Je viens de voir que @rodo37 a mis en place le sous forum dont j'ai parlé à certains dans un de mes mp.

Je n'ai aucune idée des ayants droits de cette section. Tous les membres ? Seulement un groupe restreint ?

Merci à ceux qui ont accès à ce message de se manifester

Une instance de vDSM 7.2 est déployée parallèlement pour vérifier les modifications à apporter.

Pour les fonctionnalités importantes nécessitant plus d'explications ou le contenu de la doc DSM, on utilisera des balises spoilers.

• Préambule, sécurité, quoi sécuriser ?
  • OK pour le fond
  • Raccourcir fortement pour aller à l'essentiel

PANNEAU DE CONFIGURATION

• Services de fichiers :
  • La présentation des onglets a changé, les différents services ont chacun leur section maintenant
  • SMB :
    • Mettre le lien de la documentation Synology concernant la description des paramétrages possibles de cette section : https://kb.synology.com/fr-fr/DSM/help/SMBService/smbservice_smb_settings?version=7
    • Recommander de cocher "Masquer les dossiers partagés pour les utilisateurs ne disposant pas d'autorisation"
    • Paramètres avancés :
      • NOUVELLES OPTIONS : Protocole MAX : SMB3, MIN : SMB2 & Large MTU, Mode de chiffrement du transport : Défini par le client, Activer la signature serveur : Désactiver
      • Désactiver Opportunistic locking (sauf éventuellement en environnement multi-utilisateurs concourrents)
      • Cocher "Contrôler les modifications apportées à tous les sous-dossiers du répertoire"
  • AFP/NFS/FTP/rsync => désativés par défaut
  • Avancé : OK
• Utilisateur :
  • Création d'autre compte admin maintenant intégrée à la procédure d'installation, conserver toutefois la procédure pour les anciennes versions de DSM)
  • Conserver l'interdiction d'accès aux dossiers partagés
  • Supprimer la restriction d'administration des apps et la restriction de bande passante (réservées éventuellement au tuto "parano" de @PiwiLAbruti)
  • Conserver et màj l'activation de la 2FA (+ procédure de récupération)
• Groupe :
  • Non abordés dans le tutoriel, ils permettent de limiter une configuration fastidieuse des utilisateurs et de régler rapidement leurs permissions, décrire succintement l'intérêt
• Mot de passe : OK, favoriser l'utilisation de phrase de passe plutôt que de mot de passe, évoquer les gestionnaires de mot de passe (Keepass cité par Fenrir + autres)
• DDNS :
  • QuickConnect : OK
  • DDNS : OK
  • Configuration du routeur : OK
  • Avancé : OK
• Réseau :
  • IPv4 : OK
  • IPv6 : Fenrir bottait en touche à l'époque et conseillait de la désactiver, questions à se poser :
    • Est-ce que le geoblocage inclut les pool d'IPv6 autant que les IPv4 ? si @PiwiLAbruti, @maxou56 ou quiconque a une idée, sinon je ferai des tests pour le déterminer. Blocage IPv4 et IPv6
  • Général - Paramètres avancés :
    • Cocher "Répondre aux demandes ARP si l'adresse IP cible est une adresse locale configurée sur l'interface entrante"
    • Ne pas cocher "Activer voir les passerelles multiples"
    • Cocher "Activer la détection des conflits IP"
    • Cocher "Appliquer le domaine fourni par le serveur DHCP"
  • La fonction de redirection HTTP -> HTTPS automatique a été déplacée
• Sécurité :
  • Sécurité : OK, attention parler de l'option proxy fiable pour proxy inversé autre que celui de DSM, nécessité d'ajouter son CIDR (IP/32) pour l'affichage de l'IP source.
  • Compte :
    • 2FA : Procédure à décrire, màj de celle de Fenrir, déconseiller Secure Signin (?), privilégier OTP
    • Adaptative MFA : A ajouter
    • Protection du compte : Autrefois dans blocage auto => OK
  • Parefeu : Privilégier un réglage de pare-feu par interface plutôt que via toutes les interfaces, ajout règle autorisation ICMP dans toutes les interfaces (pour IPv6 entre autres)
  • Protection : OK
  • Certificat : Soit intégrer la procédure de création d'un certificat, DNS-01 ou HTTP-01, soit laisser des avertissements généraux comme l'a fait Fenrir, soit renvoyer vers un autre tutoriel (lequel?) @Mic13710
    Explications pour certificat wildcard pour domaine Synology + paramétrage + lien vers tuto de @Einsteinium pour domaine autre (acme sous docker)
  • Avancé :
    • Niveau de profil TLS moderne par défaut, avertir du besoin éventuel de passer en intermédiaire (vérifier plus avant les conditions où le chiffrement moderne ne convient pas)
    • Paramètres personnalisés : en cas d'incompatibilité moderne, possible de différencier le niveau de chiffrement (TLS 1.X) suivant applications
  • Terminal SNMP : OK + lien vers tuto de unPixel
• Centre d'infos :
  • Analyse du périphérique : Décocher "Analyse du périphérique" et "Partager l'emplacement du réseau" (Utiliser Synology Assistant à la place)
• Options régionales / NTP
  • OK
  • Raccourcir un peu
  • Onglet heure actuelle -> Date & Temps
• Portail de connexion :
  • DSM : Décocher redirection http -> https
  • Toutes sections : parler succintement du fonctionnement d'un proxy inversé, renvoyer vers le tutoriel de @Kawamashi (le tutoriel aurait aussi besoin d'une remise à neuf)
• Notifications :
  • Revu en profondeur avec DSM 7.1 et 7.2, parler des notifications par email mais aussi par Discord (par extension, tout autre système ayant une API à disposition)
  • Compte Synology : Activer les notification
• Matériel & alimentation :
  • Parler de l'intérêt d'un onduleur
  • Niveau de luminosité des LEDs du NAS (pour ceux qui l'ont dans une pièce de vie)
  • Hibernation des disques durs désactivée
• Périphériques externes : avertir de la non prise en charge de la plupart des périphériques USB par DSM
• Mise à jour & restauration :
  • Avertir des màj, ne pas les installer
  • Importance de la sauvegarde de la configuration + export régulier sur un périphérique externe
• Privilèges d'application : conforter les propos de Fenrir, réduire les autorisations a minima (DSM et Filestation par exemple)
• Services d'indexation : RAS

GESTIONNAIRE DE STOCKAGE

• Créer des tests S.M.A.R.T. pour les disques => @Mic13710 @maxou56 @PiwiLAbruti Je ne sais pas vous mais lors de mes dernières réinstallations ces tâches n'ont jamais été créées automatiquement, je les ai ajoutées manuellement depuis le gestionnaire de stockage, soit je m'y prends mal et il y a moyen qu'elles soient créées automatiquement à l'installation, soit je propose d'ajouter leur création au tutoriel.
  • => Proposition : 1 test étendu par disque par mois (décaler d'une semaine entre chaque disque) | 1 test rapide par semaine par disque (décaler d'un jour entre chaque disque) | 1 vérification des données tous les 3 mois

CENTRE DE PAQUETS

• Ajouter Synocommunity à la liste des dépôts et installation des applications SynoCLI pour faciliter le débogage via le terminal.
• Installer le paquet Éditeur de texte

CONSEILLER DE SÉCURITÉ

• Par défaut, pour une utilisation personnelle et privée, il n'est plus spécialement recommandé par le conseiller de changer le port par défaut de DSM contrairement au moment où Fenrir a rédigé son tutoriel => Réglages par défaut OK
• Activer la planification d'analyse régulière

C'est tout pour moi concernant le plan du tutoriel, je vais essayer de le finaliser courant août, sinon ce sera septembre :

Si vous avez des remarques, profitez tant que j'en suis au brouillon, ce sera d'autant plus facile pour moi d'en tenir compte et de les intégrer.

Merci à tous

@Mic13710 @Lelolo @DaffY @Einsteinium @maxou56 @PiwiLAbruti @oracle7