[Date d'expiration certificat SSL de couleur orange: signification?]

Le 25/04/2024 à 9:49 AM, PiwiLAbruti a dit :

Let's Encrypt tente même de rassurer ses utilisateurs.

Je ne vois rien de choquant dans leurs arguments.
Fermer le port 80 alors que le 443 est ouvert et que ce sont les mêmes services derrière ne me donne pas l'impression d'une meilleure sécurité.
Il est exact que les connexions vers le serveur HTTP en TCP/80 ne sont pas chiffrées, mais si un pirate tente une attaque sur le port 80 c'est le traffic de *sa* session qui sera en clair.

Mon approche perso est d'avoir un index.html bidon servi à la racine du serveur web.
Ey pour toute les autres services disponibles sur mon NAS c'est le reverse proxy qui en gère les connexions, *uniquement* en https :

Quant aux services natifs DSM que j'utilise (filestation, drivestation, videostation, etc ...), je les ai configurés dans le portail de connexion uniquement via un alias dédié pour chacun et aucun port pour accès direct.
J'ai quand même activé la redirection automatique https=> http pour les ces services (même si pour la même raison que mentionnée au début de mon post je ne pense pas que ca crée la moindre faille de sécurité supplémentaire). Comme cette dernière ne s'applique pas au serveur  WEB avec sa config de portail par défaut, Let's Encrypt n'a pas de problème pour renouveler les certificats

[Date d'expiration certificat SSL de couleur orange: signification?]

il y a 34 minutes, Mic13710 a dit :

il aurait du être renouvelé à 60 jours. Il y a un problème dans ton processus de renouvellement

en effet j'avais bloqué l'acces au port 80 un moment ce qui bloque les renouvellements LE. Je vais tenter le renouvellement manuel

 

il y a 35 minutes, Mic13710 a dit :

Tiens, tu utilises une interface en anglais

je prefere. En cas de besoin de chercher des explications à un message ou un libellé sur internet ça me ramène beaucoup plus de réponses

 

[Date d'expiration certificat SSL de couleur orange: signification?]

Bonjour,

Je m'aperçois que le certificat associé au domaine DDNS fourni par Synology a sa date d'expiration de couleur orange:

Qui saurait me dire ce que cela signifie ? (peut-être aussi que c'était déjà le cas que je n'avais pas remarqué ? ) 

[Inquiétant : fichiers pdf subitement vides]

Je croyais le problème résolu et encore un fichier géré par Drive à 0 ce matin (encore un pdf)!

Il me semble (sans en être sur à 100%) que c'est un fichier que j'avais marqué pour accès hors ligne dans l'application Android Drive

Pas trouvé d'autres fichiers dans ce cas à priori après recherche en profondeur

Selon l'historique HyperBackup ca c'est passé récemment (29/03/2024)

[FreshRSS en docker : "Connection refused"]

Voila alors c'est ca.

Ca fait tellement longtemps que je n'avais pas touché à ca que j'avais oublié.

[FreshRSS en docker : "Connection refused"]

J'avance ...
je parviens à me connecter depuis mon PC comme ceci

mysql -u freshrss -h  --password="" -P 3307

avec un tcpdump actif en ssh sur le NAS ("tcpdump -i any port 3307") je visualise bien le traffic dans ce cas
Par contre en relançant la procédure de setup FreshRSS en docker, je ne vois rien passer, et même avec le Firewall désactivé!!!
On dirait un problème de routage du container vers l'extérieur
*** VICTOIRE ***
Pour une raison que je ne m'explique pas, MariaDB sur mon NAS était configuré pur utiliser le port 3307 au lieu du défaut (3306)
Et le setup de FreshRSS en docker ne permet pas de le spécifier

 

[FreshRSS en docker : "Connection refused"]

Alors je découvre ceci

https://docs.rackspace.com/docs/mysql-connect-to-your-database-remotely
Avec cette remrque qui me laisse dubitatif

Citation

A local user is different from a remote user. For example,
fooUser@localhost is not the same as fooUser@1.2.3.4. If you want
both users to have the same permissions, you need to duplicate permissions.

Dans tous les systèmes que j'ai pratiqué dans la vie, un user c'est un user avec des droits de connexion un point c'est tout
Vraiment de plus en plus bizarre

il y a 6 minutes, .Shad. a dit :

tu as essayé de créer l'utilisateur depuis phpMyAdmin ?

Il existe depuis des lustres le compte "freshrss" et mon service web local marche depuis aussi longtemps
mais c'est un fait que le serveur web se connecte à la DB en localhost, pas à distance

[FreshRSS en docker : "Connection refused"]

J'ai trouvé ça
https://easyengine.io/tutorials/mysql/remote-access/
Déja je ne comprends pas pourquoi il faudrait modifier le mot de passe du compte cible ("IDENTIFIED BY 'PASSWORD'") juste pour lui donner le droit de se connecter depuis une IP donnée 🤔
En plus ça ne marche toujours pas

[FreshRSS en docker : "Connection refused"]

il y a 5 minutes, .Shad. a dit :

Tu suis quel(s) tuto(s) ?

Celui ci : https://www.it-connect.fr/veille-technologique-installer-freshrss-sur-son-nas-synology
Mais pour la partie DB il propose SQlite alors que je veux conserver ma database freshrss existante sous mariadb
 

[FreshRSS en docker : "Connection refused"]

il y a 2 minutes, .Shad. a dit :

GRANT ALL PRIVILEGES ON freshrss.* TO 'freshrss'@'172.16.%.%'

réponse : 
 

ERROR 1133 (28000): Can't find any matching row in the user table

 

le compte se nome 'freshrss' pas 'freshrss@machinbidule'

C'est vraiment bizarre la syntaxe de mysql pour modifier les droits d'acces des comptes

 

[FreshRSS en docker : "Connection refused"]

En grattant un peu j'ai trouvé ceci :

MariaDB [(none)]> GRANT ALL PRIVILEGES ON freshrss.* TO 'freshrss'  HOST='n.p.q.r';

connexté "root" à mariadb en ligne de commande, où n.p.q.r est l'IP du container.

Mais ça échoue avec l'erreur :

ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'HOST='n.p.q.r'' at line 1

(Comme je l'ai précisé, je ne touche pas une bille en bases de données, ça ne m'aide pas)

[FreshRSS en docker : "Connection refused"]

J'ai tout repris à zero en utilisant une autre tuto (mais c'est pas fondalement différent) et toujours la même erreur :

"Access to database is denied for `freshrss`: SQLSTATE[HY000] [2002] Connection refused"

🤬
Personne ne connait la commande pour autoriser les connexions à utilisateur mysql donné partir d'une IP spécifique  ?

@lordtaki semblait maitriser ça

[FreshRSS en docker : "Connection refused"]

Il y a 2 heures, lordtaki a dit :

Les autorisations prennent aussi en compte l'origine du client (localhost, adresse IP, % (joker pour openbar)..

et on s'y prend comment pour modifier les autorisations d'un compte dans MySQL ? (j(utilise phpMyAdmin pour l'administration)

il y a une heure, .Shad. a dit :

Tu as créé l'utilisateur et sa DB au préalable sur MariaDB ? (en ligne de commande ou plus simple via phpMyAdmin).

Evidemment puisque mon instance FreshRSS hébergée en direct sur le NAS fonctionne

il y a une heure, .Shad. a dit :

Deuxième possibilité, le socket n'est pas exposé localement, il faut cliquer sur le paquet MariaDB depuis le menu Démarrer de DSM, et cocher l'option d'exposition du socket. Sinon il n'écoute qu'en localhost.

Ah je vais tester ça de suite je n'ai utilisé que des connexion locale  jusqu'ici 

 

 

**** EDIT ****

 

il y a 26 minutes, CoolRaoul a dit :

Ah je vais tester ça de suite je n'ai utilisé que des connexion locale  jusqu'ici 

Ah non c'était déjà coché. A la réflexion le socket était en écoute sinon je ne pouvais pas me connecter même en localhost.

La preuve : 

~> sudo lsof -i :3307
COMMAND    PID  USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
mariadbd 18603 mysql   26u  IPv4 131189062      0t0  TCP *:3307 (LISTEN)

 

Et j'ai bien pensé à ajouter une règle dans le firewall pour autoriser les connexions entrantes en provenance de l'IP du container Docker

[FreshRSS en docker : "Connection refused"]

Bonjour

Essayant de dépatouiller des problèmes sur mon service FreshRSS je tente d'en installer la version dockerisée en parallèle

Je bute lors de la configuration initiale sur l'erreur :

Access to database is denied for `freshrss`: SQLSTATE[HY000] [2002] Connection refused

Pourtant je n'ai aucun doute sur le mot de passe mysql du le compte "freshhrss" (testé en ligne de commande avec mysql -u freshrss --password='<pass>')

Je précise que je suis une vraie quiche en bases de données et MariaDB en particulier.

Merci d'avance

[Seagate : rassurez-moi svp !]

Le modèle des disques du sujet reddit est ST4000VN006-3CW104. Quel est le modèle de tes disques ?

ST4000VN006-3CW104 🫤

Les sauvegardes devraient amplement suffire à te rassurer.

En effet.
C'est plus le boulot pour restaurer qui me gonflerait si je me retrouve dans une situation similaire.

[Seagate : rassurez-moi svp !]

Bonjour

Je viens de tomber sur ce fil de discussion : 6 Drives, all failed together

Ce n'est pas tant la mésaventure qui arrive à ce malheureux propriétaire de NAS Synology qu'une partie des commentaires laissant entendre entre les lignes que ç'est pas étonnant venant de disques Seagate (même si ici la source du problème est forcément ailleurs ici) qui m'interpelle.

Bref, étant parti sur une paire de Seagate IronWolf 4Ton et même si je fais ceintures et bretelles niveau sauvegardes, ça m'inquiète un peu. D'où le titre ce post.
 

[Home Assistant : je débute, soyez indulgents]

Merci à vous deux. Je vais aller voir ça.
De mon côté j'ai trouvé comment faire un trigger à partir de la détection d'appareil intégrée à la Freebox.
Ca fonctionne bien et même pas besoin d'aller mettre les doigts dans le cambouis Yaml.

[Home Assistant : je débute, soyez indulgents]

Avant toute chose je n'ai pas trouvé d'autre endroit que "Le Bar" pour discuter de Home Assistant. Note aux modos : ne pas hésiter à déplacer mon post si besoin

Maintenant que j'ai un NAS plus costaud je commence à faire mumuse avec Home Assistant.

Vu que pour le moment je trouve la détection de présence un peu moisie, j'essaie d'appliquer les explications trouvées ici : "Better Presence Detection in Home Assistant". Et là, je bloque sur l'indication "add the following sensor to the sensors area.". 

Je n'ai pas de problème pour éditer un fichier .yaml, mais je ne comprends pas à quoi se réfère "sensors area" dans le fichier de conf ? Je ne vois qu'un fichier peu structuré et en tout cas pas de *areas* là-dedans.

(Désolé pour la question probablement de noob mais c'est vraiment nouveau tout ça pour moi).

[Synology NAS Experts]

J'ai découvert récemment ce groupe Facebook, "Synology NAS Experts", apparemment de bon niveau (c'est géré par l'ami Marius faut dire).
Juste un truc qui m'étonne, alors que tout semble indiquer qu'il s'agit d'un groupe international et donc, de fait, anglophone, nombre de participants postent leurs questions directement en Français (je n'ai pas remarqué le cas pour d'autres langues) et ils reçoivent des réponses polies et, en général, appropriées et détaillées.

C'est typiquement Français de se croire chez soi partout comme ça ou est-ce juste moi qui sur-réagit ?

 

 

[HomeAssistant : Docker ou VMM ?]

Solution trouvée !

[HomeAssistant : Docker ou VMM ?]

Alors apparemment il y aurait une solution pour les connexions par reverse proxy mais pour ça faudrait passer par Nginx :

https://community.home-assistant.io/t/login-attempt-or-request-with-invalid-authentication-when-trying-to-access-remotely/373848/21

Franchement ça me gave un peu de remettre les doigts dans le cambouis maintenant que le reverse proxy est natif dans DSM (et depuis longtemps !)

[HomeAssistant : Docker ou VMM ?]

Il y a 6 heures, firlin a dit :

@CoolRaoul si tu fais un reverse proxy avec ton nas synology as tu essayé ca  ?
https://www.domo-blog.fr/comment-accede-home-assistant-exterieur-reverse-proxy-synology-certificat-ssl/

Oui en effet.

J'utilise un domaine en myds.me créé via le service DDNS Syno pour ça avec son certificat lets encrypt wildcard automatique.

La log du test curl indique que c'est conforme

*  subjectAltName: host "<nom choisi pour HA>.<monsousdomaine DDNS>.myds.me" matched cert's "*.<monsousdomaine DDNS>.myds.me"

Et je n'ai pas de problème pour d'autres service perso eux aussi hébergés sur mon NAS accédés par une conf reverse proxy similaire.

En creusant un peu je tombe sur une erreur d'authentification dans la log de HA après son redémarrage et re tentative : 

2024-02-27 11:18:51.954 WARNING (MainThread) [homeassistant.components.http.ban] Login attempt or request with invalid authentication from <Addresse IPV6 du NAS> (<Addresse IPV6 du NAS>). Requested URL: '/auth/token'. (Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36)

 

Le libellé "http.ban" me fait penser à une mise en blacklist mais je ne trouve pas ou c'est stocké

[HomeAssistant : Docker ou VMM ?]

Pour en revenir au sujet du fil, j'ai décidé de me lancer dans l'aventure (surtout pour tester dans un premier temps)
J'ai choisi de partir en mode Docker vu que je n'ai pas d'équipements qui nécessitent des drivers spécifiques.
L'installation initiale s'est bien passée. J'ai accès à mon instance sur mon réseau local (http://<ip_du_nas>:<port HA>)

Là où ça coince c'est pour activer accès distant.
Pour ne pas exposer un port de plus j'ai choisi l'option reverse proxy que j'utilise déjà pour d'autres service perso et qui est moins "visible" de l'extérieur.

Dans le cas de HA ça coince et je ne comprends pas pourquoi.

• J'ai la bonne URL déclarée dans la page "config/network"
• La connectivité via reverse proxy fonctionne (validé via un curl https://<mon sous domaine HA>/<host> sur un host unix sur le cloud)

Par contre une tentative connexion dans un navigateur se solde

• Au mieux au mieux par une fenêtre "Unable to connect to Home Assistant." (Ce qui démontre que la connexion avec l'instance est effective) avec un "Retrying in <nn > seconds" en boucle.
• Au pire par un par un "400: bad request" 

 

J'ai bien entendu recherché sur Google. On trouve des dizaines de personnes avec le même souci, en particulier dans des config du même genre (reverse proxy) avec des tas de solutions proposées, toutes différentes.
Je me demande si ça vaut la peine d'insister, ça semble bien buggé ce machin non ?

La solution donnée ici Home assistant (400 Bad Request) Docker + Proxy - Solution a résolu l'erreur  "400: bad request" mais maintenant ça coince sur le "Unable to connect ..."

[synowebapi : aidez-moi à trouver mon erreur]

Trouvé !!!

Je suis trop c**

J'utilisais l'API "SYNO.Virtualization.API.Host" (qui n'implémente que la méthode "get" et concerne le NAS lui-même et pas les VMs) alors qu'il s'agit de méthodes de l'API "SYNO.Virtualization.API.Guest" (j'ai loupé le passage d'une à l'autre dans la doc)

 

 

**EDIT**

Par contre ça reste bien limité. Ce que je cherchais à faire est un suspend/resume programmé.

L'API pour cela pour ne peut être que "SYNO.Virtualization.API.Guest.Action" mais elle n'implémente que "poweron", "poweroff" et "shutdown"  😕

[synowebapi : aidez-moi à trouver mon erreur]

il y a 27 minutes, cadkey a dit :

sur les API Synology sur j'utilise, le numéro de version est souvent erroné, dû à des mises à jour de l'API je suppose.

Le concept de "version" dans une API REST est de maintenir la compatibilité ascendante. Ca permet de continuer à utiliser les anciennes versions, même si des plus récentes implémentent des évolutions incompatibles, sous réserve de la stipuler explicitement (version=<n>) dans l'invocation.  Si on ne le fait pas c'est la version par défaut (la plus récente) qui est activée.

La documentation indique explicitement dans le cas de l'API "SYNO.Virtualization.API.Host" qu'elle documente la 1 :

Et même si une version 2 ou plus avait été implémentée depuis 2019 (ce qui n'est apparemment pas le cas vu le retour la "code 104" pour les numéros supérieurs) la version 1 serait toujours disponible et accessible en la ciblant explicitement.

il y a 27 minutes, cadkey a dit :

Dans ton cas, reviens à la 1ere erreur indiquée, json value.

Non, entre temps j'ai pu vérifier que c'est juste un warning de syntaxe. (j'ai oublié de venir le signaler ici).

En forçant les quotes pour faire plaisir au parser JSON, comme ceci : 

guest_name='"ubu1"' 

au lieu de

guest_name="ubu1" 

il disparait