This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Fenrir

[TUTO] Sécuriser les accès à son nas

42 messages dans ce sujet

Il y a 3 heures, mafiaman42 a dit :

Je suis curieux de savoir comment. Si t'as un lien ou qurelque chose comme ça (si je peux accroître la sécurité de mon serveur, je vais pas me priver) :smile:

Sans rentrer dans les détails, en fonction des options des serveurs web et des failles ou bug, on peut énumérer assez vite des noms de domaine voir leaker des morceaux de conf.

C'est loin d'être une science exacte, mais ça donne d'assez bon résultats en général.

Si la sécurité t’intéresse, je suis certain que tu connais déjà au moins un outils capable de faire ça, tu n'as juste pas vu l'option ...

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour et merci beaucoup pour ce tuto très détaillé.

Je viens d’acquérir un DS216+ et je suis en train de "défricher" mais avant d'y transférer quoi que ce soit , j'essaie de mettre en œuvre  toutes ces règles de sécurité .

J'en suis à l'étape du paramétrage du pare feu avec la création des règles pour le profil "tuto".

Lorsque j'essaie d'autoriser une plage d'IP spécifiques (de 10.0.0.0 à 255.0.0.0) à autoriser j'ai un message d'erreur :"valeur incorrect"? par contre si la plage la plage spécifiée est de 10.0.0.0 à 10.0.0.5 là ça marche mais dans le descriptif de la règle il n'y a pas de / mais "à"...

voilà je pédale et vais essayer de passer à la suite.

Si quelqu’un passe par là ce serait sympa d'avoir votre avis.

Merci et bonnes fêtes!

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 2 heures, Kaoukiboard a dit :

j'essaie de mettre en œuvre  toutes ces règles de sécurité .

Il ne faut pas nécessairement tout mettre en œuvre, c'est à adapter en fonction de tes besoins

Pour l'adresse, gaetan a répondu, il ne s'agit pas de plages d'adresses mais de sous réseaux.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Enfin un tuto que je comprends... Et que j'essaye de mettre en pratique. Merci !

Sur mon NAS le compte admin était déjà désactivé, mais c'est mon compte perso qui a tous les droits (ce n'est pas folichon, non ?). J'ai donc essayé de suivre les explications très claires et j'arrive donc au compte admin tel que le modèle (parce que le principe je le mets en place aussi sur les ordi familial). Sauf que ce compte admin continue à pouvoir se connecter à Photostation (par exemple). De plus j'avais passé mon propre compte en utilisateur simple, et là je ne voyais plus que mes albums publics.


En y regardant de plus près, je vois que le paramétrage des groupes donne aussi des droits sur les applications. J'ai donc compris que si je voulais que mon compte admin n'est pas de droit sur les applications, il fallait que ce soit le type de compte (et non pas le compte) qui soit modifié.

Avant d'aller plus loin, je préfère avoir votre avis sur ma bonne compréhension. j'ai des doutes

 

merci

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour photostation, la gestion des droits est différentes (et pas raccord avec le reste du syno), il gère ses droits en interne, mais c'est vrai que j'ai oublié ce point dans le tuto (je n'utilise que photostation par utilisateur, pas le global, donc je n'ai pas ce soucis).

Il y a 2 heures, Jyouaille a dit :

En y regardant de plus près, je vois que le paramétrage des groupes donne aussi des droits sur les applications. J'ai donc compris que si je voulais que mon compte admin n'est pas de droit sur les applications, il fallait que ce soit le type de compte (et non pas le compte) qui soit modifié.

Je n'ai pas vérifié avec toutes les applications, mais généralement un "droit utilisateur" refuser l'emporte sur un "droit groupe" autoriser.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci de ta réponse rapide ! C'est nickel !

Le problème ne se pose effectivement pas avec Vidéo Station. Mon nouvel admin n'ayant pas les droits, il n'y a pas accès. Pour Photostation, j'ai regardé un peu plus en détails et tu as encore une fois raison, on doit gérer les droits via l'application.

J'avais crainte d'avoir louper un truc, je te remercie une nouvelle fois pour ta confirmation. Il n'y a donc pas a intervenir sur les droits des groupes (tu n'en faisais d'ailleurs très justement pas mention) et il est très dangereux d'intervenir sur eux, car on peut très vite s'y enfermer soi-même...

Pour expliquer mes usages : j'aime la photographie et la vidéo, j'ai un site web sur une autre passion, que je pense migrer sur le 'NAS' (pas un gros trafic), mais il faut avant que je sécurise tout cela (derrière une Freebox Révolution)

Inutile de te dire, que ton tuto est plus qu'apprécié !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir, j'ai encore une question... (décidément ! :biggrin: )

Le compte 'monadmin' n'a plus accès à l'arborescence des fichiers, et c'est effectivement plutôt bon signe sur les paramètrages que j'ai pu faire.

Pourtant, sur ma config, il a toujours accès au module 'utilisateur'. Et donc, ce compte, pourrait s'octroyer de nouveau les droits nécessaires, voire même supprimer les comptes utilisateurs créés.

Je pense que j'ai forcément du louper un épisode... :lol:

S'agissant de Photostation, j'ai pu augmenter les droits de mon compte personnel (sans pouvoir lui attribuer le rôle d'administrateur) ce qui me permet une utilisation normale dans mes usages, par contre je n'ai pas trouvé comment ôter ceux du compte 'monadmin' qui reste administrateur par défaut

Modifié par Jyouaille

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a une heure, Jyouaille a dit :

Pourtant, sur ma config, il a toujours accès au module 'utilisateur'. Et donc, ce compte, pourrait s'octroyer de nouveau les droits nécessaires, voire même supprimer les comptes utilisateurs créés.

Le 01/12/2016 à 19:33, Fenrir a dit :

Ici je bloque les accès à tous les partages, certains vont penser que ça ne sert à rien puisqu'un membre du groupe "administrators" peut toujours se remettre les droits et c'est vrai.

L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose.

Dit autrement, l'un des objectifs est de ne laisser l'accès au bureau (à DSM) qu'au compte administrateur et de rendre les applications directement accessibles sans passer par DSM.

Relis le tuto en entier :biggrin:

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut, En préambule, si tu souhaite que j'ouvre un topic dédié, pour ne pas 'pourrir' le tien pas de soucis.

J'ai lu ton tuto en entier, j'en ai déduit plusieurs parties, et pour maîtriser mes propres adaptations, j'y vais tranquillement step by step. Je ne pense pas qu'il y ai un lien de causalité entre le droits des comptes et la suite des étapes proposées,

Donc mon compte 'monadmin' , qui n'a pas cet identifiant, bien entendu, mais c'est pour rester cohérent avec ton excellent tuto, me semble en tout point répondre à tes conseils.

Le comportement serait donc normal, mais quid si ce compte supprime tous les autres comptes utilisateurs et/ou modifie le mdp des comptes admin (le sien plus celui déactivé) ?

C'est juste une question, pour être sûr d'avoir bien compris et mis en place les réglages préconisés.

:glasses:

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 5 heures, Jyouaille a dit :

Le comportement serait donc normal, mais quid si ce compte supprime tous les autres comptes utilisateurs et/ou modifie le mdp des comptes admin (le sien plus celui déactivé) ?

Ce compte a normalement un super mot de passe et la double authentification, s'il se fait casser la tête c'est que tu as de sacrés ennemies :mrgreen:

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok, je dois être un peu parano... :lol:

Effectivement super mot de passe et double authentification que j'avais mis en place dès l'achat du NAS.

Je passe à la suite de ton tuto.  Merci encore !

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello,

Merci pour ce tuto super bien expliqué. Tout est clair :)

J'ai commencé à revoir ma stratégie de connexion sur le NAS pour augmenter la sécurité.
Je me suis donc grandement inspiré de ce que tu as fait ici.
J'ai donc mis la double authentification sur mon compte admin et mon compte perso. J'ai viré toutes les permissions sur les partages du compte admin, pour les laisser que sur le compte perso.

Tout semblait bien fonctionner hier :) et encore ce matin.
Sauf les sauvegardes HyperBackup !
Toutes les tâches de sauvegardes locales (d'un disque sur un autre) avec le système Synology ne peuvent plus se lancer... 

Un exemple d'échec de cette nuit :

Capture d’écran 2017-02-01 à 07.28.40.png

Par contre si je remet l'autorisation de lecture/écriture sur le partage /Backup-Syno/ pour monAdmin, alors la tâche de sauvegarde peut se lancer sans problèmes.

Il y a donc une réelle limitation à la stratégie de n'accorder aucun accès aux données de l'administrateur... Les tâches de backup locale ne peuvent plus fonctionner.
Par contre, celles sur un NAS distant ou sur Amazon Drive (je n'utilise que ces deux) fonctionnent bien elles...

J'ai bien regardé si je pouvais pas faire mes tâches avec l'utilisateur normal, mais il n'a pas accès à Hyperbackup.

monAdmin a bien les permissions sur les applications rsync et hyberbackupvault (bon lui sert à rien dans ce contexte :rolleyes:

Est-ce que j'ai mal fait quelque chose ou bien est-ce un comportement normal ?

edit : je vois une autre limitation, c'est via file station, un utilisateur normal ne peut pas monter un dossier distant... (via SFTP ou autre). Il n'y a aucune option pour le faire. 


Merci d'avance
Miles

Modifié par MilesTEG1

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 2 heures, MilesTEG1 a dit :

Est-ce que j'ai mal fait quelque chose ou bien est-ce un comportement normal ?

Tu as juste loupé une ligne de mon tuto, rien de grave. Pour les sauvegardes j'utilise un compte dédié, qui a les droits d'admin mais un mot de passe très fort.

Il y a 2 heures, MilesTEG1 a dit :

edit : je vois une autre limitation, c'est via file station, un utilisateur normal ne peut pas monter un dossier distant... (via SFTP ou autre). Il n'y a aucune option pour le faire. 

Comme indiqué dans le tuto, vous êtes libre d'appliquer ou non les diverses recommandations en fonction des besoins, si certains besoins nécessitent des droits d'admin, vous n'aurez pas vraiment le choix.

Partager ce message


Lien à poster
Partager sur d’autres sites

Haaa, je me rappelle bien avoir lu que tu utilisais un compte spécial pour la sauvegarde, je fais pareil, mais j'avais zapé le fait qu'il avait les droits d'admin :D
Bon et bien je vais devoir regarder dans ce sens ma configuration :D
J'espère que ce compte de sauvegarde une fois mis en admin, il pourra voir les tâches actuelles :p

 

Merci bien :)

Modifié par Lucien77
Inutile de citer le post précédent

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci encore à Fenrir pour cet excellent tuto, que j'ai poursuivi par celui sur la mise en place du VPN. Merci à toi !

Tout fonctionne désormais comme je le souhaitais

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant