Aller au contenu

Sécuriser mon NAS (en lien étroit avec Fenrir et Kawamashi !)


Messages recommandés

Bonjour,

Bon voilà mon petit tuto.

Avant de commencer, je rappelle que je ne suis qu'un néophyte dans le monde des réseaux, donc si ça ne fonctionne pas, et que toutes les étapes sont respectées à la lettre, alors il y a peu de chance que je sois capable de régler les problèmes.

De plus prérequis :

  • Tu as bien paramétré ton nas soit :
    • Fixer une ip local pour ton NAS.
    • créer un DDNS.
    • (voir tuto Fenrir)
    •  

Réglage du NAS : (avec un Compte administrateur)

Principales étapes

·        Mise en place paquet WebDav

·        Création d’un groupe et compte user KeePass

·        Gestions des permissions lecture/écriture

·        Création dossier partagé pour BD Keepass

·        Réglage pare-feu NAS + BOX (pour reverse proxy OU Sans reverse proxy)

·        Vérification fonctionnement

 

 

 

  • Télécharger le paquet WebDav Server
    • Activer https  (laisser port 5006 par défaut)

1.thumb.png.4ab9db2819bcafe01d5bb5692773f220.png

 

  • Créer un Groupe utilisateur
    • Créer un nouveau groupe « WebDav User »,
    • Passer l’étape des permissions pour le moment,
    • Choisir « Webdav server » dans Applications,

2.png.37be58270807166b150667f1d27e5c49.png

3.thumb.png.8ad13b6372798a6ccd484fde719faa1f.png

 

  • Créer un nouvel utilisateur : « KPass »,
    • Assigner cet utilisateur au groupe « WebDav User » uniquement ("user" est pas défaut et inchangeable btw),
    • Passer le choix des permissions pour le moment,
    • Cocher « WebDav server » dans application,

4.png.264d8449d506b6c790efb001e1ead105.png

 

  • Aller dans dossier partagé
    • Créer un nouveau dossier partagé « WebDav »
    • Créer un sous-dossier « KeePass »
    • Éditer paramètres dossier partagé WebDav
      • Dans Permissions > Utilisateurs locaux à Donner la permissions à KPass uniquement
      • Dans Permissions > Groupes locaux à Donner permissions à Admin et WebdavUser
      • Dans Permissions > Utilisateur système interne à Donner la permission Uniquement à Anonymous FTP/Presto/Webdav …

5.thumb.png.36c4484316072b2b0d1977865fb72c9c.png

6.thumb.png.3cc3e99b0890a49d3bf733df980de171.png

7.thumb.png.0f50969e004c6f7d2b48b94d2739e4cf.png

 

  • Éditer les permissions de l’utilisateur KPass

8.thumb.png.841a69eff30ba9ff53118132db69c862.png

 

  • Éditer les permissions du groupe WebDav User

9.png.72fc508c8e9a90017819012a49bca404.png

 

  • (Sans reverse proxy) Réglage Pare-Feu du NAS
    • Ouvrir le port 5006 (restreindre les IP source à la France, si pas besoin d’accéder à la BD KPass à l’étranger)

 

  • (reverse proxy) Réglage Pare-Feu du NAS
    • Si votre reverse proxy passe déjà par le  port 443, alors pas besoin de changer quoi que ce soit dans le pare-feu NAS

10.png.c0382cf7c40bfbd7421ae042fab850e3.png

 

 

  • Créer/Re-créer un certificat lets encrypt
    • Ouvrir les ports 80 et 443 sur votre BOX + sur le NAS, le temps de la création du certificat)
    • Rentrer le nom de domaine, rentrer les sous-domaines éventuels  et vérifier qu’il couvre bien le WebDav
      • (reverse proxy) Écrire le sous domaine webdav.xxxxx.synology.me

11.png.78a5f5d86a3c95ea2d7360721294ca2e.png

 

  • (reverse proxy) Créer un reverse proxy pour le webdav folder

 

12.png.106a377457dfc2f2c2d0061195b90b69.png

 

 

  • Réglage pare-feu BOX :
    • (Sans reverse proxy) Ouvrir le  port 5006 sur la box
    • (Sans reverse proxy)   Créer la règle de redirection du port externe 5006 vers le port interne 5006 du NAS
    •  (reverse proxy) Ouvrir seulement le 443 sur la box + pas de règle supplémentaire.

13.thumb.png.da184aa4c23197f9300afe9b9a5fd17e.png

14.thumb.png.bb2ab6ed467d8934cfcb097236a9d943.png

(pour le port 5006; remplacer le "443" par "5006" sur les screens ci-dessus)

 

  • Vérifier l’accès du dossier via WebDav par Windows

15.png.10616126e7ee2e0264872927efe5b645.png

16.png.74dd689dbbec23d24dbe5767a097f227.png

17.png.302071ca54055b070fb448ee0ebc1b3f.png

 

    • Essayer d’enlever et de mettre des dossiers en drag & drop
    • Si ça fonctionne alors bravo !
    • Déposer votre BD Keepass dans le dossier KeePass qui est dans le dossier partagé WebDav
    • Ouvrir l’application keepass android ou windows
    • Se connecter avec le compte utilisateur keepass et vérifier que le compte n’a accès à rien à part le dossier partagé webdav

ENLEVER LE DROIT DE LECTURE/ECRITURE/CONSULTATION du compte  utilisateur Keepass dans l’application photoStation directement (à l'aide d'un compte admin)

 

Voilà je crois que c'est tout, je pense ne rien oublier, en espérant que ça puisse t'aider.

(ps : quand tu rentres l'url complet dans keepass, c'est bien NOMDEBD.kdbx et pas bd. non je te le dis parce que j'ai passé une heure à trouver pourquoi ça ne marchait pas.

 

Cdlt.

 

 

 

Modifié par d4RSH
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

En effet, tu devrais poster dans la partie TUTO 🙂

Et non, tu postes comme un nouveau topic, il sera juste bloqué pour les autres membres le temps qu'un modérateur valide.

Tu as juste à patienter mais ça se fait dans la journée en général 😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

bonjour,

tout d'abord un grand BRAVO car c'est le genre de tuto qui prend bcp de temps à faire !!!

 

j'ai cependant une question :

dans les pré-requis il est écrit qu'il faut un DDNS : c'est indispensable ???

et comment fait-on ?

 

cordt

Modifié par weyb
Lien vers le commentaire
Partager sur d’autres sites

ok cool !

je vais pouvoir m'y atteler ASAP !

même si c'est aps un tuto, ça y ressemble beaucoup - et c'est qd même bcp de boulot à rédiger !!!

 

autre question :

ensuite c'est dans keepass sur le NAS qu'on met à jour les login/mdp j'imagine ?

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

 

1/à l'étape :

"Aller dans dossier partagé 

  • Créer un nouveau dossier partagé « WebDav » "

faut-il laisser "restreindre l'accès aux seuls admins" ???

 

2/pour "créer un sous-dossier Keepass"

comment fait-on ???

dans "dossier partagé" je ne peux que créer un dossier

faut-il sélectionner "webdav" et faire clic-droit > créer ?

 

cordt

Modifié par weyb
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
Le 12/04/2019 à 19:24, d4RSH a dit :

Aller dans dossier partagé

  • Créer un nouveau dossier partagé « WebDav »
  • Créer un sous-dossier « KeePass »
  • Éditer paramètres dossier partagé WebDav
    • Dans Permissions > Utilisateurs locaux à Donner la permissions à KPass uniquement
    • Dans Permissions > Groupes locaux à Donner permissions à Admin et WebdavUser
    • Dans Permissions > Utilisateur système interne à Donner la permission Uniquement à Anonymous FTP/Presto/Webdav …

Il me semble pourtant que c'est clair. Et pour créer un dossier dans un dossier partagé, il faut aller dans file station.

Lien vers le commentaire
Partager sur d’autres sites

bonsoir,

 

je bloque un peu + loin sur le domaine :

"Créer/Re-créer un certificat lets encrypt

  • Ouvrir les ports 80 et 443 sur votre BOX + sur le NAS, le temps de la création du certificat)
  • Rentrer le nom de domaine, rentrer les sous-domaines éventuels  et vérifier qu’il couvre bien le WebDav"

--> je suis allé dans "Sécurité > Certificat > Ajouter"

j'ai choisi "ajouter un nv certificat" puis "procurez-vous un certificat auprès de let's encrypt", et là je ne sais aps quoi mettre dans :

- nom de domaine : ce que je veux ?

- adresse électronique (sachant que je n'ai pas de serveur mail sur mon NAS --> je mets la mienne ?)

- autre nom de l'objet : ???

 

bien cordt

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, weyb a dit :

- nom de domaine : ce que je veux ?

Bin non, un domaine qui vous appartient et qui est dirigé vers votre NAS. Ce peut-être un ndd en ***.synology.me ou un ndd que vous achetez chez un registar (OVH, Gandi,...)

Il y a 5 heures, weyb a dit :

adresse électronique

Une adresse valide (la votre)

Il y a 5 heures, weyb a dit :

autre nom de l'objet : ???

C'est ce qu'on appelle les SAN. Ce sont les ndd associés au ndd principal. Par exemple : video.ndd.fr, audio.ndd.fr, nas.ndd.fr, etc...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.