PPJP

Je veux bien te l'envoyer mais c"est du python3. Si tu veux l'utiliser il te faudra installer le paquet correspondant. De plus ce script se sert d'un autre module spécifique à la gestion du cron (module séparé car utilisé par d'autre scripts chez moi). Il faudrait que je t'envoie aussi ce module(peut-être après l'avoir allégé non utilisé dans ce cas ) Es-tu intéressé?

Bonsoir, je vais essayer d’être clair. Donc pour l’instant 3 scripts acme.sh certificatupdate.sh (celui que je t’ai transmis) majcertificat.py (le script python) (Quand j’aurais un peu de temps je fusionnerai ces deux derniers) Le principe : Le cron lance majcertificat.py majcertificat.py 1- lance certificatupdate.sh certificatupdate.sh 1 - lance acme.sh (renouvellement du certificat) 2 - importe les nouveaux certificats créés (dont ceux pour paquets et reverse proxy) 2 - corrige la crontab pour prochain lancement dans 89 jours. (si la ligne à corriger n’est pas trouvée une nouvelle ligne est créée) pour info ma ligne du cron ressemble à ; 1 1 4 10 * root /usr/local/bin/python3 /volume1/script/gandi/majcertificat.py> /volume1/script/gandi/majcertificat.log 2>&1 Tu peux lancer le premier renouvellement en SSH avec cette même commande Ou créer une tache planifiée (non activée), toujours avec cette même commande, et la lancer par exécuter

Je n'avais pas remarqué la dernière ligne de ta signature. Pour ma part j'habite vraiment à l’extrémité de mon pays et je crois que l'espoir ne me fera pas vivre assez longtemps pour découvrir les bienfaits de la fibre. On ne peut pas tout avoir!

Ce qui est forcé, c'est le renouvellement; cela ne crée pas de nouveau certificat. Ceci au cas improbable ou j'aurais besoin de faire un renouvellement ponctuel (par exemple pour vérifier que cela fonctionne sans attendre un délai de 60 ou 90 jours) Et cela n'a pas de conséquences négative car je ne lance ce script que tous les 89 jours. Pour tout te dire je suis assez allergique au bash que je trouve assez imbuvable et que j'utilise à dose homéopathique. En fait le script que je t'ai transmis est lancé par un script python (lancé par le cron) et qui corrige le dit cron pour se relancer 89 jours plus tard.

C'est le même que le tien à quelques corrections près: #!/bin/sh # ******************************************* # Renouvellement périodique du certificat # ******************************************* NDD="le_domaine_à_ renouveler.tld" CERTDIR="69AbCd" CERTRENEWDIR="/usr/local/share/acme.sh/$NDD" CERTROOTDIR="/usr/syno/etc/certificate" PACKAGECERTROOTDIR="/usr/local/etc/certificate" FULLCERTDIR="$CERTROOTDIR/_archive/$CERTDIR" # Renouvellement du certificat via acme.sh /usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/ --force # Importation des nouveaux certificats cp $CERTRENEWDIR/$NDD.cer $FULLCERTDIR/cert.pem chmod 400 $FULLCERTDIR/cert.pem cp $CERTRENEWDIR/ca.cer $FULLCERTDIR/chain.pem chmod 400 $FULLCERTDIR/chain.pem cp $CERTRENEWDIR/fullchain.cer $FULLCERTDIR/fullchain.pem chmod 400 $FULLCERTDIR/fullchain.pem # Recherche tous les sous-dossiers contenant cert.pem files PEMFILES=$(find $CERTROOTDIR -name cert.pem) if [ ! -z "$PEMFILES" ]; then for DIR in $PEMFILES; do # remplace tous les certificats, sauf ceux dans le répertoire _archive if [[ $DIR != *"/_archive/"* ]]; then rsync -avh "$FULLCERTDIR/" "$(dirname $DIR)/" fi done fi # reload /usr/syno/sbin/synoservicectl --reload nginx # Maj et redémarrage de tous les paquets installés PEMFILES=$(find $PACKAGECERTROOTDIR -name cert.pem) if [ ! -z "$PEMFILES" ]; then for DIR in $PEMFILES; do rsync -avh "$FULLCERTDIR/" "$(dirname $DIR)/" /usr/syno/bin/synopkg restart $(echo $DIR | awk -F/ '{print $6}') done fi Bien sur les deux premières lignes à adapter selon ton domaine. Attention cependant le renouvellement est fait à chaque lancement du script (utilisation de l'option force pour acme.sh). Cela car je ne le lance que tous les 89 jours, mais cela me permet de lancer un renouvellement manuel si besoin) Autre précision, cela ne permet que de gérer un seul certificat, car il se retrouve affecté comme certificat par défaut et appliqué à tous les paquets et reverse proxy)

Quelques observations , si tu le permets, Si acme a sauté c’est que tu n’as pas utilisé un emplacement persistant Le tuto sur github a été modifié fin juin pour cette raison(https://github.com/Neilpang/acme.sh/wiki/Synology-NAS-Guide). Pour ma part cela fonctionne correctement. Le renouvellement se fait par un script lancé par le cron tous les 89 jours (90-1 par sécurité) Ce script est similaire à celui que tu lances par le gestionnaire de tâche à ceci près : c’est lui qui lance le renouvellement par acme, il copie les nouveaux certificats dans répertoire correspondant à CERDIR la suite identique. Si cela peut t’aider. PS ; attention à la date du certificat affiché par DSM, les 90 jours semblent calculés à partir de la date de remplacement des certificats. PS2 :si tu utilises l’option force pour le renouvellement tu n’est pas obligé d’attendre 60 jours pour vérifier le fonctionnement, il suffit de lancer le script manuellement

Bonsoir, Je ne vois pas de gros écarts entre les méthodes de MIC13710 et la mienne. La seule différence c’est que de l’extérieur je passe systématiquement par un VPN. Je n’ai sans doute pas été assez clair sur ma méthode (que personne n’est obligé d’appliquer). Donc de l’extérieur je passe systématiquement par un VPN. Je précise que j’ai bien un reverse proxy en place et qu’il est sollicité dans tous les cas. A partir d’un navigateur (ce que j’utilise exclusivement) adressage par https://xxx.ndd (sans indication de port) aussi bien du WAN que du LAN (xxx suivant application ou périphérique à atteindre) Pour les applications mobiles ( que je n’utilise pas) adressage par https://xxx.ndd:443 ne devrait pas poser de pb. Ainsi même adressage à partir du LAN et Du WAN. Pas de ports à ouvrir en plus de ceux des VPN (pas de 443). Cela me paraît assez simple. A mon age, il faut ménager le peu de neurones qu’il me reste !

Bonsoir, si le VPN fonctionne il devrait être utilisé systématique de l’extérieur. En conséquence, les règles des ports 5001 et 5006 devraient être supprimées du Pare feu du NAS (et du routeur?). Ces ports sont autorisés en local par les règles supérieures (3ème) Petite précision; De l'extérieu, une fois le VPN activé, on peut utiliser les adresses locales. Tout se passe comme si l'on était connecté au réseau local.

Bonsoir, Bien que la question ne me soit pas adressée, quelques réponses : 1- le fonctionnement actuel Le port par défaut du DSM est le 5001 (on peut le changer) donc logiquement dans le routeur on redirige ce port vers le nas et on ouvre ce port dans le parefeu du NAS. DSFile est par défaut sur le port 5001, donc inutile de le préciser. Sous Safari l’adresse en https correspond au port par défaut 443, il faut donc préciser le port 5001. Même raisonnement pour DS File et le port 5006. L’inconvénient de cette méthode est que l’on est obligé d’ouvrir de nombreux ports. Chaque application n’est protégée que par un identifiant et son password associé. (donc mot de passe solide, limitation du blocage automatique à peu d’essais sur un temps assez long). Vu les possibilités offertes par l’accès au DSM on évite généralement de l’exposer depuis internet. 2. Seconde solution On peut passer par le portail des applications Cela permet de tout passer par un seul port (généralement le 443), mais a mon avis c’est le seul avantage. 3. Troisième solution On utilise un VPN. La connexion étant plus sécurisée on peut raisonnablement accéder à DSM. En espérant que ces infos vous seront utiles. Ce raisonnement est valable pour tous les accès à risque ; SSH..

Passez sur le compte root avec la commande sudo -i (meme password que admin)

Bonsoir, C’est effectivement ouvert à tous les vents, vous allez vous enrhumer ! Paramétrer un pare feu est assez simple. Commencer par mettre une règle autorisant tous les ports mais limitée à votre réseau local (IP 192.168.0.1 ou 192.168.1.1 probablement et masque 255.255.255.0) (sauf si vous craignez de vous faire attaquer par vos proches sur le mème réseau) Ensuite, éventuellement, ouvrez uniquement les ports correspondants aux services ou paquets que vous voulez atteindre par internet (de l’extérieur de chez vous) ‘et n’ouvrez que les ports sécurisés. Si possible limitez les pays à partir desquels ces connexions seront autorisées. Pour terminez avec une règle pour toutes les applications toutes les sources et l’action refuser.

Bonsoir, Je n’utilise pas ces applications donc ce qui suit reste à confirmer. Ce qui ressort de vos capture d’images Vos applications utilisent des ports par défaut (vers 5001 ou 5000pour DsFile). Sous Safari vous devez mettre le port car sinon vous passez par le port 443 (HTTPS) et vous n’avez pas de reverse proxy (qui vous enverrait vers le port 5001 ou 5000). Concernant votre routeur (ou votre box) les ports non sécurisés ne devrait pas être ouverts(5000 et 5005). L’ouverture du port 443 sur le routeur est inutile (port fermé sur le NAS) Pourquoi n’essayez vous pas le reverse proxy ou l’ouverture du seul le port 443 serait nécessaire ? (sur routeur et nas) Mais nécessiterait de remettre le port 443 sur vos applications mobile)

Bonjour, Le SSH sert souvent a dépanner un NAS. Il permet également de faire certaines opérations non directement accessible par le DSM. Paramétrage par modification de fichiers du système, Suppression de fichier trop encombrants (Fichiers Log en particulier)... Pour alan.dub Concernant l’ajout de .443 à l’adresse de vos applications IOS, je pense que c’est parce que vous n’avez pas préfixé ces adresses par https:// (je ne connais pas le monde de la pomme !) Enfin concernant votre désir de tout passer par le port 443, c’est faisable en utilisant votre NDD et le reverse proxy.

Bonjour, Si le port 22 n’est pas ouvert sur le routeur et que vous ne pensez pas subir d’attaque directement depuis votre LAN vous pouvez desactiver le contrôle de ce port par le conseiller de sécurité. Changer le numéro du port SSH ne présente que peu d’intérêt, un scan rapide permet facilement de trouver les ports ouverts et les services qui sont derrière, cela ne généra pas beaucoup un hacher moyen. Vous pouvez paramétrer le blocage auto pour un nombre d’essais plus faible sur un temps plus long, Si vous changez le port 22 remplacez le par n’importe quel n° non utilisé par un autre service ou application ( >1024 et voir lien que j’ai mentionné quelques post au dessus).

Bonsoir, Les ports à ouvrir dépendent des services et apllications. Voir la doc: https://www.synology.com/en-us/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services

Bonsoir, Avant de se lancer le paramétrage de ces paquets, il serait bon de s’intéresser aux réglages de base d'un nas. Cela veut dire que ton NAS est Open bar sur internet (DMZ, pas de firewall et port 22 ouvert!!!) Il y a un excellent tuto sur la sécurité dans ce forum. Je te recommande fortement de le consulter et de l'appliquer le plus rapidement possible.

Mise à jour sur DS1815+ : RAS

Je ne connais pas les routeurs Syno. Les routeurs Ubiquiti sont performants, mais le paramétrage via le GUI est limité. Il faut la plupart du temps passer par les lignes de commande. Sans les connaissance suffisantes en réseau, il est possible qu'on ait moins de possibilités de paramétrage qu'avec un routeur grand public.

Les bornes WIFI sont compatibles avec des routeurs d'autres marques

Bonsoir Désactive le secours à chaud dans le gestionnaire de stockage

Bonjour, J'utilise un script assez similaire depuis plusieurs mois, sans problème. Pour les infos sur la v5 suivre le lien que j'ai fourni quelques posts au dessus.

Je pense que cela vient plutôt de acme. (ligne 43 du script) Après réflexion je réalise que j'ai raconté des co...ies. Le renouvellement se fera bien avec 1 ou 2 jours de retard par rapport à la limite des 60 jours. Mais comme le certificat lui-même est valable 90 jours: aucun problème. Tourner 7 fois sa langue dans sa bouche avant de se répandre dans un forum!!!

@infoYANN: regardes tes propres copies d'écran du 4 avril : lors du certificat en 4096 on voit bien la date du prochain renouvellement.

Non, 60 jours. De plus 90 jours aggraverai le problème, il y aurai plus de retards de 2 jours

Bonjour, Il me semble que le renouvellement du certificat se fera un peu tard. Un certificat est valable 60 jours. Le cron étant lancé à date fixe le renouvellement se fera de 60 à 62 jours (selon les mois). Il y aura donc des périodes de 1 ou 2 jours avec certificat non valide. Une solution possible : lancer le cron avec l’option –force pour un renouvellement mensuel?