This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Jojo (BE)

Membres
  • Compteur de contenus

    412
  • Inscription

  • Dernière visite

  • Jours gagnés

    2

Activité de réputation

  1. Like
    Jojo (BE) a reçu une réaction de sylvain78 dans Activation / désactivation   
    la réponse que j'ai fête juste avant devrait t'aider, car avec IFTTT et les WebHooks, tu peux exécuter des url, donc piloter comme tu veux tes caméras, où si elles sont alimentées en 220V, couper leur alimentation avec une prise WiFi (tu es entrain d'utiliser IFTTT comme une box démotique ...)
  2. Upvote
    Jojo (BE) a reçu une réaction de Einsteinium dans [TUTO] Pourquoi et comment utiliser un nom de domaine ?   
    ma "remarque" était justement pour ne pas trop s'y attarder, et ne surtout pas reprendre qqn qui se donne bcp de mal pour faire vivre ce forum et faire des autos sympas
  3. Like
    Jojo (BE) a réagi à firlin dans [TUTO] Préparation des disques avec Badblocks   
    Je pense pas, pour moi cela viens de la structure du disque.
    Ci-joint la Post avec seagate_surfer sur le temps de passage de badblock sur les disques de la même marque.
    http://www.nas-forum.com/forum/topic/59813-badblock-sur-disques-seagate/?tab=comments#comment-1319352111
  4. Upvote
    Jojo (BE) a réagi à unPixel dans [TUTO] Sauvegarder les données de son NAS.   
    En effet, je vois qu'il y a un soucis avec les images. C'est le soucis quand on passe par un service externe de stockage...
    Bref, je vois de mon côté si j'ai gardé les images et j'essaie de remettre ça rapidement en place. Dans le cas contraire, je ferai à nouveau le tuto sur Hyper Backup qui en plus à évolué depuis le tuto.
  5. Upvote
    Jojo (BE) a réagi à unPixel dans [TUTO] Désactiver Universal Search - DSM6   
    Bonjour,
    Dans ce tuto, je vais vous montrer la "petite" manipulation à faire pour désactiver Universal Search. On peut voir ici ou là sur la toile beaucoup de personnes se plaindre de ce paquet qui prend pas mal de ressources surtout sur des NAS de petites configurations et malheureusement, on ne peut pas à ce jour le désactiver. Mais avec cette petite manipulation, ça sera le cas !
    ATTENTION : depuis une mise à jour récente d'Universal Search, ce dernier dépend entièrement des paquets Drive et Office. C'est pourquoi vous ne pourrez le désactiver si vous utilisez un de ses paquets !
    Nouvelle méthode simplifiée :
    On se rend dans Panneau de configuration > Planificateur de tâches puis on créer une nouvelle tâche avec comme script :
    sed -i 's/ctl_stop="no"/ctl_stop="yes"/g' /var/packages/SynoFinder/INFO Le fichier INFO est ainsi modifié et on peut ensuite stopper UNIVERSAL SEARCH
    Si en plus on veut pouvoir le désinstaller on ajoute cette ligne :
    sed -i 's/ctl_uninstall="no"/ctl_uninstall="yes"/g' /var/packages/SynoFinder/INFO Source : @daffy
     
    Ancienne méthode :
    Prérequis :
    Accès root en SSH à votre NAS. Durée :
    Deux minutes maximum.  
    ATTENTION : ni moi, ni le staff ne pourront être tenus pour responsables de ce que vous faites avec votre NAS !
    1. Se rendre sur son NAS via SSH (connecté en root) puis taper la commande :
    vi /var/packages/SynoFinder/INFO 2. Ensuite, on entre en mode éditeur en tapant la lettre "i" puis on se rend sur la ligne ctl_stop="no". Là, on met yes à la place de no puis on quitte le mode éditeur en tapant sur la touche "Echap" puis on tape ensuite ":wq" pour enregistrer le changement effectué puis on tape "exit" pour quitter.
    Résultat ci-dessous :

     
    On peut maintenant se rendre dans le Centre de paquets puis sur le paquet "Universal Search" et arrêter le paquet comme n'importe quel autre.

     
    Si comme sur la capture ci-dessus, vous voulez avoir la possibilité de désinstaller Universal Search, alors il vous suffit de commenter la ligne ctl_uninstall="no" en yes !
    ----------------------------------------------------------------
    Si vous ne savez pas comment vous connecter en ROOT SSH, alors voici le tuto :
     
    Source : forum officiel
  6. Upvote
    Jojo (BE) a réagi à unPixel dans [TUTO] Certificat TLS/SSL - Let's Encrypt "Wildcard"   
    Sauf erreur de ma part, ça parait bon oui.
  7. Like
    Jojo (BE) a réagi à unPixel dans [TUTO] Certificat TLS/SSL - Let's Encrypt "Wildcard"   
    Bonjour,
     
    Et bien tu ajoutes simplement une entrée CNAME avec comme nom de domaine : µndd.tld :)
    Je te montre avec des captures d'écran :

     

  8. Like
    Jojo (BE) a réagi à Fenrir dans [TUTO] DNS Server   
    Préambule
    L'objectif de ce tutoriel est de vous aider à mettre en place votre propre serveur DNS en interne (dans votre réseau local).
    Pour ce qui est de l’intérêt de disposer d'un serveur DNS en interne, voici quelques exemples :
    c'est plus fiable : vous n'êtes plus dépendant de la (non) fiabilité des DNS de votre opérateur (cf pannes d'Orange et de Free par exemple) c'est plus fiable (bis) : vous n'êtes plus soumis aux mensonges des DNS de votre opérateur (cf panne d'Orange et filtrage étatique) c'est plus rapide : grâce aux mécanismes de cache, vous ferez moins de requêtes DNS vers Internet c'est plus confortable : ça vous permet, par exemple, d'éviter de faire du loopback ou encore d'adresser vos équipements interne avec un nom au lieu d'une IP et enfin, ça vous permettra de remplacer une bonne partie des fonctions de QuickConnect (il faudra juste ouvrir les ports) et donc de couper ce dernier C'est surtout les 2 derniers points qui devrait vous intéresser car en remplaçant le loopback et Quickconnect vous gagnerez en sécurité, en fiabilité, en confort et en performances.
    Il ne s'agira pas d'un guide sur le protocole DNS, il y aurait beaucoup trop de choses à détailler (bien plus que sur mes précédents tuto combinés). Je vais donc prendre pas mal de libertés sur les termes employés afin de faciliter ma rédaction et votre compréhension. Pour la même raison, je serai assez avars en détails et en explications.
    Gardez juste à l'esprit qu'Internet repose sur 2 protocoles : BGP et DNS. Quand l'un des 2 attrape froid, tout Internet tombe malade (c'est déjà arrivé, y compris récemment).
    Si vous souhaitez gérer de A à Z vos DNS, renseignez-vous sur ces termes (c'est vraiment le strict minimum) : zone/resolver/XFER/glue/root/cache/split-horizon/pinpoint zone/DDNS/TTL/SOA/NS/A/AAAA/PTR/CNAME/TCP/UDP - et pour ceux qui s'intéressent à la sécurité : DNSSEC/DANE/HPKP/CAA.
    Petite précision tout de même, la notion de "sous-domaine" qu'on voit un peu partout n'existe pas. L'adresse www.nas-forum.com est un domaine au même titre que nas-forum.com.
    À la fin de ce tutoriel, vous aurez les éléments pour accéder à votre nas (ou à tout autre équipement) avec le même nom DNS que vous soyez chez vous, à distance via un VPN ou directement depuis Internet. Le DNS vous renverra à chaque fois la bonne adresse en fonction de votre emplacement.
    Mais je préfère vous avertir tout de suite, le DNS est un sujet bien plus complexe qu'il n'y parait.
    ######################################################################################
    Notes de lecture
    Pour l'exemple, j'ai indiqué des valeurs fictives, il faudra donc les remplacer chez vous :
    fenrir.tuto : à remplacer par votre nom de domaine 192.168.0.2 : à remplacer par l'adresse IP privée de votre nas 192.0.2.3 : à remplacer par votre adresse IP publique (à ne pas confondre avec 192.168.x.y) www.fenrir.tuto : c'est un enregistrement d'exemple, vous pouvez en créer autant que nécessaire ns.registrar.externe : c'est le nom d'un serveur DNS qui fera office de serveur secondaire 1.2.3.4 : adresse IP d'un serveur qui fera office de serveur secondaire nb : les exemples sont en IPv4, mais le fonctionnement en IPv6 reste identique (il faut juste changer les adresses et remplacer les A par des AAAA).
    Ce tuto comporte 3 parties, par ordre croissant de difficulté :
    Cache DNS local : tout le monde devrait pouvoir y arriver en quelques cliques Zone DNS locale : cette partie devrait être abordable pour la plupart des utilisateurs Zone DNS publique : on change totalement d’échelle de difficulté ici, le principe est simple, mais la mise en œuvre peut être complexe Il n'y a aucune raison technique qui nécessite de faire la dernière partie, elle est là pour illustrer un peu plus le fonctionnement d'une architecture DNS, mais elle n'est en aucun cas nécessaire.
    Certains points ne seront pas abordés ou détaillés, mais il peut être utile, voir nécessaire de les mettre en œuvre, en particulier les zones de type "esclave" et inverses.
    Vous trouverez aussi pas mal d'informations complémentaires dans les commentaires, en particulier un retour très complet de @Mic13710 :  --> cliquez ici <--
    ######################################################################################
    Pré requis
    Savoir faire des requêtes DNS, ça peut paraitre bateau dit comme ça, mais ce n'est pas aussi simple qu'un ping. Vous pouvez utiliser la commande "nslookup", elle est présente par défaut sur la plupart des systèmes (y compris les Synology). Je ne vais pas vous faire une doc, mais les 3 commandes importantes sont :
    demander les informations de zone : nslookup -querytype=SOA fenrir.tuto 192.168.0.2 demander la liste des serveurs de zone : nslookup -querytype=NS fenrir.tuto 192.168.0.2 demander la valeur d'un enregistrement : nslookup www.fenrir.tuto 192.168.0.2 Pour utiliser votre NAS comme serveur DNS, pour devrez modifier la configuration DNS de vos clients, le plus simple reste de le faire avec votre serveur DHCP, si vous utilisez une "box", ça ne sera surement pas possible, dans ce cas, utilisez le serveur DHCP du NAS (il est intégré par défaut dans tous les Synology depuis DSM 6.0 ou sous forme de paquet dans les versions précédentes).
    Si vous souhaitez héberger la résolution de votre domaine du point de vu d'Internet (donc être SOA et/ou NS), vous devez avoir une adresse IP fixe et disposer d'un second serveur DNS ailleurs.
    ######################################################################################
    Cache DNS local
    Un cache DNS est un serveur DNS qui garde en mémoire les précédentes résolutions qu'il a du faire afin d'y répondre plus vite lors de nouvelles demandes. L'autre intérêt de disposer de son propre cache local et de s'affranchir des pannes et autres filtrages des serveurs DNS de votre opérateur Internet. Ce cache joue alors le rôle de "résolveur".
    C'est très rapide à mettre en place et ça consomme très peu de ressources, donc faites-le !
    Commencez par installer et lancer le paquet DNS Server.
    Puis allez dans :
    Et configurez les options comme suit :

    nb : j'utilise les DNS de FDN comme "redirecteurs", car ils sont fiables et respectent votre vie privée (contrairement à ceux d'OpenDNS par exemple), mais vous êtes libre d'utiliser les serveurs de votre choix, voir aucun, votre serveur se chargera alors de l’ensemble des résolutions (ce n'est pas toujours très efficace).
    Il est primordial de cocher la case "Limiter le service IP source" et de bien configurer son contenu. Si vous ne le faites pas, tout le monde pourra utiliser votre serveur DNS pour résoudre n'importe quel enregistrement, votre NAS en souffrira et sera peut-être utilisé pour des attaques vers d'autres cibles.
    Dans la "Liste d'IP source", mettez ces adresses :

    Maintenant il faut tester que ce serveur fonctionne correctement, le plus simple reste de lui poser une question : nslookup nas-forum.com 192.168.0.2
    Vous devriez obtenir une adresse IP (au moment de la rédaction de ce tuto, c'est 5.196.244.24).
    Si vous n'obtenez pas de réponse ("timeout" ou encore "No response from server") c'est que vous n'arrivez pas à contacter le serveur DNS, dans ce cas il faut vérifier qu'il est bien lancé, que c'est la bonne IP, que le firewall autorise bien le trafic ...) Si vous obtenez une réponse du type "Query refused" c'est qu'il y a bien un serveur DNS en face, mais qu'il refuse votre question, donc soit vous lui parlez mal, soit il n'est pas autorisé à vous répondre (cf "Liste d'IP source" juste au dessus) Si le serveur vous répond correctement, vous en avez terminé pour le cache DNS et vous disposez maintenant d'un résolveur DNS local utilisable par tous vos clients (y compris ceux en VPN).
    N'oubliez pas de modifier votre serveur DHCP pour qu'il renseigne vos clients sur l'adresse de votre serveur DNS.
    ######################################################################################
    Zone DNS locale
    Une zone DNS est un fichier dans lequel sont inscrits les enregistrements DNS d'un domaine. Un des avantages d'une zone locale c'est qu'elle n'a pas besoin d'exister sur Internet. Un usage courant de ce type de zone est de s'en servir pour donner des noms à ses équipements, plus simple facile à retenir que des adresses IP.
    Vous pouvez par exemple créer une zone "maison", elle sera fonctionnelle dans votre réseau pour faire nas.maison, routeur.maison, ... Vous pouvez aussi créer un domaine enfant du premier (par exemple cam.maison qui contiendrait vos caméras IP, comme salon.cam.maison) et qui sera soumis à d'autres restrictions.
    Néanmoins, je vous déconseille fortement d'utiliser un nom de domaine que vous ne possédez pas car ça risque de créer des problèmes de sécurité. Préférez l'usage d'un domaine que vous possédez, si vous n'en avez pas ça ne coute que quelques euros par an (on en trouve à 1€/an), même si vous n'avez pas prévu de vous en servir sur Internet. nb : il ne faut jamais utiliser le suffixe ".local", même en interne
    Si vous ne souhaitez pas acheter un nom de domaine, vous pouvez utiliser sans risques les noms suivants : .test, .example, .invalid et .localhost
    Pour la suite, j'ai utilisé le gTLD .tuto car il n'est pas enregistré au moment de la rédaction de cet article, mais rien ne dit qu'il ne le sera pas quand vous lirez ces lignes.
    Allez dans :
    Puis "Créez" => "Zone master" :

    Et configurez-la comme suit :

    Pour la "Liste d'IP source", mettez ceci :

    Puis sélectionnez votre zone et faites "Modifier" => "Enregistrement de ressource" :

    Enfin, créez une (ou plusieurs) ressource(s) du type CNAME :
    Par exemple :

    Vous devriez obtenir ça :

    Le nom www.fenrir.tuto renverra l'adresse de ns.fenrir.tuto, donc l'adresse IP privée de votre nas.
    Voici un exemple plus complet :

    Il se lit comme suit :
    fenrir.tuto de type NS : cet enregistrement indique que le serveur de nom (NS) pour le domaine "fenrir.tuto" est ns.fenrir.tuto ici j'ai gardé le nom créé par Synology, ns.fenrir.tuto, mais si vous souhaitez que votre NS s’appelle ratatouille.fenrir.tuto, aucun soucis (il faudra juste modifier le type A correspondant) nas.fenrir.tuto : il s'agit d'un "alias" qui renvoi la même chose que ns.fenrir.tuto c'est plus parlant que ns pour un nas wordpress.fenrir.tuto : un autre alias pour l'utiliser avec WebStation (vhost) ou avec un reverse proxy tv.fenrir.tuto : j'ai donné un nom à la tv on se demande bien pourquoi faire ? mail.fenrir.tuto : adresse du serveur de messagerie pour vos utilisateurs c'est un type A (pas un alias) car c'est important pour les enregistrements MX ns.fenrir.tuto : l'adresse du serveur DNS (l'enregistrement de la première ligne) il doit toujours s'agir d'un type A fenrir.tuto : il indique l'adresse du serveur de messagerie pour les autres serveurs de messagerie un MX doit pointer sur un type A Vous pouvez voir que j'ai indiqué plusieurs enregistrements avec le même nom mais un type différent ou encore plusieurs noms différents qui pointent sur la même IP, c'est parfaitement valable et ne pose aucun problème si vous restez cohérents. J'aurai aussi pu mettre des IP publique pour "nommer" des ressources externes (par exemple donner un nom à un autre nas hébergé je ne sais où). Notez aussi que les TTL ne sont pas tous les mêmes.
    nb : avant d'aller plus loin, faites des tests avec "nslookup" pour vérifier que tout fonctionne correctement.
    C'est terminé pour cette zone, mais nous allons lui associer une vue pour plus de sécurité et de contrôle.
    ######################################################################################
    Vue DNS locale
    Pour simplifier, considérez qu'une vue DNS est un mécanisme permettent de donner des réponses différentes en fonction de l'adresse des clients. Ça revient à peu près à disposer de plusieurs serveurs DNS au même endroit, mais avec des données et des droits différents.
    Nous allons créer une vue pour nos clients locaux (ou vpn), ce n'est pas une obligation, mais ça simplifiera les choses pour la suite tout en ajoutant un peu de sécurité.
    Allez dans :
    Puis "Créer" :

    Ici on va limiter cette vue aux seuls clients locaux (ou vpn).

    Enfin, on sélectionne les zones qui seront dans cette vue :

    nb : encore une fois, il faut tester que tout fonctionne avant de continuer.
    Voilà, vous avez maintenant un serveur DNS local pleinement fonctionnel pour les rôles de cache, de résolveur et de serveur de zone.
    Mais vous pouvez faire pleins d'autres choses, tout dépend de votre niveau de connaissances et de compétences comme par exemple du filtrage de contenu indésirable (pub, facebook, malware, ...), du MitM, un annuaire, ...
    nb : vous pouvez aussi créer une vue dédiée à vos clients VPN afin qu'ils puissent atteindre votre nas via son adresse en 10.x (cf tuto vpn) simplement en entrant un nom DNS, il faudra juste bien penser à le limiter aux adresses VPN (en 10.x).
    ######################################################################################
    Zone DNS publique
    Jusqu'à présent on ne s'est occupé que de nos clients locaux ou VPN mais pour permettre à un client sur Internet de résoudre une adresse, il faut créer une zone publique.
    Ici vous avez 3 possibilités.
    Utiliser des serveurs sur Internet, généralement ceux de votre bureau d'enregistrement, en tant que SOA et NS, dans ce cas la suite n'est pas nécessaire. Utiliser des serveurs sur Internet, généralement ceux de votre bureau d'enregistrement, en tant que NS, mais vous êtes SOA, ça peut être assez complexe à faire Être à la fois serveur SOA et NS, c'est le choix de l'indépendance, mais c'est aussi le plus complexe à faire Ici je vais prendre l'exemple d'un auto hébergement complet, vous êtes donc SOA et NS pour votre domaine. À ne faire que si vous commencez à être bien à l'aise avec les DNS ou pour tester et apprendre.
    Cette opération n'est pas triviale et nécessite plusieurs prérequis, pas toujours accessibles, je recommande donc de choisir la première option, elle devrait convenir à la plupart d'entre vous.
    Le résultat sera le même du point de vue résolution, cette étape n'est en aucun cas obligatoire pour se passer de QuickConnect ou pour avoir des réponses différentes entre le LAN et Internet.
    nb : il faut une adresse IP fixe et un autre serveur DNS pour la suite, si ce n'est pas votre cas, ceci ne fonctionnera pas, ou mal.
    Allez dans :
    Puis "Créez" => "Zone master" :

    Et configurez-la comme suit :

    nb : 192.0.2.3 est une adresse publique (réservée pour les documentations), à ne pas confondre avec 192.168.x.y
    On garde le même nom de domaine, mais on déclare l'IP publique pour le serveur DNS principal, par contre on ne limite pas le service à certaines IP source.
    Vous devriez obtenir ceci :

    La nouvelle zone est nommée fenrir.tuto(2).
    On va devoir faire un peu plus de réglages pour qu'elle soit fonctionnelle :

    Ici on doit bien faire attention aux différentes valeurs (par exemple l'adresse mail doit exister, mais attention, elle sera visible de tous) :

    nb : les valeurs ci-dessous peuvent ne pas convenir à tous les usages, adaptez-les si besoin
    Ensuite on procède comme précédemment pour créer les ressources :

    Cette fois ci, www.fenrir.tuto renverra l'adresse IP publique de votre NAS.
    (edit) : ce n'est pas dans la capture, mais il faut aussi créer un enregistrement pour le "naked domain", le domaine lui même, ça doit être un type A
    Nom : fenrir.tuto Type : A TTL : à vous de voir Information : 192.0.2.3 Quelques remarques sur le TTL :
    Un TTL (Time To Live) est la durée de validité d'une ressource, passé ce délai, les serveurs DNS vont supprimer cette entrée de leurs caches si vous mettez une valeur trop petite, vous ne profiterez pas du cache si vous mettez une valeur trop grande, les modifications mettront du temps à se propager ne mettez JAMAIS la valeur 0 sous peine de ne plus jamais pouvoir corriger un enregistrement ou qu'il ne fonctionne pas (selon les implémentations, 0 peut être considéré comme invalide, donc l'enregistrement sera rejeté ou pire, il sera considéré comme n'expirant jamais) ######################################################################################
    Vue DNS publique
    Comme pour la zone locale, nous allons associer une vue à cette zone publique, cette fois-ci destinée à nos clients Internet.
    Allez dans :
    Puis faites "Créer" :

    Et sélectionnez bien la zone publique :

    Vous devriez obtenir ceci :

    Les clients avec des adresses privées se verront proposer le contenu de la vue LAN, donc de la zone fenrir.tuto Les autres clients se verront proposer le contenu de la vue WAN, donc de la zone fenrir.tuto(2) Il faut maintenant permettre aux clients sur Internet d'accéder à votre serveur.
    Ouvrez l'interface de votre routeur pour créer 2 règles de redirection de port :
    port 53 en TCP vers votre nas port 53 en UDP vers votre nas Il faudra aussi autoriser ces ports dans le firewall de votre NAS.
    Vous avez maintenant votre zone publique, que tout le monde peut consulter, sauf que personne n'en connait l'adresse !
    ######################################################################################
    NS public
    Pour que votre serveur DNS, donc votre NAS, soit référencé, il faut le déclarer dans les serveurs de votre TLD (pour un .fr, c'est l'AFNIC). C'est à faire auprès de votre bureau d'enregistrement (probablement là où vous avez acheté votre domaine).
    C'est une opération administrative, qui est soumise à certains contrôles techniques. Donc avant de commencer, vous devez vérifier que votre zone publique est bien configurée.
    Le plus simple et de faire le test sur https://www.zonemaster.fr/
    Choisissez l'option "Test d'un domaine non délégué" et remplissez les différents champs comme suit :

    Vous ne devez avoir aucune erreur (les avertissements ne devraient pas être bloquants), mais si vous avez suivi le tuto, vous allez en avoir au moins une :
    Une architecture DNS se doit de disposer d'au moins 2 serveurs de nom (NS) pour une zone donnée. Il vous faut donc configurer un autre serveur DNS qui contiendra les mêmes valeurs que celles présentent dans votre NAS (le serveur secondaire recevra les données depuis votre NAS). nb : un DNS secondaire (on parle plutôt d'esclave ou slave en anglais) est un serveur qui contient une copie du fichier de zone, il ne peut pas en modifier le contenu
    Le plus simple pour ça et d'utiliser les serveurs DNS de votre bureau d'enregistrement, certains permettent de faire DNS "secondaire". Si ce n'est pas le cas il faudra trouver un autre serveur DNS acceptant de jouer ce rôle pour votre zone.
    Si vous avez plusieurs adresses IP publiques, il vous suffit de monter un autre serveur derrière l'une des autres adresses Vous pouvez aussi demander à un ami ou à de la famille de le faire (enfin, vous allez devoir le faire pour eux ), s'ils ont un Synology vous savez déjà comment vous y prendre Si vous êtes coincés, je peux faire office de NS secondaire, au moins le temps de la mise en place de votre architecture (envoyez moi un MP pour en discuter) Vous avez donc 3 choses à faire :
    Autoriser un autre serveur DNS à se synchroniser sur votre NAS (transfert de zone) L'ajouter comme serveur NS de la zone Et lui indiquer l'adresse de votre NAS pour qu'il se mette à jour (on parle ici de quelques ko maximum à transférer) Rendez-vous dans
    Sélectionnez la zone publique :

    Puis cliquez sur "Modifier" => "Paramètres de zone" :

    Activez le transfert de zone :

    Et spécifiez les adresses des serveurs qui vont faire office de DNS secondaire :

    Une fois ceci fait, il faut déclarer ces serveurs comme NS dans votre zone (toujours la zone publique de votre NAS) :

    Indiquez l'adresse du serveur secondaire :

    Vous devriez avoir ceci :

    Et enfin, configurez votre DNS secondaire pour qu'il se synchronise avec votre SOA (votre NAS), il suffit de créer une zone de type "slave" et de lui indiquer les bons paramètres.
    Une fois tout ceci en place, refaites le test zonemaster en indiquant vos 2 serveurs NS (votre NAS et le DNS de votre prestataire/ami/...) :

    Idéalement vous devriez obtenir un résultat similaire à celui-ci :

    nb : jusqu'à présent, tout ce que vous avez configuré n'est valable que pour vous et n'a aucun impact pour le reste des utilisateurs sur Internet, si vous avez un doute, c'est le moment ou jamais de faire pause.
    Si et seulement si le test est concluant (pas d'erreur bloquante), il faudra vous rendre une dernière fois sur l'interface de votre bureau d'enregistrement afin d'y spécifier les adresses de vos serveurs NS. L'opération prend en général quelques jours pour être appliquée partout.
    nb : vous serez peut être amenés à déclarer un enregistrement de type GLUE pour que ns.fenrir.tuto soit reconnu et puisse fonctionner comme NS de la zone fenrir.tuto, le problème est assez simple, si vous ne le voyez pas, documentez-vous avant de continuer
    Dernière précision, les vues isolent les zones, c'est le principe, donc si vous voulez voir apparaitre un même enregistrement dans les différentes vues, il faut le créer dans les différentes zones (comme le www.fenrir.tuto de mon exemple).
  9. Like
    Jojo (BE) a réagi à mafiaman42 dans [TUTO] Sécuriser les accès à son nas   
    Alors déjà un grand bravo pour ce super tuto qui servira à pas mal de monde j'en suis sûr !
    Je rebondis juste là dessus car je ne suis pas complètement d'accord. Pour ma part le seul port ouvert vers mon Syno est le 443 et je gère tout en reverse proxy (DSM, dsvideo, dsdownload, dsaudio, et autres)
    Si un robot scan mon IP il ne verra qu'une IP ouverte le 443 et tombera sur une pauvre page statique. Mes sous-domaines ne sont pas connus de Google, donc en effet en tentant plusieurs combinaisons il pourra finir par en trouver mais ca limite le risque. Il ne voit pas du premier coup d'oeil (si on peut dire) que j'ai un NAS Synology derrière ma box.
    Si t'as 40 ports d'ouvert dont des ports propres à Syno (5000, 5001, etc...), t'as plus de chance que le robot tente direct sur ces ports et applique une tentative de hack propre à Syno et pas général. Donc si ton système est pas à jour dans le même temps ca peut faire bobo. Enfin je ne t'apprends rien :)
  10. Like
    Jojo (BE) a réagi à Fenrir dans [TUTO] Sécuriser les accès à son nas   
    Très bonne remarque à laquelle je peux répondre de plusieurs manières :
    mode parano : tu peux créer un admin par application mode chiant : tu peux lui remettre les droits de temps en temps si besoin mode réel : tu passes ton temps à faire des opérations d'administration toi ? Ici mon objectif est avant tout de protéger l'accès aux données. Que certaines applications deviennent inutilisables (ce qui n'est pas le cas pour ce que j'ai testé) sans être administrateur c'est secondaire pour moi dans le cadre de cette doc.
    Maintenant rien ne t'obliges à suivre 100% des recommandations, vois ça comme une liste de bonnes pratiques dans laquelle tu peux aller piocher.
    Je vais tout de même ajouter un commentaire dans le tuto.
    ps : le compte que j'utilise au quotidien n'est pas admin, ça ne me pose pas de soucis, une ou 2 fois par semaine, je me connecte en admin pour quelques réglages, mais c’est rare (en pratique je me connecte nettement plus souvent à DSM pour venir aider les autres ici que pour mon usage perso).
  11. Like
    Jojo (BE) a réagi à Fenrir dans [TUTO] Sécuriser les accès à son nas   
    Préambule
    L'objectif de ce tutoriel est de vous aider à correctement sécuriser votre boitier et en particulier les accès à ce dernier. Il ne s'agira pas ici d'un guide permettant d'avoir un haut niveau de sécurité (il n'y a pas de qu'il faut dans nos boitiers), mais simplement d'une énumération des différentes étapes permettant de limiter les risques à un seuil acceptable.
    Tous les points ne sont pas nécessairement à suivre, chacun est libre d'appliquer ou non ces recommandations, l'important étant de comprendre de quoi il s'agit.
    Voyez ce TUTO comme une liste de restrictions qu'il est possible de mettre en place, selon vos besoins, certains réglages pourront ne pas convenir.
    Comme depuis quelques années le terme NAS est de moins en moins compris par la plupart des utilisateurs et est détourné par les fabricants, un petit rappel s'impose.
    Un NAS (Network Attached Storage ou boîtier de stockage en réseau) est un système permettant de stocker des fichiers et d'y accéder via le réseau. C'est tout, terminé.
    Si nos boitiers ne faisaient que ça, ce tutoriel aurait eu un tout autre aspect (on aurait parlé de RAID, de TRIM, d’instantanés, d'onduleur, ...), mais on constate que sous cette appellation se trouvent de nombreuses fonctions qui n'ont rien à voir avec un NAS, ce sont des fonctionnalités de serveur (hébergement de site, streaming, messagerie, applications, ...) et un serveur a souvent vocation à être consulté depuis n'importe où (ou presque).
    Il faut donc en sécuriser les accès.
    Notes de lectures
    Je fais emploi de la première personne du singulier dans de nombreux points pour indiquer qu'il s'agit d'avis personnels Par soucis de compréhension, malgré son utilisation impropre, le terme NAS sera employé par la suite Plusieurs liens sont présents dans ce tutoriel, je vous invite à les consulter au fur et à mesure Je vous recommande fortement de lire ce tutoriel en entier une première fois avant de commencer à faire des modifications, puis de le reprendre étape par étape par la suite. De même, faites une sauvegarde de la configuration avant de commencer Afin de limiter le texte, vous trouverez de nombreuses copies d'écran avec les réglages que je recommande. Enfin, vous avez parfaitement le droit de ne pas être d'accord avec mes recommandations, n'hésitez pas en m'en faire part dans les commentaires. Sécurité ?
    La sécurité est un domaine très vaste en informatique et probablement celui qui revêt le plus d'aspects, mais force est de constater que c'est aussi le sujet le moins prioritaire pour la plupart des utilisateurs.
    Je vois 2 raisons à ça :
    les consommateurs sont de plus en plus en attente de produits simples et prêts à l'emploi dès le déballage hors de question de lire la documentation => erreur hors de question de se former (ou pire, d'être formé) => erreur et de toute manière on ne court aucun risque => erreur la sécurité est perçue comme une contrainte que des empêcheurs de tourner en rond essayent d'imposer c'est trop compliqué => ce point est souvent vrai ça fait perdre trop de temps => erreur et de toute manière on ne cours aucun risque (bis) => erreur Ces points ne sont que des exemples qui concernent à peine 95% des acheteurs de matériel informatique en tout genre. Il est probable que "vous" qui lirez ces lignes êtes dans les 5% restant. Faites votre possible pour convaincre les autres.
    Un constat assez curieux, c'est que dès qu'on parle de sécurité dans un domaine non informatique (chambre de bébé, maison, compte en banque, ...), la plupart des personnes sont réceptives si ce n'est volontaires, mais dès que ça touche à l’informatique, il n'y a plus personne pour écouter et surtout entendre.
    C'est un vrai problème car de nos jours, nos bébés sont sous vidéo-surveillance, nos enfants ont des ordinateurs (une tablette est un ordinateur, même si très limité), notre maison dispose d'une alarme connectée et nos comptes en banque sont accessibles de partout. Mais curieusement, les gens ne font pas le rapprochement .
    Sans oublier la meilleure des réponses - "Je n'ai rien à cacher".
    Quoi sécuriser ?
    Vous êtes maintenant convaincu que la sécurité est un point à ne pas négliger, y compris en informatique ?
    Que devez-vous sécuriser ?
    Comme indiqué plus haut, en informatique, la sécurité couvre de nombreux domaines, dans le cas de nos NAS/serveurs, il y a 3 principaux domaines sur lesquels on peut agir :
    sécurité des accès physique : je serais surpris que votre boitier se trouve sur votre pas de porte de même, je pense que votre nas est au sec reste à gérer la problématique des vols, ou pire, des enfants, mais c'est un autre sujet sécurité des données : 2 mots => sauvegarde + chiffrement sauvegarde : ayez toujours vos données sur au moins 2 supports distincts (nas+disque externe par exemple) chiffrement : si vous avez des données privées et/ou confidentielles, le chiffrement des partages est à envisager sécurité des accès distants : c'est le sujet qu'on va aborder dès maintenant Comment faire ?
    La plupart des réglages sont à faire dans le panneau de configuration, donc commencez par l'ouvrir :

    nb : certaines applications disposent aussi de paramètres liés à la sécurité, il ne faudra pas oublier d'aller les vérifier
    #########################################

    "Il nous baratine sur plusieurs paragraphes à propos de la sécurité et voilà qu'il commence à parler d'heure ?"
    En informatique et plus particulièrement sur l'aspect sécurité, l'heure est un maillon essentiel.
    Une machine qui n'a pas un système horaire fiable va rencontrer un jour ou l'autre les problèmes suivants :
    problèmes de connexion : les systèmes d’authentification et de chiffrement utilisent l'heure dans les plupart des traitements problèmes de mise à jour : l'heure est une composante importante pour les tâches planifiées et la gestion des caches problèmes de sauvegarde : comment savoir ce qui a changé depuis la dernière sauvegarde si l'heure n'est pas fiable problèmes de diagnostic : si l'heure du système n'est pas fiable, celle des journaux (logs) ne le sera pas non plus Notez bien que je parle d'heure fiable, pas nécessairement d'heure juste.
    L'important n'est pas d'être à la bonne heure, mais que la pendule avance à la bonne vitesse et soit en accord avec celle des autres systèmes qui y sont connectés (en gros votre pc, les serveurs de Synology, ...). Vous avez donc le choix de mettre une heure fantaisiste à la condition d'aller régler les horloges de tous les autres équipements liés (par effet ricochet, vous allez devoir régler l'heure des satellites en orbite autour de Mars ...).
    Le plus simple reste d'être à l'heure juste à mon avis
    Ça se passe ici :
    Sélectionnez bien votre fuseau horaire et entrez l'adresse d'un serveur de temps fiable (vous en trouverez plusieurs ici) ou choisissez en un dans la liste proposée. Comme cette synchronisation va passer par Internet, il est recommandé de choisir un serveur de sa zone géographique (pool.ntp.org le fait tout seul) :

    Vous pouvez aussi activer la fonction de serveur NTP de votre boitier si vous souhaitez que vos autres équipements (vos caméras de surveillance par exemple) s'en servent comme horloge de référence :

    Il suffira alors de les configurer pour utiliser votre NAS comme serveur de temps (ça peut aussi être fait via le DHCP, options 004 et 042).
    #########################################

    En sécurité, une des règles d'or consiste à réduire la surface d'attaque. Moins il y a des programmes qui tournent, mieux c'est. Accessoirement ça libérera des ressources (donc il sera plus rapide, il consommera moins et il chauffera moins).
    Dans cette section, n'activez que les services que vous utilisez. Si vous n'utilisez pas le FTP ou le NFS ou ... désactivez les.

    À noter que certains protocoles disposent d'options liées au chiffrement ou à la sécurité en générale, par exemple choisir SMB3 (dans Service de fichiers Windows) permet de chiffrer la communication en AES (pour Windows 8 et plus récent, les distributions GNU/Linux avec un noyau > 3.12 et les dernières versions de MacOS) :

    #########################################

    On peut lire un peu partout qu'il faut renommer ou désactiver le compte admin car il sera attaqué. La recommandation est, partiellement, valable, mais la raison est mauvaise.
    C'est une bonne chose de créer un (ou plusieurs) compte(s) d'administrateur(s) et de ne pas utiliser (ni modifier) celui par défaut :
    s'il y a plusieurs personnes amenées à administrer un équipement ça permet une meilleure traçabilité, ça évite de devoir se refiler le mot de passe et ça permet de couper un administrateur en particulier si besoin sans impacter les autres si vous êtes seul à administrer votre équipement ça a au moins le mérite de laisser intact le compte par défaut La raison est mauvaise car les attaques ne s’arrêtent pas si le compte admin ne marche pas, elles s’arrêtent lorsque l'attaquant a testé tous les login/password de sa liste.
    Un autre point qui est souvent oublié c'est que le compte admin reste obligatoire pour certaines opérations avec les anciennes versions de DSM (inférieurs à DSM6.0).
    nb : certaines applications ne sont pleinement fonctionnelles qu'avec des droits d'administrateurs (ce n'est pas normal mais c'est comme ça)
    Nous allons donc créer un nouvel administrateur, mais un peu particulier :

    Choisissez un login explicite mais pas celui que vous utilisez tous les jours :

    Il faut bien entendu qu'il soit membre du groupes "administrators" :

    Ici je bloque les accès à tous les partages, certains vont penser que ça ne sert à rien puisqu'un membre du groupe "administrators" peut toujours se remettre les droits et c'est vrai.
    L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose.

    nb : si vous utilisez PhotoStation, vous ne pourrez pas changer les droits de ce dossier, il faut le faire directement depuis les paramètres de l'application avec un compte administrateur
    On ne peut pas placer de quota sur un admin, donc on passe :

    Comme plusieurs protections valent mieux qu'une, on peut aussi bloquer l'accès à toutes les applications, mais dans ce cas, vous ne pourrez plus les administrer (c'est logique !).
    Personnellement je n'ai coupé l'administration que pour les applications qui sont accessibles depuis Internet en direct (chez moi la liste est courte, il n'y en a qu'une) et quand je veux administrer cette application (c'est rare), je me connecte avec cet administrateur, je lui donne les droits, je fais mon réglage et je retire les droits.
    À adapter en fonction de vos besoins (au début c'est très contraignant, mais une fois que le NAS est bien configuré, on n'y prête plus vraiment attention).
    Dans tous les cas, autorisez l'accès au "Bureau" à votre super admin afin de conserver l'accès au panneau de configuration :

    Avec un peu de parano, on peut aussi ralentir les opérations sur les fichiers pour décourager l'attaquant (ça vous demandera d'activer le contrôle du trafic) :

    Et on applique :

    Une fois notre administrateur créé, on vérifie qu'il fonctionne, donc on se déconnecte et on se reconnecte avec ce nouveau compte.
    Si ça fonctionne et qu'il accède bien au panneau de configuration comme un administrateur on peut continuer en spécifiant une politique pour les mots de passe.
    Un bon mot de passe c'est un mot de passe facile à retenir ou à retrouver de tête (donc pas sur un post-it) et relativement long. On lit souvent qu'il faut utiliser des caractères spéciaux car ça rend les mots de passe plus complexe. C'est vrai si ces 3 conditions sont réunies :
    les utilisateurs arrivent à s'en souvenir sans le noter les utilisateurs arrivent à le taper (clavier mobile, braille, étranger, ...) sa longueur est d'au moins 12 caractères Je trouve pour ma part qu'il est plus facile d'utiliser un long mot de passe avec des lettres, des chiffres et des majuscules qu'un mot de passe avec des caractères spéciaux.
    Pour ce qui est de la sécurité, imposer des caractères spéciaux à un mot de passe ne le complexifie que d'un "bit" en équivalent cryptographique. Ajouter 2 caractères "normaux" le complexifie de 11 bits.
    Pour un humain, deviner une chaine de 10 caractères spéciaux est très complexe, pour une machine c'est plus facile qu'une chaine de 10 caractères "normaux".
    Je ne dis pas qu'il ne faille pas inclure des caractères spéciaux, je recommande juste de ne pas l'imposer car ça facilite la vie des utilisateurs :

    En activant la vérification en 2 étapes, un assistant va se lancer, suivez le guide :

    Je recommande FreeOTP pour gérer vos jetons (il fonctionne aussi pour FaceBook, Google, ...) mais il existe d'autres applications similaires.

    Entrez le code généré par l'application (si votre NAS ou votre client ne sont pas à la même heure, ça échouera probablement) :

    Renseignez une adresse fiable et sécurisée ici :

    Et on valide :

    Encore une fois, on teste avant de continuer, donc on se déconnecte et on se reconnecte :

    Cette fois ci avec une étape supplémentaire :

    C'en est terminé de la création de notre administrateur, on peut maintenant couper celui par défaut :



    Arrivez ici vous allez penser que ce compte (monadmin) est inutilisable. C'est faux, c'est un compte d’administrateur qui peut effectuer toutes les tâches d'administration, il n'a pas besoin de voir des vidéos, d'envoyer des photos, ...
    Donc maintenant vous pouvez/devez créer des comptes "normaux" (sans les droits d'administration) et le compte d'administration sera réservé aux tâches d'administration.
    Je recommande aussi de créer des comptes utilitaires pour les besoins spécifiques. À titre d'exemple, sur mes NAS j'ai créé plusieurs comptes de ce type, dont :
    routeur (non admin) : ce compte sert à mon routeur pour exporter les modifications de configuration, il a juste le droit de faire du FTPs dans un dossier spécifique sauvegarde (admin) : ce compte est dédié aux tâches de sauvegardes, il a un mot de passe de 64 caractères (merci Keepass) En complément j'ai plusieurs comptes "normaux" pour l'utilisation au quotidien (ma famille et moi).
    Ça peut paraitre contraignant, mais normalement, enfin je l'espère pour vous, vous ne passez pas votre temps à faire des tâches d’administration sur votre NAS, donc vous ne devriez pas en avoir besoin souvent.
    Encore une fois il ne s'agit là que de recommandations, vous êtes libres d'utiliser le login admin avec le mot de passe "1234" pour consulter vos données privées depuis la Chine.
    #########################################

    Ici on va aller vite, je déconseille d'activer ce service si on tient un tant soit peu à la sécurité.
    Pour informations, voici comme fonctionne QuickConnect :
    votre NAS établi un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accès direct au NAS s'ils le souhaitent) en parallèle il créé et met à jour un enregistrement DNS avec votre IP public (comme un DynDNS) lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de déterminer si vous pouvez vous connecter en direct si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe) Le résultat est un trafic souvent très lent, relativement instable et difficile à maitriser.
    Néanmoins, si vous souhaitez conserver QuickConnect, pensez à limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accès à DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accès aux fichiers sur un NAS limite grandement son utilité ...).
    #########################################

    Il y a 3 sections dans ce menu :

    Cette section vous permet de configurer un service de DNS dynamique, c'est pratique pour ceux qui n'ont pas d'adresse IP fixe, rien de compliqué ici :


    Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité.
    Ça sert à ouvrir automatiquement des ports dans votre routeur/box, ça peut paraitre sympa comme ça mais en pratique c'est une faille de sécurité très importante. Là on entre en plein dans les comportements que je décrivais au début de ce tutoriel : les gens veulent du "clef en main" et la sécurité ça complique les choses !
    2 exemples pour essayer de vous convaincre :
    pour que cette fonction marche, votre routeur doit gérer l'UPnP, donc tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient de se prendre un virus pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau de même, si vous avez configuré des redirections de ports pour plusieurs équipements, ces redirections risquent de sauter si une requête UPnP demande le même port
    Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas.
    Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...).

    nb : si vous avez changé les ports de DSM (directement ou via votre routeur), il faut l'indiquer ici
    #########################################

    On ne peut pas parler d'accès distant sans parler d'IP, donc allons y :

    Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins.
    Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP.


    Pour l'IPv6, même si je ne devrais pas le dire (car l'IPv6 c'est bien), du point de vue sécurité je vous recommande de le désactiver pour le moment.
    Le problème ne vient pas de Synology (qui permet de régler le pare-feu en IPv6), c'est plus général (j'en parle ici). Une fois que vous aurez bien compris ce que ça implique, vous pourrez revenir l'activer.


    Merci de ne pas changer les ports par défaut, ça n'apporte presque rien du point de vue sécurité (on gagne moins d'une seconde face à un scanner) et ça complique les usages.
    Si vraiment vous souhaitez les changer depuis Internet, faites-le sur votre box ou avec un "reverse proxy".
    Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection.
    Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection :
    <?php $http_host = $_SERVER['HTTP_HOST']; // 307 Temporary Redirect header("Location: https://$http_host",TRUE,307); exit; ?> Vous pouvez bien entendu adapter le script pour utiliser des ports différents si besoin.
    Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS (c'est votre navigateur qui enregistrera cette information et il ne vous laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé).

    #########################################

    J'ai pris les menus dans l'ordre (ou presque), donc la section "Sécurité" n'arrive que maintenant, pourtant tout ce que l'on a vu précédemment est aussi lié à la sécurité ...

    Ces réglages devraient convenir à la plupart des utilisateurs :


    Pour le pare-feu, même si votre NAS n'est pas exposé sur Internet, activez-le, ça ne coute presque rien en ressources et ça limitera la casse si un jour il est exposé (une box qui passe en bridge, une erreur de manipulation, ...).
    Vous pouvez laisser les notifications activées, mais ne vous en servez pas (ne cliquez pas sur le bouton OK lorsqu'elles apparaissent), utilisez-les simplement comme un rappel que vous avez tel ou tel port à ouvrir.

    Les règles de pare-feu ci-dessous seront valable chez pratiquement tout le monde, en toute rigueur, il ne faudrait autoriser que les adresses "fiables" sur des services précis, mais sauf à avoir des espions dans son réseau, ça ne devrait pas poser de problèmes. On va dire que c'est un compromis entre confort et sécurité.
    nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8)
    Dans un premier temps, je vous recommande vivement de configurer votre pare feu avec les 4 règles ci-dessous, à l'identique !!

    nb :
    dans les 3 premières règles, il faut bien choisir "Sous-réseau" et pas "Hôte unique" ni "Plage d'IP" ici j'utilise uniquement la table "Toutes les interfaces" car c'est plus simple à gérer et suffisant pour la plupart des besoins, si vous souhaitez utiliser les règles par interfaces, lisez ceci Une fois ces 4 règles en place, vous pourrez ajouter les autres règles dont vous avez besoin (il faut les ajouter juste avant la dernière règle) si vous souhaitez que certains services de votre NAS soient accessibles depuis Internet.
    Les règles ci-dessus n'autorisent que les réseaux locaux et bloquent tout le trafic venant d'Internet.
    Voici un exemple plus complet qui n'est pas à reprendre aveuglement, c'est juste pour illustrer :

    En plus des réseaux locaux (ou privés), j'autorise les services suivants :
    ports TCP 80 et 443 depuis l'adresse 192.0.2.3 (il s'agit d'une adresse IP public d'exemple, ce n'est pas une adresse privée => https://tools.ietf.org/html/rfc5737) port UDP 1194 (OpenVPN) uniquement depuis la France ports UDP 500, 1701 et 4500 (L2TP/IPSec) uniquement depuis la France et les ports TCP 7000 et 7001 que j'ai associé à une application, autorisés depuis la France la Guyane française nb : les règles sont évaluées dans l'ordre, de haut en bas
    ps : si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière
    Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée.

    Une petite case à cocher pour limiter les chances que votre boitier soit rendu inaccessible suite à un certain type d'attaque :

    A adapter selon vos interfaces connectées.

    Cette fonction bloquera les adresses IP des personnes ayants fait trop d'erreurs d'authentification (ça ne fonctionne qu'avec certaines applications, mais c'est déjà ça).
    nb : n'ajoutez pas d'adresses dans la liste des autorisations, si vous vous bloquez vous même, changez juste l'adresse de votre poste pour le débloquer ou attendez l'expiration du blocage


    Un peu plus haut on a parlé d'HTTPS, or qui dit HTTPS dit certificat.
    Ici on se heurte à un vrai problème du point de vue de la sécurité. Il est assez difficile de l'expliquer sans en faire des pages, mais pour faire simple, n'utilisez jamais un certificat auto-signé (comme celui installé par défaut dans la plupart des équipements).
    La solution la plus sécurisée consiste à créer votre propre autorité de certification et à émettre vous-même vos certificats. Cette méthode présente quelques avantages mais aussi quelques inconvénients :
    Avantages : vous n'avez pas à faire confiance à une entreprise que vous ne connaissez pas vous n'avez pas à payer cette entreprise pour vos certificats (même si avec LetsEncrypt et quelques autres entités, c'est gratuit) vous pouvez émettre autant de certificats que nécessaire vous pouvez choisir ce qu'ils acceptent (wildcard ou multi domaine par exemple) Inconvénients : vous devez savoir le faire vous devez installer votre autorité partout où vous l'utilisez (dans vos navigateurs, smartphones, ...) La solution recommandée est donc d'utiliser un certificat signé par une autorité reconnue en standard (Synology vous permet de créer un certificat signé par LetsEncrypt, c'est gratuit et ça marche assez bien).
    Dans un cas comme dans l'autre, supprimez le certificat installé par défaut.
    Enfin, la solution qui n'en est pas une consiste à accepter les avertissements de sécurité, en faisant ça, vous installez dans votre navigateur des certificats qui n'ont été validés par personne. C'est très dangereux mais il est assez difficile de vous expliquer pourquoi en quelques mots, gardez juste à l'esprit qu'accepter un certificat non reconnu peut permettre à un attaquant d'intercepter toutes vos communications vers le site de votre banque, même si ce dernier est protégé par un vrai certificat.
    ps : en passant, 2 modules pour Firefox que je recommande : Y U no validate et SSleuth
    Donc pour la plupart d'entre vous, le bon choix est de passer par l'assistant pour créer un certificat signé par LetsEncrypt (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement).


    N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) et utilisez les suites de chiffrement "moderne".

    #########################################

    Un point important en sécurité consiste à être prévenu lorsqu’un problème survient. Le paramétrage des notifications est fait pour ça. Ici j'ai configuré les notifications par mail, mais vous pouvez utiliser les SMS (si vous avez un abonnement compatible comme FreeMobile) ou encore par Push (je déconseille ce mode car il est peu pratique à l'usage).

    Dans le dernier onglet, vous pouvez choisir le type de notification à activer pour la plupart des événements pouvant se produire.
    Au début cochez tout, puis en fonction de votre usage, vous pourrez décocher certaines notifications (chez moi j'ai désactivé les notifications pour les sauvegardes réussies).

    #########################################


    Maintenir ses équipements à jour est un moyen assez simple de limiter les problèmes de sécurité.

    Je recommande de laisser le NAS détecter et télécharger les mises à jour automatiquement mais de ne pas le laisser les installer tout seul.
    Synology sort des mises à jour de bonne qualité en général, mais il arrive, surtout pour les mises à jour majeurs, que des problèmes surviennent (en clair, elles sont parfois boguées). Laissez le NAS vous prévenir qu'une mise à jour est disponible et renseignez-vous sur d'éventuels soucis de compatibilité avant de l'installer.
    nb : désactivez aussi les mises à jour automatique dans le Centre de paquets pour la même raison


    Parmi les actions à effectuer de temps en temps, surtout lorsque vous vous apprêtez à faire de gros changements (comme en suivant ce tutoriel), la sauvegarde de la configuration n'est pas à omettre.
    ps : pour information, le fichier de sauvegarde est une archive tar.xz contenant une base sqlite, il est donc possible de le consulter pour récupérer un élément de configuration précis

    Notez en passant que seuls certains paramètres sont sauvegardés, pensez à sauvegarder le reste d'une manière ou d'une autre :

    ps : cette sauvegarde de la configuration du NAS n'est pas à sauvegarder sur le NAS lui-même
    #########################################

    Ici vous avez la possibilité de restreindre l'accès à certaines applications pour certains comptes. Par exemple si vous vous servez de votre NAS comme d'un système de dépose de fichiers pour des clients, via FileStation, il n'est pas nécessaire de leur laisser accès à vos vidéos de vacances avec VideoStation. De même il est peut être utile de limiter les accès à certaines machines.

    Sélectionnez une application et cliquez sur Modifier, la suite est assez explicite.
    #########################################

    Par défaut la plupart des applications sont accessibles via DSM (ports 5000 et 5001) et l'adresse de votre nas, mais si vous souhaitez que seule telle ou telle application soit accessible depuis Internet, ou dispose d'une adresse spécifique ou écoute sur un port particulier, ou encore tout ça à la fois, c'est ici qu'il faut se rendre.
    Vous avez 2 menus :
    Applications : ça permet de configurer l'adresse et le port d'écoute de certaines applications Synology Proxy Inversé : ça permet de faire la même chose pour les autres applications ou faire des configurations plus avancées Ces options vous permettent, par exemple, de faire écouter les différentes applications sur des ports précis et ainsi, grâce au pare-feu, de limiter leurs accès aux seules adresses autorisées.
    Ci-dessous un exemple un peu plus complexe (la seconde partie n'est réalisable qu'avec du loopback ou si vous avez un DNS en interne ou qui gère les vues, j'en parle à la fin du tuto VPN)
    Dans un premier temps j'ai déclaré des ports spécifiques pour chacune des applications que j'utilise :

    => depuis un navigateur, si j'entre l'adresse de mon nas en précisant le port 7043 je tombe directement sur Audio Station
    J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https). J'ai aussi créé une entrée pour une application non Synology (il s'agit ici d'un Docker) :

    => depuis DSAudio, j'entre l'adresse dsaudio.mon.domaine:443
    nb : dans les applications mobiles, il ne faut pas oublier le numéro de port dans l'adresse pour que ça fonctionne de partout (en interne comme depuis Internet), sinon certaines d'entre elles essayent systématiquement de trouver une configuration QuickConnect (qui n'existe pas chez moi)
    ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM (cf remarque un peu plus haut)
    #########################################

    Même si vous n'avez pas l'intention de vous en servir, activez le SSH. En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local.

    Et en passant, choisissez le mode de chiffrement le plus élevé :

    #########################################

    Synology a eu la bonne idée (de mémoire avec DSM 5.2) d'ajouter l'application "Conseiller en sécurité". Cette application analyse certains fichiers et certains réglages de votre NAS afin de vous prévenir en cas d'anomalies. Elle ne va pas encore assez loin à mon gout, d'où ce tutoriel, mais c'est déjà pas mal.
    Globalement elle fait bien son travail, donc il serait dommage de s'en passer (n'oubliez pas de planifier une analyse régulière) :

    Néanmoins je ne suis pas d'accord avec 3 des recommandations de Synology, celles concernant les changements de ports, donc je les désactive (tout le reste devrait être activé) :
    Lancez l'analyse une première fois, si vous avez suivi mes recommandations, tout devrait être au vert.

     
  12. Like
    Jojo (BE) a réagi à Kawamashi dans [Tuto] Reverse Proxy   
    Bonjour tout le monde,
     
    J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter ma pierre à l'édifice en complétant les tutos réalisés, sur ce topic ou ailleurs.
    Tout d'abord, je voulais remercier InfoYann pour son tuto et ses réponses à mes questions. Merci également à Fender, qui a écrit le 1er tuto sur le sujet. Pour finir, merci à Fenrir, pour son méga tuto de sécurisation d'un NAS (une vraie bible...), qui aborde le sujet du reverse proxy.
     

    LE REVERSE PROXY DE A à Z


    I. Utilité et intérêt d'un Reverse proxy
    Un Reverse proxy redirige des noms de domaines vers des équipements présents sur le réseau local ou des applications présentes sur le NAS. Cela permet de ne pas avoir à retenir et taper le port des différents services pour y accéder. Par conséquent, ça évite d'avoir à ouvrir sur l'extérieur autant de ports que de services : on se sert juste du port utilisé par défaut pour les connexions HTTPS, le port 443.
    Par exemple, si on a affecté le port 45000 à Audio Station et le 45001 à Video Station, il faut normalement taper https://nomdedomaine.fr:45000 ou https://nomdedomaine.fr:45001 pour accéder à ces 2 services. Ce n'est pas très explicite, et il faut que les ports 45000 et 45001 soient ouverts sur le routeur. Plus y il y a de services, pire c'est. Grâce à un reverse proxy, on se contente de taper https://music.nomdedomaine.fr ou https://video.nomdedomaine.fr, et tout passe par le port 443 utilisé par le protocole HTTPS. C'est beaucoup plus simple. Pour plus d'infos, consultez ce tuto et celui-là.
    Par contre, il faut absolument préciser https dans l'URL, sans quoi on utilise le HTTP par défaut et ça ne marche pas. Pour éviter ce problème, on va mettre en place une redirection automatique grâce à Web Station.
     
    II. Configuration du nom de domaine chez le registrar
    Je prends le cas d'une IP fixe car j'ai la chance de ne pas être confronté au problème des IP dynamiques !
    Avoir son nom de domaine (NDD) va nous permettre d'accéder à notre réseau local depuis Internet. Une fois le NDD loué, il faut ajouter 2 entrées dans sa zone DNS :
       - une entrée de type A qui redirige le NDD vers l'IP fixe de la box (ndd.fr. => IP fixe)
       - une entrée de type CNAME qui redirigera l'ensemble des sous-domaines vers le NDD (*.ndd.fr. => ndd.fr.)

     
    Après cette étape, les tentatives de connexion à fichiers.ndd.fr, video.ndd.fr,… seront acheminées à la box.
     
    III. Configuration du routeur
    De l'extérieur, on a besoin que le port 443 soit ouvert pour pouvoir se connecter aux applications du NAS de manière simple (pas de port exotique à préciser) et sécurisée (car 443 = HTTPS). Let's Encrypt se connecte par le port 80 pour délivrer le certificat SSL et pour le renouveler. De plus, si on profite de Web Station pour créer un site web, il faut également ouvrir le port 80 pour autoriser les connexions à ce site en HTTP. Donc on va utiliser les ports externes 80 et 443.
    Du côté du NAS, le Reverse proxy "écoute" sur le port 443 ou sur le port DSM sécurisé. Vu que je ne trouve pas souhaitable d'exposer DSM sur internet, les connexions sécurisées seront redirigées vers le port 443 du NAS. Web Station utilise le port 80. On va donc rediriger les connexions externes non sécurisées vers le port 80 du NAS.
    En résumé, sur le routeur, il faut rediriger les ports externes 80 et 443 vers les ports internes 80 et 443 du NAS. Après cette étape, les connexions utilisant les ports 80 et 443 seront acheminées de la box au NAS.

     
    IV. Configuration du pare-feu du NAS
    Pour que les connexions ne soient pas rejetées par le NAS, il faut modifier son pare-feu. Plutôt que d'ouvrir complètement les ports 80 et 443 :
       - on ouvre les ports 80 et 443 pour le trafic en provenance de France, pour limiter les risques d'attaque.
       - on ouvre également le port 80 pour le trafic venant des 2 IP que Let's Encrypt utilise pour le renouvellement du certificat (64.78.149.164 et 66.133.109.36, cf ici). Correction de la modération : ces IP ne sont plus valides. Pour la création ou le renouvellement de vos certificats, il faut ouvrir le port 80 sans restriction géographique le temps du processus de création ou de renouvellement, le refermer par la suite pour bloquer les attaques sur ce port
    Ces règles sont à entrer dans le pare-feu du NAS (panneau de configuration/Connectivité/Sécurité/onglet "Pare-feu", puis "Modifier les règles").

    NB : Les IP utilisées par Let's Encrypt peuvent changerLes IP ci-dessus ne sont plus valides. Il est donc conseillé d'ouvrir complètement le port 80 (au moins pour le trafic en provenance des Etats-Unis) avant la demande initiale de certificat ou en cas de problème de renouvellement de celui-ci.
    Après cette étape, les connexions pourront parvenir jusqu'au Reverse proxy du NAS (et jusqu'à WebStation).
     
    V. Configuration du portail des applications de DSM
    Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application".

    NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements.
    Après cette étape, si on tape IP_locale_du_NAS:45000, on ouvre directement Audio Station.

    Il faut ensuite définir le reverse proxy à proprement parler, à savoir faire correspondre les différents sous-domaines avec les différentes applications. Ça se passe sur la même page, dans l'onglet "Proxy inversé".

    Pour chaque application, il faut renseigner :
       - la source (nom du sous-domaine, protocole (HTTPS) et port (443))
       - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)).
    NB : On utilise "localhost" pour désigner le NAS, car si celui-ci change d'IP, on n'aura pas besoin de reparamétrer le reverse proxy.
    Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé).

    Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre.
     
    VI. Obtention du certificat SSL pour le domaine et ses sous-domaines
    Il ne faut jamais utiliser de certificat auto-signé (comme celui installé par défaut dans la plupart des équipements), tout comme accepter des exceptions de sécurité (peut provoquer des interceptions de données même sur des sites protégés par de vrais certificats). Le mieux et le plus simple est de se tourner vers une autorité de certification comme Let's Encrypt, bien intégrée chez Synology.
    Dans le panneau de configuration de DSM, partie "Connectivité", section "Sécurité", onglet "Certificat", cliquer sur le bouton "Ajouter". A la 2e étape, choisir de se procurer un certificat auprès de Let's Encrypt. A la 3e étape, remplir le NDD et l'adresse mail. Dans le champ "Autre nom de l'objet", mettre le nom de tous les sous-domaines, séparés par des points-virgules. Enfin, cliquer sur "Appliquer".

    Après cette étape, le reverse proxy fonctionne sans avertissement de sécurité.
    Cependant, quand on tape music.ndd.fr dans un navigateur, celui-ci ne nous redirige pas automatiquement vers https://music.ndd.fr. A la place, il nous renvoie vers ndd.fr:port_DSM_non_sécurisé (même si la connexion n'aboutit pas). Le registrar ne peut pas mettre en place de redirection car seul le nom de domaine est loué chez lui, aucun site n'est hébergé. L'option de redirection présente dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM n'est pas envisageable car elle casse le mécanisme du reverse proxy.
    Pour éviter ça, on va créer un site web. Ça nous permettra la création d'un fichier .htaccess, qui redirigera automatiquement les requêtes en HTTPS.
     
    VII. Auto-hébergement d'un site web et mise en place des redirections
    Il faut installer Web Station. Une fois que c'est fait, ouvrir l'application. Dans la partie "Statut", il faut installer les 2 versions du serveur HTTP Apache et les 2 versions de PHP. Pour ça, cliquer sur les icônes de raccourci présentes dans la colonne "Gestion".

    Une fois que c'est fait, on passe à la partie "Paramètres généraux". On sélectionne les versions les plus récentes d'Apache et de PHP, puis on coche la case "Activer un site web personnel" (ce n'est possible que si on a installé les 2 versions d'Apache et de PHP à l'étape précédente).

    On n'a pas besoin de changer les paramètres PHP ou de créer un Virtual Host (à moins d'avoir plusieurs sites web à héberger sur le même NAS).
    Avec l'installation de Web Station, un dossier Web a été créé à la racine du volume. Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS.
    Pour mettre en place la redirection automatique, il faut créer un fichier .htaccess. Pour ça, il faut créer un fichier texte dans le dossier Web. A l'intérieur de ce fichier, on écrit le code suivant :
    RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} On enregistre sous ".htaccess" (donc sans nom mais juste avec l'extension htaccess).
    Il faut ensuite redemander un certificat à Let's Encrypt, en ajoutant www.ndd.fr dans le champ 'Autre nom de l'objet" (en plus des noms de tous les sous-domaines).
    Après cette étape, quand on tape music.ndd.fr dans un navigateur, celui-ci nous redirige automatiquement vers https://music.ndd.fr.
    NB : Il faut préciser le port 443 dans le formulaire de connexion des applications mobiles, sans quoi elles n'arrivent pas à se connecter (donc music.ndd.fr:443 et non music.ndd.fr pour se connecter à DS Audio).
    Voir un retour intéressant ici, concernant le reverse proxy et la certification par Let's Encrypt.
    Si quand on tape ndd.fr on est redirigé vers l'interface de connexion à DSM (ce que je ne veux pas), il faut vérifier que la case "Activer un domaine personnalisé" dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM est décochée (ou bien qu'on a mis un autre nom de domaine que ndd.fr dans ce champ, cf tuto DNS Server). Par contre, pour se connecter à l'interface de gestion du NAS, il faudra désormais taper l'IP locale du NAS + le port DSM non sécurisé dans la barre d'adresse du navigateur (à moins d'avoir mis en place une zone DNS locale, avec une adresse comme nas.super_nom.lan qui pointe sur le NAS).

    J'espère que ce tuto vous sera utile. Je suis preneur de tout retour, remarque ou suggestion ! 
  13. Upvote
    Jojo (BE) a reçu une réaction de ers31 dans [TUTO] Sauvegarder les données de son NAS.   
    earliest est la plus récenté.
    En effet, cela me parrait plus logique de garder celle là.
  14. Like
    Jojo (BE) a réagi à Pascalou59 dans Cacher des zones ?   
    @Jojo (BE)La réponse est non ....SS n ' a pas cette fonction , il y a bien des zones de détection mais pas de masquage
     
  15. Like
    Jojo (BE) a réagi à unPixel dans [TUTO] Sauvegarder les données de son NAS.   
    Comment t'expliquer clairement et facilement
     
    Quand tu utilises Hyper Backup avec le versionning (à régler lors de la configuration de chaque sauvegardes que tu veux), il va selon la fréquence que tu veux (max 1 fois par jour) faire une sauvegarde.
    1. Première sauvegarde sera complète.
    2. les suivantes prendront en compte uniquement les fichiers ajoutés/supprimés/modifiés. Modifiés (normalement) par leur taille et/ou nom.
    Par contre, quand tu regardes une sauvegarde, il te montre tout, même ce qui n'est pas réellement sauvegardé car déjà sauvegardé avant.
    Je sais pas si je suis assez clair.
  16. Like
    Jojo (BE) a réagi à unPixel dans [TUTO] Gérer les droits sur Photo Station 6.   
    Bonjour,
    Dans ce mini tutoriel, nous allons voir comment gérer les droits avec Photo Station 6 sur DSM 6.
    En effet, on constate de plus en plus de membres sur le forum qui se questionnent quand au fonctionnement et surtout la gestion des droits sur Photo Station.
     
    1. Installer Photo Station depuis le centre de paquets. En plus d'installer "Photo Station", ça va créer le dossier "photo" dans File Station. Les photos sont à mettre dedans avec l'arborescence que l'on désire.

     
    2. Ouvrir Photo Station comme sur la capture d'écran ci-dessous. Une nouvelle fenêtre s'ouvrira pour la connexion. Se connecter avec un compte administrateur.

     
    3. Une fois dans Photo Station, cliquer sur "Paramètres" qui se situe en haut à gauche.

     
    4. Dans cette nouvelle fenêtre, cliquer sur "Photos" dans le menu de gauche puis ensuite, cliquer sur "Permission d'accès".

     
    5. Dans cette petite fenêtre qui s'est ouverte, on peut voir l'arborescence de nos dossiers. Nous avons trois choix possibles :
    Public : n'importe qui (même les non membres) peuvent accéder aux photos. Privé : seuls les membres (selon les autorisations définies) peuvent accéder aux photos. Mot de passe : seuls les personnes ayant le mot de passe (même les non membres) peuvent accéder aux photos. Une fois nos choix cochés, cliquer sur "sauvegarder" puis "fermer".

     
    6. Une fois cette fenêtre fermée, on clique sur "Comptes utilisateur" puis on sélectionnes un membre et on clique sur "modifier".

     
    7. Dans cette nouvelle petite fenêtre, on clique sur "Attribuer des privilèges".

     
    8. Une nouvelle fenêtre s'est ouverte par dessus la petite dernière. C'est ici qu'on gère tous les droits sur un membre pour chaque dossier et sous dossier.
    Comme on peut le voir sur l'image ci-dessous, il y a plusieurs choix possibles pour chaque dossier :
    Parcourir l'album : permet au membre de visualiser les photos du dit dossier. Chargement de fichiers : permet au membre de charger des photos dans ce dossier. Gérer : permet au membre de gérer complètement le dossier en question (supprimer, créer sous dossier, renommer etc...). Ne pas oublier de sauvegarder les changements avant de fermer en cliquant simplement sur le bouton "Sauvegarder".

     
    Ce petit tuto est terminé
  17. Like
    Jojo (BE) a réagi à unPixel dans [TUTO] Sauvegarder les données de son NAS.   
    RAID n'est pas une sauvegarde ! Ça c'est fait
     
    Bonjour,
    Dans ce tuto, nous allons comprendre pourquoi et comment sauvegarder ses données stockées sur un nas.
    Un NAS (Network Attached Storage) c'est quoi ? Comme son nom l'indique en anglais, c'est un serveur de stockage en réseau. Par exemple, tout ce que vous pouvez visionner, écouter ou lire sur internet est stocké sur des serveurs professionnels ou particuliers et ils vous donnent un accès en lecture voir écriture un peu comme vous le faites avec votre propre serveur.
    Depuis quelques années maintenant, nous avons de plus en plus de données importantes qui sont numériques comme par exemple, des vidéos, des photos numériques, des documents numérisés, divers fichiers etc... Tous ces fichiers sont stockés sur des supports physiques comme disques dur, clés usb, DVD et/ou CD (pas bien), NAS etc... Même sur des disquettes 3,5". Bon d'accord, on peut même pas y stocker une musique mp3 dessus mais je le cite car j'ai un petit coup de nostalgie quand il n'y avait que ça
    Bref, vous l'aurez compris, c'est bien d'avoir un serveur maison pour avoir un accès illimité à ses données et pouvoir les partager mais il ne faut pas oublier une chose essentielle : la sauvegarde !
    La sauvegarde de ses données est ce qui doit être pensé en premier lorsque l'on utilise un ordinateur, smartphone, serveur etc... à qui on confie des données importantes. Eux ne sont pas là pour garder vos données en toute sécurité mais ils sont là pour vous y donner accès facilement.
     
    Passer directement au tuto sur Hyper Backup :
     
    Pourquoi faire une sauvegarde ? Voici quelques raisons possibles.
    Causes humaines :
    - Parce que vous pouvez être victime d'un vol suite à un cambriolage.
    - Parce que votre NAS peut très bien planter suite à une mauvaise manipulation.
    - Parce qu'un méchant hacker a décidé de chiffrer vos données et vous demande maintenant de l'argent pour les retrouver.
    Causes naturelles :
    - Parce que vous pouvez avoir dans votre logement une inondation, un incendie, une surtension etc...
    Causes matérielles :
    - Parce que votre NAS peut très bien tomber en panne et foirer le volume installé (vécu sur un de mes nas de backup).
    - Parce qu'une mise à jour de l'OS a planté le système (déjà vu sur Windows par exemple).
    Les conséquences :
    Financières : si vous êtes une petite entreprise par exemple, vous pourriez ne pas vous en relever ! Si vous êtes un particulier, préparez le chéquier (ça coute très cher) pour qu'une entreprise spécialisée essaie de récupérer vos données perdues.
    Sentimentales : si vous avez des photos de votre mariage ou de la naissance de votre enfant, ça peut être très dur émotionnellement de savoir ces photos/vidéos perdues.
    Temps : si vous n'êtes pas organisé, vous allez perdre énormément de temps à chercher des solutions pour rattraper les pertes occasionnées.
    Etc...
    Critères d'une sauvegarde :
    obligatoire ou recommandé
    - Elle doit être faite de manière automatique. Au moins, pas d'oubli de votre part.
    - Elle doit être faite de façon régulière et en fonction des changements ou ajouts effectués sur vos dossiers/fichiers.
    - Elle doit être à un endroit différent des données que vous voulez sauvegarder. Disque dur externe branché sur le nas, serveur pro, nas du voisin, dans le cloud etc...
    - Elle doit être vérifiée et testée par vous et non par un ordinateur. Soyez comme Saint Thomas.
    - Utiliser un système de "versionning", c'est utile si on veut retrouver un  fichier d'une ancienne sauvegarde qu'on aurait supprimé et qui ne se trouverait pas sur la dernière sauvegarde.
    - Utiliser un système de "rotation des sauvegardes", c'est utile pour que le programme de sauvegarde gère le stockage de la cible.
    - Elle peut être chiffrée, c'est toujours plus prudent surtout si la sauvegarde est envoyée en dehors de chez vous.
    - Elle peut être faite sur plusieurs supports ou services afin d'avoir une redondance. C'est plus rassurant si un service cloud ferme par exemple ou si le disque dur externe plante.
    Critères de ce qui n'est pas une sauvegarde :
    - L'utilisation d'un service comme Dropbox, OneDrive (Microsoft), GDrive (Google), iCloud (Apple) etc... N'EST PAS une sauvegarde ! C'est de la synchronisation de données entre un serveur et un ou plusieurs appareil(s). Si l'un deux perd un fichier alors l'autre aussi. Si l'un des deux a un crypto programme qui se lance, alors tous les fichiers dans les deux sens seront perdus (c'est des services bi-directionnel). Elle peut être une sauvegarde mais sous certaines conditions comme par exemple avoir la possibilité de désactiver le bi-directionnel ou une option qui permet de garder une copie d'un fichier sur le service cloud si il était supprimé localement mais en sus avec une sauvegarde faite ailleurs.
    - Une sauvegarde non vérifiée et non testée.
    - Une sauvegarde sur un disque dur externe qui resterait branché en permanence à votre nas. Si vous partez deux semaines en vacances, emmenez votre disque dur avec vous et si possible avec une sauvegarde chiffrée en cas de vol.
    - La copie d'un dossier de votre nas dans un autre dossier de votre nas. Il vaut mieux le préciser
     
    Comment faire une sauvegarde avec les outils Synology :
    Vous pouvez soit utiliser les outils mis à votre disposition par Synology, soit utiliser vos propres outils. Ici, je vais surtout parler des outils Synology et ensuite, je citerai quelques alternatives.
    - Hyper Backup vous permet de sauvegarder des dossiers, fichiers et applications de votre nas vers un autre périphérique ou service en ligne. Je vous le recommande car il donne la possibilité de chiffrer, faire du versionning, faire de la rotation de sauvegarde etc...
    - Cloud Station Backup vous permet de sauvegarder des dossiers et fichiers de votre ordinateur sur votre nas (pas très personnalisable et limité). Je lui préfère et de loin Syncback !
    - Glacier backup vous permet de sauvegarder vos données sur un compte Amazon Glacier.
    Voici en gros les outils mit à votre disposition par Synology.
     
    ATTENTION : Cloud Station Server avec Cloud Station et/ou Drive n'est pas une sauvegarde. C'est similaire à Dropbox, GDrive, iCloud etc... Je le cite ici pour être sûr que vous ne confondiez pas les programmes.
    Cloud Sync non plus n'est pas une sauvegarde !
     
    Autres possibilités en dehors des outils de Synology :
    - SyncBack (Windows uniquement) : http://www.syncback.fr/
    Attention à bien le configurer pour de la sauvegarde et non de la synchronisation.
    - UrBackup : https://www.urbackup.org/
    Avantage, il est multi plateforme. Merci à Winpoks (forum HFR) pour l'info.
    - Duplicati (payant) : https://www.duplicati.com/
    Avantage, il est multi plateforme. Merci à Winpoks (forum HFR) pour l'info.
     
    Autre précaution à prendre sur votre nas Synology, la corbeille ! Elle est importante car si quelqu'un supprime un fichier, celui-ci sera récupérable pendant un certain temps.
    Chaque dossier partagé avec la corbeille activée contiendra un dossier nommé "#Recycle" avec une icône de poubelle. Un fichier supprimé dans le dossier X sera dans la corbeille du dossier X etc...
    Personnellement, mes utilisateurs sont prévenus de l’existence de cette corbeille mais n'y ont pas accès. J'ai préféré donner les droits uniquement à l'administrateur qui pourra récupérer le fichier supprimé qu'un utilisateur voudrait récupérer.
    Ma stratégie de sauvegarde si ça peut vous donner des idées :
    Sauvegarde incrémentale chiffrée toutes les trois heures sur un compte GSuite (environ 30 To). Sauvegarde incrémentale chiffrée toutes les six heures sur une baie USB3 de 2x2 To. Sauvegarde de mes données les plus importantes via Rsync sur un vieux DS107+ (1 To). Comme on peut le voir ci-dessus, je fais donc trois sauvegardes locales et une sauvegarde dans le cloud. Et si vous vous posez la question, oui, je prends le temps de temps en temps de tester mes sauvegardes en faisant des tests de restauration 🙂
     
    Fin du tutoriel, si vous constatez des erreurs ou que vous voudriez apporter vos connaissances, alors n'hésitez pas et j'éditerai le tuto.
  18. Like
    Jojo (BE) a réagi à unPixel dans [TUTO] Sauvegarder les données de son NAS.   
    TUTO Hyper Backup sur un NAS Synology (écrit sous DSM 6.1.4)
    Nous allons voir dans ce tutoriel comment utiliser Hyper Backup afin de faire une sauvegarde de ses données stockées sur un NAS Synology.
     
    Les possibilités avec Hyper Backup :
    Hyper Backup vous permet de faire des sauvegardes de plusieurs façons.
    "Stockage partagé local et stockage externe" permet des sauvegardes gérées par le NAS. Vous aurez besoin d'Hyper Backup pour restaurer les données et elle ne seront pas visibles directement sur la cible. "Synology NAS distant" permet de faire des sauvegardes sur un autre NAS. "WebDAV" permet des sauvegardes sur un serveur distant avec le protocole WebDAV. "Serveur Rsync distant" permet des sauvegardes via Rsync sur un serveur distant. Copie de données locales permet de faire une copie simple des données sans compression, chiffrage et autres en local. Les données sont lisibles et exploitables sans nas. Copie de données distantes permet de faire une copie simple des données sans compression, chiffrage et autres sur un périphérique distant via RSync. Les données sont lisibles et exploitables sans nas. "Services Cloud" permet de faire des sauvegardes sur des services proposés dans Hyper Backup comme Synology C2, Dropbox, Google Drive, Amazon Drive etc... (chiffrement vivement recommandé) Prérequis :
    Pour ce tutoriel, nous allons faire une sauvegarde en local sur un disque dur externe branché en USB sur le NAS.
    Installer le paquet Hyper Backup depuis le Centre de paquets. Brancher un disque dur externe en USB et s'assurer qu'il est bien reconnu par DSM.  
    Configuration d'une sauvegarde sur un disque dur externe branché en USB sur le NAS :
    1. On ouvre l'application Hyper Backup sur DSM. L'icône de ce paquet ressemble à ceci :
    2. Une fois l'application ouverte, on va créer une nouvelle tâche de sauvegarde comme ci-dessous.

     
    3. Puis une nouvelle fenêtre s'ouvre et nous demande la destination de la sauvegarde.

     
    4. Ensuite, on indique le disque dur externe (reconnu comme un dossier partagé) qui devrait être nommé "usbshareX" (X étant un chiffre chez vous) puis on indique le nom que portera la sauvegarde dans le disque dur (ex : Documents).

     
    5. Ensuite, il faut cocher le ou les dossier(s) puis la ou les application(s) que l'on souhaite sauvegarder pour cette tâche.
    Note : vous pouvez choisir un dossier partagé complet comme choisir uniquement un ou plusieurs sous dossier(s) d'un dossier partagé (cliquer sur les petites flèches noires pour voir les choix disponibles).
    ATTENTION : certaines applications sauvegardent aussi leurs dossiers respectifs (ex : PhotoStation et Moments sauvegardent aussi le dossier "photo" et Drive sauvegarde les dossier "Homes" et "web").


     
    6. Ensuite, on doit donner un nom à cette tâche que l'on lira dans l'interface principale d'Hyper Backup dans la colonne de gauche (ex : Documents).
    On peut aussi choisir d'autres options. A vous de voir ce qu'il vous convient.
    NOTE : pour ceux qui veulent un peu plus de personnalisation sur le calendrier de sauvegarde, on verra ça un peu plus loin et pour ejecter automatiquement le disque dur après la sauvegarde effectuée, il suffit de cliquer sur "Supprimer la destination de l'appareil externe etc..." !
    ATTENTION : tout en bas de ces options se trouve le paramètre qui permet de chiffrer la sauvegarde. Je vous recommande vivement de la cocher puis d'entrer un mot de passe "fort" que vous n'oublierez pas. En cas d'oubli, il vous restera toujours la clé de sécurité fournie qui devra être stockée dans un endroit sécurisé pour qu'elle ne tombe pas entre de mauvaises mains. Libre à vous de ne pas la garder mais alors n'oubliez jamais votre mot  de passe sinon vous ne pourrez pas accéder aux données sauvegardées...

     
    7. Ensuite, on passe aux options de sauvegardes incrémentales et différentielles. Pour ne pas faire un pavé et afin que vous sachiez ce que ça veut dire, je vous renvoie directement sur la page wiki parlant de ce sujet. Je vous recommande cependant de travailler avec ces options afin d'optimiser la place de vos sauvegardes mais aussi vous assurer une restauration des fichiers qui auraient pu être supprimées entre deux sauvegardes.
    https://fr.wikipedia.org/wiki/Sauvegarde_(informatique)
    ATTENTION : une fois la configuration terminée sur cette fenêtre, répondre "NON" à la petite fenêtre qui s'est ouverte vous demandant si vous voulez "sauvegarder maintenant" SI vous souhaitez personnaliser plus précisément la planification de cette sauvegarde !


     
    8. Nous allons maintenant et rapidement voir comment configurer plus précisément la planification de cette sauvegarde.

     
    9. Comme on peut le voir sur l'image ci-dessous, il y a plus de possibilités sur la planification. A vous de voir selon vos besoins ce qu'il faut régler 😉

    10. Une fois cette planification configurée, on peut enfin lancer manuellement la première sauvegarde.

     
    *************************************************************
     
    Pour finir, voici un récapitulatif de l'interface principale d'Hyper Backup :

     
     
    Voilà, vous savez tout sur l'application Hyper Backup
    EDIT du 24.08.2018 :
    Voici comme demandé dans un autre topic comment monter automatiquement un disque dur externe afin d'ajouter une sécurité supplémentaire.
    Se connecter en SSH à son NAS avec le disque dur branché dans un port USB. Taper le commande "lsusb" qui permet de lister les périphériques branchés en USB. Retenir le numéro du disque. Aller dans le planificateur de tâche puis créer une tâche. Programmer la tâche pour que le disque soit monté quelques minutes avant la sauvegarde. (Ex: sauvegarde à 23h, on programme le montage auto du disque dur pour 22h55). En script, on va mettre ceci avec bien entendu le numéro de disque si il ne correspond pas à ce que j'ai de mon côté :  
    EDIT du 13.06.2019 :
    Procédure pour monter et démonter automatiquement un disque dur externe afin d'ajouter une sécurité supplémentaire.
    Monter le disque dur :
    1. Brancher son disque dur externe sur le port USB du NAS.
    2. Pour connaitre le port USB reconnu par le système ou se trouve le disque dur, on tape en SSH la commande :
    lsusb Résultat pour moi :

    3. La commande pour monter automatiquement le disque dur sera donc :
    echo usb2 > /sys/bus/usb/drivers/usb/unbind && echo usb2 > /sys/bus/usb/drivers/usb/bind Cette commande est à entrer dans votre planificateur de tâches.
    Démonter le disque dur :
    1.Pour démonter le disque dur proprement et sans recevoir une alerte du système, on doit d’abord connaitre le volume du disque dur utilisé par ce dernier. Pour ça, on tape la commande :
    /usr/syno/bin/synousbdisk -enum Résultat pour moi :

    Pour résumer, j'ai branché une baie de deux disques durs sur un port USB (usb2) du NAS. Les deux volumes pour mes deux disques durs de ma baie sont reconnus comme "sdq" et "sdr".
    2. Pour démonter proprement les disques, je vais donc utiliser la commande :
    /usr/syno/bin/synousbdisk -umount sdq && /usr/syno/bin/synousbdisk -umount sdq Résultat pour moi :

    puis :
    echo usb2 > /sys/bus/usb/drivers/usb/unbind Ces commandes sont à entrer dans votre planificateur de tâches.
  19. Like
    Jojo (BE) a réagi à aj13fr dans Comment Downgrade surveillance station   
    Je pensais avoir été clair   :
    Si tu choisis de télécharger la dernière version de Surveillance station à partir du centre de telechargement, tu vas récupérer un fichier avec un nom du type SurveillanceStation-"processeur"-"version".spk. Par exemple SurveillanceStation-x86_64-8.1.2-5469.spk pour mon DS216+II.
    Il suffit alors de choisir une version antérieure avec pour architecture "x86_64"
  20. Like
    Jojo (BE) a réagi à fla2paris dans Comment Downgrade surveillance station   
    PERFECT :)))))))))))))
    C'est bon, j'ai installé le SPK x86_64 - et tout remarche comme avant sur mon petit miniMac - je suis ravi.
    Merci aj13fr et Jojo, pour vos réponses rapides et claires, j'ai bien évidemment coupé les MAJ auto sur Surveillance Station et mi en place HyperBackup pour l'avenir, sait-on jamais.
    Très bonne continuation à vous et encore 1000 merci :)
     
  21. Like
    Jojo (BE) a réagi à j3r3m51 dans [Résolu] - Règle d'action : Périphérique externe   
    SOLUTION
    Après avoir retiré un à un chacun de mes cheveux, mes longues recherches m'ont menées sur ce sujet (Même problème sous Jeedom).
    Les requêtes HTTP de SS étant automatiquement redirigées vers des requêtes HTTPS, j'ai résolu la problématique en mettant https au lieu de http, au début de mon lien.
    Et ça a fonctionné directement !
     
    Merci beaucoup Jojo de m'avoir aidé tout au long de l'avancement de ma problématique !
    À bientôt sur les forums ! ;)
     
  22. Upvote
    Jojo (BE) a réagi à Terrano dans [Script] Web Api Synology   
    Franchement, le genre de commentaire completement inutile qui montre le peu de considérations que tu as des autres....

    Faudrait commencer à lire mon post :

    Ensuite, si mes réponses ne te conviennent pas, t'es pas obligé de répondre, où alors, je ne posterais plus rien pour aider les autres vu que ca à l'air de te géner...

    Vaut mieux essayer d'aider et de se tromper que de ne rien faire, chacun sa philosophie.
  23. Like
    Jojo (BE) a réagi à BL2 dans Accès à distance [BBox 3 - Belgacom/Proximus]   
    Bonjour amis belges,
     
    Certains d'entre-nous galèrent un peu pour configurer l'accès à distance à son syno avec la "nouvelle" box de Belgacom. J'ai créé un tutoriel pour un ami montrant, étape par étape, comment y parvenir. J'imagine que ce tuto peut en intéresser d'autre, le voici donc pour qui veut...
     
    Attention :
    Ce tuto est adapté aux clients de Belgacom disposant de la BBox 3 (la noire). Il existe 2 fabrications de cette BBox, l'une d'entre elle ne permet pas de se connecter "à distance" depuis le réseau local, penser à tester avec votre 3G ou au boulot par exemple. __________________________________________________________________________
    Remarques
    [01:10:2015] On me dit qu'un rappel des ports utilisés par le syno ne serait pas une mauvaise chose : https://www.synology.com/fr-fr/knowledgebase/faq/299
     
    __________________________________________________________________________
    1.       Se créer un nom de domaine .ovh (alternative aux services type no-ip, ...)
    2.       Configurer le domaine .ovh 
    3.       Configuration de la BBox 3 (Belgacom/Proximus)
    4.       Configurer le compte Proximus/Belgacom
    5.       Configurer le NAS
     
    __________________________________________________________________________
     
    1.       Se créer un nom de domaine .ovh
    1.1.    Se rendre sur www.ovh.fr
    1.2.    Introduire le nom de domaine souhaité dans le champ dédié et valider

    1.3.    Cliquer sur « Continuer »,

    1.4.    Sélectionner le « DNS Classique » (inutile d’augmenter les frais) et choisir l’offre « gold » qui est gratuite

    1.5.    Continuer sans prendre d’hébergement

    1.6.    Vérifier le résumé et introduire éventuellement un code promo

    1.7.    S’inscrire et/ou payer
    2.       Configurer le domaine .ovh
    2.1.    Se connecter à son espace ovh via https://www.ovh.com/manager/web/login/
    2.2.    Sélectionner le domaine dans la colonne de gauche

    2.3.    Se rendre dans l’onglet « DynHost »

    2.4.    Cliquer sur « Gérer les accès » puis « Créer un identifiant »
    2.5.    Créer un compte et valider

    2.6.    Cliquer sur le bouton gris avec le symbole « < » pour revenir à la liste des dynhosts
    2.7.    Cliquer sur « Ajouter un DynHost »
    2.8.    Choisir un sous-domaine qui redirigera vers le NAS, indiquer votre ip (pour la connaitre, aller sur http://www.mon-ip.com  )  puis valider

     
    3.       Configuration de la BBox 3 (Belgacom/Proximus)
    3.1.    Se connecter à sa box (192.168.1.1)
    3.2.    Se rendre dans le menu « Access Control » puis dans l’onglet « Port Mapping »

    3.3.    Créer des routes pour les différents services
    3.3.1. Le port 80 pour rediriger vers le serveur web du NAS
    3.3.2. Le port 5000 (4000 dans l’illustration) pour rediriger vers le DSM (Synology)
    3.3.3. Le port 1723 pour autoriser une connexion VPN

    3.4.    Valider et quitter (un reboot du modem peut être nécessaire, mais on le fera à la fin de l’étape 4)
    4.       Configurer le compte Proximus/Belgacom
    4.1.    Se connecter à son interface de gestion sur le site de proximus (anciennement les « e-services ») en se rendant sur https://admit.proximus.be/
    4.2.    Cliquer sur « Internet »

    4.3.    Dans le menu « Services », développer l’item « Technical profile » et choisir le profile « Basic » ouvrant les ports 80, 443 et 23 » puis valider

    4.4.    Redémarrer la box
    5.       Configurer le NAS
    5.1.    Se connecter à votre NAS puis aller dans le « Panneau de configuration », « Accès externe », cliquer sur « Ajouter »

    5.2.    Compléter les données avec celles utilisées dans l’étape 2 puis valider

    5.3.    Tester la connexion, ça devrait fonctionner.
    5.4.    Forcer la mise à jour en cliquant sur « Mettre à jour maintenant »
    6.       A présent, il suffit de se rendre sur les adresses correspondantes :
    6.1.    salut.mon-url.ovh                         à accès au server web
    6.2.    salut.mon-url.ovh:5000              à accès au DSM
  24. Upvote
    Jojo (BE) a réagi à Fenrir dans Différence entre Home et Homes   
    Le partage "home" est DANS le partage "homes" mais sous un autre nom, votre login
    Physiquement c'est rangé comme suit : /volume1/homes/<login>
    Dans la vue des dossiers partagées ou dans filestation, le dossier correspondant à la personne connectée est affiché à la racine sous le nom home, mais il s'agit bien du même dossier
  25. Upvote
    Jojo (BE) a réagi à PPJP dans Différence entre Home et Homes   
    Un petit complément pour vous rassurer sur la place semblant perdue.
    Lors de l'installation, 3 partitions dont crées sur chaque disque.
    Les deux premières correspondent au système : DSM et Swap
    La troisième sert pour le stockage des données.
    L'espace que vous croyez perdu correspond aux deux premières partitions (non visible depuis DSM)