La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
NAS, serveurs et micro-serveurs => Discussion démarrée par: Darkjeje le 22 novembre 2016 à 14:25:45
-
Bonjour à tous,
J'ai un NAS Synology que j'ai sécurisé autant que mes capacités le permettaient, mais j'aimerai aller plus loin et notamment mettre en place un certificat afin de ne plus avoir le message d'alerte lorsque je me connecte en https.
Je m'en sert avant tout comme stockage, j'ai aussi un site intranet (je ne souhaite pas l'avoir d'accessible à l'extérieur), j'ai l'appli Emby d'installer, qui fonctionne avec un site web sur le NAS.
J'ai acheté mon nom de domaine ce week-end chez ovh, mais je suis assez perdu sur le paramétrage/redirection du nom de domaine, et sur le choix entre StartSSL et letsencrypt et son installation.
Si quelqu'un connait un bon tuto qui explique bien au débutant comme moi ce serait super, idem si vous avez des conseils/remarques sur d'autre chose à mettre en place pour gagner en sécurité,...
-
Pour letsencrypt, je n'ai jamais testé sur Synology, mais sans package spécifique, je doute que tu puisse adapter les scripts vu l'horreur que c'est pour les porter ne serait-ce que sur Debian Wheezy
-
J'ai pour ma part mis en place les certificats de startssl sur les conseils de ce forum, Vivien avait fait un tuto il me semble mais pas specifique pour synology
-
Le mieux est ne pas mettre le NAS Synology directement sur Internet, mais sur son réseau privé, accédant à Internet par le NAT de la box. Là, il y a peu de risques, surtout si on tient le firmware à jour...
-
Un Syno sur internet ça craint pas trop, c'est bien mis à jour.
-
Oui... il y a eu quand même le célèbre synolocker. C'est un modèle de NAS très répandu et connu, aussi par les hackers. Et les utilisateurs peu informés ne font pas toujours les mises à jour...
https://www.nextinpact.com/news/89036-nas-pirates-avec-synolocker-et-demande-rancon-synology-nous-repond.htm
-
Fallait pas faire de MAJ pendant 1 an pour être touché par Synolocker. Je vais pas pleurer ces gens là :).
-
Pour letsencrypt, je n'ai jamais testé sur Synology, mais sans package spécifique, je doute que tu puisse adapter les scripts vu l'horreur que c'est pour les porter ne serait-ce que sur Debian Wheezy
Ce qui tombe bien, c'est que c'est supporté nativement sans package spécifique sur Synology : https://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm
-
Le mieux est ne pas mettre le NAS Synology directement sur Internet, mais sur son réseau privé, accédant à Internet par le NAT de la box. Là, il y a peu de risques, surtout si on tient le firmware à jour...
Je suis d'accord avec toi Alain, mais j'ai besoin d'y accéder à distance pour mettre à jour des paquets, modifier des droits, car j'ai de la famille qui accède à distance à mon appli Emby.
Il faut donc que je sécurise tout ça.
Pour le moment j'ai créé mon domaine, et j'aimerai continuer la procédure de sécurisation avec un certificat.
Hier j'ai changé l'auto certificat du Syno en passant sur letsencrypt fourni par le syno, mais je ne pense pas que ce soit suffisant vue que j'ai toujours l'alerte de sécu et que j'ai pas fait grand chose pour mettre en place ce certificat,...
-
Ce qui tombe bien, c'est que c'est supporté nativement sans package spécifique sur Synology : https://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm
Magnifique ! Comme quoi ! Par contre il faut que le :80/443 soit naté dessus je suppose :)
-
Au moins le temps de récup le certificat. A vérifier ensuite.
-
Je suis prêt à tester, si quelqu'un veut me driver :)
-
Par contre il faut que le :80/443 soit naté dessus je suppose :)
Effectivement, c'est d'ailleurs ça que je trouve très chiant avec le client "officiel" de letsencrypt: Il ne supporte pas la méthode d'authentification par DNS (qui consiste à publier un TXT dans la zone pour prouver sa propriété) alors qu'elle existe et est supportée par leurs serveurs.
Du coup mes 2 NAS Synology ont toujours leur certificat par défaut et je me tape le warning à chaque fois que je vais sur l'interface Web.
Pour mes autres serveurs, notamment mon serveur mail sur lequel il n'y a pas de serveur HTTP, j'utilise ça: https://github.com/Neilpang/acme.sh (https://github.com/Neilpang/acme.sh) , qui, lui, implèmente la méthode DNS et supporte Cloudflare chez qui mes zones sont hébergées.
-
Moi ça ne me dérange pas, vu que j'ai de l'IPv6 partout, tous mes serveurs ont une IP publique ;)
-
Hugues toi qui est en ipv6, j'ai mis l'adresse ipv6 de mon NAS dans l'onglet "zone DNS" d'ovh en type AAAA pour mon nom de domaine, mais pour autant la page de mon NAS ne se charge pas lorsque je tape mon nom de domaine.
Qu'est ce que j'aurai oublié ?
J'ai aussi dans l'onglet redirection l'info de mon ipv6 vers mon nom de domaine.
En Ipv4 si je route le port 80 vers le port d'administration de mon NAS cela fonctionne.
-
Avec ces infos, aucune idée, perso mon NAS a juste un record IPv6 et ça marche sans souci :)
-
Arf :(
Personne pour m'aider ???
-
Bah déjà reprends le tuto de NXI parce que si t'as mis un certificat mais que t'as toujours l'alerte c'est qu'il y a un truc qui n'est pas bon !
-
Bah déjà reprends le tuto de NXI parce que si t'as mis un certificat mais que t'as toujours l'alerte c'est qu'il y a un truc qui n'est pas bon !
De quel tuto tu parles Nico ? As-tu un lien ?
Car pour le moment, je n'ai fait que suivre la procédure de Synology pour créer mon certificat.
-
https://www.nextinpact.com/news/89036-nas-pirates-avec-synolocker-et-demande-rancon-synology-nous-repond.htm
-
Tu voulais plutôt citer ce tuto j'imagine :) :
Ce qui tombe bien, c'est que c'est supporté nativement sans package spécifique sur Synology : https://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm
-
Exactement, enfin un qui suit :D !
-
;D pas mal, merci à tous les deux, je vais suivre ça avec intérêt !!!