxième en mode graphique)

[bernardlf]

Globalement j'applique tes recommandations sur les mots de passe.

Pour Rsync je t'avoue que je n'y connais rien aux lignes de commande donc en dehors de l'interface graphique, je ne peux pas programmer la sauvegarde des dossiers partagés chiffrés.

[bernardlf]

Bonsoir,

Je poursuis la configuration de mon NAS grâce aux conseils récupérés sur le forum.
Mais je bloque sur Time Backup.

Apparemment il faudrait avoir un 2e volume selon l'aide DSM mais je n'en ai qu'un.

Et comme l'utilisateur qui a initié ce topic lorsque je me rends dans le menu "Volume", l'outil "créer" est grisé. Normal ?

Comment puis-je créer un volume pour les sauvegardes ?

Merci par avance pour votre aide.

[domlas]

En fait le mieux serait que tu branches un disque externe USB sur el syno. Pour une sauvegarde il est recommandé de la faire sur un autre support, un autre système et si possible dans un autre lieu.

[bernardlf]

Merci pour ton conseil.

Et quelle différence entre la sauvegarde via le menu sauvegarde et replication et Time Machine ?

[domlas]

Je ne sais pas trop.

En fait sur le syno je n'utilise que la sauvegarde proposée dans le DSM pour effectuer quelques sauvegardes (celles non faites par ailleurs) du syno vers un disque USB chaque jour.

Par contre toutes mes autres sauvegardes, celles des fichiers de mes 3 ordis vers le syno ou pour quelques unes vers un serveur dit "coffre-fort" j'utilise syncback.exe sur les ordis. En effet pour sauvegarder des données d'un ordi faut-il encore qu'il soit allumé. Donc les outils d esauvegarde sont sur les ordis.

Time Backup je ne connais que de nom.

Il y a plusieurs appellations de sauvegarde en fonction des particularités de fonctionnement qu'elles peuvent avoir.

Il y a la sauvegarde pure et dure : consiste à recopier d'office des documents de A vers B. On peut néanmoins prévoir des vérifications de conditions et par exemple ne pas recopier les fichiers qui n'ont pas changés ni sur A ni sur B. On peut aussi définir que si les fichiers sont différents prendre le plus récent et le copier de l'autre côté. On peut aussi décider de supprimer sur B un fichier qui a été supprimé sur A etc.

La synchronisation : consiste à rendre identiques les fichiers sur A et B en prenant par exemple le plus récent comme modèle. Si A est plus récent il remplace B et si c'est B qui est le plus récent il remplace A. Ce n'est plus à proprement parler une sauvegarde. Par exemple si le fichier déjà sur B est le bon et que celui sur A a été corrompu il remplacera le bon de B pour un fichier corrompu et on n'aura plus de bon fichier.

La réplication est un peu la même chose. En fait ces procédés sont courants sur les Clouds. Par exemple on a un fichier de travail (une lettre par exemple) au bureau sur un ordi A. On veut aussi utiliser, compléter ou modifier ce fichier sur un ordi portable B. On va alors mettre une copie du fichier de A dans le syno, puis on créer un système de synchronisation entre l'ordi A et le syno ainsi qu'entre l'ordi B et le syno.

Chaque changement sur l'un ou l'autre ordi sera répercuté sur le syno. De cette façon tout le monde aura le même fichier à jour.

ATTENTION : c'est pas une sauvegarde. Si un des ordis bousille le fichier, le bousillage sera répercuté sur le syno puis sur l'autre ordi. Le document propre est perdu. Il faut donc faire une sauvegarde (4ième fichier) sur un disque à part si possible avec une cascade. C'est à dire conserver une, deux, trois, x copies antérieures de ce fichier de sauvegarde, par exemple avec le fichier du jour, un du jour-1, un du jour-2 etc.

Ainsi même en cas de grosse connerie sur l'un des ordis, connerie répercutée sur le syno, répercutée sur l'autre ordi et par un malheureux hasard répercutée aussi sur la sauvegarde du jour, on disposera quand même d'une copie à J-1 qui sera propre même si elle est un peu incomplète.

Pourquoi les sauvegardes sur un disque séparé ? Si on mets un disque autonome USB branché sur le syno, les données sauvegardées dessus seront enregistrées au format du disque USB. En cas de crash du syno, il suffira de brancher ce disque USB sur un ordi quelconque pour y retrouver les sauvegardes à jour.

Je dis ça mais je suis comme tout le monde je m'aperçois encore assez souvent que j'ai encore des trucs que j'ai oublié dans mon "plan" de sauvegarde...

[bernardlf]

Très intéressant tout ce que tu m'expliques.

Je vais tester le système de sauvegarde et je me permettrais de compléter les questions.

Je souhaite revenir sur un point de ton post toutefois.

Pourquoi les sauvegardes sur un disque séparé ? Si on mets un disque autonome USB branché sur le syno, les données sauvegardées dessus seront enregistrées au format du disque USB. En cas de crash du syno, il suffira de brancher ce disque USB sur un ordi quelconque pour y retrouver les sauvegardes à jour.

Que veux-tu dire ? Si mon NAS ne fonctionne plus, je sors ses disques durs et les branches en usb, je ne pourrais pas lire les données (dans le cas où les dossiers partagés ne sont pas cryptés) ?

[Sp@r0]

Ou est non tu peux les lire mais cela demande une machine sous Linux et un peu de connaissance (voire beaucoup si les disques sont en raid )

[bernardlf]

D'accord merci.

Donc je vais suivre le conseil de Domlas et faire des sauvegardes sur disque dur externe.

[domlas]

Pour commencer les disques sont formatés en ext4, format employé par Linux. Donc à part un ordi Linux qui pourra visualiser le disque les autres, windows, Mac ne le peuvent pas. Dans le temps lorsque ce format était en ext3 il existait au moins pour windows un petit logiciel permettant la lecture du disque. A ma connaissance ça n'existe plus pour ext4.

Par ailleurs si les disques sont en RAID la tåche sera très complexe voire impossible et pourra peut être même par la suite engendrer des dysfonctionnements au retour des disques dans le syno.

Pour mettre toutes les chances de son côté il faut toujours choisir les solutions les plus simples et les plus généralistes en cas de sauvegardes de façon à favoriser au maximum la relecture des données facilement sur n'importe quel OS, en clair, de la façon la plus passe partout possible.

Ne pas tomber non plus dans la mode actuelle de cette paranoïa de "sécurisationnement" à tous va. Il faut bien évaluer les vrais risques réels et ne pas accumuler des "si" antagonistes le plus souvent, à n'en plus finir.

Le piratage ? la première règle : ne pas trainer ses guêtres dans les lieuw mal famés adorés des pirates comme les sites de téléchargement, ou mes sites de rencontres, ou les sites xxx ou encore beaucoup de sites de jeux.

Second point bien évaluer ce qui doit et surtout ce qui ne doit pas être accessible par internet. Ne pas donner d'accès au DSM par internet. Dans une architecture bien faite du syno c'est inutile dans 99% des cas.

Contre le vol physique du syno ou des disques, commencer par ne pas le laisser en évidence. Surtout appliquer quelques régles simples et de bon sens, c'est de très loin la meilleure approche.

D'ailleurs sur les dix dernières années, combien de vols de synos as tu subi ? Combien de disques durs ? Enfin sauf cas très particulier, Défense Nationale, documents bancaires recherchés par quelques rares personnes très spécialisées, que tu n'intéresses pas, le petit malfrat de quartier te vole pour revendre ton matériel au plus vite, pas pour passer des heures à essayer de visualiser tes fichiers. Quant à l'acheteur final le pire qu'il fera sera de formater tes disques pour s' en servir pour lui. Tes photos de famille, les copies de lettres à Pépé et Mémé il s'en tape complètement dans 99% des cas au moins.

De la logique et du bon sens c'est la meilleure solution.

[bernardlf]

Je ne suis pas d'accord sur tout.

Le Nas offre la possibilité d'accéder à ses fichiers y compris de l'extérieur via divers moyens (que je découvre encore).

Donc créer une fenêtre vers l'extérieur est utile même si ça présente des risques.

Merci pour les explications de ton 1er paragraphe, je n'étais pas du tout au courant du formatage linux.

[domlas]

Bien sûr qu'il offre cette possibilité mais il n'est pas obligatoire de mettre en place ce service. La vraie question est de savoir si tu as besoin d'accéder à tes fichiers depuis Tokyo ou pas. Et quels fichiers ? As tu un besoin impératif de mettre sur le net tous tes codes bancaires et les preuves de ta richesse et de ton gros patrimoine ? Donc il y aura déjà certainement plein de fichiers qu'il vaudra mieux ne jamais rendre accessibles sur le net.

Et même si seulement 2 ou 3 fichiers sans aucune gravité pourraient avoir l'accès depuis l'extérieur, il faut bien comprendre qu'ils vont alors offrir une possibilité d'entrée pour des escrocs assez malins. Ce ne sera pas tes documents anodins qui le bandit va chercher mais le chemin par lequel ils passent. Et sans servir pour pénétrer ton syno. Et là...

Par exemple il faut tout faire, par tous les moyens pour interdire absolument l'accès au DSM depuis le net. A priori dans un serveur bien architecturé et accès est inutile, sauf dans quelques très rares cas de figure. Parce que l'accès au DSM par le port 5000, tout le monde connait. Surtout les truands ! Et même par le 5001 dit "crypté" ! Et le DSM leurs permettra d'arranger ton syno à leurs petits oignons à ton insue. Comme en faire un serveur de site porno, ou terroriste...

[bernardlf]

Par exemple il faut tout faire, par tous les moyens pour interdire absolument l'accès au DSM depuis le net. A priori dans un serveur bien architecturé et accès est inutile, sauf dans quelques très rares cas de figure.

Pourquoi inutile ? Mon serveur abrite les documents d'une entreprise composée de 3 personnes qui vivent à 400km de distance chacune.

Comment permettre l'accès aux documents sans ouvrir le Nas même si on l'architecture bien ?

[domlas]

En gérant les droits d'accès (privilèges ou permissions) de chaque utilisateurs et en utilisant le FTP ou file station par exemple. Ou encore le Cloud privé synology. Mais seul l'administrateur doit avoir accès au DSM. Le DSM est un outil de réglage du syno pas un outil de travail.

[bernardlf]

File station c'est dans la fenêtre principale de DSM ?

Je vais essayer de comprendre (en faisant des recherches sur le forum) par ce que tu veux dire concernant le FTP.

edit : je pense qu'il s'agit de ça : https://www.synology.com/fr-fr/knowledgebase/tutorials/567

Pour compléter un peu : l'entreprise doit partager des dossiers avec des gens de l'extérieur, dossiers qui sont régulièrement mis à jour.

Saurais-tu me dire quel serait le meilleur moyen de ces dossiers partager avec le Nas ?

Via la méthode FTP ?

Modifié le 27 janvier 2015 par bernardlf