[TUTO] Sécuriser les accès à son nas - DSM 6.x

[MilesTEG1]

il y a 31 minutes, Jeff777 a dit :

Si je ne dis pas de bêtise (les autres membres me corrigeront si c'est le cas), le but c'est surtout d'avoir un administrateur qui ne s'appelle pas "admin" afin de brouiller les pistes.

C’est exactement ça.

les attaques brute force se font avec le compte admin.

[pachira25]

Bonjour,

J'ai une question de débutant mais j'ai suivi le tuto pour la redirection des ports, cependant je ne comprends pas comment fowarder les ports sur la box (livebox) il faut reprendre à la main sur la box ? mais comment faire pour exclure des IP si par exemple on exclue les IP venant d'asie (depuis le syno)

En vous remerciant,

Pach

 

[MilesTEG1]

il y a 8 minutes, pachira25 a dit :

J'ai une question de débutant mais j'ai suivi le tuto pour la redirection des ports, cependant je ne comprends pas comment fowarder les ports sur la box (livebox) il faut reprendre à la main sur la box ? mais comment faire pour exclure des IP si par exemple on exclue les IP venant d'asie (depuis le syno)

Salut,

Alors sur une Livebox (tout du moins sur une 4 que j'ai , pour une v5 je ne saurais dire), tu ne peux pas filtrer les IP car la livebox n'a pas vraiment de pare-feu... (enfin pas configurable).

Et tu mélanges la redirection de ports et le pare-feu.
La redirection de port c'est ici sur une livebox4 :

 

Pour exclure des IP sur le NAS, faut aller dans le pare-feu du NAS et dans IP source tu choisis comme emplacement le pays que tu veux autoriser. Et tu refuses tout le reste avec une règle finale qui refuse tout.

 

Voilà mes règles dans mon NAS :

[oracle7]

@MilesTEG1

Bonjour,

Tu as une ligne "HTTPS, Revese proxy" limitée à "France" et une autre à "Tous". C'est normal cà ?

Dans le même esprit dans le pare-feu du NAS tu as une règle FR, HTTPS 443 limitée à "France" et une seconde règle All, HTTPS 443 limitée à "Tous". Tu peux expliquer STP, c'est juste pour comprendre le pourquoi de cette disposition.

Cordialement

oracle7😉

Modifié le 28 juillet 2021 par oracle7

[maxou56]

il y a 40 minutes, oracle7 a dit :

Dans le même esprit dans le pare-feu du NAS tu as une règle FR, HTTPS 443 limitée à "France" et une seconde règle All, HTTPS 443 limitée à "Tous". Tu peux expliquer STP, c'est juste pour comprendre le pourquoi de cette disposition.

Bonjour,

"Reverse proxy" ne signifie pas forcément le port 443.

Chaque règle de proxy inversé avec des ports différents s'appelle "Reverse proxy" ou "proxy inversé" dans le pare-feu.

Modifié le 28 juillet 2021 par maxou56

[oracle7]

@maxou56

Bonjour,

Ok j'avais saisi mais là ce que je ne comprend pas c'est les deux limitations d'emplacement un coup France puis après Tous pour a priori la même règle.

Cordialement

oracle7😉

 

[maxou56]

il y a 20 minutes, oracle7 a dit :

Tous pour a priori la même règle.

C'est pas forcément la même règle.

Le reverse proxy c'est pas forcément xxxx.ndd.fr:443 ou yyy.ndd.fr:443 vers un autre port du NAS ou autre périphérique du réseau local.

D'ailleurs ces régles n'apparaissent pas indépendamment dans la sélection du pare-feu, elles sont liés au port 443.

Mais ça peut être nnd.fr:portX ou IPduNAS:portX vers un autre port ou autre périphérique (par exemple https://*:12345 > http://192.168.1.100:80)

 

Par exemple je m'en sers en local pour accéder au Caméras, alarme qui sont sur un réseau non connecté à internet et accessible uniquement à travers le NAS.

Modifié le 28 juillet 2021 par maxou56

[MilesTEG1]

Il y a 6 heures, oracle7 a dit :

Tu as une ligne "HTTPS, Revese proxy" limitée à "France" et une autre à "Tous". C'est normal cà ?

Dans le même esprit dans le pare-feu du NAS tu as une règle FR, HTTPS 443 limitée à "France" et une seconde règle All, HTTPS 443 limitée à "Tous". Tu peux expliquer STP, c'est juste pour comprendre le pourquoi de cette disposition.

@oracle7 Pour les deux lignes "Reverse Proxy" sur le port 443, c'est au-cas où je veuille couper l'accès au reste du monde et laisser que la France et ne pas avoir à recréer une règle... oui fainéant 😄
Cela dit, je pourrais ajouter une règle interdisant tout à certains pays (comme la chine et compagnie) avant la règle où j'autorise tout sur le HTTPS.

 

@maxou56 Le reverse proxy, pour moi, c'est effectivement pas lié à un port en particulier.

C'est juste très pratique d'utiliser le 80 ou le 443 car ils ne sont pas nécessaires quand on tape un nom de domaine, suffi de mettre HTTP ou HTTPS et hop, pas besoin de préciser le port.

Pour moi le reverse proxy c'est comme un gros carrefour où des routes arrivent et d'autres en repartent, et seul le "truc" au centre sait quelle route entrante doit aller où, ou n'aboutir nulle part.

Et perso, je n'autorise les connexions que en HTTPS 443 entrantes sur le reverse proxy, donc avec nom de domaine.
Pour le LAN, c'est open-bar 😄 

 

[oracle7]

@MilesTEG1

Bonjour,

Ok, Merci, je me doutais un peu de ta réponse à la réflexion - pas sur le f... entendons nous bien 😆

Cordialement

oracle7😉

[MilesTEG1]

il y a 18 minutes, oracle7 a dit :

Ok, Merci, je me doutais un peu de ta réponse à la réflexion - pas sur le f... entendons nous bien 😆

Pas compris la partie en gras... (je ne perçois pas ou très peu l'ironie ou les sous-entendus 😅 c'est un peu handicapant parfois 😳)

[oracle7]

@MilesTEG1

Bonjour,

En clair, j'ai voulu dire que je me doutais de ta réponse technique et pas du qualificatif "f..." que tu avais employé à ton encontre en fin de phase. C'est tout. Désolé, si mon sous-entendu t'a paru inapproprié, ce n'était en aucun cas voulu.

Cordialement

oracle7😉

[MilesTEG1]

@oracle7 Je n'ai rien vu d'inapproprié, ne t'en fait pas, je voulais juste comprendre ce que je n'avais pas saisi ^^ 
Et je n'avais vraiment pas saisi le troncage du mot fainéant 😅
 

[Dimebag Darrell]

Bonjour tout le monde,

J'ai une question quant à la création d'un nouveau user.
Lors de la création de celui-ci, automatiquement, dans le dossier /homes, il crée un dossier pour ce nouveau user.
Est-ce possible d'éviter la création de ce dossier spécifique.

Peut-on aussi supprimer ceux qui sont déjà existants ?

 

D'avance merci pour votre aide.

Belle journée

[Kramlech]

il y a 37 minutes, Dimebag Darrell a dit :

Lors de la création de celui-ci, automatiquement, dans le dossier /homes, il crée un dossier pour ce nouveau user.

Tu vois le dossier /homes car tu es connecté avec un user administrateur. Les sous dossiers <user> que tu vois correspondent aux dossiers /home de chaque utilisateur (alias).

Les users ne voient que le dossier /home. Ce dossier est spécifique à chaque user qui est le seul à pouvoir y accéder.

Ces dossiers sont créés parce que tu as activé la fonction "Accueil utilisateur".

Si tu désactives cette fonction, tu pourras supprimer les sous dossier  (et donc les contenus des /home des users)...

[MilesTEG1]

il y a 54 minutes, Kramlech a dit :

Si tu désactives cette fonction, tu pourras supprimer les sous dossier  (et donc les contenus des /home des users)...

Si tu désactives ça, il me semble que plus aucun utilisateur n’aura de dossier home, l’utilisateur administrateur  (celui que tu as créé qui a les droits admin) ainsi que root également.

ca peut poser des soucis si tu te connectes en ssh. J’ai du laisser l’option de l’accueil utilisateur pour ça. J’ai un fichier d’alias que j’utilise en root en ssh.

[Kramlech]

Je ne suis pas un grand spécialiste de Linux, mais je pense qu’il n’y a pas de lien entre le répertoire appelé home de la fonction Accueil utilisateur  (et qui correspond à un répertoire /volume1/homes/user) et le répertoire home des utilisateurs linux ….

Des spécialistes pourront sans doute nous en dire plus …

[oracle7]

@Kramlech

Bonjour,

Je suis assez d'accord avec toi, du peu que je connaisse de l'environnement Linux/Unix, il n'y a pas de réelle comparaison à faire. Je qualifierai même de "CanadaDry"  l'organisation/architecture donnée par Synology en la matière. Je m'avance peut-être mais je pense que c'est plutôt une manière simple de présenter les choses pour ne pas trop "dépayser" l'utilisateur sachant que DSM a tout de même une base Unix.

Comme tu le dis justement : à voir ce qu'en pensent effectivement les spécialistes Linux/Unix.

Cordialement

oracle7😉

[MilesTEG1]

@Kramlech @oracle7

Mes maigres connaissances et expériences avec linux/unix me disent ceci, adapté au NAS Synology :

Le dossier /home d'un utilisateur User1 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user1/
Le dossier /home d'un utilisateur User2 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user2/
etc...

Mais le dossier homes lui existe bel et bien, mais ses permissions sont : 

drwxrwxrwx+  1 root                root                1018 Jul 23 09:54 homes

 

[oracle7]

@MilesTEG1

Bonjour,

il y a 33 minutes, MilesTEG1 a dit :

Le dossier /home d'un utilisateur User1 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user1/

Oui tout à fait et c'est ce qui me fait dire que c'est du "CanadaDry" par rapport à Linux/Unix "pur". 🤣

Cordialement

oracle7😉

[monsieurgg]

Bonjour, 

Tout d'abord un grand merci pour ce tuto je le trouve top ! (Surtout pour moi qui débute complètement dans ce domaine!).

J'ai néanmoins une petite question (du moins pour l'instant j'en ai une !)

Je voudrais créer (comme conseillé) plusieurs utilisateurs et si je caricature les voici  :

 - SuperAdmin : l'administrateur sans accès au fichier. Son "Seul" accès c'est au DSM (pour faire comme tu l'as dit QUE de l'administration !) => lui c'est ok ca marche en suivant ton TUTO

 - Fichiers : Lui a accès à tous les fichiers mais sans administration => ce que je voudrais c'est qu'il ne soit accessible que chez moi pas en dehors pour réservé mes données.

 - Web : Lui a accès à un seul dossier partagé dans le quelle je met des choses dedans ponctuellement et uniquement le temps que je les retires quand je suis chez moi avec le compte "fichier" par exemple => je voudrai que ce soit accessible par quickconnect car je ne sais pas faire ce que je veux sur le PC du boulot et que quickconnect fonctionne

En gros est il possible de limiter l'accès à quickconnect uniquement à 1 seul compte mais ce compte n'aura aucun droit d'admin et ne saura accéder qu'a un dossier ?

Penses tu que l'idée soit bonne ?

[oracle7]

@monsieurgg

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. Déjà un première chose essentielle, si tu as bien suivi le dit TUTO, tu auras créé un utilisateur avec un nom improbable et son MdP à rallonge auquel tu auras donnés les droits d'administration.
   
   Une fois cela fait et seulement après avoir vérifier que tu te connectes bien avec cet utilisateur alors tu auras désactivé l'utilisateur "admin" de base.
   
   Ensuite donc, tu crées tes utilisateurs "Fichiers" et "Web".
   
   Après, tout se passe dans l'attribution de droits pour chacun de ces utilisateurs (selon ce que tu veux qu'ils puissent faire ou non) sur les applications et répertoires partagés de ton NAS.
   --> Dans DSM : Utilisateur / Modifier / Onglet Application ET Onglet Permissions.

Est-ce clair pour toi ?

Cordialement

oracle7😉

[monsieurgg]

il y a 38 minutes, oracle7 a dit :

@monsieurgg

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

    

2. Déjà un première chose essentielle, si tu as bien suivi le dit TUTO, tu auras créé un utilisateur avec un nom improbable et son MdP à rallonge auquel tu auras donnés les droits d'administration.
   
   Une fois cela fait et seulement après avoir vérifier que tu te connectes bien avec cet utilisateur alors tu auras désactivé l'utilisateur "admin" de base.
   
   Ensuite donc, tu crées tes utilisateurs "Fichiers" et "Web".
   
   Après, tout se passe dans l'attribution de droits pour chacun de ces utilisateurs (selon ce que tu veux qu'ils puissent faire ou non) sur les applications et répertoires partagés de ton NAS.
   --> Dans DSM : Utilisateur / Modifier / Onglet Application ET Onglet Permissions.

Est-ce clair pour toi ?

Cordialement

oracle7😉

Bonjour Oracle7,

J'ai fait la présentation désolé pour l'oublis !

Voici comment j'ai fait :

J'avais déjà désactivé l'admin de base et le guest. Les 3 utilisateurs qui nous intéresses sont Fichiers / Moi / Web (Je les ai modifié pour la présentation) 

De la en faite mon problème c'est que si j'active Quickconnect il n'apparait pas dans les application :

Utilisateur fichier :

Utilisateur Web :

En gros ce que je voudrai faire limiter l'accès de l'application Quickconnect (car de ce que j'ai compris une brèche de sécurité importante !) uniquement à l'utilisateur Web qui lui n'a accès qu'a un dossier "web" sans grande importance mais qui me permettrait de me faire des transferts quand je ne suis pas chez moi sur mon PC du boulot sur le quel je ne peux pas par exemple mettre un VPN

[Kramlech]

Tu fais une confusion : Quickconnect n'est pas une application de type Filestation, FTP ou autre, mais c'est un moyen d'accès à ton Nas depuis l'extérieur.

A partir du moment ou tu actives Quickconnect, toute personne (connaissant ton compte Quickconnect) peut essayer de se connecter sur le NAS.

[oracle7]

@monsieurgg

Bonjour,

OK pour les utilisateurs, mais si je me réfère à ton souhait alors je crains que tu ne te soit bien trompé.

Par exemple ton utilisateur WEB ne doit avoir accès à aucune application hors à la vue de ta copie d'écran tu lui donnes accès à DSM. C'est dans l'onglet suscité "permissions" que tu dois lui donner/autoriser l'accès en L/E QUE sur un dossier partagé nommé par ex "Web" que tu auras créé par ailleurs.

L'utilisateur "Moi" en tant qu'administrateur aura normalement accès à toutes les applications  : DSM, FileStation (pour partager des fichiers), etc ...

L'utilisateur "Fichiers" aura accès uniquement à l'application FileStation pour pouvoir faire éventuellement du partage et manipuler les fichiers (ordonnancement, suppression, etc ...), éventuellement aussi à FTP si tu veux en transférer depuis ou vers ton NAS. Il aura aussi accès en L/E sur tous les dossiers partagés de ton choix dont le dossier "Web".

Tu me suis ?

EDIT : Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉

 

 

 

Modifié le 18 août 2021 par oracle7

[TuringFan]

Bonjour à tous,

J'ai deux questions :

1 - Quelle serait les capacités d'une personne malveillante si elle parvenait à se connecter physiquement (via un cable Ethernet ou USB) à un NAS (sans connaitre les logins) ? Comment se prémunir des éventuels risques liés à ce comportement ? J'ai posté ici à ce sujet.

2 - Y a t il des actions (en terme de sécurisation de son NAS) spécifiques à effectuer lors d'un upgrade vers DSM 7 si on a déjà suivi ce tuto sous DSM 6 ?

Merci d'avance,

Modifié le 22 août 2021 par TuringFan