Aller au contenu

Messages recommandés

Posté(e) (modifié)

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Modifié par InfoYANN
Posté(e)
Le 16/06/2018 à 12:53, InfoYANN a dit :

Pour SSH, tu peux simplement modifier le port là ou tu as activé SSH et ça devrait régler le soucis 🙂

Port à ne pas oublier quand tu voudras t'y connecter.

Hello,

Pour le port, par défaut il est indiqué 22. Il faudrait que j'indique un numéro de port au pif, ex. 23 et le tour est joué?

Pourquoi le port 22 pose problème?

Posté(e)

Bonjour,

Ce n'est pas qu'il pose problème, c'est que c'est le port par défaut donc connu de tous pour le protocle SSH. Comme pour FTP, c'est 21, https c'est 443 etc et le conseiller de sécurité n'aime pas trop ça et c'est d'ailleurs aussi pour ça qu'il y a cette possiblité de le modifier.

Par contre, tu peux utiliser le port que tu veux mais il faut t'assurer qu'il ne sert pas déjà pour une autre fonction, un service ou un protocole. 23 est par exemple utilisé pour Telnet si je ne dis pas de bêtises...

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

Posté(e)
il y a 54 minutes, InfoYANN a dit :

Après, point de vue sécurité, c'est pas spécialement top du top de modifier un port parce que si on scanne ton IP, on peut connaître les ports ouverts.

je comprends donc qu'il vaut mieux ne pas activer le SSH car si je modifie le port il est ouvert et crée une brêche du point de vue sécurité...je me trompe?

Posté(e)

Je n'ai pas dit ça. En faite, tu peux changer le port mais il n'est pas spécialement recommandé de l'ouvrir sur internet.

Port NAS SSH ouvert : OK

Port routeur SSH ouvert : NON

Posté(e)

En clair, il ne sert pratiquement à rien de modifier les numéros de ports par défaut car ça ne ralentirait que de quelques secondes un bon hacker et que ça complique l'utilisation du NAS. Perso j'ai gardé tous les ports par défaut du NAS dont le 22.

Ce qui est infiniment plus important, c'est de n'ouvrir vers l'extérieur que les ports réellement utiles et de les sécuriser au maximum. Par exemple, je n'ouvre pas le 5001 (et encore moins le 5000) vers l'extérieur, ni même les autres ports (file station, video station etc...). Avec un seul port (le 443), un NDD et le reverse proxy, j'accède à tout. Et pour ce qui est du 22, on ne l'ouvre pas dans le routeur ce qui supprime de facto toute tentative d'attaque extérieure sur ce port.

Posté(e)

OK. La modification de port du SSH n'était prévue que sur le NAS pas sur le routeur.

Par contre si je laisse sur le port par défaut à savoir le 22, j'ai un message  de risque du conseiller de sécurité, cf. captures en haut de cette page.

Posté(e)

Dans ce cas, tu as deux solutions :

  1. Tu changes le port (chacun son point de vue sur ce cas même si ça arrêtera pas un bon hacker)
  2. Tu décoches la règle concernant la vérification du port SSH dans le conseiller de sécurité.

Dans les deux cas, tu n'auras plus l'alerte !

Posté(e)

pour la partie blocage d'IP, j'ai augmenté la durée (1200mn). J'ai remarqué que, sur mon syno, les tentatives d'authentification se passaient sur de longues périodes, avec parfois 3 ou 5 mn entre chaque tentative de la même IP, et ce pendant plusieurs jours.

Posté(e) (modifié)

yes, dans les journaux. des tentatives de connexions continuelles depuis de multiples adresses. mais à des intervalles de plusieurs minutes pour les mêmes adresses.

Modifié par Brunchto
Posté(e)

Ok. Moi, je n'ai plus de tentatives de connexion depuis un moment. Sauf avec mon serveur mail ou des robots tentent régulièrement de se servir de mon serveur smtp.

Posté(e)

Le blocage automatique est indispensable pour ceux qui exposent leur serveur SMTP.

J'ai également beaucoup de tentatives d'authentification qui sont bloquées (2 par jour en moyenne avec une rétention de 3 mois).

Posté(e) (modifié)

Bonjour,

Une question concernant le paramétrage du Firewall pour IPv6 :

lorsque je me connecte depuis  mon LAN sur mon DS718+, les Log du NAS indique que l'IPv6 publique de mon MAC s'est connectée.

Du coup,  je ne comprends pas dans quel cas l'adresse en fe80:: est utilisée ...

une idée ?

Seconde question :

Mon DS218+ est derrière un routeur 3G SFR (le réseau mobile SFR n'est pas encore en IPv6). Lorsque je me connecte via Quickconnect à ce NAS depuis mon iPhone (qui est configuré en IPv6 sur le réseau 4G Orange), mon NAS log l'IPv6 de mon iPhone. Le relai Quickconnect encapsule de l'IPv6 dans du v4 ???

Et troisième question :

J'ai un gros doute sur le fait qu'une règle sur une sélection de pays fonctionne en IPv6. Concrètement, je n'arrive pas à distance (connecté en IPv6) à modifier les règles du pare-feu. Il me dit que la modif ne permet pas ma connexion actuelle.

Comment puis-je confirmer / infirmer cela ?

Modifié par StéphanH
  • 2 semaines après...
Posté(e)

Bonjour, j'écris ce message pour me faire taper sur les doigts 🤣

J'avais suivi le tuto lors de l’installation du NAS, mais je n'ai jamais fini la partie accès à distance au NAS via un VPN... ou en SFTP...

Bon, Orange m'a changé la livebox du bureau sans ma présence. Je n'arrive pas à me rappeler des règles que j'avais sur ma box...

J'ai bien changé le login / mot de passe admin admin qu'ils avaient laissé...

Sur la box voici ce que j'ai :

Capture31.PNG.0c3d7ccccc2c5f263f4b7753392baaee.PNG

Et voici ce que j'ai en config sur le NAS :

Capture32.thumb.PNG.986fb650fff6a1901dd26d3f579ada1e.PNG

Capture33.thumb.PNG.2c3ec9fdbd9ec2edb5972a9b55cdf4c3.PNG

Dois je laisser la règle du PORT 22 sur ma livebox ? (l'IP 192.168.0.3 est bien celle du NAS).

Merci pour votre aide car j'avoue être largué, et ne pas avoir le temps de tout relire...

Posté(e)

Bonjour

Pourquoi vouloir ouvrir la boite de Pandore .....port 22 ...ssh . Tu exposes ton Nas au monde extérieur

Posté(e)

Bonjour je ne sais pas à quoi sers le SSH, je vire donc la règle de redirection de la box, par contre je laisse bien le SSH activé sur le NAS ça peut servir en local en cas de panne non ?

Posté(e) (modifié)

En effet. Tu coupes juste l'accès à SSH depuis l'extérieur pour éviter d'être piraté par cette porte ouverte qui en plus ne t'est pas utile. Donc tu fais tout ce que tu as écrit 🙂

Modifié par InfoYANN
Posté(e)
Il y a 3 heures, ers31 a dit :

Bonjour je ne sais pas à quoi sers le SSH, je vire donc la règle de redirection de la box, par contre je laisse bien le SSH activé sur le NAS ça peut servir en local en cas de panne non ?

de mémoire (je n'ai pas accès en admin à mon Syno depuis le boulot), mais tu as besoins de cette redirection si tu fais des backups distants avec HyperBackup

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.