TuringFan

Merci @oracle7, Pour le point 2 j'ai effectivement la ligne sur le defaut_acme-server sur mon fichier account. Voici ce que je tape : /volume1/Certs/Acme_renew$ cd $ACME_HOME /usr/local/share/acme.sh$ export CERT_DOMAIN="ndd.tld" /usr/local/share/acme.sh$ export CERT_WDOMAIN="*.ndd.tld" /usr/local/share/acme.sh$ export CERT_DNS="dns_ovh" /usr/local/share/acme.sh$ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" Voici mon output [Sun Dec 12 21:19:46 CET 2021] Using CA: https://acme.zerossl.com/v2/DV90 [Sun Dec 12 21:19:46 CET 2021] Create account key ok. [Sun Dec 12 21:19:46 CET 2021] No EAB credentials found for ZeroSSL, let's get one [Sun Dec 12 21:19:46 CET 2021] acme.sh is using ZeroSSL as default CA now. [Sun Dec 12 21:19:46 CET 2021] Please update your account with an email address first. [Sun Dec 12 21:19:46 CET 2021] Please add '--debug' or '--log' to check more details. [Sun Dec 12 21:19:46 CET 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh [Sun Dec 12 21:19:46 CET 2021] acme.sh --register-account -m my@example.com [Sun Dec 12 21:19:46 CET 2021] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA Où dois je m'inscrire ? Pas certain de suivre ce point. Merci d'avance as usual,

Merci @oracle7 pour la maintenance. J'ai "bêtement" ouvert mon SSH et tappé ces lignes de commande mais j'obtiens un message d'erreur ... /volume1/Scripts$ cd $ACME_HOME /root$ export CERT_DOMAIN="ndd.tld" /root$ export CERT_WDOMAIN="*.ndd.tld" /root$ export CERT_DNS="dns_ovh" /root$ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencrypt -ash: line 81: ./acme.sh: No such file or directory /root$ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencryp -ash: line 83: ./acme.sh: No such file or directory Pourrais tu stp m'aider ? J'ai même un problème pout lire le fichier acmelog : un message d'erreur m'i,dique que le fichier ne peut être créé avec le message suivant : Erreur système. Code : 123. La syntaxe du nom de fichier, de répertoire ou de volume est incorrecte Cordialement,

Lol je prends le point. Sinon @maxou56 m'a expliqué que dans ce cas besoin d'un couple identifiant / mdp d'un utilisateur admin ou des cles de chiffrement des dossiers (si migration, reset, etc.)

Très clair merci

J'utilise également pour des snapshot. je crois comprendre (sans maitriser) que les snapshots sont également sauvegardés lors des sauvegardes Hyper Backup. Merci encore oour tes réponses.

Sous l'hypothèse que le malfaiteur dispose d'un temps important sur le site, peut il opérer pour lire des données sans déconnecter le NAS de son alimentation ? C'est un cas bien plus théorique que réaliste je pense mais il me permet de parfaire mes connaissances NAS.

OK, merci. @maxou56 j'imagine que tu utilises Hyper Backup pour tes sauvegardes croisées ?

Ok merci @oracle7. A titre perso mon LAN est en 192. et mon VPN en 172. Impossible donc d'imposer au NAS des connexions physiques sur une classe spécifique comme on peut le faire ed faon analogue avec le DHCP ? C'est bien mon cas, un mdp de 114 bits. Merci @maxou56, Quid du cas des dossiers partagés chiffré mais montés au moment de l'attaque en physique ?

Ok merci,

Merci @maxou56 pour tes réponses, Ok donc en gros : Pour un NAS principal, chiffrer ses dossier partagés est une condition suffisante pour empêcher une lecture par un accès malveillant en physique ? M^mee si les dossiers partagés sont montés ? Pour un NAS secondaire (de sauvegarde), chiffrer la sauvegarde (mais pas les dossiers partagés) est une condition suffisante pour empêcher une lecture par un accès malveillant en physique ? Même si une sauvegarde : synchronisation est en cours ? Aucune règle spéciale pour des "IP physique" n'est utile pour le pare feu ? Pour le transfert quel est le plus intéressant en terme de sécurité / performance : le chiffrement hyper backup ou le VPN ? Un intérêt de cumulé les deux ?

Merci @oracle7 pour ta réponse, Je me demandais s'il y avait des choses à faire coté pare feu : les IPs LAN branchées en physique (ethernet / usb) ont-elles un format spécifique ? Rien de tel en dehors de ma recette du gâteau au chocolat lol. Je pensais par exemple à un accès root et/ou en utilisant les services de fichiers tels que SMB, CIFS, AFP, NFS, FTP, TFTP, rsync, etc. Ok, Merci

Merci @.Shad., c'est malheureusement explicite ... DSM 7 change -t-il quelque chose à cela ?

Bonjour à tous, Un upgrade vers DSM 7 change-t-il / simplifie-t-il l'implémentation d'une stratégie de sauvegarde double NAS telle que décrite dans premier post de ce fil ? Merci d'avance,

Bonjour à tous, J'ai deux questions : 1 - Quelle serait les capacités d'une personne malveillante si elle parvenait à se connecter physiquement (via un cable Ethernet ou USB) à un NAS (sans connaitre les logins) ? Comment se prémunir des éventuels risques liés à ce comportement ? J'ai posté ici à ce sujet. 2 - Y a t il des actions (en terme de sécurisation de son NAS) spécifiques à effectuer lors d'un upgrade vers DSM 7 si on a déjà suivi ce tuto sous DSM 6 ? Merci d'avance,

Bonjour @oracle7, J'ai cru comprendre que DSM 7.0 facilitait la gestion des certificats : un intérêt de migrer dans le cadre du sujet de ce fil ? Bonne journée,

Bonjour à tous, Ma configuration J'utilise File Station, Drive et Moment sans problème en passant systématiquement via des reverser proxy qui entrent par le port 443 et pointent ensuite vers des ports http. Je peux donc atteindre mes applications avec des adresses du type https://application.ndd.tld depuis des IP LAN, VPN et WAN (sauf pour File Station). Dans le menu avancé de la section accès externe du panneau de configuration j'ai : Nom de l’hôte : files.ndd.tld DSM (HTTP) : vide DSM (HTTPS) : 443 Comportement actuel Aujourd'hui lorsque je souhaite partager un fichier via un lien cela dépend de l'application. Via Drive (via navigateur ou application smartphone) Le lien généré est de la forme : https://drive.ndd.tld/x/y/123456789012345678 le partage peut se faire vers des users NAS seulement le partage peut être public le téléchargement est blocable un mot de passe peut être demandé une date d'expiration peut être ajoutée N'importe quel appareil en LAN, VPN ou WAN semble pouvoir accéder au fichier. Via Moment (via navigateur ou application smartphone) Le lien généré est de la forme : https://files.ndd.tld:X/mo/sharing/A2b4c5d6e7f9 [le nom de domaine correspond au paramétrage du nom d'hôte dans le menu accès interne (cf. précédemment) et X est le port HTTP vers lequel le reverse proxy de l'application moment pointe] le partage ne peut pas se faire vers des users NAS seulement le partage peut être public le téléchargement est blocable un mot de passe peut être demandé une date d'expiration peut être ajoutée En l'état aucun appareil en LAN, VPN ou WAN ne semble pouvoir accéder au fichier : il faut modifier le lien en remplaçant files.ndd.tld:X/ par photo.ndd.tld/ (ce qui correspond à l'adresse utilisée pour atteindre moment avec le reverse proxy). Avec cette modification qui doit être systématique et manuelle le fichier est accessible depuis un appareil en LAN, VPN ou WAN. Via File Station (uniquement via navigateur) Le lien généré est de la forme : https://files.ndd.tld/sharing/A2b4c5d6e7f9 [le nom de domaine correspond au paramétrage du nom d'hôte dans le menu accès interne (cf. précédemment)] le partage peut se faire vers des users NAS seulement le partage peut être public le téléchargement est blocable un mot de passe peut être demandé une date d'expiration peut être ajoutée un nombre limite d'accès peut être paramétré N'importe quel appareil en LAN, VPN ou WAN semble pouvoir accéder au fichier. Via File Station (uniquement via l'application smartphone) Le lien généré est de la forme : https://files.ndd.tld/sharing/A2b4c5d6e7f9 [le nom de domaine correspond au paramétrage du nom d'hôte dans le menu accès interne (cf. précédemment)] le partage peut se faire vers des users NAS seulement le partage peut être public le téléchargement est blocable un mot de passe peut être demandé une date d'expiration peut être ajoutée un nombre limite d'accès peut être paramétré N'importe quel appareil en LAN, VPN ou WAN semble pouvoir accéder au fichier. Mon besoin In fine je voudrais savoir comment avoir un comportement uniforme avec mes différentes applications (via application smartphone et/ou via navigateur) : notamment (i) ne pas avoir à manuellement modifier le lien généré par moment et (ii) permettre de gérer les droits associés au liens (utilisateurs NAS et/ou public, téléchargement blocable, mot de passe, date d'expiration, nombre limite d'accès, etc.). Savez-vous comment faire ? Peut-être utiliser les fonctions d'alias personnalisé et/ou de domaine personnalisé dans le portail des application ? Mais je reconnais volontiers que je ne comprend pas bien ces notions (surtout vs. un reverse proxy). Peut être sinon qu'une migration DSM 7.0 résoudra ce problème ? Mais j'appréhende un peu cette opération (peur que ce soit plus complexe qu'annoncé et/ou de perdre des fonctionnalités / applications) : je vais regarder les sujets des dockers avant (que je ne maitrise pas). Enfin c'est un autre sujet pour une prochaine fois. Merci d'avance pour votre aide,

@oracle7 et @Mic13710 merci je vais essayer dès que j'ai un peu de temps.

Merci @Mic13710, Concrètement dois-je reprendre la totalité du tuto ou y a t il que quelques manip à passer pour changer l'utilisateur ? Qu'est ce que le fail2ban ? Merci,

Bonjour @oracle7 et @bruno78, Ce tuto est toujours aussi utile et je l'utilise depuis plusieurs mois maintenant. Une seule chose qui semble un peu erratique : la durée de vie du DID (même en essayant de la paramétrer avec des extensions de navigateurs qui gèrent les cookies). Bref est un possible de dédier un utilisateur sans 2FA (probablement non admin) à l'exécution du script ? Si oui comment faire et avons nous un niveau de sécurité qui reste élevé ? C'est une vision long terme donc pas d'urgence sur la réponse. Merci d'avance,

Et pour l'histoire du bannissement de la cam ? Comment le faire proprement ?

@.Shad. merci pour ton retour, L'idée est la suivant. Imaginons un cambrioleur dérobant ou détruisant le NAS principal les vidéos de la surveillance deviendrait de facto non accessibles sauf pour celles déjà sauvegardées via Hyper Backup sur le NAS secondaire. Or la fréquence maximale de sauvegarde avec ce paquet est de 1h : il est donc fort probable que cela ne soit pas suffisant (NAS volé en moins de 1h). Le backup dans l'autre sens revient ensuite juste à dupliquer les vidéos dans le cadre d'une stratégie de sauvegarde standard. In fine le risque résiduel est donc : avoir un vol / une destruction du NAS principal et en même temps un vol / une défaillance du NAS secondaire. Je considère ce risque comme suffisamment faible. Voici ce que j'ai. Je pensais que le bannissement était bilatéral ... Comment banir proprement la cam dans les deux sens ? Merci encore,

Oui pardon, remarque bête. J'ai pour l'instant configuré par défaut un accès full depuis les IP LAN/VPN comme indiqué sur le tuto mais on peut au besoin affiner.

Bonjour à tous, Je poste ici les évolutions de ce que j'envisage en espérant que cela sera utile pour de futurs lecteurs. Après avoir envisagé l'opportunité d'utiliser le second NAS (sur un LAN distant) pour héberger mes backups et l'utiliser dans le cadre d'un cluster Synology High Availability j'ai renoncé à cette seconde option car elle semble imposer de nombreuses contraintes (en hardware et en configuration). Pour le moment j’envisage donc : D'installer Snapshot Replication sur mon NAS principal et sur mon NAS secondaire (sur lequel sera herbergé surveillance station, cf. plus bas). D'installer un second routeur et un second NAS sur un LAN distant. De suivre du mieux possible le tuto de sécurisation de Fenrir pour les deux installations. De protéger l'accès physique à mon NAS secondaire (en fonction des retours sur ce fil). D'installer un DDNS sur le second réseau et de configurer un sous réseau du type backup.ndd.tld pour accéder au second réseau (en fonction des retours sur ce fil). D'effectuer des backups depuis mon NAS principal (à une fréquence encore à déterminer) avec une transmission sécurisée et un chiffrement des archives via HyperBackup. D'accéder à ce réseau secondaire et ses appareils via un VPN Server installé sur le routeur. De me protéger d'un acte malveillant / dysfonctionnement sur mon LAN principal en ayant ma caméra IP (sur le LAN principal) qui enregistrera directement avec Surveillance Station hébergé sur mon NAS secondaire soit (i) en restant bannie d'internet et en utilisant une connexion VPN entre les deux réseaux soit (ii) en ayant accès à internet mais en configurant le pare-feu pour ne permettre (en fonction des retours sur ce fil). A noter néanmoins que les snasphots (point 1) blqoue temporairement les enregistrements (pendant c. 5 seconde dans ma configuration actuelle) lors de leur création, reste à voir si hyperbackup agit de même. D'effectuer un backup en sens inverse depuis Surveillance Station hebergé sur mon NAS secondaire vers mon NAS principal : là aussi avec une transmission sécurisée et un chiffrement des archives via HyperBackup mais en utilisant la fréquence maximale (à savoir toutes les 1h pour le moment). J'attends sur ce sujet des retours sur ce fil. D'effectuer régulièrement (une fois par mois probablement) un backup chiffré sur un DD externe (conservé hors ligne) via HyperBackup. PS : je mets en PJ le schéma du montage Je suis évidemment preneur de vos remarques et conseils.

Bonjour à tous, Je suis actuellement en train d’évaluer ici quelle serait pour moi la meilleur stratégie de sauvegarde de mes données. Pour le moment j'envisage d'utiliser un NAS distant (sur un autre réseau) qui sera probablement en IP dynamique. Je voudrais donc savoir s'il est possible d'ajouter un nouveau DDNS depuis le routeur d'un autre LAN qui mettrait à jour mon registrar mais uniquement pour un sous domaine du type backup.ndd.tld ? J'aurais ainsi un domaine avec l’essentiel de mes adresses qui pointent sur le LAN de mon NAS principal et mes adresses en backup.ndd.tld qui pointeraient vers le LAN de mon NAS secondaire. Si je ne dis pas de bêtise grâce à ce tuto je serais alors en mesure de diffuser avec succès mon unique certificat wilcard aux différents appareils de ces deux LAN ? Merci d'avance,

Bonjour @Thierry94 et @Einsteinium, Pardon par avance si ce n'est pas le bon endroit pour poster, preneur si vous voyez un fil plus approprié mais la "philosophie" est proche : je remplace le DD externe par un NAS sur un autre réseau. Je réfléchie ici actuellement à la meilleure stratégie de sauvegarde de mes données et notamment de mes enregistrements surveillance station. Voici mon contexte : je possède actuellement une unique caméra dont les enregistrements sont stockés via Surveillance Station sur mon NAS principal qui est sur le même réseau. Les deux principaux avantages de cette solutions sont que (i) c'est relativement simple et (ii) je peux bannir ma caméra d'internet (ce qui protège encore mieux sont accès). Le principal inconvénient est en revanche le fait de ne pas protéger l'installation d'un vol ou d'une détérioration du NAS : en effet si un individu s'introduit sur le site du couple NAS + caméra et vole ou détériore le NAS il sera alors impossible de récupérer les enregistrements récents (non encore sauvegardés sur mon NAS secondaire de backup). Aujourd'hui j'envisage donc d'enregistrer directement le flux de ma caméra sur mon NAS secondaire (sur un site distant donc un autre LAN) et d'effectuer des backups dans l'autre sens (du NAS secondaire vers le NAS principal) ainsi même si un individu vol et/ou détériore le NAS principal les enregistrements resteront accessibles sur le NAS secondaire. Le risque change est devient donc : avoir dans la même heure (intervalle minimale de backup avec hyper backup) un incident sur le NAS principal et un incident sur le NAS secondaire, ce que j'estime être bien moins probable. Avant de me lancer, voici mes questions : Existe-t-il une méthode pour enregistrer simultanément sur plusieurs sites (donc plusieurs LAN) ? Existe t il une méthode pour enregistrer sur le NAS principal et instantanément copier sur un NAS secondaire (sur un autre LAN) ? Si j'enregistre directement sur un LAN distant est il possible de conserver le bannissement de ma caméra et donc de passer par un VPN ? A défaut quelle est la meilleur approche d'un point de vue sécurité : accorder via mon pare-feu routeur, l'accès à la caméra depuis l'unique adresse IP de mon NAS secondaire ? Dans ce cas est il possible d'utiliser une adresse mise à jour via un DDNS (j'aurai en effet une IP dynamique sur le second site) ? Par ailleurs j'ai sélectionné 5 secondes de pré-enregistrement / post-enregistrement : je comprends donc que Surveillance station "garde systématiquement en mémoire" les 5 dernières seconds de film et les enregistre réellement si et seulement si un événement est déclenché. Ainsi si la caméra est déconnectée / masquée cela est interprété comme un événement et les 5 dernières secondes restent enregistrées. Est-ce la bonne interprétation ? Quelles peuvent être les autres approche pour conserver les enregistrements en cas d’effraction ? Je mets également un tag sur @oracle7 qui m'a déjà aidé sur des surveillance station (et tant d'autres).