oracle7

@Macman Bonjour, Même après un redémarrage du NAS ? Ce n'est pas la solution la plus sûr en terme de confidentialité ni de sécurité. Commences par regarder et appliquer ce TUTO : Sécuriser les accès à son NAS. Ensuite comme tu sembles disposer un domaine en propre, alors regardes et appliques ce TUTO : Reverse Proxy qui te permettra d'avoir des redirections selon des sous-domaines différents ce qui sera bien plus souple à l'usage pour en plus un seul point d'entrée à ton NAS. Cordialement oracle7😉

@Macman Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Macman Bonjour, Tu y es presque, regardes dans "default_wallpaper" ils sont là ... Cordialement oracle7😉

@Macman Bonjour, Pour DSM 6.x : Regardes toujours ici en SSH sous root mais si tu modifies quoique ce soit, je crains fort que cela ne survivra pas à une mise jour de DSM. Pour DSM 7 : je ne sais pas mais cela peut-être le même chemin comme il peut avoir changé. Cherches autour ... Cordialement oracle7😉

@MilesTEG1 Bonjour, Bon bah super ! 🤗 Y-a-plus qu'à tester avec telegraf:latest ... Cela devrait le faire. Cordialement oracle7😉

@pateretwo Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ... Tu peux préciser STP ? c'est un utilisateur du groupe docker ? "777" sur quoi ? OK pourquoi pas, mais qu'as-tu mis exactement des ce fichier "grafana.ini" ? C'est juste par curiosité ... Cordialement oracle7😉

@MilesTEG1 Bonjour, Ah bon ? personnellement je ne me souviens pas de cette recommandation. De ce que j'ai compris, redémarrer un conteneur ne fait que repartir sur les paramètres donnés à sa création. Donc si tu modifies des infos en amont, il faut systématiquement créer le conteneur : down puis up -d. J'avais zappé désolé et tout simplement maintenant je dirais parce que je ne sais plus, alors plutôt que dire ces c...ies quant à sa présence ... En attendant cette ligne ne me gêne pas, alors elle reste jusqu'à ce qu'on me dise de façon argumentée qu'elle est inutile. Cordialement oracle7😉

@.Shad. Bonjour, Comme demandé voici mon docker-compose pour le monitoring : # # Doc de Influxdb : https://docs.influxdata.com/influxdb/v1.8/ # Depot GitHub Influxdb : https://github.com/influxdata/influxdb # # Doc de Telegraf : https://docs.influxdata.com/telegraf/v1.17/ # Depot GitHub Telegraf : https://github.com/influxdata/telegraf # # Doc de Grafana : https://grafana.com/docs/grafana/latest/ # Depot GitHub Grafana : https://github.com/grafana/grafana #--- version: "2.1" services: influxdb: image: influxdb:1.8 container_name: influxdb hostname: influxdb environment: - INFLUXDB_DB=nas_telegraf - INFLUXDB_ADMIN_USER=admin - INFLUXDB_ADMIN_PASSWORD=admin - INFLUXDB_USER=nas_telegraf - INFLUXDB_USER_PASSWORD=nas_telegraf - INFLUXDB_HTTP_AUTH_ENABLED=true - INFLUXDB_META_RETENTION_AUTOCREATE=false labels: - "com.centurylinklabs.watchtower.enable=true" volumes: - "/volume1/docker/influxdb/data:/var/lib/influxdb" mac_address: d2:ca:ab:cd:00:02 networks: monitoring: ipv4_address: 172.20.0.2 ports: - 8086:8086 restart: unless-stopped telegraf: # image: telegraf:1.20.2 image: telegraf:latest container_name: telegraf user: 1038:65539 hostname: telegraf depends_on : - influxdb labels: - "com.centurylinklabs.watchtower.enable=true" volumes: - "/volume1/docker/telegraf/telegraf.conf:/etc/telegraf/telegraf.conf:ro" - "/proc:/host/proc:ro" # - "/usr/share/snmp/mibs:/usr/share/snmp/mibs:ro" - "/volume1/docker/mibs/:/usr/share/snmp/mibs:ro" # - "/volume1/docker/telegraf/mibs/hik/:/usr/share/snmp/mibs/hik:ro" # Pour superviser Docker - "/var/run/docker.sock:/var/run/docker.sock:ro" - /etc/TZ:/etc/timezone:ro mac_address: d2:ca:ab:cd:00:03 networks: monitoring: ipv4_address: 172.20.0.3 ports: - 8125:8125/udp - 8092:8092/udp - 8094:8094 restart: unless-stopped grafana: image: grafana/grafana:latest container_name: grafana hostname: grafana depends_on : - influxdb - telegraf environment: - GF_INSTALL_PLUGINS=grafana-piechart-panel labels: - "com.centurylinklabs.watchtower.enable=true" volumes: - "/volume1/docker/grafana/data:/var/lib/grafana" user: "1030:101" mac_address: d2:ca:ab:cd:00:04 networks: monitoring: ipv4_address: 172.20.0.4 ports: - 3000:3000 restart: unless-stopped networks: monitoring: external: true root@monnas:~# cat /etc/passwd | grep 1038 telegraf:x:1038:100:Utilisateur Docker:/var/services/homes/telegraf:/sbin/nologin root@monnas:~# id telegraf uid=1038(telegraf) gid=100(users) groups=100(users),65539(docker) Cordialement oracle7😉

@MilesTEG1 Bonjour, Dans WinSCP --> Clicdroit sur le fichier/dossier --> Propriétés. Sinon et c'est valable pour tout système basé sur UNIX : la valeur des droits en octal se détermine tel que : R = 4, W= 2 et X=1 Droits étendus pour les répertoires : SUID bit = 4, SGID bit = 2 et Stiky bit = 1 Et en sommant les valeurs pour respectivement le répertoire, le propriétaire, le groupe et les Autres/Tous. C'est à dire par exemple : Droits = 0755 se traduit en : Droits étendus = 0 soit pas d'SUID, pas de SGID, pas de Stiky bit Propriétaire = 7 soit RWX donc 4+2+1 Groupes = 5 soit RX donc 4 + 1 Autres = 5 soit RW donc 4 + 1 Droits 0666 se traduit en : Droits étendus = 0 soit pas d'SUID, pas de SGID, pas de Stiky bit Propriétaire = 6 soit RW donc 4 + 2 Groupes = 6 soit RW donc 4 + 2 Autres = 6 soit RW donc 4 + 2 Dans le cas de ton fichier var/run/docker.sock tu as (vu ton ls- al) les droits : 1660 alors que moi j'ai : 0666. Là c'est toi qui défini la durée lorsque tu crées la rétention (par ex ici 2w soit 15jours) : CREATE RETENTION POLICY "Retention15j" ON "nas_telegraf" DURATION 2w REPLICATION 1 DEFAULT Je n'en vois pas l'intérêt, laisses l'user standard soit root et donc par de user à spécifier pour les services Influx_DB et et telegraf dans le docker-compose.yml. Seule exception c'est le service grafana où tu précises l'utilisateur qui affichera tes panels. Chez moi c'est tout simplement mon utilisateur avec droits d'admin : " user: "1030:101" ". Sauf erreur de ma part, ces permissions sont en quelque sorte "figées" lors de la création du conteneur. Elles sont recopiées depuis le dossier à monter et affectées au dossier monté dans le conteneur. Il est donc illusoire de vouloir les modifier que se soit dans le conteneur (après création) comme dans le dossier d'origine à monter car elles ne seront pas recopiée dans le conteneur existant. Ceci est normal à partir du moment où tu lances le script "livebox4.sh" en manuel avec l'option "-e" d'exécution. Tu crées ainsi des données supplémentaires à chacune de ces exécutions manuelles qui sont de fait affichées dans le panel. De toutes façons, ce n'est pas gênant quand tu le sais 😋 Ces doublons disparaitront d'eux même après les exécutions normales (en automatique) du script. Cordialement oracle7😉

@sambot Bonjour, Tu es sûr de ton coup là ? as-t-il ne serait ce qu'une fois marché dans ce sens car il y a un truc qui m'interpelle dans ton affaire et qui n'est pas logique, ou bien je me trompe ou bien tu ne formules pas bien les choses en confondant le mode arrêt et peut-être le mode veille. Il faut appeler un chat un chat ... Quand le NAS est en marche, le gestionnaire de tâches est actif et là une tâche programmée arrêtera bien le NAS le moment voulu. Jusque là OK. Quand le NAS est à l'arrêt, alors, à ma connaissance (mais je peux me tromper) il n'a aucun programme/deamon en interne qui tourne et a fortiori sûrement pas le gestionnaire de tâches, logique non ? Donc comment veux-tu activer ce même gestionnaire de tâches pour "démarrer" le NAS, c'est tout bonnement impossible ! Par contre si ton NAS est en mode veille c'est à dire non éteint (sachant que, sauf erreur de ma part, le gestionnaire de tâches n'est toujours pas actif dans ce mode), alors via WOW ou WOL il est possible de le réveiller par l'envoi d'un paquet magique en UDP sur le port 9 de l'@IPlocale du NAS, depuis une machine externe avec la commande adéquate (@IP externe WOW (ou locale WOL), @MAC NAS et @IP locale NAS). Cordialement oracle7😉

@Jeff777 Bonjour, Là je crains que tu ne traînes une autre c....ie ailleurs 🥴 car je suis en telegraf/latest et aucun soucis ... Et sur ce coup là mon magasin à idées est en rupture de stock 🤪 Après recréation du conteneur et lancement, les logs telegraf ne te donnes pas de pistes d'anomalies ??? Cordialement oracle7😉

@mcgyver47 Bonjour, N'hésites pas et bon courage pour cette aventure ...😜 Cordialement oracle7😉

@MilesTEG1 Bonjour, Sur le fichier "/var/run/docker.sock" j'ai les permissions "0666" pour "root/root". Par rapport au TUTO dans le docker-compose.yml de telegraf_lb4 j'ai juste ajoutée cette ligne dans la partie "volumes:" : - "/var/run/docker.sock:/var/run/docker.sock:ro" Mon répertoire de montage dans le conteneur et correspondant à la ligne dans la partie "volumes:" : - "/volume1/docker/livebox4:/opt/livebox4/" a les droits "0775" pour "root/root". Je vois que que tu n'as pas "joué" avec la rétention des données vu que tu es toujours en "autogen" contrairement à moi : Pourquoi dans ton conteneur telegraf_lb4 tes fichiers config.json et livebox4.sh appartiennent-ils au group "users" ? Moi j'ai ceci : root@monnas:~# docker exec -it telegraf_lb4 bash I have no name!@telegraf_lb4:/$ cd /opt/livebox4/ I have no name!@telegraf_lb4:/opt/livebox4$ ls -al total 116 drwxrwxrwx 1 root root 76 Jun 30 14:12 . drwxr-xr-x 1 root root 16 Dec 23 01:31 .. -rwxrwxrwx 1 root root 225 Mar 3 2021 config.json drwxrwxrwx 1 root root 658 Mar 2 2021 data drwxrwxrwx 1 root root 814 Mar 2 2021 data_json -rwxrwxrwx 1 root root 113012 Jul 1 10:29 livebox4.sh drwxrwxrwx 1 root root 252 Dec 26 13:00 log I have no name!@telegraf_lb4:/opt/livebox4$ Le pourquoi de l'erreur est peut-être là, non ? C'est pour éviter cela (changement @IP lors des recréations de conteneurs) que je leur donne à tous (mes services dans mes conteneurs) une @IP fixe : networks: monitoring: ipv4_address: 172.20.0.6 dans mes fichiers docker-compose.yml (cf §3.2 du TUTO). Cordialement oracle7😉

@nicolas_geneva Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ce TUTO : Reverse Proxy qui devrait répondre à ton besoin. Cordialement oracle7😉

@mcgyver47 Bonjour, Sauf erreur de ma part, je dirais aucune. Les seules différences DSM7 vs DSM6 : certaines fonctionnalités ont juste changer d'écran sous DSM7 (usage plus logique). Sinon Box Bouygues vs LiveBox, il te suffit de transposer les fonctions impactées de la Livebox, à l'interface près, il semble que ce soit facilement faisable vu les retours d'autres membres ici qui l'ont fait et même pour certains avec d'autres Box. Donc ... Lis bien le TUTO et identifies bien les fonctions et tu les retrouveras sans problème. Désolé, je ne puis t'aider plus avant sur ce point, tu le comprendras aisément. Cordialement oracle7😉

@MilesTEG1 Bonjour, Si aucun panel n'affiche quoique ce soit, je pense que c'est un problème avec Grafana et en particulier avec la source de donnée indiquée pour chaque panel (edit panel et popup "Data source" dans l'entête juste avant la requête). Vérifies, en principe cela devrait être "Livebox4_InfluxDB" (à moins que tu ne l'ai renommée) et ce n'est pas le script "livebox4.sh" qui est en cause car on voit bien qu'il écrit bien toutes tes données extraites de la LB4 dans la BD InfluxDB "livebox4_db". Sinon, Quelle version du script utilises-tu ? N'aurais-tu as changée l'@IP du conteneur InfluxDB (dans le network monitoring) sans mettre à jour le fichier "config.json" (§6.1 TUTO) pour le monitoring de la LB ? Pour info je suis sous : InfluxDB v1.8.10 telegraf v1.21.1 grafana v8.3.3 Cordialement oracle7😉

@diablotin19 Bonjour, Tu n'as normalement pas besoin de faire de transfert de ports au niveau du NAS. De plus si tu avais suivi le TUTO : Sécuriser les accès à son NAS, tu aurais vu qu'il n'est pas du tout recommandé de configurer quoi que ce soit dans la partie routeur du NAS. C'est une véritable trou de sécurité. Donc, si j'étais toi, je supprimerai ces transferts de ports et désactiverai la configuration routeur sur le NAS pour faire ces transferts sur ta box, de ta box vers le NAS. En plus à la vue de ta copie d'écran, les ports 5000 et 5001 ne doivent pas être transférés car dans l'état tu exposes ton NAS directement. Question sécurité c'est pas bien !!! Reboot ton NAS une fois la configuration routeur supprimée. Par contre, tu ouvres/autorises ces mêmes ports dans le pare-feu du NAS tel que expliqué dans le TUTO suscité. Cordialement oracle7😉

@Jeff777 Bonjour, Je ne sais si cela suffit, mais du jour où j'ai remarqué l'erreur suite à l'info de @MilesTEG1 (au passage encore Merci à lui), j'ai corrigé tel que : # perdevice = true perdevice = false perdevice_include = ["cpu", "blkio", "network"] # total = false total = true total_include = ["cpu", "blkio", "network"] Et depuis tout est OK. Si tu regardes en arrière dans le post, j'ai signalé la chose à @.Shad. pour qu'il mette un couplet sur ce point dans son TUTO. Cordialement oracle7😉

Bonjour, @Jeff777 Bizarre ton affaire, je suis passé aussi en telegraf 1.21.1 automatiquement et tout roule, aucun soucis et les corrections pour "perdevice et total" sont faites depuis bien longtemps déjà. Cordialement oracle7😉

@MilesTEG1 Bonjour, Tout est OK chez moi. Peut-être que tu aurais un problème de remontée telegraf ? Cordialement oracle7😉

@dom2 Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Le wilcard dans la zone DNS chez OVH est là pour t'éviter de définir autant d'enregistrements CNAME que tu utilises de sous-domaines. Ni plus ni moins. Donc cela ne gêne en rien et cela ne t"empêche pas d'utiliser des sous-domaines spécifiques tels que maison.moi.fr bien au contraire et ce sera transparent pour toi. Attends que ton NAS1 soit opérationnel, pour tout mettre en place pour l'accès externe sinon tu risques de configurer des choses incompatibles pour la suite. Lis bien tous les TUTO en attendant. Maintenant ce que j'en dit ... Cordialement oracle7😉

@Auyin31 Bonjour, Qu'est-ce qui te bloque ? Même si tu n'ouvres pas ton NAS à l'extérieur, il faut quand même mettre en place la sécurité a minima, c'est important. Ensuite pour l'ouvrir à l'extérieur ce sera plus facile le moment venu car les choses seront toutes déjà en place et comme cela aussi pas (moins) de risque de faire des bêtises. N'hésites pas à le relire à tête reposée et à te documenter sur les notions abordées et si vraiment cela coince, reviens ici poser tes questions. Surtout ne fait rien sans avoir compris au préalable le pourquoi du comment car cela ne le fera pas ... Je ne peux pas mieux te dire. Cordialement oracle7😉

@dom2 Bonjour, A la lecture de ton post initial, désolé mais je crains que tu n'ai empilé tout un tas de mauvaises (voir de très) configurations. Point 1) --> Puisque ton domaine est chez OVH, il est inutile de configurer un DynDNS dans la Livebox. Donc commences par supprimer ce paramétrage. Ensuite, chez OVH tu crées ton DynHost en suivant ce TUTO : Juste un détail à l'étape III, tu ne renseignes pas le champ "subdomain" comme préconisé avec une " * " mais tu le laisses vide. Ainsi tu disposeras d'un dynHost sur ton domaine "moi.fr". Puis tu reviens sous DSM et tu configures ton DDNS (" Accés externe > DDNS > Ajouter ") avec les informations issues de ta configuration chez OVH. Tu vérifies que ton NAS est bien accessible avec dans un terminal sous SSH avec l'utilisateur root (voir le TUTO : Accés SSH et ROOT via DSM6 si besoin), tu tapes la commande " nslookup moi.fr 8.8.8.8 " cela doit te renvoyer ton @IP externe. Au passage, dans la zone DNS chez OVH, tu t'assures qu'il n'y a pas d'enregistrement de type "A" qui fasse pointer ton domaine vers ton @IP externe sinon il faut le supprimer vu que tu as une @IP externe dynamique. Assures-toi aussi d'avoir un enregistrement "wilcard" pour ton domaine càd " *.moi.fr " qui pointe vers ton domaine " moi.fr " à l'aide d'un enregistrement de type CNAME. Soit quelque chose comme cela : " *.moi.fr. 0 CNAME moi.fr. ". Ainsi tous les sous-domaines en " xxxx.moi.fr " que tu utiliseras seront automatiquement couverts et reconnus valides. Enfin, sous DSM, assures-toi d'avoir créé un certificat Let'sEncrypt pour ton domaine " moi.fr " sur le NAS1. Si tu le crées via DSM, dans " Autre nom de l'objet " il te faudra indiquer la liste complète de tes sous-domaines séparés par des ";". Sachant que la chaine de cette liste ne doit pas dépasser 254 caractères. Ce certificat créé, tu l'exportes ensuite du NAS1 et tu recharges les fichiers correspondants en les important dans le NAS2. --> Un même certificat pour les deux NAS ! Maintenant, si tu veux un certificat LE "wilcard", il te faut passer par une autre méthode de création selon que ton NAS supporte ou pas Docker. Voir respectivement ces TUTOs ici (pas docker) et ici (avec Docker). Point 2) --> Au niveau de la Livebox, tu n'as besoin que de transférer que les ports 80 et 443 de la Livebox vers le NAS 1. Au passage, toujours sur la Livebox, donne une @IP locale fixe à tes NAS 1 et NAS2. Pour cela dans " Mes équipements " tu commences par donner un nom à chacun de tes NAS. Ensuite dans " Réseau > DHCP ", avec l'@MAC de chaque NAS tu attribues à chacun, un bail statique DHCP et une @IP locale choisie impérativement en dehors (< ou > peu importe) de la plage d'attribution automatique du DHCP (début - fin). Reboot ensuite chacun des NAS pour qu'ils récupères cette nouvelle @IP locale. Point 3) --> Tu peux faire pareil pour le NAS1 Point 4) --> Comme tu n'as pas de routeur autre que ta Livebox pour gérer la sécurité de ton réseau local, il ne faut surtout pas indiquer comme tu l'as fait de DMZ pour ton NAS1 car dans l'état tu l'exposes complétement à Internet sans aucune protection de la Livebox. Très mauvaise fausse bonne idée, donc supprimes tout dans l'onglet DMZ de la Livebox. Point 5) --> Dans le NAS2, tu n'as pas besoin de définir de DDNS, tout au plus dans " Accés externe > Avancé > Champ Hôte/IPStatique " tu saisis le domaine spécifique à ton NAS2 soit " monnas2.moi.fr ". Pour le NAS1, tu dois avoir configuré le DDNS comme au point 1 ci-dessus et dans " Accés externe > Avancé > Champ Hôte/IPStatique " tu saisis le domaine spécifique à ton NAS1 soit " monnas1.moi.fr ". Ensuite, tu appliques le TUTO ReverseProxy comme cela t'as été préconisé par @Jeff777 précédemment (suivi les conseils qu'il t'a donné). Ainsi seul ton NAS1 sera la porte d'entrée depuis l'extérieur à ton réseau local. De fait ton NAS2 sera quand même accessible mais protégé par le NAS1. C'est ton NAS1 qui redirigera automatiquement les flux destinés à ton NAS2 vers celui-ci. Nota : les sous-domaines utilisés pour atteindre directement les NAS ne doivent pas reprendre le nom du NAS sinon cela ne marchera pas. Tu fais nas1.moi.fr et nas2.moi.fr par ex mais pas de nomnas1.moi.fr ou nomnas2.moi.fr si tes NAS sont respectivement nommés nomnas1 et nomnas2. Point 6) --> Il est inutile, sauf à apporter de la confusion pour toi à l'usage, de modifier les ports par défauts du NAS qui doivent rester à 5000 pour HTTP et à 5001 pour HTTPS. C'est encore une fausse bonne idée (trop répandue), car tu ne fais que de retarder d'une minute tout au plus un malveillant qui scannerait les ports de ton NAS pour l'attaquer. Il vaut mieux sécuriser parfaitement le NAS en appliquant les préconisations du TUTO : Sécuriser les accès à son NAS ce sera bien plus efficace. Maintenant c'est toi qui voit ... Cordialement oracle7😉

@Toty Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour t'assurer que tu as bien démarré. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@Syrryllo Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉