Classement

Merci beaucoup pour ton retour, je vais donc désactiver acme.sh qui ne me sert plus. A part ça, tout fonctionne correctement avec notamment Authelia, fail2ban, crowdsec etc... C'est vraiment le top merci pour tes tutoriels. Est-il possible de désactiver l'accès aux services par le biais de l'ip de mon NAS ? Étant donné que j'ai SWAG qui fait office de revers proxy avec l'ip 192.168.50.200. Il n'y a pas de grand intérêt à faire cela, mais c'est plus pour ma culture.

C'est ce qui est indiqué dans le tuto 😉. Ceci dit, en scannant dans une application qui permet l'affichage des paramètres (FreeOTP+ dans mon cas), on retrouve cette fameuse clé. On peut aussi la scanner de l'application pour l'insérer dans d'autres applications. Ainsi, la sauvegarde de la clé n'est pas forcément indispensable, mais elle est fortement conseillée.

Lorsque tu actives le 2FA dans DSM tu as plusieurs choix : Si tu choisis la 2ème option : Tu utilises ton application favorite pour la gestion des codes 2FA. Si tu te contentes de scanner le QR-Code, tu n'auras pas la clé TOTP, il faut cliquer sur "Vous ne parvenez pas à le scanner ?" : Si tu n'as pas conservé cette clé en le mettant dans un client qui permet de l'afficher, c'est mort, il faut désactiver le 2FA, et le refaire. Je viens de faire l'essai de désactiver le 2FA sur mon test-user : et bien je n'ai pas eu besoin de rentrer un quelconque code pour cette désactivation...

Bienvenue ! Venir sur le forum avant d'avoir un NAS afin de bénéficier de conseils est une très bonne idée 😀

@CyberFr Je vais essayer de tourner les explications de mes collègues différemment. C'est quoi un code TOTP ? C'est une clé qui, une fois entrée dans un logiciel d'authentification 2 facteurs (quelque soit la plateforme : PC, Android, iOS, Extension de navigateur, etc...) permet de générer un code à 6 chiffres, qui se renouvelle. On peut utiliser cette clé sur autant d'applications et périphériques qu'on veut. Le code généré sera le même et variera au même moment. Il est donc prudent d'avoir a minima deux sources d'authentification 2FA, dans mon cas j'utilise Aegis sur mon smartphone, et je l'ai aussi dans Bitwarden. Avantage de Bitwarden, c'est que même si le serveur est down, j'ai accès au cache du coffre depuis mes différents périphériques. Le code TOTP défini par DSM lorsqu'un utilisateur applique la 2FA à son compte n'est affiché qu'une seule fois. Il est donc important de : L'écrire manuellement sur papier et de le conserver en lieu sûr, sans indiquer ce que c'est, moi je le garde dans mon portefeuille. Configurer cet accès sur deux périphériques a minima. Secure Signin est une version intégrée à DSM, absolument pas obligatoire et plus contraignante selon moi, comme tu as pu le constater. J'ajouterai que les remarques de @Mic13710 sont pertinentes dans le sens où le plus important est d'avoir des credentials robustes conjointement avec les blocages correctement configurés sur le NAS. Le reste est intéressant mais dispensable.