CoolRaoul

Je ne comprend pas bien la manip: apres l'étape 6 ne devrait-on pas se retrouver dans l'état initial de l'étape 1? Vu qu'on on remet des disques qui n'ont pas été modifiés, il va booter sur le DSM installé sur ces derniers

Peux-tu dire comment se met en place le second blocage?** **edit** c'est bon: trouvé

Bien sur: tout répertoire ajouté à "open_basedir" permet aux programmes php d'accéder à toute la hiérarchie sous-jacente (détails ici). Mais pourquoi ne pas simplement avoir testé?

Tu parles sans doute de ma phrase "les settings fait sous DSM sont conservés lors des reboot" je suppose? Tu conviendras que ce problème du wifi est quand même très spécifique. De plus ça ne doit pas courir les rues les personnes utilisant une interface wifi (clé ou intégré) sur le NAS comme interface principale (pour y rediriger les ports de la box). Si le support Synology n'est pas au courant, alors ce bug n'est pas près d'être corrigé, vu qu'il doit toucher bien peu de monde en plus.

Ah je comprend mieux, comme tu parlais de *firewall* j'ai bloqué la dessus. En effet, le blocage IP s'applique exclusivement aux connexions aux service DSM utilisant une authentification compte/mot de passe. Ca se comprend puisque ça se déclenche sur un nombre d'échecs de mot de passe. Voila pourquoi une connexion en mode "socket" tcp, ne peut pas faire l'objet de ce genre de mesures défensives. PS: note bien que ton filtre iptables, non seulement ne résistera pas à un reboot , mais qu'une simple modif de la config du firewall va aussi réinitialiser tous les filtres.

Ma réponse initiale ne portait pas sur le coté plus ou moins rapide ou automatique de la manip, je répondais juste à "Semblerai que le pare-feu des syno ne soit pas très efficace contre des attaques sur la couche tcp". Un autre avantage est que les settings fait sous DSM sont conservés lors des reboot.

"Tous les ports", pas "toutes les adresses":

Euh.. ce qu tu appelle "le pare-feu des syno" n'est pourtant en fait qu'une simple interface graphique à iptables. Devrait suffire de définir la règle avec l'option "ports:tous." Ensuite un simple "iptables -L" permet de constater que ça a bien été traduit par target prot opt source destination DROP all -- XXXXXXXXXX anywhere NB: Infos complémentaires sur l'IP source des attaques: http://www.abuseipdb.com/check/78.232.112.34

Moi non plus je ne connaissais pas du tout, j'ai pris le temps de potasser la doc et ça m'a pris un week-end de bidouille pour aboutir à une solution qui fonctionne et les jours suivants pour affiner la solution. De plus, je pense avoir tout fait pour que mon tuto soit suffisamment didactique. Au debut j'avais ajouté "work in progress" au titre du fil, mais ça fait un bout de temps que je l'ai supprimé. Je condisère la solution comme stable désormais

Je te conseille de passer a nginx, ce que j'ai fait, voir mon tuto:

Oh! je serai très intéresse par le détail ce cette partie de l'opération (*) Apres avoir résolu le problème principal faudra nous faire un tuto détaillé sur cette procédure et les résultats obtenus. Par construction, tous les comptes sont membres du groupe "users", ce comportement est normal. Tu as sans doute du configurer les droits des partages à problèmes, en utilisant l'option "pas d’accès" sur ce groupe. C'est une approche que je déconseille. Mieux vaut utiliser uniquement les colonnes "lecture/écriture" ou "lecture seule" selon le cas. Par suite tous les utilisateur non membres d'un des groupes autorisés se verra de fait refuser l’accès. Inutile de passer en plus par l'option "pas d'acces"

L'avantage important pour moi est que cette solution utilise exclusivement des composants inclus de base dans DSM. Pas besoin de package additionnel et donc, moins de risque qu'une mise a jour DSM *casse* son fonctionnement (avec haproxy le risque est faible cela dit). Même par rapport a la méthode basée sur le reverse proxy apache (qui elle aussi n'utilise que des composants DSM standard) il y a un progrès: il n'est ici pas nécessaire de modifier aucun fichier système (potentiellement écrasé lors des updates). On ne procède que par ajouts Mais sinon, par rapport à haproxy, fonctionnellement, c'est équivalent (et conceptuellement,y très similaire) et l'interface graphique peut être également un plus pour certains. Je suis d'accord. Ca je saurais pas dire, tout ce que je peux dire est qu'avec nginx je n'ai pas de problème https mais ça ne démontre rien.

Essayer BubbleUpnp sous Android avec BubbleUpnp Server sur le NAS.

Un peu de recherche de mon coté Pour keepass, il existe des extensions chrome et Firefox permettant l'autofill: ChromeIpass/PassIfox. Nécessite le plugin keepass: KeyPassHTTP Du même auteur, existe un client android qui semble répondre à la question (mais dont l'utilisation me semble pas forcément triviale d'après ce que je lis sur la fiche): KeepShare Gros inconvénients: n'existe pas en version d'évaluation et utilisation apparemment obligatoire de Google Drive (WTF?) pour stocker une clé de cryptage du master password de la base keypass (bizarre).

Le non support du DTS date de l'année dernière, DSM 4.3:

Peut-être que Roboform ne se fait pas (plus?) avoir, mais a l'époque ou je l'avais évalué (version Window) j'étais tombé sur des cas (pas forcément du phishing j'en conviens) ou il prenait l'initiative de remplir des champs de login (c'est son mode de fonctionnement après tout) et dans certains cas ça ne m'arrangeait pas. Je préfère avoir le contrôle. Avec Keypass, c'est moi qui donne le "top" via la séquence de touche prévue, ça me rassure plutôt que laisser le logiciel prendre l'initiative. Mais chacun sa préférence, pour aller contre mon argument, je reconnais qu'on peut considérer que le logiciel puisse être moins faillible que l'utilisateur. Cela dit, ne perdons pas de vue que la question posée est de trouver une alternative à Roboform vu que ce dernier ne permet pas un hébergement sur un espace privé (le NAS en l’occurrence). Dans ce contexte en analyser les avantages/inconvénients deviens beaucoup moins important.

En ajoutant à cette exigence, celle initiale que l'application sache stocker sa base de mots de passe sur le NAS, y accéder à distance à partir du smartphone (peut-être même en lecture écriture j'imagine?), et aussi qu'elle soit compatible PC Windows bien entendu, j'ai peur que ce ne soit pas gagné Bonne chance en tout cas et tiens-nous au courant si tu trouves une solution.

Non, mais je ne considère pas cela comme un inconvénient: sous Windows il existe un raccourci clavier (CTRL-Alt-A par défaut) qui déclenche le remplissage du formulaire (et on peut de façon très fine en configurer le comportement) Je préfère rester maître de l'activation de la séquence de login: suffit d'une connexion malencontreuse à un site de phishing suffisamment bien imité que roboform prend pour le vrai et on se fait voler ses identifiant en moins de temps qu'il faut pour le dire. D'autre part, sous Android en plus de la méthode copier/coller on dispose également un clavier virtuel qui permet de remplir les champ "compte" et mot de passe chacun avec en un seul tap. En mode web existe aussi une troisième méthode, basée sur le menu "partager", mais que je n'ai pas eu l'occasion de tester. A noter que d'apres ce que je lis de la version android de roboform, même pour ce dernier, le login automatique n'est possible que pour les connexions *web* (dans le navigateur donc): "Automatically login to your web accounts with the embedded RoboForm browser". Donc, si eux même ne savent pas mieux faire, il y a peu de chance à mon avis de trouver mieux ailleurs.

Pour faire ça, j'utilise keypass dont le fichier des mots de passe est stocké sur mon Syno J’accède également à ce même fichier à distance avec mon mobile en connexion webdav (Keepass2Android, ce dernier sait conserver un copie locale en cache en cas d'absence de réseau et synchronise plus tard si nécessaire ) ou via un keypass installé en mode portable sur une clé USB. On peut aussi mettre le fichier dans un dossier partagé par cloudstation, mais j'ai abandonné cette approche à cause de défauts rédhibitoires (pour moi) du client DSCloud ..

Ca indique que Synology n'est pas informé de ta migration en DSM5 Soit le NAS n'est plus connecté à MyDS soit il a été re-enregistré sous un nouveau compte apres le passage en DSM5 A vérifier ici: https://myds.synology.com/support/register_ddns.php?lang=fre J'ai fait le lien entre mon NAS et MyDS en déclarant le fournisseur Synology dans les parametres DDNS du panneau de configuration. Vérifie là aussi.

C'est bien aussi ce que je déduis, mais ma question portait sur l'avantage de mettre le SYNO en DHCP plutôt qu'en IP Fixe même quand on utilise pas le serveur DHCP du NAS. Me semblait avoir lu dans le forum des conseils contradictoires sur ce point.

Tu pourras donner des détails sur ce point? C'est cette config que j'utilise (mais faut dire qu'utilisant mon NAS comme serveur DHCP je suis bien obligé aussi)

Pour commencer, peut-être abandonner le bail statique et configurer directement le NAS en IP LAN Fixe

D'habitude les pre-requis pour un logiciel sont plutot une version *minimum* Ne serait-il pas possible de contacter l'auteur pour voir avec lui ce qui coince? D'autant que ça n'est pas son intérêt de maintenir une appli imposant ce genre de contrainte à ces utilisateurs. A moins qu'il s'agisse d'logiciel plus supporté et dans cas serait bon d'envisager aussi de chercher des alternatives.

Sans aller jusqu'à engueuler, comment peut-on être géné par l'existence d'une fonction de DSM sous prétexte qu'on ne l'utilise pas? Ça me fait penser à la polémique lors de la sortie de DSM5 sur la présence des fonctionnalités de connexion aux réseaux sociaux, d'aucuns allant même jusqu'à menacer de passer à la concurrence à cause de ça. De plus, on croirait lire ("quand on veut un Nas minimum ...") que les NAS devraient être réservés aux happy fews qui savent ouvrir un port sur son routeur! Et pourquoi pas un examen de passage pour les débutants, ou un permis de conduire un NAS alors? Faut savoir raison garder: je reconnais que cette fonction est franchement limitée que le fonctionnement de son mode UPNP est un peu flou; mais bof, après tout, sa présence n'a aucun impact négatif sur le syno que ce soit en terme de perfs ou de fonctionnalités. Alors... Voila pourquoi je rejoint ceux qui considèrent qu'il manque une réponse au sondage (auquel je n'ai pas répondu pour cette raison): "Non - je ne me suis pas servi de cette fonction, mais ça présence ne me dérange pas"