Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Il y a 3 heures, mafiaman42 a dit :

Je suis curieux de savoir comment. Si t'as un lien ou qurelque chose comme ça (si je peux accroître la sécurité de mon serveur, je vais pas me priver) :smile:

Sans rentrer dans les détails, en fonction des options des serveurs web et des failles ou bug, on peut énumérer assez vite des noms de domaine voir leaker des morceaux de conf.

C'est loin d'être une science exacte, mais ça donne d'assez bon résultats en général.

Si la sécurité t’intéresse, je suis certain que tu connais déjà au moins un outils capable de faire ça, tu n'as juste pas vu l'option ...

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour et merci beaucoup pour ce tuto très détaillé.

Je viens d’acquérir un DS216+ et je suis en train de "défricher" mais avant d'y transférer quoi que ce soit , j'essaie de mettre en œuvre  toutes ces règles de sécurité .

J'en suis à l'étape du paramétrage du pare feu avec la création des règles pour le profil "tuto".

Lorsque j'essaie d'autoriser une plage d'IP spécifiques (de 10.0.0.0 à 255.0.0.0) à autoriser j'ai un message d'erreur :"valeur incorrect"? par contre si la plage la plage spécifiée est de 10.0.0.0 à 10.0.0.5 là ça marche mais dans le descriptif de la règle il n'y a pas de / mais "à"...

voilà je pédale et vais essayer de passer à la suite.

Si quelqu’un passe par là ce serait sympa d'avoir votre avis.

Merci et bonnes fêtes!

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Kaoukiboard a dit :

j'essaie de mettre en œuvre  toutes ces règles de sécurité .

Il ne faut pas nécessairement tout mettre en œuvre, c'est à adapter en fonction de tes besoins

Pour l'adresse, gaetan a répondu, il ne s'agit pas de plages d'adresses mais de sous réseaux.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour Enfin un tuto que je comprends... Et que j'essaye de mettre en pratique. Merci !

Sur mon NAS le compte admin était déjà désactivé, mais c'est mon compte perso qui a tous les droits (ce n'est pas folichon, non ?). J'ai donc essayé de suivre les explications très claires et j'arrive donc au compte admin tel que le modèle (parce que le principe je le mets en place aussi sur les ordi familial). Sauf que ce compte admin continue à pouvoir se connecter à Photostation (par exemple). De plus j'avais passé mon propre compte en utilisateur simple, et là je ne voyais plus que mes albums publics.


En y regardant de plus près, je vois que le paramétrage des groupes donne aussi des droits sur les applications. J'ai donc compris que si je voulais que mon compte admin n'est pas de droit sur les applications, il fallait que ce soit le type de compte (et non pas le compte) qui soit modifié.

Avant d'aller plus loin, je préfère avoir votre avis sur ma bonne compréhension. j'ai des doutes

 

merci

Lien vers le commentaire
Partager sur d’autres sites

Pour photostation, la gestion des droits est différentes (et pas raccord avec le reste du syno), il gère ses droits en interne, mais c'est vrai que j'ai oublié ce point dans le tuto (je n'utilise que photostation par utilisateur, pas le global, donc je n'ai pas ce soucis).

Il y a 2 heures, Jyouaille a dit :

En y regardant de plus près, je vois que le paramétrage des groupes donne aussi des droits sur les applications. J'ai donc compris que si je voulais que mon compte admin n'est pas de droit sur les applications, il fallait que ce soit le type de compte (et non pas le compte) qui soit modifié.

Je n'ai pas vérifié avec toutes les applications, mais généralement un "droit utilisateur" refuser l'emporte sur un "droit groupe" autoriser.

Lien vers le commentaire
Partager sur d’autres sites

Merci de ta réponse rapide ! C'est nickel !

Le problème ne se pose effectivement pas avec Vidéo Station. Mon nouvel admin n'ayant pas les droits, il n'y a pas accès. Pour Photostation, j'ai regardé un peu plus en détails et tu as encore une fois raison, on doit gérer les droits via l'application.

J'avais crainte d'avoir louper un truc, je te remercie une nouvelle fois pour ta confirmation. Il n'y a donc pas a intervenir sur les droits des groupes (tu n'en faisais d'ailleurs très justement pas mention) et il est très dangereux d'intervenir sur eux, car on peut très vite s'y enfermer soi-même...

Pour expliquer mes usages : j'aime la photographie et la vidéo, j'ai un site web sur une autre passion, que je pense migrer sur le 'NAS' (pas un gros trafic), mais il faut avant que je sécurise tout cela (derrière une Freebox Révolution)

Inutile de te dire, que ton tuto est plus qu'apprécié !

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, j'ai encore une question... (décidément ! :biggrin: )

Le compte 'monadmin' n'a plus accès à l'arborescence des fichiers, et c'est effectivement plutôt bon signe sur les paramètrages que j'ai pu faire.

Pourtant, sur ma config, il a toujours accès au module 'utilisateur'. Et donc, ce compte, pourrait s'octroyer de nouveau les droits nécessaires, voire même supprimer les comptes utilisateurs créés.

Je pense que j'ai forcément du louper un épisode... :lol:

S'agissant de Photostation, j'ai pu augmenter les droits de mon compte personnel (sans pouvoir lui attribuer le rôle d'administrateur) ce qui me permet une utilisation normale dans mes usages, par contre je n'ai pas trouvé comment ôter ceux du compte 'monadmin' qui reste administrateur par défaut

Modifié par Jyouaille
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Jyouaille a dit :

Pourtant, sur ma config, il a toujours accès au module 'utilisateur'. Et donc, ce compte, pourrait s'octroyer de nouveau les droits nécessaires, voire même supprimer les comptes utilisateurs créés.

Le 01/12/2016 à 19:33, Fenrir a dit :

Ici je bloque les accès à tous les partages, certains vont penser que ça ne sert à rien puisqu'un membre du groupe "administrators" peut toujours se remettre les droits et c'est vrai.

L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose.

Dit autrement, l'un des objectifs est de ne laisser l'accès au bureau (à DSM) qu'au compte administrateur et de rendre les applications directement accessibles sans passer par DSM.

Relis le tuto en entier :biggrin:

Lien vers le commentaire
Partager sur d’autres sites

Salut, En préambule, si tu souhaite que j'ouvre un topic dédié, pour ne pas 'pourrir' le tien pas de soucis.

J'ai lu ton tuto en entier, j'en ai déduit plusieurs parties, et pour maîtriser mes propres adaptations, j'y vais tranquillement step by step. Je ne pense pas qu'il y ai un lien de causalité entre le droits des comptes et la suite des étapes proposées,

Donc mon compte 'monadmin' , qui n'a pas cet identifiant, bien entendu, mais c'est pour rester cohérent avec ton excellent tuto, me semble en tout point répondre à tes conseils.

Le comportement serait donc normal, mais quid si ce compte supprime tous les autres comptes utilisateurs et/ou modifie le mdp des comptes admin (le sien plus celui déactivé) ?

C'est juste une question, pour être sûr d'avoir bien compris et mis en place les réglages préconisés.

:glasses:

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Jyouaille a dit :

Le comportement serait donc normal, mais quid si ce compte supprime tous les autres comptes utilisateurs et/ou modifie le mdp des comptes admin (le sien plus celui déactivé) ?

Ce compte a normalement un super mot de passe et la double authentification, s'il se fait casser la tête c'est que tu as de sacrés ennemies :mrgreen:

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Hello,

Merci pour ce tuto super bien expliqué. Tout est clair :)

J'ai commencé à revoir ma stratégie de connexion sur le NAS pour augmenter la sécurité.
Je me suis donc grandement inspiré de ce que tu as fait ici.
J'ai donc mis la double authentification sur mon compte admin et mon compte perso. J'ai viré toutes les permissions sur les partages du compte admin, pour les laisser que sur le compte perso.

Tout semblait bien fonctionner hier :) et encore ce matin.
Sauf les sauvegardes HyperBackup !
Toutes les tâches de sauvegardes locales (d'un disque sur un autre) avec le système Synology ne peuvent plus se lancer... 

Un exemple d'échec de cette nuit :

Capture d’écran 2017-02-01 à 07.28.40.png

Par contre si je remet l'autorisation de lecture/écriture sur le partage /Backup-Syno/ pour monAdmin, alors la tâche de sauvegarde peut se lancer sans problèmes.

Il y a donc une réelle limitation à la stratégie de n'accorder aucun accès aux données de l'administrateur... Les tâches de backup locale ne peuvent plus fonctionner.
Par contre, celles sur un NAS distant ou sur Amazon Drive (je n'utilise que ces deux) fonctionnent bien elles...

J'ai bien regardé si je pouvais pas faire mes tâches avec l'utilisateur normal, mais il n'a pas accès à Hyperbackup.

monAdmin a bien les permissions sur les applications rsync et hyberbackupvault (bon lui sert à rien dans ce contexte :rolleyes:

Est-ce que j'ai mal fait quelque chose ou bien est-ce un comportement normal ?

edit : je vois une autre limitation, c'est via file station, un utilisateur normal ne peut pas monter un dossier distant... (via SFTP ou autre). Il n'y a aucune option pour le faire. 


Merci d'avance
Miles

Modifié par MilesTEG1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, MilesTEG1 a dit :

Est-ce que j'ai mal fait quelque chose ou bien est-ce un comportement normal ?

Tu as juste loupé une ligne de mon tuto, rien de grave. Pour les sauvegardes j'utilise un compte dédié, qui a les droits d'admin mais un mot de passe très fort.

Il y a 2 heures, MilesTEG1 a dit :

edit : je vois une autre limitation, c'est via file station, un utilisateur normal ne peut pas monter un dossier distant... (via SFTP ou autre). Il n'y a aucune option pour le faire. 

Comme indiqué dans le tuto, vous êtes libre d'appliquer ou non les diverses recommandations en fonction des besoins, si certains besoins nécessitent des droits d'admin, vous n'aurez pas vraiment le choix.

Lien vers le commentaire
Partager sur d’autres sites

Haaa, je me rappelle bien avoir lu que tu utilisais un compte spécial pour la sauvegarde, je fais pareil, mais j'avais zapé le fait qu'il avait les droits d'admin :D
Bon et bien je vais devoir regarder dans ce sens ma configuration :D
J'espère que ce compte de sauvegarde une fois mis en admin, il pourra voir les tâches actuelles :p

 

Merci bien :)

Modifié par Lucien77
Inutile de citer le post précédent
Lien vers le commentaire
Partager sur d’autres sites

  • Einsteinium a libéré et à l’affiche ce sujet

Merci pour ce tuto qui m as bien aider a securiser mon nas 

 

mais ce matin en me levant j ai recu 

(alors peut etre que je m affole)

 

une notification m indiquant une tentative de connection (refusé bien sur) 

la seul chose que je n ai pas faite je l avoue est de modifier le ports par defaut de connection au nas 

 a part cela j ai limité tout les accees et l assistant d installation est au beau vert 

 

dois je m inquieter pour autant ? 

Avez vous de maniere aleatoire des tentatives de connection ? 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Antoine40 a dit :

dois je m inquieter pour autant ? 

Avez vous de maniere aleatoire des tentatives de connection ? 

Des attaques, il y en a toujours dès lors que des ports sont ouverts vers l'extérieur. Il m'arrive parfois d'en avoir toute une série sans que cela m'inquiète outre mesure. En général c'est sur le serveur de mail.

Comme l'écrit Einsteinium, il faut vérifier d'où provient l'IP (avec https://ipgetinfo.com/index.php par exemple) et vers quel service. Ces attaques proviennent le plus souvent de pays peu recommandables (asie, pays de l'est), avec lesquels on a le plus souvent aucun contact et qu'on peut aisément bloquer avec les paramètres régionaux du pare feu.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour cet excellent tuto.

Pour le blocage automatique des adresses IP, J'ai eu il y a quelque mois une tentative d'intrusion très discrète, une tentative toutes les 20 minutes, j'ai étendu l’intervalle à 24 heures et permanente et une adresse en white list

 

Petite question, est il possible de faire du reverse proxy avec cloudstation pour le pas exposer le port 6690 ?

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

 

tout d'abord merci pour ce très bon tuto. Je débute mais je le trouve complet et accessible.

J'ai une petite interrogation concernant le reverse proxy. Dans le tuto il est indiqué de suivre le tuto "Reverse proxy avec NGINX". Il est aussi indiqué dans ce tuto de sécurité, que le reverse proxy pouvait être configuré directement via un menu dans DSM (portail des applications). Est-il finalement nécessaire d'utiliser NGINX ou tout peut-il être fait via l'interface DSM?

 

Merci d'avance pour vos retours.

A@

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.