CMDC

Salut mon ami , J'ai profité d'une chouette grippe de la mort qui tue qui me retient à la maison pour mettre à jour mon DS 213J en 6.0. Du coup, vu que j'ai du temps, j'ai "migré" mes reverse proxy de apache vers nginx, grâce à ce super tuto. Du coup j'ai un peu simplifié et j'ai simplement créé un fichier nommé "/etc/nginx/sites-enabled/vhosts.conf" que j'ai rempli de la manière suivante: ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_redirect http:// $scheme://; proxy_set_header X-Client-Verify SUCCESS; proxy_set_header X-Client-DN $ssl_client_s_dn; proxy_set_header X-SSL-Subject $ssl_client_s_dn; proxy_set_header X-SSL-Issuer $ssl_client_i_dn; server { listen 80; server_name ~^dsm..*$; return 301 https://$server_name$request_uri; } server { listen *:443 ssl; server_name ~^dsm..*$; underscores_in_headers on; #uniquement necessaire pour le vhost DSM location / { proxy_pass http://localhost:5000/; } } Tout ça parce-que sur internet je préfère toujours utiliser https et donc rediriger http vers https Voili voilou, si tu souhaites compléter ton super tuto et effacer ma réponse, pas de problème

C'est effectivement bien mieux pour la sécurité de ton nas; Si je peux me permettre de rappeler des règles de sécurité élémentaires: il faut créer un utilisateur qui soit superuser du nas que l'on appellera "user" pour l'exemple puis désactiver le compte admin pour empêcher les pirates de te tester avec ces deux utilisateurs archi-connus qui sont root et admin. Ensuite tu insères la ligne suivante dans le fichier /etc/sudoers user ALL=(ALL) NOPASSWD: ALL Ensuite quand tu te connectes via ssh sur ton nas avec ce compte "user" tu exécutes aussitôt la commande "sudo bash" et tu es le roi du pétrole

Webdav devrait le permettre, c'est un tout petit peu compliqué à mettre en œuvre mais on trouve de bon tutos sur le web Moi perso je préfère utiliser le filestation du synology on l'attaque à partir du navigateur de le manière suivante http://mon-syno:7000 ou de manière plus sécurisée https://mon-syno:7001 Le reste est très simple

Rien n'est perdu tes anciens scripts sont dans /usr/local/etc/httpd/sites-enabled, ils ont étés renommés avec une extension bidon, il suffit de le renommer à nouveau avec l'extension .conf. Il peut subsister un pb avec tes clés SSL Pour ma part j'ai du rajouter SSLCertificateFile "/usr/syno/etc/packages/VPNCenter/openvpn/keys/server.crt" SSLCertificateKeyFile "/usr/syno/etc/packages/VPNCenter/openvpn/keys/server.key" LoadModule ssl_module modules/mod_ssl.so

Dans le monde Linux il y a rsync qui pourrait faire l'affaire, tandis que pour windows il a SyncbackFree qui fait le même boulot. Ce sont des programmes très riches qui demandent à être manipulés avec précaution, car un malheur est vite arrivé Pour Mac, je ne sais pas; je fais une allergie pécuniaire lol

Moi, je n'ai pas pu alors je vous donne la solution: Services web -> Activer Web Station -> Hote Virtuel Puis creer un truc comme www.mon-domaine.my en HTTP et un autre en HTTPS Cela va créer tout simplement les fichiers de conf suivants dans le répertoire "/etc/httpd/sites-enabled-user" : "httpd-vhost.conf-user" et "httpd-ssl-vhost.conf-user" qu'il suffit de remplir avec les bonnes informations que l'on trouve dans tous les excellents tuto sur Apache et le Proxy Reverse Enjoy It

Si je peux donner mon avis et il vaut ce qu'il vaut: si tu ne crains pas pour tes données tu peux éventuellement faire la manip; tu ne risques que de "breaker" ton NAS. Même s'il y a peu de chances Par contre si tes données sont importantes , tu es condamné à attendre des jours meilleurs; d'autant plus que ton cas n'est pas désespéré ; en effet il m'est arrivé aussi d'être obligé de tirer la prise pour redémarrer, mais ce phénomène a disparu comme il était arrivé!

Tu télécharge la version 4.3 par exemple http://ukdl.synology.com/download/DSM/4.3/3827/DSM_DS213+_3827.pat Et ensuite tu fais une MAJ manuelle Mais ce n'est pas conseillé ; c'est faisable (je l'ai fait pour revenir temporairement en 4.2), mais pas conseillé par Syno Donc : à tes risques et perils

Ouaip et moi en 4.3 ! Va falloir être encore plus patient

Chers utilisateurs de Synology, Une faille critique touchant la plupart des sites Internet dans la librairie logicielle Open SSL, connue sous le nom de Bug Heartbleed, était aussi présente sur MyDS Center et DSM. Cependant, Synology a comblé la faille sur tous les serveurs MyDS Center et DSM 5.0. Nous aimerions vous communiquer les informations suivantes : Tous les serveurs MyDS Center ont été mis à jour et sont sûrs. Nous n'avons pas remarqué d'accès non autorisé aux données utilisateurs durant la période de vulnérabilité, mais nous recommandons à tous nos clients de changer de mot de passe MyDS, à titre de précaution. DSM 5.0-4458 Update 2 est sortie le 10 Avril. Tous les utilisateurs de DSM 5.0 et DS. 4.3 sont encouragés à suivre les instructions sur la page dédiée à la sécurité chez Synology. Nous travaillons actuellement sur une mise à jour pour DSM 4.2 et DSM 4.3. La mise à jour pour DSM 4.2 sera disponible dans une semaine. Pour les utilisateurs qui préfèrent DSM 4.3, la mise à jour sera disponible fin avril. Pour les utilisateurs de DSM 4.1, il est conseillé de mettre à jour votre système vers DSM 4.2 Les versions DSM 4.0 et précédentes ne sont pas affectées. Synology prend très au sérieux la sécurité de ses logiciels et de vos données. Nous demeurons ouverts et transparents. En cas de questions ou inquiétudes, vous pouvez nous contacter à security@synology.com. Merci Très cordialement, L'équipe de développement de Synology

Ouf, j'ai bien fait de ne pas (encore) mettre à jour mes syno ! Quoique... Je suis bien em**dé maintenant à attendre DSM 4.3-3827-2 .. si elle vient un jour ! Pour l'instant le port 443 est "flytoxé" chez moi

Je suppose que tu voulais parler de "/usr/syno/apache/conf/httpd.conf-user" non?

Absolument et crois-moi que nous sommes nombreux à attendre ce patch. (du moins a l'internationnal) Ayant plusieurs NAS SYNO à gérer je ne peux, pour l'instant monter en version 5.0 qui est, elle au moins corrigée, donc je suis obligé d'attendre le bon vouloir de SYNO dont la responsabilité est clairement engagée! D'ailleurs, à ce sujet, je me demande comment un thread si important peux rester dans la catégorie du bar ... Moi, si j'étais modo ...

En attente ardente de l'update 2 pour DSM 4.3 qui corrigera, du moins je l'espère, cette enorme faille de sécurité Pour l'instant j'ai désactivé le port 443 au niveau du firewall ... vraiment crade comme solution

Un peu d'histoire Il y a, disons une dizaine d'années, effectivement les premiers kernels de linux étaient nettement plus buggés que maintenant et les machines se vautraient dès qu'il y avait des bad-blocks de détecté ... mais bon la communauté a bien travaillé depuis, les firmwares des disques-dur on eux-aussi bien évolué ... ce qui fait que tous ces soucis font partie de ce que j'appelle la légende ... Maintenent, attention de ne pas me faire dire ce que je n'ai pas dis : on n'est pas à l'abri d'un disque dur en panne dès sa sortie d'usine; sachant que les controles qualités sont laissés au soin ... des utilisateurs pour de sombres raisons de couts

Je crois me souvenir que tu as, quand tu initialises tes DD dans le syno, une option longue qui va vérifier tous les blocks du disque afin de déterminer les blocks défectueux (bad-blocks) ... c'est un truc effroyablement long qui stresse énormément les DD ... Ca doit suffire non?

Effectivement, je connais CR depuis ... presque 40 ans et je me souviens qu'il n'étégnait jamis son ampli audio afin de ne pas le stresser ; effectivement il n'a jamais eu d'ampli cramé et il ne les changeait que pour acheter un modèle plus récent ! Moi non plus d'ailleurs,je n'ai jamais eu d'ampli cramé LOL Lui n'utilise pas le RAID, moi si; Lui n'utilise pas l'hibernation; moi si Lui stresse ses disques; moi non ! Au final on a tout les deux aussi peu de pannes !!! Alors tu vois même avec quarante ans d'expérience tu ne seras pas sorti de l'auberge

Préparation des disques ??? Tu rigoles ou quoi ? Encore une légende urbaine qui a la vie dure . Surtout si tu parts sur du RAID1; je crois même que le Syno intègre une fonction de préparation des DD (que je désactive systématiquement mais c'est vraiment personnel ) Achat totalement inutile, investi dans un onduleur (par exemple un APC BE700G-FR a € )

[MODE DECONNADE] Quel bonheur de lire certaines mauvaises idées reçues sur le RAID et donc autant de bêtises concentrées en si peu d'espace : "En RAID on va se servir d'un logiciel spécifique qui va passer son temps à vérifier le miroring des données et reconstituer ce miroring au fur et à mesure que les données bougent. C'est un très gros travail qui oblige à des recopies des données incessantes." Un grand n'importe quoi !! les données sont écrites une fois (sur chaque disque) épicétou !!! Et, qui plus est, en lecture il lit une partie du fichier sur un disque puis l'autre partie sur l'autre et ainsi de suite donc les accès disque sont même partagés donc diminués! What else? "Mais avec un 2 baies, ça ne sert à rien, autant mettre chaque disque en basique." Ah bon ? Moi, j'ai un 2 baies avec RAID 1 + Disque externe USB pour les sauvegardes des dossiers importants + sauvegarde sur le NAS de Maman pour les dossiers très importants + sauvegardes sur les immenses disques non utilisés de mes PC .... [/MODE DECONNADE] Plus sérieusement, ormi ma premère phrase volontairement provocatrice, il faut reconnaitre que la majorité des posteurs ne racontent pas de bêtises : "L'avantage du RAID, c'est que si un disque claque, le NAS continue à fonctionner." " 1) Le RAID n'est PAS une sauvegarde. 2) Le RAID sert à la continuité de service en cas de panne." Alors je ne dis pas qu'un coupure EDF au moment ou l'on bati ou re-bati un RAID ce n'est pas la cata; mais bon, dans la vie courante passez vous votre temps à arracher les disques et à les remettre en place ? En conclusion : "Sauvegardez, sauvegardez mes frères et surtout arrêtez de diaboliser le Raid"

Panneau de configuration -> Service d'indexage media -> Onglet Dossier indexé et la tu rajoute les chemins qui vont biens

On est bien d'accord , y'a quand meme un minimun syndical les ports et 443 en font evidemment partie

Le NAS non, mais ta connexion ADSL risque de ne pas aimer LOL

Je ne pense pas que le blocage par adresse ip soit une bonne chose ; par exemple si, comme moi, vous voyagez et qu'à l'étranger vous avez besoin d'avoir accès à votre NAS vous vous retrouvez marron . Je préfère une politique de sécurité basée sur le ports ; avec , par exemple comme première règle, essayer de bannir les ports en dessous de 1024 qui sont systématiquement scannés , ensuite désactiver des utilisateurs hyper connus comme root et admin etc... etc...

Absolument, c'est ce que te disait CoolRaoul et il sera même possible de mettre tes disques externes (en USB je suppose) derrière ton NAS et de lire directement sur la TV leur contenu via le DLNA de ton NAS ! Il suffira de les (tes DD externes) faire reconnaitre par le "Service d'indexage media" du Syno. Je crois qu'il y a un topic la-dessus

L'étape suivante est de ne pas ouvrir les ports en dessous de 1024 .... (en particulier le fameux port 22 de SSH ) mais c'est une autre histoire !