OSyn

Auto hébergement - open-source - Synology pour amateurs/débutants, nomades

Faites des sauvegardes sécurisée par SFTP avec Cobian Backup et votre Synology

08/07/2015 - Aucun commentaire

En ces temps troublés pour la démocratie, transférer ses données par FTP sécurisé peut être utile.
En plus, j'y pense, on a tous compris que cette loi venait officialiser - et légaliser - quelque chose qui se faisait déjà, donc maintenant si, comme moi, vous sécurisez vos échanges, repérer ce nouveau comportement ne sera pas difficile... On l'a dans l'os...
Révisez vos romans ou films de science-fiction, pour arriver à renverser la machine, il va falloir beaucoup de chance ou de flair !

Etape 1

Activer ssh et sftp sur le syno :
- SSH : dans le panneau de contrôle, cherchez Terminal et SNMP (pour DSM5) et cochez le service SSH. Acceptez l'ouverture du port 22 dans le part-feu du syno et ouvrez ce port aussi dans votre routeur.
Par mesure de sécurité, vous avez déjà supprimé le compte appelé admin, vous pouvez aussi changer le port SSH par défaut.
- SFTP : dans le panneau de contrôle, allez dans Service de fichiers, onglet FTP et cochez SFTP en bas de page. Ici, vous pouvez aussi changer le port pour le SFTP.
Vous pouvez aussi faire ces deux opérations en une en activant le SFTP.

Etape 2

Cobian Backup

Cobian est un logiciel de sauvegarde automatiques très complet et pratique mais il ne supporte pas le sftp nativement. Il va donc falloir bidouiller un peu.

En fait, ce qu'on va faire, c'est utiliser un autre logiciel qui fait du SFTP et faire en sorte que Cobian utilise la connexion sécurisée créé par ce logiciel pour envoyer les données.
Il faut donc télécharger Bitwise SSH surnommé tunnelier puisque comme pour un vpn, il va créer un tunnel sécurisé.
Alors, pourquoi ne pas utiliser le VPN du syno ?
C'est aussi possible. L'intérêt d'utiliser Bitwise, c'est que le lancement de la connexion sécurisée et de la tâche de sauvegarde seront couplés comme nous le verrons plus loin.
Pour ma part, un FAI pourri me fait passer par du NAT3 et un grand nombre de ports sortants et entrants me sont bloqués, le VPN ne fonctionne plus.

Maintenant, les paramètres vont être comme suit :

Créer une tâche ou clic droit sur une tâche, Editer la tâche, à l'onglet Fichiers, choisissez vos fichiers à sauvegarder dans sources et mettre comme destination ftp, 127.0.0.1, port 21, votre compte et mot de passe ssh et votre chemin de sauvegarde sur le serveur.

A l'onglet Planification, choisissez votre périodicité.

A l'onglet Evénements :
- Evénements avant sauvegarde
choisissez ligne de commande et entrez cette commande (à adapter à vos chemins) :
EXECUTE,"C:\Program Files\Bitvise SSH Client\BvSsh.exe"," -profile=""C:\Program Files\Bitvise SSH Client\profile.bscp"" -hide=main -loginonstartup -autoLogout -exitOnLogout"
ATTENTION : chez moi, la fonction ajouter une ligne de commande rajoute des choses du type "commandline,false" et des guillemets qui empêchent le bon fonctionnement. Faites une fois la manip puis corrigez la tâche en remettant la bonne ligne de commande.
pause de 10 secondes

- Evénements après sauvegarde
pause de 10 secondes
fermer un programme : taper seulement BvSsh (ce qui donne : CLOSE,BvSsh,true. Pour moi ça marche, sinon, ligne de commande : taskkill /IM /F BvSsh.exe)

Un autre avantage d'utiliser Cobian, c'est que vous pouvez crypter vos fichiers en AES soit un par un soit dans une archive zip (avec au choix zip ou 7zip, ce dernier à préférer car open-source).
C'est dans l'onglet Archive.

Etape 3
- dans Bitwise, à l'onglet login, compte et mot de passe idem et à l'onglet Services, cochez FTP-to-SFTP bridge. Testez votre configuration.

Dans l'onglet Options, vous pouvez décocher Open terminal et Open sftp, vous n'en aurez pas besoin pour l'usage décrit ici.


Cette méthode est beaucoup plus lente que le ftp, à réserver pour les fichiers sensibles ou à laisser tourner si vous avez beaucoup de données.

Source SFTP sur Syno
Source Cobian-Bitwise

, , , , ,

(Ré)Installer IPKG avec la DSM5 de Synology

20/05/2014 - commentaires

Pour ceux qui utilisent leur syno à fond avec des personnalisations via IPKG, (voir ici à quoi ça sert et comment ajouter d'autres fonctions sans avoir à mettre les mains dans le code/cambouis).

- Pour ceux qui avaient déjà installé IPKG, il faut tout effacer....
Avec Putty (SSH), taper :

rm -rf /volume1/@optware
rm -rf /usr/lib/ipkg

- Redémarrer le syno.

- Reconnectez vous en SSH
- Placez vous dans un répertoire temporaire :

cd /volume1/@tmp

- Téléchargez l'archive IPKG qui correspond à votre modèle (pour savoir lequel : regardez quel processeur a votre modèle) :
wget http://ipkg.nslu2-linux.org/feeds/optware/ds101/cross/unstable/ds101-bootstrap_1.0-4_armeb.xsh si vous avez un processeur Intel XScale FW IXP420 BB ARM
ou
wget http://ipkg.nslu2-linux.org/feeds/optware/syno-i686/cross/unstable/syno-i686-bootstrap_1.2-7_i686.xsh si vous avez un processeur Intel Atom D410 x86
ou wget http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/ds101-bootstrap_1.0-4_powerpc.xsh si vous avez un processeurPPC 8241
ou wget http://ipkg.nslu2-linux.org/feeds/optware/syno-e500/cross/unstable/syno-e500-bootstrap_1.2-7_powerpc.xsh si vous avez un processeurPPC 8533 PPC et 8543
ou wget http://ipkg.nslu2-linux.org/feeds/optware/syno-x07/cross/unstable/syno-x07-bootstrap_1.2-7_arm.xsh si vous avez un processeurARM mv5281
ou wget http://ipkg.nslu2-linux.org/feeds/optware/cs08q1armel/cross/unstable/syno-mvkw-bootstrap_1.2-7_arm.xsh si vous avez un processeurARM Marvel Kirkwood mv6281
ou wget http://wizjos.endofinternet.net/synology/archief/syno-mvkw-bootstrap_1.2-7_arm-ds111.xsh si vous avez un processeurARM Marvel Kirkwood mv6282

- Ensuite lancez l'installation du paquet téléchargé en tapant :
sh ds101-bootstrap_1.0-4_armeb.xsh si vous avez un processeur Intel XScale FW IXP420 BB ARM (changez le nom du paquet après sh en fonction de ce que vous avez téléchargé).

- Une fois l'installation terminée, vous pouvez effacer l'archive avec
rm ds101-bootstrap_1.0-4_armeb.xsh remplacer ds101-bootstrap_1.0-4_armeb.xsh par ce que vous avez téléchargé.

- Redémarrer le nas.

- reconnectez vous en ssh
Tapez ipkg update puis ipkg upgrade pour mettre à jour.
Si vous avez le message ipkg not found, il faut (re)mettre le chemin dans le fichier de config du syno :
Tapez
vi /root/.profile

Appuyez sur la touche i pour pouvoir modifier le fichier et écrasez la ligne PATH par
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/opt/sbin:/opt/bin:/usr/syno/sbin:/usr/syno/bin:/usr/local/sbin:/usr/local/bin:/root/bin
Sauvegardez le fichier en faisant escape puis tapez :wq
Redémarrez le nas et ça devrait marcher.

, ,

Sécuriser son serveur

01/08/2012 - commentaires


Outre les conseils que vous pourrez trouver sur cette page Synology concernant la sécurité, il est possible d'ajouter quelques mesures utiles.

Petite checklist du lien précédent :
- Avez-vous changé le compte Admin par défaut ?
- Avez-vous utilisé un mot de passe fort ?
- Avez-vous activé le service de blocage automatique des IP ?
- Optionnel, avez-vous activé le Http sécurisé ? Si vous êtes seul (ou peu) à utiliser ce service, il n'est pas nécessaire de créer un certificat de connexion. Il faudra juste se souvenir que votre site sera considéré comme dangereux par les navigateurs mais si vous êtes sûr de votre adresse, il suffit d'ajouter une exception pour accéder au serveur/site.
Pour ceux qui ont un nom de domaine, voici un tuto pour créer un certificat.

- Avez-vous créé des règles dans le pare-feu du Syno ?

Par défaut, le pare-feu est réglé sur autoriser les connexions si aucune règle n'est remplie.
Passez à refuser les connexions si aucune règle n'est remplie et créez des règles pour pouvoir continuer à accéder au Syno :
vous avez la possibilité de créer une règle avec les services du Syno déjà remplis et les ports correspondants, utilisez-la !
Créer, cochez"Sélectionnez dans une liste d'applications intégrées", Sélectionnez, vous trouverez tous les services que vous allez utiliser dans la fenêtre qui s'ouvre. Si vous avez changé le port d'utilisation d'une application, il faudra créer une règle spécifique pour l'application. Cochez autoriser en bas de la fenêtre pour pouvoir accéder au service.


pare-feu du Syno

Sites web hébergés sur le Syno

Si vous ne souhaitez pas que les robots indexent vos sites web (et Photo Galerie, semble t'il), créez un fichier texte nommé robots.txt avec le contenu suivant :
User-agent: *
Disallow: /


En ne mettant que le slash après disallow, vous interdisez aux robots d'indexer tous ce qui est sur le serveur (garder en mémoire que certains robots ne respectent pas cette instruction).
Si vous ne souhaitez bloquer le référencement que d'un site, mettre Disallow: /Photo (par exemple pour la galerie Photostation). Ou le nom du répertoire du site web hébergé dans le dossier Web.
Ce fichier robots.txt est à enregistrer dans le répertoire web du Syno (/volume1/web/).

Protéger un répertoire web par mot de passe (.htaccess)

La procédure par htaccess est un peu différente chez Synology de la gestion de la protection sur les autres serveurs web.
La procédure est expliquée dans cette page.

Sous windows, pour créer le mot de passe crypté nécessaire aux fichiers normal.pw et admin.pw du syno, il faut utiliser htpasswd.exe (disponible dans les packs de serveur comme Xampp, Wamp...). Je ne vous mets pas mon fichier exe en téléchargement, je ne peux pas vous garantir de son intégrité. Mieux vaut télécharger le pack.

Ensuite, invite de commande DOS (Menu démarrer > Executer > cmd )

Entrez le chemin vers votre fichier htpasswd.exe suivi de ce qui est en gras ci-dessous
D:\wamp\Apache2\bin\htpasswd.exe -c .htpasswd votreLogin

Vous avez maintenant un fichier .htpasswd créé à côté de votre htpasswd.exe.
Vous pouvez l'ouvrir avec l'éditeur de texte et vous pourrez lire quelque chose comme ça : votreLogin:v46GgHz.
A copier/coller dans votre fichier normal.pw (ou admin.pw pour le pass admin).


Renforcer la protection de son serveur avec Fail2Ban

Votre serveur Synology comporte déjà des moyens de protection contre les personnes indésirables.
Comme il n'y a que très peu de personnes qui ont accès aux sites et services hébergés sur mon Syno, j'ai réglé le blocage automatique par IP à blocage permanent après 3 tentatives erronées en une heure.
Il est possible d'ajouter encore une couche de protection avec Fail2Ban, qui fonctionne de manière similaire mais plus finement. Le paramétrage peu se faire par service, accès http, accès ssh, accès à la messagerie, etc...
Vous trouverez un tuto pour Synology ici.
A l'installation, j'ai noté des différences de chemin. Chez moi, le fichier jail.conf est situé dans /opt/share/fail2ban-0.8.4/config/
Pour y accéder sous PuTTy : vi /opt/share/fail2ban-0.8.4/config/jail.conf
Pensez à changer dest=you@mail.com par votre email pour chaque règle si vous voulez recevoir les notifications.
Le répertoire filter.d n'est pas non plus au même endroit qu'indiqué dans le tuto. Pour y accèder : cd /opt/share/fail2ban-0.8.4/config/filter.d/

Vous pouvez compléter votre étude d'installation avec le tuto de Nicolargo.


Mon petit aide-mémoire fail2Ban

iptables -L -n   // liste tous les bannis et autorisés les bannis sont en DROP
iptables -L fail2ban-ssh   //liste les bannis SSH

iptables -D fail2ban-SSH -s 192.168.1.202 -j DROP   // retirer une addresse des bannis SSH

relancer service (démon)
cd /opt/share/fail2ban-0.8.4/
./fail2ban-client -c config/ start


Pour ceux qui ont installé Asterisk (tuto plus tard), un tuto de paramétrage de la règle Fail2Ban pour Asterisk

,