.Shad.

Si le pare-feu Free ne permet pas de configurer des règles avancées, alors il faut a minima s'assurer que tout ce qui n'est pas derrière le routeur mais derrière la box est bien protégé.

@Emilien38 Ca donne déjà une base de départ, est-ce que les logs pour WebDAV sont activés ? https://kb.synology.com/fr-fr/DSM/help/WebDAVServer/webdav_server?version=7

Désolé réponse très succinte, pas le temps de suite, d'autres t'aideront sûrement plus, mais tu dois absolument réactiver le pare-feu IPv6 d'urgence.

@StéphanH La MFA permet de mitiger les attaques si tu n'as pas activé la 2FA sur tes comptes admin. Ca détecte les comportements inhabituels (par exemple tu te connectes en admin depuis un autre pays). Si tu as déjà activé la 2FA pour tes comptes admin, ce n'est pas spécialement utile.

Ici :

A ma connaissance, en IPv6 on ne distingue pas les adresses dans des termes publiques ou privés, mais par des scopes (à voir la traduction française). L'IP globale (2a0...) a un scope illimité, on peut aussi bien causer en local qu'à distance, tandis que l'adresse link-local permet de joindre les proches voisins (hop) et que l'adresse unique locale s'apparente plus ou moins aux réseaux de la RFC1918. Lorsque je contacte un périphérique local via son IPv6 c'est aussi l'adresse globale qui est utilisée dans mon cas, car le préfixe est distribué par le routeur. Utiliser du link-local ou unique local permet de s'affranchir de problèmes en cas de changement du préfixe (fréquent chez Proximus en Belgique).

Bienvenue parmi nous !

Bienvenue @Cyriu_ALB, moi je rêverais d'être calé en électronique 😄 mon prochain cheval de bataille ! Je fais de la conception mécanique au quotidien. Au plaisir de te croiser au détour d'un sujet 😉

Peut-être regarder si Syncthing ou Resilio-Sync permettrait de faire ce que tu veux.

@Mic13710 Je n'ai autorisé l'accès à DSM que pour montrer à @nicodep qu'accès DSM != droits admins

@nicodep Ca me semble ok, mais il n'empêche que ce que tu as dit plus haut est faux, donner l'accès à DSM ne donne pas accès à des droits majeurs. Ci-joints les droits de mon groupe backup : Et le bureau de DSM se résume à ça :

Bienvenue parmi nous 🙂

Bienvenue parmi nous ! ☺️

@Amelie Il me semble peu probable que tu aies pour uid 501, les UID < 1025 sont utilisés par DSM pour les utilisateurs du système interne. On peut regarder à distance si besoin par TeamViewer, je suis en congé aujourd'hui.

Excellente question, jamais eu ce message d'erreur pour ma part, j'espère que quelqu'un pourra t'aiguiller.

Bienvenue à toi 🙂 Ce n'est pas tant de la température que de l'humidité dont tu dois te méfier. 😉

Alors pour l'ID non ce n'est pas ça, quand je le fais chez moi : Tu dois trouver l'équivalent de ton 1026. Et pour le message d'erreur, dans mon exemple de fichier compose j'ai pas mis ça 🙂 j'ai remplacé le premier /etc/timezone par /etc/TZ

@goerges Tu as entièrement raison, erreur de ma part, je corrige.

@Amelie Tu dois effectivement activer le service SSH dans un premier temps et t'assurer qu'il est autorisé dans le pare-feu a minima pour l'IP locale de ton Mac. Puis tu lances effectivement l'application Terminal et tu te connectes avec un compte administrateur : ssh <compte_administrateur>@IP_LOCALE_DU_NAS Une fois connectée, si amdegehet est ton compte administrateur tu peux directement taper "id", la valeur à garder sera la première valeur affichée. Si pas, tu tapes "id <nom_utilisateur>. Ensuite tu remplaces XXXX par cet id. Tu mets version 2.1 à la place de 3, sinon il pourrait t'embêter, et tu tentes de redéployer le conteneur.

Il s'agit de se connecter à la console du NAS, via SSH (le nom du protocole), si tu es sur Windows tu peux utiliser ce tutoriel :

@Amelie Tu as loupé la partie où le XXXX doit être remplacé par l'ID de ton utilisateur, suivre les étapes que j'ai données en SSH. As-tu créé les dossiers que tu montes dans ton conteneur ? lms dans le dossier partagé docker config et playlists dans le dossier lms Je te conseille de localiser le fichier compose non pas dans le dossier docker mais dans le dossier lms. Tu peux aussi passer la version de 3 à 2.1 au début du fichier.

Docker c'est le logiciel qui permet d'exécuter des applications dans un espace isolé de DSM, ça a l'avantage de ne pas impacter les fichiers d'installation et les dépendances de DSM. C'est comme une machine virtuelle sauf qu'on ne lui associe pas des ressources dédiées, il prend ce dont il a besoin sur la machine hôte. Si tu fais le mappage de port comme expliqué précédemment, il te suffira d'entrer l'IP locale du NAS (192.168...) suivie du port (parmi les 4) qui expose l'interface de LMS.

Hello @Amelie, c'est bien de se lancer, Docker c'est pratique 🙂 mais pas vraiment naturel, je le reconnais. Comme l'a dit @Lelolo, tu as effectivement deux façons de procéder, en créant le conteneur directement ou bien en passant par un projet. Ce dernier permet de conserver les paramètres de configuration de ton conteneur, c'est donc préférable. C'est un point que je n'aborde pas dans le tutoriel introductif car l'ancienne mouture du paquet Docker ne permettait pas de le faire. Si tu décortiques le fichier compose, tu peux voir que les différentes sections du fichier reprennent en fait ce que tu as configuré en parcourant les sous-menus avec la méthode de création de conteneur en direct. Ce qu'il manquait dans ta première tentative c'était le mappage des ports, ici : L'idée c'est de faire comme tu fais avec ton routeur et ton NAS. Ton NAS n'est pas accessible directement depuis Internet, tu dois faire de la redirection de ports (encore appelée NAT) d'un port du routeur vers ton NAS pour accéder à un service donné. Ici c'est exactement la même chose, le NAS tient le rôle du routeur dans l'exemple précédent, et le conteneur le rôle du NAS. Donc dans l'impression ci-dessus, tu aurais dû préciser à la place de "Port local" le port du NAS qui va correspondre à celui du conteneur. Ici ton conteneur expose des services/API sur 4 ports distincts. Généralement, on utilise les mêmes ports sur l'hôte (le NAS), sauf si ceux-ci sont déjà utilisés. Et normalement, les logs te diront si c'est le cas lorsque tu essaieras de déployer ton conteneur. Maintenant revenons au fichier compose, je te propose quelques changements : Changer la version de 3 à 2.1 Volumes : les volumes permettent de préciser où l'application va lire et écrire les données, monter un volume crée un lien entre les dossiers du NAS et ceux du conteneur : Pour la configuration, tu peux créer un dossier "lms" et un sous-dossier "config" dans le dossier partagé docker ce qui donnera -> /volume1/docker/lms/config:/config:rw En faisant, tu dis que le dossier /volume1/docker/lms correspond au dossier /config dans le conteneur et qu'on peut lire et écrire dans ce dossier (rw) Pour la musique, et bien si tu le dossier partagé music par défaut de DSM, tu dois monter ce dossier en lecture seule (ro) -> /volume1/music:/music:ro Pour les playlists, à toi de voir où tu veux créer le dossier, ça pourrait être /volume1/docker/lms/playlists ou /volume1/music/playlists, ou tout autre dossier de ton choix IMPORTANT A COMPRENDRE : Si tu oublies de monter un volume, les données s'écrivent quand même, mais elles sont simplement très difficiles d'accès, pour simplifier disons qu'elles ne sont visibles que dans le conteneur. /etc/timezone doit devenir /etc/TZ sur les NAS Synology -> /etc/TZ:/etc/timezone Environment : ce sont les variables d'environnement qui personnalisent ton application, ici je te conseille d'ajouter les variables suivantes : PUID=XXXX Il s'agit de l'ID de l'utilisateur qui va exécuter l'application, et donc pour faciliter la gestion des permissions liées au dossier, je te conseille : de définir l'utilisateur en question comme propriétaire du dossier lms que tu as créé dans le dossier partagé docker -> clic droit / propriétés / propriétaire de t'assurer que l'utilisateur en question est capable de lire la musique du dossier partagé music Pour connaître cette ID, tu dois te connecter au terminal et taper id <nom_utilisateur> (sans les symbôles > et <) PGID=100 : C'est le groupe auquel appartient tous les users, c'est le choix le plus immédiat. Ca devrait donner quelque chose comme ça au final : version: '2.1' services: lms: container_name: lms image: lmscommunity/logitechmediaserver volumes: - /volume1/docker/lms/config:/config:rw - /volume1/music:/music:ro - /volume1/docker/lms/playlists:/playlist:rw - /etc/localtime:/etc/localtime:ro - /etc/TZ:/etc/timezone:ro ports: - 9000:9000/tcp - 9090:9090/tcp - 3483:3483/tcp - 3483:3483/udp environment: - HTTP_PORT=9000 - PUID=XXXX - PGID=100 restart: unless-stopped

Donner accès à DSM ne donne pas les droits administrateurs, je ne sais pas pourquoi tu dis ça. Et si tu comptes uniquement sur tes snapshots pour te protéger c'est qu'il y a une faille dans ton plan de sauvegarde. Tu peux par exemple t'inspirer de la méthode 3-2-1.

Tu ne véroleras rien avec un utilisateur dédié aux droits limités, d'autant si tu as mis en place une politique de rétention des instantanés, tu pourrais récupérer des données saines. Maintenant tu dis qu'il faut te connecter avec un compte administrateur à l'établissement du lien ? Parce qu'Hyper Backup demande aussi de se logger mais avec un compte non admin dédié au backup ça fonctionne. Est-ce que tu as coché l'option pour chiffrer le transfert des données ? A minima les droits d'écriture sur le dossier dans lequel tes instantanés sont stockés et le droit d'utiliser Snapshot Replication. Peut-être DSM aussi si ça ne suffit pas.