Einsteinium

Dear Plex User, We want you to be aware of an incident involving your Plex account information yesterday. While we believe the actual impact of this incident is limited, we want to ensure you have the right information and tools to keep your account secure. What happened Yesterday, we discovered suspicious activity on one of our databases. We immediately began an investigation and it does appear that a third-party was able to access a limited subset of data that includes emails, usernames, and encrypted passwords. Even though all account passwords that could have been accessed were hashed and secured in accordance with best practices, out of an abundance of caution we are requiring all Plex accounts to have their password reset. Rest assured that credit card and other payment data are not stored on our servers at all and were not vulnerable in this incident. What we're doing We've already addressed the method that this third-party employed to gain access to the system, and we're doing additional reviews to ensure that the security of all of our systems is further hardened to prevent future incursions. While the account passwords were secured in accordance with best practices, we're requiring all Plex users to reset their password. What you can do Long story short, we kindly request that you reset your Plex account password immediately. When doing so, there's a checkbox to "Sign out connected devices after password change." This will additionally sign out all of your devices (including any Plex Media Server you own) and require you to sign back in with your new password. This is a headache, but we recommend doing so for increased security. We have created a support article with step-by-step instructions on how to reset your password here. We'd also like to remind you that no one at Plex will ever reach out to you to ask for a password or credit card number over email. For further account protection, we also recommend enablingtwo-factor authentication on your Plex account if you haven't already done so. Lastly, we sincerely apologize to you for any inconvenience this situation may cause. We take pride in our security system and want to assure you that we are doing everything we can to swiftly remedy this incident and prevent future incidents from occurring. We are all too aware that third-parties will continue to attempt to infiltrate IT infrastructures around the world, and rest assured we at Plex will never be complacent in hardening our security and defenses. For step-by-step instructions on how to reset your password, visit: https://support.plex.tv/articles/account-requires-password-reset Thank you, The Plex Security Team La grande question c’est pourquoi déconnecté tous les appareils ? Faut il en déduire que les jetons d’accès sont compromis ? Pour ma part ayant un mot de passe fort et la 2FA actif je vais attendre que passe le rush de changement qui met à mal le serveur d’authentification Plex…

A partir du moment ou tu arrives à avoir l'interface web, tu as l'option... Donc si tu l'as vois pas, c'est que ton modèle de cam ne le fait pas.

Bah justement, plutôt que de faire du nat vers ses ports, pourquoi ne pas le faire vers le 443/80 du nas et déclarer le serveur dans web station ?

Si ce n’est que sa… quelques règles suffisent, je n’ai eu aucun soucis avec Plex et consort, j’en avais pas non plus lorsque que passais par un vps Ovh via vpn en 4G ^^

Tu es sur de n'avoir que du multimédia et pas des fichiers de metadata ? Si oui alors c'est que tu as des caractères spéciaux interdit... ce qui désactive au passage la détection des nouveaux médias. (@ + etc..)

@.Shad. Une question, pourquoi donné une ip au docker swag au lieu de l’hébergé en bridge ?

Globalement tous les modèles qui sortent depuis 2/3 années maintenant, les plus anciennes de la simple détection de mouvement sur image ou même mieux que la détection d'humain, par PIR.

Alors pour sa c’est directement dans la base de donnée de Plex.

Tu coupes plex, tu purges le dossier : /config/Library/Application Support/Plex Media Server/Logs

M1 et M2 ^^ Mine de rien deux après…

Vous oubliez que vous payez pas que du matériel, mais une marque, un éco système... tout cela à un cout.

Bah alors on ce renseigne avant achat ^^ Il existe un firmware alternative pour les caméras, fait une recherche google 🙂

Mais au final les appareils sur le switch partageront le port, donc c'est limité quand même au final. Je trouve que c'est déjà bien d'avoir une entrée wan a 2,5gbits dans une utilisation grand public chez soit. Si on a besoin de plus, clairement il faut visé dans du matos pro... mais on n'est clairement plus dans une utilisation familial pour le coup...

Car avec un domaine, tu vas faire un wildcard et tes sous domaines seront exotique. Le ddns de synology de base même directement à ton dsm... et il est facile d'avoir la liste 🙂 (certainement ce qui a conduit au attaque de masse des dsm non mise à jour...)

Achète un domaine chez ovh et on ce fait sa en teamviewer + appel tel 🙂 Au passage moi j'ai prix un domaine .eu chez netim à 14€ les 10 ans.. que j'ai migré derrière chez ovh, sa fait du -20€ les 10 ans, la promo était régulière pendant un moment, c'est le genre de bon plan a visé 🙂 Actuellement je vois une promo sur les .fr chez ovh en prenant 3 années, la 4ième est offerte, cela fait 16.78€ les 4 années.

Bah si tu as la fibre... Il permet a au moins a deux port de plafonné leurs débit max en téléchargement... ou inversement avec un serveur... On est dans du routeur grand public... Il y a plusieurs topics ou j'aborde le problème de la mémoire... synology à fait le pingre la dessus, peu être ton problème, c'est les premier symptôme en tout cas... Regarde ma signature le routeur que j'ai pris et son prix 🤣

Tu as un mode de protection pour les comptes si beaucoup de tentative envers un même compte, peu être cela. Pour un domaine, cela est relativement rapide et facile à mettre en place 🙂

Tu devrais utiliser un domaine et mettre des sous domaines exotiques, tu réduiras très fortement les attaques de bot 🙂

Une bonne avancée alors, merci pour le retour 🙂

Question shad car je regardais ton tutoriel... Portainer prends enfin le cap_add: - NET_ADMIN du docker compose ? Car de mémoire le déploiement échoue si on met cette argument, il faut alors le mettre en extra args : --cap-add=NET_ADMIN Globalement tu ne communiques qu'avec swag, c'est swag qui derrière communique avec tes différents serveurs et te l'affiche derrière, qu'importe que le serveur derrière est un certificat ou pas, qu'il soit en http ou https, au final tu ne verras que le certificats de swag qui est ton tiers de confiance, il sécurise entre toi et lui.

Plex server le gère directement aussi, dans la première partie du réglage réseau, sinon on délègue à un reverse proxy. Pour ses deux points la, il suffit de faire le reverse proxy via le nas uniquement. Il n'y a pas que le transcodage, mais aussi la fluidité du serveur, une shield est tellement plus puissante en traitement pour un serveur plex.

Je plussoie pour le coup… Je ne vois pas en quoi l’avoir sur le nas permet plus de configuration ? C’est pas le nas qui gère la configuration de Plex server… c’est Plex server lui même… côté sécurisation du serveur… C’est directement Plex.tv qui gère les connections au serveur en servant de tampon pour les jetons d’accès… Le 🤡 est de retour…

Il n'y a pas de raison, cela ne concerne que la révocation des certificats 🙂

Dans ton compte freebox/ma freebox/fonctionnabilités avancées/blocage du protocole smtp sortant Dans jail.conf avoir : destemail = destinataire@tondomaine.fr sender = fail2ban@tondomaine.fr mta = sendmail action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"] %(mta)s-whois[name=%(__name__)s, sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"] action = %(action_mw)s /fail2ban/action.d/sendmail-whois.conf # Fail2Ban configuration file # # Author: Cyril Jaquier # # [INCLUDES] before = sendmail-common.conf [Definition] # Option: actionban # Notes.: command executed when banning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: See jail.conf(5) man page # Values: CMD # actionban = printf %%b "Subject: [Fail2Ban] <name>: banni <ip> de TONDOMAINE Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"` From: <sendername> <<sender>> To: <dest>\n Bonjour,\n L'adresse IP <ip> a été bannie par Fail2ban après <failures> tentatives d'accès à <name>.\n\n Quelques informations sur cet hôte:\n `/usr/bin/whois <ip> || echo programme whois manquant`\n Cordialement,\n Fail2Ban" | /usr/sbin/sendmail -f <sender> <dest> actionunban = [Init] # Default name of the chain # name = default /etc/fail2ban/action.d/sendmail-common.conf # Fail2Ban configuration file # # Common settings for sendmail actions # # Users can override the defaults in sendmail-common.local [INCLUDES] after = sendmail-common.local [Definition] # Option: actionstart # Notes.: command executed once at the start of Fail2Ban. # Values: CMD # actionstart = # Option: actionstop # Notes.: command executed once at the end of Fail2Ban # Values: CMD # actionstop = # Option: actioncheck # Notes.: command executed once before each actionban command # Values: CMD # actioncheck = # Option: actionban # Notes.: command executed when banning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: See jail.conf(5) man page # Values: CMD # actionban = # Option: actionunban # Notes.: command executed when unbanning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: See jail.conf(5) man page # Values: CMD # actionunban = [Init] # Recipient mail address # dest = root # Sender mail address # sender = fail2ban # Sender display name # sendername = Fail2Ban 😉

C'est un serveur, pas un client, donc inutile sauf si ton fai bloque le smtp, je peux à la limite te donné les confs de sendmail que j'utilisais pour l'envois (sinon il envoi rien de base si pas conf)