Analyse de la structure actuelle du tutoriel et modifications à apporter.

Une instance de vDSM 7.2 est déployée parallèlement pour vérifier les modifications à apporter.

Pour les fonctionnalités importantes nécessitant plus d'explications ou le contenu de la doc DSM, on utilisera des balises spoilers.

• Préambule, sécurité, quoi sécuriser ?
  • OK pour le fond
  • Raccourcir fortement pour aller à l'essentiel

PANNEAU DE CONFIGURATION

• Services de fichiers :
  • La présentation des onglets a changé, les différents services ont chacun leur section maintenant
  • SMB :
    • Mettre le lien de la documentation Synology concernant la description des paramétrages possibles de cette section : https://kb.synology.com/fr-fr/DSM/help/SMBService/smbservice_smb_settings?version=7
    • Recommander de cocher "Masquer les dossiers partagés pour les utilisateurs ne disposant pas d'autorisation"
    • Paramètres avancés :
      • NOUVELLES OPTIONS : Protocole MAX : SMB3, MIN : SMB2 & Large MTU, Mode de chiffrement du transport : Défini par le client, Activer la signature serveur : Désactiver
      • Désactiver Opportunistic locking (sauf éventuellement en environnement multi-utilisateurs concourrents)
      • Cocher "Contrôler les modifications apportées à tous les sous-dossiers du répertoire"
  • AFP/NFS/FTP/rsync => désativés par défaut
  • Avancé : OK
• Utilisateur :
  • Création d'autre compte admin maintenant intégrée à la procédure d'installation, conserver toutefois la procédure pour les anciennes versions de DSM)
  • Conserver l'interdiction d'accès aux dossiers partagés
  • Supprimer la restriction d'administration des apps et la restriction de bande passante (réservées éventuellement au tuto "parano" de @PiwiLAbruti)
  • Conserver et màj l'activation de la 2FA (+ procédure de récupération)
• Groupe :
  • Non abordés dans le tutoriel, ils permettent de limiter une configuration fastidieuse des utilisateurs et de régler rapidement leurs permissions, décrire succintement l'intérêt
• Mot de passe : OK, favoriser l'utilisation de phrase de passe plutôt que de mot de passe, évoquer les gestionnaires de mot de passe (Keepass cité par Fenrir + autres)
• DDNS :
  • QuickConnect : OK
  • DDNS : OK
  • Configuration du routeur : OK
  • Avancé : OK
• Réseau :
  • IPv4 : OK
  • IPv6 : Fenrir bottait en touche à l'époque et conseillait de la désactiver, questions à se poser :
    • Est-ce que le geoblocage inclut les pool d'IPv6 autant que les IPv4 ? si @PiwiLAbruti, @maxou56 ou quiconque a une idée, sinon je ferai des tests pour le déterminer. Blocage IPv4 et IPv6
  • Général - Paramètres avancés :
    • Cocher "Répondre aux demandes ARP si l'adresse IP cible est une adresse locale configurée sur l'interface entrante"
    • Ne pas cocher "Activer voir les passerelles multiples"
    • Cocher "Activer la détection des conflits IP"
    • Cocher "Appliquer le domaine fourni par le serveur DHCP"
  • La fonction de redirection HTTP -> HTTPS automatique a été déplacée
• Sécurité :
  • Sécurité : OK, attention parler de l'option proxy fiable pour proxy inversé autre que celui de DSM, nécessité d'ajouter son CIDR (IP/32) pour l'affichage de l'IP source.
  • Compte :
    • 2FA : Procédure à décrire, màj de celle de Fenrir, déconseiller Secure Signin (?), privilégier OTP
    • Adaptative MFA : A ajouter
    • Protection du compte : Autrefois dans blocage auto => OK
  • Parefeu : Privilégier un réglage de pare-feu par interface plutôt que via toutes les interfaces, ajout règle autorisation ICMP dans toutes les interfaces (pour IPv6 entre autres)
  • Protection : OK
  • Certificat : Soit intégrer la procédure de création d'un certificat, DNS-01 ou HTTP-01, soit laisser des avertissements généraux comme l'a fait Fenrir, soit renvoyer vers un autre tutoriel (lequel?) @Mic13710
    Explications pour certificat wildcard pour domaine Synology + paramétrage + lien vers tuto de @Einsteinium pour domaine autre (acme sous docker)
  • Avancé :
    • Niveau de profil TLS moderne par défaut, avertir du besoin éventuel de passer en intermédiaire (vérifier plus avant les conditions où le chiffrement moderne ne convient pas)
    • Paramètres personnalisés : en cas d'incompatibilité moderne, possible de différencier le niveau de chiffrement (TLS 1.X) suivant applications
  • Terminal SNMP : OK + lien vers tuto de unPixel
• Centre d'infos :
  • Analyse du périphérique : Décocher "Analyse du périphérique" et "Partager l'emplacement du réseau" (Utiliser Synology Assistant à la place)
• Options régionales / NTP
  • OK
  • Raccourcir un peu
  • Onglet heure actuelle -> Date & Temps
• Portail de connexion :
  • DSM : Décocher redirection http -> https
  • Toutes sections : parler succintement du fonctionnement d'un proxy inversé, renvoyer vers le tutoriel de @Kawamashi (le tutoriel aurait aussi besoin d'une remise à neuf)
• Notifications :
  • Revu en profondeur avec DSM 7.1 et 7.2, parler des notifications par email mais aussi par Discord (par extension, tout autre système ayant une API à disposition)
  • Compte Synology : Activer les notification
• Matériel & alimentation :
  • Parler de l'intérêt d'un onduleur
  • Niveau de luminosité des LEDs du NAS (pour ceux qui l'ont dans une pièce de vie)
  • Hibernation des disques durs désactivée
• Périphériques externes : avertir de la non prise en charge de la plupart des périphériques USB par DSM
• Mise à jour & restauration :
  • Avertir des màj, ne pas les installer
  • Importance de la sauvegarde de la configuration + export régulier sur un périphérique externe
• Privilèges d'application : conforter les propos de Fenrir, réduire les autorisations a minima (DSM et Filestation par exemple)
• Services d'indexation : RAS

GESTIONNAIRE DE STOCKAGE

• Créer des tests S.M.A.R.T. pour les disques => @Mic13710 @maxou56 @PiwiLAbruti Je ne sais pas vous mais lors de mes dernières réinstallations ces tâches n'ont jamais été créées automatiquement, je les ai ajoutées manuellement depuis le gestionnaire de stockage, soit je m'y prends mal et il y a moyen qu'elles soient créées automatiquement à l'installation, soit je propose d'ajouter leur création au tutoriel.
  • => Proposition : 1 test étendu par disque par mois (décaler d'une semaine entre chaque disque) | 1 test rapide par semaine par disque (décaler d'un jour entre chaque disque) | 1 vérification des données tous les 3 mois

CENTRE DE PAQUETS

• Ajouter Synocommunity à la liste des dépôts et installation des applications SynoCLI pour faciliter le débogage via le terminal.
• Installer le paquet Éditeur de texte

CONSEILLER DE SÉCURITÉ

• Par défaut, pour une utilisation personnelle et privée, il n'est plus spécialement recommandé par le conseiller de changer le port par défaut de DSM contrairement au moment où Fenrir a rédigé son tutoriel => Réglages par défaut OK
• Activer la planification d'analyse régulière

C'est tout pour moi concernant le plan du tutoriel, je vais essayer de le finaliser courant août, sinon ce sera septembre :

Si vous avez des remarques, profitez tant que j'en suis au brouillon, ce sera d'autant plus facile pour moi d'en tenir compte et de les intégrer.

Merci à tous

@Mic13710 @Lelolo @DaffY @Einsteinium @maxou56 @PiwiLAbruti @oracle7

Modifié le 5 août 20232 a par .Shad.

Le 21/07/2023 à 23:30, .Shad. a dit :

Est-ce que le geoblocage inclut les pool d'IPv6 autant que les IPv4 ?

Oui.

user@host:~# ls /usr/share/xt_geoip
A1.iv4  AX.iv4  BS.iv4  CO.iv4  EH.iv4  GH.iv4  HT.iv4  KG.iv4  LT.iv4  MQ.iv4  NO.iv4  PT.iv4  SJ.iv4  TH.iv4  UZ.iv4
A1.iv6  AX.iv6  BS.iv6  CO.iv6  EH.iv6  GH.iv6  HT.iv6  KG.iv6  LT.iv6  MQ.iv6  NO.iv6  PT.iv6  SJ.iv6  TH.iv6  UZ.iv6
A2.iv4  AZ.iv4  BT.iv4  CR.iv4  ER.iv4  GI.iv4  HU.iv4  KH.iv4  LU.iv4  MR.iv4  NP.iv4  PW.iv4  SK.iv4  TJ.iv4  VA.iv4
A2.iv6  AZ.iv6  BT.iv6  CR.iv6  ER.iv6  GI.iv6  HU.iv6  KH.iv6  LU.iv6  MR.iv6  NP.iv6  PW.iv6  SK.iv6  TJ.iv6  VA.iv6
AD.iv4  BA.iv4  BV.iv4  CU.iv4  ES.iv4  GL.iv4  ID.iv4  KI.iv4  LV.iv4  MS.iv4  NR.iv4  PY.iv4  SL.iv4  TK.iv4  VC.iv4
AD.iv6  BA.iv6  BV.iv6  CU.iv6  ES.iv6  GL.iv6  ID.iv6  KI.iv6  LV.iv6  MS.iv6  NR.iv6  PY.iv6  SL.iv6  TK.iv6  VC.iv6
AE.iv4  BB.iv4  BW.iv4  CV.iv4  ET.iv4  GM.iv4  IE.iv4  KM.iv4  LY.iv4  MT.iv4  NU.iv4  QA.iv4  SM.iv4  TL.iv4  VE.iv4
AE.iv6  BB.iv6  BW.iv6  CV.iv6  ET.iv6  GM.iv6  IE.iv6  KM.iv6  LY.iv6  MT.iv6  NU.iv6  QA.iv6  SM.iv6  TL.iv6  VE.iv6
AF.iv4  BD.iv4  BY.iv4  CW.iv4  EU.iv4  GN.iv4  IL.iv4  KN.iv4  MA.iv4  MU.iv4  NZ.iv4  RE.iv4  SN.iv4  TM.iv4  VG.iv4
AF.iv6  BD.iv6  BY.iv6  CW.iv6  EU.iv6  GN.iv6  IL.iv6  KN.iv6  MA.iv6  MU.iv6  NZ.iv6  RE.iv6  SN.iv6  TM.iv6  VG.iv6
AG.iv4  BE.iv4  BZ.iv4  CX.iv4  FI.iv4  GP.iv4  IM.iv4  KP.iv4  MC.iv4  MV.iv4  OM.iv4  RO.iv4  SO.iv4  TN.iv4  VI.iv4
AG.iv6  BE.iv6  BZ.iv6  CX.iv6  FI.iv6  GP.iv6  IM.iv6  KP.iv6  MC.iv6  MV.iv6  OM.iv6  RO.iv6  SO.iv6  TN.iv6  VI.iv6
AI.iv4  BF.iv4  CA.iv4  CY.iv4  FJ.iv4  GQ.iv4  IN.iv4  KR.iv4  MD.iv4  MW.iv4  PA.iv4  RS.iv4  SR.iv4  TO.iv4  VN.iv4
AI.iv6  BF.iv6  CA.iv6  CY.iv6  FJ.iv6  GQ.iv6  IN.iv6  KR.iv6  MD.iv6  MW.iv6  PA.iv6  RS.iv6  SR.iv6  TO.iv6  VN.iv6
AL.iv4  BG.iv4  CC.iv4  CZ.iv4  FK.iv4  GR.iv4  IO.iv4  KW.iv4  ME.iv4  MX.iv4  PE.iv4  RU.iv4  SS.iv4  TR.iv4  VU.iv4
AL.iv6  BG.iv6  CC.iv6  CZ.iv6  FK.iv6  GR.iv6  IO.iv6  KW.iv6  ME.iv6  MX.iv6  PE.iv6  RU.iv6  SS.iv6  TR.iv6  VU.iv6
AM.iv4  BH.iv4  CD.iv4  DE.iv4  FM.iv4  GS.iv4  IQ.iv4  KY.iv4  MF.iv4  MY.iv4  PF.iv4  RW.iv4  ST.iv4  TT.iv4  WF.iv4
AM.iv6  BH.iv6  CD.iv6  DE.iv6  FM.iv6  GS.iv6  IQ.iv6  KY.iv6  MF.iv6  MY.iv6  PF.iv6  RW.iv6  ST.iv6  TT.iv6  WF.iv6
AO.iv4  BI.iv4  CF.iv4  DJ.iv4  FO.iv4  GT.iv4  IR.iv4  KZ.iv4  MG.iv4  MZ.iv4  PG.iv4  SA.iv4  SV.iv4  TV.iv4  WS.iv4
AO.iv6  BI.iv6  CF.iv6  DJ.iv6  FO.iv6  GT.iv6  IR.iv6  KZ.iv6  MG.iv6  MZ.iv6  PG.iv6  SA.iv6  SV.iv6  TV.iv6  WS.iv6
AP.iv4  BJ.iv4  CG.iv4  DK.iv4  FR.iv4  GU.iv4  IS.iv4  LA.iv4  MH.iv4  NA.iv4  PH.iv4  SB.iv4  SX.iv4  TW.iv4  XK.iv4
AP.iv6  BJ.iv6  CG.iv6  DK.iv6  FR.iv6  GU.iv6  IS.iv6  LA.iv6  MH.iv6  NA.iv6  PH.iv6  SB.iv6  SX.iv6  TW.iv6  XK.iv6
AQ.iv4  BL.iv4  CH.iv4  DM.iv4  GA.iv4  GW.iv4  IT.iv4  LB.iv4  MK.iv4  NC.iv4  PK.iv4  SC.iv4  SY.iv4  TZ.iv4  YE.iv4
AQ.iv6  BL.iv6  CH.iv6  DM.iv6  GA.iv6  GW.iv6  IT.iv6  LB.iv6  MK.iv6  NC.iv6  PK.iv6  SC.iv6  SY.iv6  TZ.iv6  YE.iv6
AR.iv4  BM.iv4  CI.iv4  DO.iv4  GB.iv4  GY.iv4  JE.iv4  LC.iv4  ML.iv4  NE.iv4  PL.iv4  SD.iv4  SZ.iv4  UA.iv4  YT.iv4
AR.iv6  BM.iv6  CI.iv6  DO.iv6  GB.iv6  GY.iv6  JE.iv6  LC.iv6  ML.iv6  NE.iv6  PL.iv6  SD.iv6  SZ.iv6  UA.iv6  YT.iv6
AS.iv4  BN.iv4  CK.iv4  DZ.iv4  GD.iv4  HK.iv4  JM.iv4  LI.iv4  MM.iv4  NF.iv4  PM.iv4  SE.iv4  TC.iv4  UG.iv4  ZA.iv4
AS.iv6  BN.iv6  CK.iv6  DZ.iv6  GD.iv6  HK.iv6  JM.iv6  LI.iv6  MM.iv6  NF.iv6  PM.iv6  SE.iv6  TC.iv6  UG.iv6  ZA.iv6
AT.iv4  BO.iv4  CL.iv4  EC.iv4  GE.iv4  HM.iv4  JO.iv4  LK.iv4  MN.iv4  NG.iv4  PN.iv4  SG.iv4  TD.iv4  UM.iv4  ZM.iv4
AT.iv6  BO.iv6  CL.iv6  EC.iv6  GE.iv6  HM.iv6  JO.iv6  LK.iv6  MN.iv6  NG.iv6  PN.iv6  SG.iv6  TD.iv6  UM.iv6  ZM.iv6
AU.iv4  BQ.iv4  CM.iv4  EE.iv4  GF.iv4  HN.iv4  JP.iv4  LR.iv4  MO.iv4  NI.iv4  PR.iv4  SH.iv4  TF.iv4  US.iv4  ZW.iv4
AU.iv6  BQ.iv6  CM.iv6  EE.iv6  GF.iv6  HN.iv6  JP.iv6  LR.iv6  MO.iv6  NI.iv6  PR.iv6  SH.iv6  TF.iv6  US.iv6  ZW.iv6
AW.iv4  BR.iv4  CN.iv4  EG.iv4  GG.iv4  HR.iv4  KE.iv4  LS.iv4  MP.iv4  NL.iv4  PS.iv4  SI.iv4  TG.iv4  UY.iv4
AW.iv6  BR.iv6  CN.iv6  EG.iv6  GG.iv6  HR.iv6  KE.iv6  LS.iv6  MP.iv6  NL.iv6  PS.iv6  SI.iv6  TG.iv6  UY.iv6

 

Merci @.Shad. pour cette trame qui me parait excellente. Je vois que c'est toujours noté "en cours". Est-ce toujours le cas ?

Jusque là, ça colle tout à fait à ce qui a été discuté.

Si on parle certificat, il faut aussi parler nom de domaine et aller au plus simple en partant d'un ndd xxxx.synology.me (on parle aux débutants). Et dans ce cas, la création d'un certificat wildcard dans DSM est l'approche la plus simple.

On peut par la suite aborder sommairement l'avantage d'avoir un ndd propriétaire et faire un renvoi vers les tutos de unpixel pour le ndd, d'einsteinium pour le certificat sous docker et accessoirement de karamashi pour le reverse proxy.

@PiwiLAbruti Merci pour l'info 👌

@Mic13710 Oui c'est en cours, il reste pas mal à analyser encore. Je profite d'une réinstallation de DSM sur mon DS118 que je place chez de la famille pour vérifier les changements. J'espère finir la semaine prochaine, je serai en congé.

Merci en tout cas pour ce travail.

Fin du brouillon, vous êtes invités à faire vos remarques si possible tant que la rédaction du vrai tutoriel n'a pas commencé, plus simple pour moi à modifier ce que j'ai prévu. 😉 

j’ai été Ping, donc me voici 🙂

Je laisse les collègues validé au pire je ferais mes remarques plus tard, je suis en plein déménagement à l’autre bout de la France 😮

@Einsteinium dit plutôt que tu viens au soleil dans le sud oui 😆

J'avais pas vu que tu avais accès @firlin aussi, toi et ceux que j'aurais oublié de citer n'hésitez pas à apporter vos suggestions si vous en avez !

Salut @.Shad., marrant, je n'ai pas été notifié. J'ai vu ton message seulement hier soir.

Je vais jeter un oeil au reste de ton brouillon dès que possible, bien que je te fasse entièrement confiance quant à la qualité du contenu. Comme tu le sais je suis charrette car en plein travaux et j'ai du mal à dégager un peu de temps pour vite balayer le forum. Je fais au mieux.

Pour info, pour toi, pour @firlin et tous les autres, tous les membres totalisant plus de 3000 postes ont accès à cette partie du forum. Ce sont donc des intervenants d'expérience, et ceux qui veulent s'impliquer pourront apporter leur pierre à l'édifice pour enrichir le projet. Ils sont les bienvenus.

Je reviens vers toi dès que possible.

Pas de souci, je vais commencer de toute façon, n'hésitez pas au besoin je pingerai quand je serai satisfait du résultat. 😉 

Salut @.Shad.

Le 21/07/2023 à 23:30, .Shad. a dit :

déconseiller Secure Signin (?)

Je ne l'utilise pas (je suis plutôt pour un mode de connexion traditionnel : identifiant et 2FA si nécessaire). De ce fait j'aurais tendance à le déconseiller car s'il semble faciliter la connexion, il faut le manipuler avec précaution pour que se soit fait en toute sécurité. Or, nous parlons ici de sécurisation de base. Voir ce qu'en pense d'autres membres qui ont testé ou utilisent ce paquet.

Le 21/07/2023 à 23:30, .Shad. a dit :

Créer des tests S.M.A.R.T. pour les disques

Ces tâches ne sont pas créées automatiquement. J'abonde tout à fait dans ce que tu proposes puisque c'est ce que j'ai mis en place de mon côté.

Ceci étant dit, les deux paragraphes que tu proposes d'ajouter (Gestionnaire de stockage et Centre des paquets) peuvent être considérés comme un plus mais dépassent le cadre de la sécurité des NAS.

Pour le reste, c'est ok pour moi.

Il y a 1 heure, Mic13710 a dit :

Ceci étant dit, les deux paragraphes que tu proposes d'ajouter (Gestionnaire de stockage et Centre des paquets) peuvent être considérés comme un plus mais dépassent le cadre de la sécurité des NAS.

Je suis assez d'accord avec @Mic13710. Le tutoriel doit être limité à la sécurisation des accès au NAS, ce qui implique l'authentification, le réseau, les services exposés... mais pas le stockage en lui-même. Par contre ça peut très bien faire l'objet d'un autre tutoriel sur l'organisation et la maintenance du stockage.

@.Shad. si besoin j'ai des notes avec des captures d’écran, je peux tes les envoyer si besoin dit le moi

Bonsoir, ma version du tutoriel de sécurisation est complétée, j'attends vos retours éventuels.