OSyn

Auto hébergement - open-source - Synology pour amateurs/débutants, nomades

Sécuriser son serveur

01/08/2012



Outre les conseils que vous pourrez trouver sur cette page Synology concernant la sécurité, il est possible d'ajouter quelques mesures utiles.




Petite checklist du lien précédent :

- Avez-vous changé le compte Admin par défaut ?

- Avez-vous utilisé un mot de passe fort ?

- Avez-vous activé le service de blocage automatique des IP ?

- Optionnel, avez-vous activé le Http sécurisé ? Si vous êtes seul (ou peu) à utiliser ce service, il n'est pas nécessaire de créer un certificat de connexion. Il faudra juste se souvenir que votre site sera considéré comme dangereux par les navigateurs mais si vous êtes sûr de votre adresse, il suffit d'ajouter une exception pour accéder au serveur/site.

Pour ceux qui ont un nom de domaine, voici un tuto pour créer un certificat.





- Avez-vous créé des règles dans le pare-feu du Syno ?



Par défaut, le pare-feu est réglé sur autoriser les connexions si aucune règle n'est remplie.

Passez à refuser les connexions si aucune règle n'est remplie et créez des règles pour pouvoir continuer à accéder au Syno :

vous avez la possibilité de créer une règle avec les services du Syno déjà remplis et les ports correspondants, utilisez-la !

Créer, cochez"Sélectionnez dans une liste d'applications intégrées", Sélectionnez, vous trouverez tous les services que vous allez utiliser dans la fenêtre qui s'ouvre. Si vous avez changé le port d'utilisation d'une application, il faudra créer une règle spécifique pour l'application. Cochez autoriser en bas de la fenêtre pour pouvoir accéder au service.




pare-feu du Syno





Sites web hébergés sur le Syno



Si vous ne souhaitez pas que les robots indexent vos sites web (et Photo Galerie, semble t'il), créez un fichier texte nommé robots.txt avec le contenu suivant :

User-agent: *

Disallow: /




En ne mettant que le slash après disallow, vous interdisez aux robots d'indexer tous ce qui est sur le serveur (garder en mémoire que certains robots ne respectent pas cette instruction).

Si vous ne souhaitez bloquer le référencement que d'un site, mettre Disallow: /Photo (par exemple pour la galerie Photostation). Ou le nom du répertoire du site web hébergé dans le dossier Web.

Ce fichier robots.txt est à enregistrer dans le répertoire web du Syno (/volume1/web/).




Protéger un répertoire web par mot de passe (.htaccess)



La procédure par htaccess est un peu différente chez Synology de la gestion de la protection sur les autres serveurs web.

La procédure est expliquée dans cette page.



Sous windows, pour créer le mot de passe crypté nécessaire aux fichiers normal.pw et admin.pw du syno, il faut utiliser htpasswd.exe (disponible dans les packs de serveur comme Xampp,  Wamp...). Je ne vous mets pas mon fichier exe en téléchargement, je ne peux pas vous garantir de son intégrité. Mieux vaut télécharger le pack.



Ensuite, invite de commande DOS (Menu démarrer > Executer > cmd )



Entrez le chemin vers votre fichier htpasswd.exe suivi de ce qui est en gras ci-dessous

D:\wamp\Apache2\bin\htpasswd.exe -c .htpasswd votreLogin



Vous avez maintenant un fichier .htpasswd créé à côté de votre htpasswd.exe.

Vous pouvez l'ouvrir avec l'éditeur de texte et vous pourrez lire quelque chose comme ça : votreLogin:v46GgHz.

A copier/coller dans votre fichier normal.pw (ou admin.pw pour le pass admin).





Renforcer la protection de son serveur avec Fail2Ban



Votre serveur Synology comporte déjà des moyens de protection contre les personnes indésirables.

Comme il n'y a que très peu de personnes qui ont accès aux sites et services hébergés sur mon Syno, j'ai réglé le blocage automatique par IP à blocage permanent après 3 tentatives erronées en une heure.

Il est possible d'ajouter encore une couche de protection avec Fail2Ban, qui fonctionne de manière similaire mais plus finement. Le paramétrage peu se faire par service, accès http, accès ssh, accès à la messagerie, etc...

Vous trouverez un tuto pour Synology ici.

A l'installation, j'ai noté des différences de chemin. Chez moi, le fichier jail.conf est situé dans /opt/share/fail2ban-0.8.4/config/

Pour y accéder sous PuTTy :   vi /opt/share/fail2ban-0.8.4/config/jail.conf

Pensez à changer dest=you@mail.com par votre email pour chaque règle si vous voulez recevoir les notifications.

Le répertoire filter.d n'est pas non plus au même endroit qu'indiqué dans le tuto. Pour y accèder : cd /opt/share/fail2ban-0.8.4/config/filter.d/



Vous pouvez compléter votre étude d'installation avec le tuto de Nicolargo. 




Mon petit aide-mémoire fail2Ban



iptables -L -n   // liste tous les bannis et autorisés les bannis sont en DROP

iptables -L fail2ban-ssh    //liste les bannis SSH



iptables -D fail2ban-SSH -s 192.168.1.202 -j DROP   // retirer une addresse des bannis SSH



relancer service (démon)

cd /opt/share/fail2ban-0.8.4/

./fail2ban-client -c config/ start




Pour ceux qui ont installé Asterisk (tuto plus tard), un tuto de paramétrage de la règle Fail2Ban pour Asterisk


	

	
, 


	
 commentaires


	

	
RSS comments

	

		


	

	

		
		
		
		
		
		
		
		
	

		
	

	

		
		

		
		

		
		
		

		
		

		
	

	

		


		

	

	

		
		
	

		
Remarque :
			Votre commentaire sera visible après validation par le webmaster.