MilesTEG1

Bon je retente, et même erreur : Oui oui 🙂 Ça passe en mise à jour du paquet existant lancé ?

Je retenterais tout à l'heure, il y a peut être eu une couille au DL... ou l'à l'UL du paquet...

Hmm quand j'ai lancé hier grafana je n'ai pas vu de soucis si ce n'est un panel d'infos pour la LB4 qui n'affiche plus rien, mais pas de valeur écrite en énorme...

Elle ne veut pas s'installer 😅 Je vais attendre qu'elle soit proposée 😉

C'est pourtant ce que je t'avais dit de vérifier 😄 :

@Fab221 Tu n'aurais pas un soucis avec ton certificat ? Je pense que tu as un certificat autosigné, d'où le message d'erreur. Il te faut générer un certificat Let's Encrypt pour ton nom de domaine. Et affecter ce certificat au service en question. Tout se fait depuis l'interface de DSM.

C'est cette version là : Si oui, elle est dispo depuis quelques semaines, Si non, pourquoi elle s'affiche pas chez moi ? 😅

J’allais te dire de tenter le reset des appareils. Mais faut une sauvegarde des appareils avant. une fois le reset fait , vérifie que ça fonctionne bien avant de restaurer la sauvegarde.

Ha oui c'est plus complexe que ce que je pensais... je n'utilise pas IFFFT... Y a pas moyen d'avoir un email envoyé ?

On fait comment du coup pour ta méthode ?

Salut 🙂 mon certificat wildcards se renouvelle bien pas de soucis 🙂 Par contre, je n'ai aucune notification comme quoi il s'est renouvelé, et le log d'exécution de la commande hebdomadaire n'est pas super clair pour moi XD J'ai pourtant bien mis mon adresse email dans le account.conf, je pensais que je recevrais ensuite des petits emails de notification 😄 mais non 😅 C'est pas très grave car le certificat est bien mis à jour ^^

en fait je pense qu'il mélange les deux choses que sont : le nom de domaine fourni par synology le certificat généré par LE sur le NAS qui peut être pour ce nom de domaine synology, mais qui peut tout aussi bien être pour un nom de domaine OVH.. Il parle en effet d'un ndd chez synology et d'un autre chez ovh... À mon avis il faut qu'il choisisse un des deux pour ses services, et quand ce sera fonctionnel, il pourra envisager autre chose. Il faudrait aussi @lordatao que tu regardes dans tes certificats, et que tu affectes un certificat à un service :

Si d’ici demain personne n’a répondu pour dsm7 je tenterais le coup avec un user non admin. car @xavierlp semble utiliser un user non admin dans les tests qu’il décrit où le chargement d’un fichier échoue par l’interface dsm. tu pourrais essayé en accédant à Filestation via son portail dédié ? (Je ne sais plus quel est le port de l’application par défaut…)

Oué ça semble être une bonne idée d'attendre un peu avant une MAJ... Cela dit, souvent elles corrigent des failles de sécurité, donc elles sont importantes... Donc moi je suis partagé entre l'envie d'attendre, et l'envie de l'installer au plus vite 😅

Bon j’ai profité du début de nuit lecture pour lancer la maj de srm. je viens de recevoir un mail de fin de maj avec succès 😊 reste plus qu’à attendre la prochaine grosse version en espérant qu’elle arrive bien vers décembre de cette année et pas celui de 2022 ou pire 😅

En gros, tu autorises uniquement ce que tu as besoin, et ta dernière règles (celle tout en bas), doit tout refuser partout. C'est comme ça que ça se configure. Si tu ne mets pas cette dernière règle, tu auras beau n'autoriser que ce que tu veux, la connexion que tu voudrais refuser se fera quand même car elle n'aura valider aucune des règles présentes dans la liste. Le parefeu va lire les règles de haut en bas, et à la première règle satisfaite (que ce soit une autorisation ou un refus) le parefeu s'arrêtera, il n'ira pas voir les suivantes. Et ainsi de suite pour toutes les connexions entrantes.

En général non je ne résiste pas... Mais là j'ai pas 20 minutes à perdre... Je bosse sur des cours et l'outils à besoin d'une connexion internet. (canoprof pour ceux que ça intéresse 😉 ) Donc peut-être ce soir 🙂 mais pas avant ^^

C’est ce que je disais en moins bien dit certes 😇

Je n’ai pas encore eu de message m’indiquant qu’une maj était dispo et srm ne me la trouve pas donc je vais patienter un peu, là j’ai besoin de ma connexion internet 😁

Pour ce point, le plus simple reste de n'autoriser que la France et divers autres pays nécessaires, et de refuser toutes connexion autres. Ça fait moins de manipulation que de cocher tous les pays à exclure 😄 Attention tu confonds les connexions initiées depuis ces pays avec les connexions vers ces pays que tu inities toi depuis un ordinateur ou un nas. Pour le premier cas, ces connexions sont bloquées si le pays n'est pas autorisé, mais pour le second cas, tu peux quand même utiliser gmail et companie malgré que les USA soient bloqués.

En appliquant les recommandations données par @Jeff777 et @PiwiLAbruti et celles données sur les tuto sécurisation : et : car j'ai un routeur synology derrière ma Livebox. Et donc depuis plusieurs années, je n'ai plus de tentative de connexion provenant d'attaques. Je n'ai que le port 443 et le 6690 pour drive sync qui sont ouverts et routé sur mon NAS. Lorsque je suis en dehors de chez moi, tout (sauf les connexions à Drive depuis les applications desktop) passe par le reverse proxy de mon NAS : accès à plex, à l'interface web de Drive, mon Gitea, Vaultwarden, Photos, et Surveillance station. Si je veux accéder au reste comme DSM, AdGuardHome, Portainer, Grafana, Tautulli, etc... si je ne suis pas chez moi, je passe par le serveur VPN de mon routeur (VPN Plus Server) qui est un peu plus fourni en possibilités que celui du NAS. Pour le VPN, je passe principalement par L2TP quand je suis sur mon Mac, des fois SSL VPN (propre au VPN du routeur SYnology), ou OpenVPN. Mais L2TP est plus facile d'accès sur mon mac. Par contre sur mon iPhone, c'est plutôt SSL VPN, voir des fois OpenVPN. J'ai aussi configuré le L2TP, mais là c'est SSL VPN qui est le plus facilement accessible. Ces configurations VPN ont nécessités un peu de travail pour que tout fonctionne bien, mais une fois que c'est fait, plus de soucis ^^ Par contre, pour faire cela, il faut un nom de domaine. Synology en fourni un gratuitement via le panneau de configuration : Tu peux bien sûr avoir le tien à toi, par exemple OVH, avec un DynHOST.

Bon j'ai renommé le fichier log, redémarré le conteneur, et retenté d'échouer à la connexion : 2021-09-13 21:11:06,454 fail2ban.filter [1]: INFO [vaultwarden] Found 111.111.111.111 - 2021-09-13 21:11:06 2021-09-13 21:11:10,113 fail2ban.filter [1]: INFO [vaultwarden] Found 111.111.111.111 - 2021-09-13 21:11:10 2021-09-13 21:12:16,717 fail2ban.filter [1]: INFO [vaultwarden-admin] Found 111.111.111.111 - 2021-09-13 21:12:16 Et j'ai enfin fail2ban qui détecte ce qui est enfin écrit dans le log ! Je ne sais pas vraiment pourquoi ça ne fonctionnait pas... Pour le vaultwarden, faut mettre un @ dans le login, sinon ça fait rien...

Alors, comme je vais devoir refaire le conteneur pour réactiver la page admin, j'ai ça pour les logs dans mon docker-compose : Et la version : J'ai donc bien la dernière version. Vous avez quoi comme settings pour les logs ? Logging · dani-garcia/vaultwarden Wiki (github.com) Changing the log level To reduce the amount of log messages, you can set the log level to 'warn' (default is 'info'). The Log level can be adjusted with the environment variable LOG_LEVEL while also setting EXTENDED_LOGGING=true. NOTE: Using the log level "warn" or "error" still allows Fail2Ban to work properly. LOG_LEVEL options are: "trace", "debug", "info", "warn", "error" or "off". Donc en warn ça devait passer...

Faut que je vérifie quelle version j’ai , mais normalement c’est la dernière hi que j’ai watchtower qui tourne .

Oh ! En effet, SRM 1.3 devrait bientôt arriver alors 😄 @church : elle apporte en effet qu'une seule nouveauté :