MilesTEG1

@oracle7 @Einsteinium Je viens de supprimer le conteneur créé avec le docker run, et recréer via Portainer avec ce docker-compose.yml : ########################################################################### # Docker-compose pour ACME # ########################################################################### # ========================================================== # == Version qui remplace le script des tâches planifiées == # ========================================================== # # Doc de Acme.sh : https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide # https://github.com/acmesh-official/acme.sh/wiki/deployhooks#20-deploy-the-cert-into-synology-dsm # https://github.com/acmesh-official/acme.sh # # Depot GitHub : https://github.com/acmesh-official/acme.sh/wiki/Run-acme.sh-in-docker # --- version: "2.4" services: acme: image: neilpang/acme.sh:latest # https://github.com/acmesh-official/acme.sh/wiki/Run-acme.sh-in-docker container_name: Acme networks: acme_network: ipv4_address: 172.29.0.2 # Exécutez acme.sh en tant que démon docker, afin qu'il puisse gérer automatiquement la tâche cron de renouvellement. command: daemon cpu_shares: 10 mem_limit: 128M # ############### # Le label ci-dessous permet à Watchtower de faire les mises à jour automatiquement # Cela peut-être supprimé si Watchtower n'est pas utilisé. labels: - "com.centurylinklabs.watchtower.enable=true" # ############### volumes: - /volume1/docker/Acme:/acme.sh:rw restart: unless-stopped networks: acme_network: ipam: driver: default config: - subnet: 172.29.0.0/16 gateway: 172.29.0.1 name: acme_network Comment puis-je être sûr de son bon fonctionnement ? Car le log n'indique plus rien dans portainer : Et le fichier log dans le dossier docker/acme/ n'indique pas d'action datant de mon installation du docker-compose...

Merci vous deux 😇 @oracle7 tu y mets quoi d’autres comme conteneurs dans ton réseau synology-network ? Sympa ton yml, je Vais m’en inspirer pour le faire un prototype 😉

@Einsteinium C'est quoi comme network_mode ? network_mode: acme Je pensais que ça ne pouvait être que : bridge, host, macvlan

Ha cool 🙂 Je ne savais pas qu'on pouvait avoir un docker-compose pour ACME 😄 Je vais m'empresser de changer ça 😉 On est d'accord que ça va remplacer ce script : # Script de création du conteneur Acme bash /volume1/docker/Acme/acme_2C-quotidien.sh Par contre, avec le docker-compose, aura-t-on le compte rendu du script en email ? Car le script permet d'avoir la sortie (log) de ce qu'il fait. edit : bon alors, en fait, la sortie me paraît pas si utile que ça 😅 Voilà le mail reçu le WE dernier : Tâche : acme_2C-quotidien.sh Heure de début : Sun, 04 Sep 2022 06:10:01 GMT Heure d'arrêt : Sun, 04 Sep 2022 06:10:44 GMT État actuel : 0 (Normal) Sortie/erreur standard : 06:10:03 - Script de création du conteneur Acme pour créer le certificat wildcard 06:10:03 - Exécution des commandes... latest: Pulling from neilpang/acme.sh 9621f1afde84: Already exists c08f2e5ca818: Pulling fs layer 1f7fbf3e73c9: Pulling fs layer 8e65c47786df: Pulling fs layer d6575f00820b: Pulling fs layer 6e98a4c5eaed: Pulling fs layer b3ef15cd4c12: Pulling fs layer d6575f00820b: Waiting 6e98a4c5eaed: Waiting b3ef15cd4c12: Waiting 1f7fbf3e73c9: Verifying Checksum 1f7fbf3e73c9: Download complete c08f2e5ca818: Verifying Checksum c08f2e5ca818: Download complete 8e65c47786df: Download complete 6e98a4c5eaed: Verifying Checksum 6e98a4c5eaed: Download complete d6 575f00820b: Verifying Checksum d6575f00820b: Download complete b3ef15cd4c12: Verifying Checksum b3ef15cd4c12: Download complete c08f2e5ca818: Pull complete 1f7fbf3e73c9: Pull complete 8e65c47786df: Pull complete d6575f00820b: Pull complete 6e98a4c5eaed: Pull complete b3ef15cd4c12: Pull complete Digest: sha256:16c3e4406aa52c6fdfb507ad5f34a89e35b4aa4eb4719345d22b3f660be7f4f0 Status: Downloaded newer image for neilpang/acme.sh:latest docker.io/neilpang/acme.sh:latest Acme Acme Deleted Images: untagged: neilpang/acme.sh@sha256:2932edfaecc6bde20b8f0a9a791413d9315a907f70992725680a00f8208674e3 deleted: sha256:94c6035db74bdb5281a14b554b4013f20b7db718ec71bb2c933ffbe0e82e0b3a deleted: sha256:db71e54e57f7561eee36004d9cdf78d75b3c127140487ecc3139ca1ef6700780 deleted: sha256:0576abc1558c033f0e70c3ae5cf2c1157d83b62dbe045adc847de9eaad97618c deleted: sha256:aa044340d4d2214434235d706a8249b2fc3c961a635bef84a43ec8409d2576ce deleted: sha256: 8ff2a8af8de7b1b880dbf92c0c82379bc28b9f9f2fe1987ef5b4825ef84eda2c deleted: sha256:5b76d5f5201ab6edba838579b9a2313f06a86f5499beb5290b2325286af22bc2 deleted: sha256:a9386efc804c45c12f09e55cfe52b46e6f5e08cefa00cb9d8ba845b15eb59a83 untagged: metabase/metabase@sha256:325d40c009f087f6c73852297c17e255202154caae4a05d59a6c3cb79158b48a deleted: sha256:d8eac99291f975051850b0ba3b8f5a2905fb0be138c9029d540ad96c586a9e23 Total reclaimed space: 22.97MB 573dc8bab9aaee99c60bb217e0114c33ce6f8648d880f53d10fee2d2ce9ff566 06:10:44 - Script de création du conteneur terminé Bon oublions ma demande alors ^^ Par contre, y a moyen d'avoir une notification quand le script se lance pour renouveler le certificat ?

Salut @oracle7, hé beh non je n’ai pas fait de docker compose… je crois me souvenir que ce n’est pas possible avec acme parce qu’on le lance avec des commandes particulières. Ou bien c’est moi qui ne sait juste pas faire 🤪

Ho ! J’ai pas vérifié via grafana si la stack monitoring allait bien 😨 Je m’en vais aller voir ça 😊 merci pour l’info 👍🏻 Édit : en effet j’ai « no data » qui s’affiche a peu près partout sauf pour docker 😅

C’est clair qu’il y a une belle fournée de CVE corrigées dans cette maj !

Même chose. J'ai laissé tombé l'idée du bond... ça m'occasionnait davantage de problèmes qu'autre chose...

Ha ok, c'est bien ce que je fais depuis le début ^^ Je n'ai jamais mis Vaultwarden 😉 car ThemePark n'a pas de CSS à ce nom 😄

Heu j'ai pas tout suivi là XD Tu veux que je laisse bitwarden où ? J'ai tenté de mettre les lignes dans les autres location, mais même topo, ça fonctionne pas. 😅 Bon je vais laisser tomber... J'ai ouvert une issue sur le GH de theme.park, on verra si j'ai une réponse un jour...

@.Shad. ha non parce je ne pensais pas que ça serait utile. Je tenterais ça tout à l’heure des fois que … mais j’ai des doutes quant au succès de ma manœuvre 😅

Je suis d'accord sur le principe, mais pour un pare-feu, ce sont que des règles restrictives qui doivent être utilisées. Après, si tu ne veux pas entendre cela, libre à toi de continuer à faire comme tu fais... L'idée est donc en premier d'autoriser ton LAN sur tous les services (à moins que tu veuilles restreindre l'accès à certaines machines...). Puis, tu n'autorises que ce que tu veux. Et enfin tu refuses tout. Et dernière chose : le parefeu du nas ne filtre que le traffic qui vient depuis en dehors du NAS... ça ne filtrera pas ce qui sort du NAS... Ce n'est pas un parefeu comme on peut avoir sur les ordinateurs... ou sur certains routeurs... Et sinon, avec mes règles, regarde un peu : La version HTTP : La version torrent :

@bliztu n’as pas compris le fonctionnement du pare-feu… il bloque ce qui arrive sans avoir été initié depuis le réseau local. donc ton téléchargement depuis download station fonctionnera très bien même si tout n’est pas ouvert au monde entier. je peux t’assurer que ça fonctionne. Je peux télécharger sans soucis des fichiers ailleurs dans le monde… là faut vraiment que tu revois les bases du pare-feu du nas 😇 Non encore une fois tu ne raisonnes pas comme il faut… dans ton raisonnement, te règle restrictive ne sera jamais atteinte… et si tu inverses et que ça bloque et que tu voulais pas que ça bloque c’est que t’es règles sont mal fichues. je peux t’assurer que ta vison des choses n’est pas la bonne. as tu bien lu le tuto sécurisation ?

@.Shad. Bon voilà, j'ai finalisé mes configurations de services qui passent par le reverse proxy. j'ai même ajouté des thèmes via les .conf de nginx. Voir ici :https://docs.theme-park.dev/setup/ J'ai thémé les applications suivantes : tautulli AdGuard Home Portainer calibre web Je suis passé par la méthode des variables. J'ajoute ces lignes à chaque fichier de configuration de service : # THEME.PARK set $theme nord; set $app adguard; include /config/nginx/theme-park.conf; Avec ceci pour le fichier theme-park.conf : # File to be included in each .conf # See : https://docs.theme-park.dev/setup/ proxy_set_header Accept-Encoding ""; sub_filter '</head>' '<link rel="stylesheet" type="text/css" href="https://theme-park.dev/css/base/$app/$theme.css"> </head>'; sub_filter_once on; Pour Vaultwarden, j'ai tenté d'ajouter ce qui suit au bloc serveur de mon entrée vaultwarden, mais sans succès : add_header Content-Security-Policy "default-src 'self'; style-src 'self' 'unsafe-inline' theme-park.dev;" always; Si jamais tu avais une idée XD je suis preneur ^^ Il me reste plus qu'à finaliser Crowdsec et Authellia

@bliz L'ordre de tes règles reste peu cohérent par rapport à comment fonctionne le parefeu... Il est préférable d'avoir en début tout ce qui autorise sans restriction le LAN, puis dessous, tout ce qui autorise petit à petit les divers services utilisés. Par contre, pour tous ce que tu autorises depuis le NET, c'est quand même risqué de ne pas filtrer les pays...

Faut surtout pas autoriser tout depuis toutes les IP en première ligne !! Perso, j'ai ces règles là : Et dans le pare-feu de mon routeur c'est encore plus restrictif : seuls les ports 443 et 6690 sont ouverts et routé vers le NAS.

@.Shad. Salut, alors, je valide la méthode swag avec variables. J’ai testé sur AdGuard Home et Calibre Web, et ça fonctionne super bien. Par contre ça ne fonctionne pas avec Vaultwarden , ce serait une histoire de Content-Security-Policy https://docs.theme-park.dev/themes/bitwarden/#setup Mais je ne trouve pas le fichier de configuration yml dont ils parlent puisque moi c’est Vaultwarden et pas Bitwarden, et si je met dans le .conf fR nginx pour Vaultwarden une ligne add_header ca ne fonctionne pas non plus… Faudrait que je fasse une issue là aussi 😉

@Zouilletes règles de pare-feu ne sont pas très cohérentes. va voir le tuto sécurisation du nas sur le forum.

Oui dans le .sample à la fin… et comme je mets mes sites dans l’autre dossier… je ne mets rien dans proxy-confs… Ha oui carrément ! Moi utilise pour plein de site : ruttorent, AdGuard home , portainer, etc…

En recréant le conteneur, j’ai de nouveau un Dashboard.subdomain.conf dans le dossier proxy-confs ! j’ai du commenter les deux lignes où il y’a les include vers les fichiers de ce dossier dans le proxy-confs/default Bon après le Dashboard c’est pas si utile que ça… je vais peut-être le virer 😅 tu me diras quand tu auras mis en place les thèmes 😉 moi je suis en cours, fait l’étape du fichier de conf pour le domaine themepark.mon-ndd.tld

Je viens de voir ceci : https://docs.theme-park.dev/setup/ comme j’ai des applications qui ne peuvent passer que par stylus, ce peut être intéressant 🤔 Quelqu’un a-t-il testé cette méthode ?

Ha ok 👍🏻 je comprends mieux 😇 Synology et leur manière de nommer les mises à jour… 🤣🤪

Je suis d’accord sur le tarif un peu élevé pour ce que ça apporte de plus… je reste sur la partie gratuite et je verrais si je laisse activé ou pas Active Insight.

Ho ! le hash a-t-il changé ? Dois je installer cette nouvelle version de la update 1 ?

En soit, non, rien de grave. C'est cependant préférable pour que si tu écris dans un navigateur HTTP, ça réécrive à la place HTTPS 😉 Pense à inscrire ton ndd sur https://hstspreload.org/