OSyn

Auto hébergement - open-source - Synology pour amateurs/débutants, nomades

Faites des sauvegardes sécurisée par SFTP avec Cobian Backup et votre Synology

08/07/2015 - Aucun commentaire

En ces temps troublés pour la démocratie, transférer ses données par FTP sécurisé peut être utile.
En plus, j'y pense, on a tous compris que cette loi venait officialiser - et légaliser - quelque chose qui se faisait déjà, donc maintenant si, comme moi, vous sécurisez vos échanges, repérer ce nouveau comportement ne sera pas difficile... On l'a dans l'os...
Révisez vos romans ou films de science-fiction, pour arriver à renverser la machine, il va falloir beaucoup de chance ou de flair !

Etape 1



Activer ssh et sftp sur le syno :

- SSH : dans le panneau de contrôle, cherchez Terminal et SNMP (pour DSM5) et cochez le service SSH. Acceptez l'ouverture du port 22 dans le part-feu du syno et ouvrez ce port aussi dans votre routeur.

Par mesure de sécurité, vous avez déjà supprimé le compte appelé admin, vous pouvez aussi changer le port SSH par défaut.

- SFTP : dans le panneau de contrôle, allez dans Service de fichiers, onglet FTP et cochez SFTP en bas de page. Ici, vous pouvez aussi changer le port pour le SFTP.

Vous pouvez aussi faire ces deux opérations en une en activant le SFTP.



Etape 2



Cobian Backup



Cobian est un logiciel de sauvegarde automatiques très complet et pratique mais il ne supporte pas le sftp nativement. Il va donc falloir bidouiller un peu.



En fait, ce qu'on va faire, c'est utiliser un autre logiciel qui fait du SFTP et faire en sorte que Cobian utilise la connexion sécurisée créé par ce logiciel pour envoyer les données.

Il faut donc télécharger Bitwise SSH surnommé tunnelier puisque comme pour un vpn, il va créer un tunnel sécurisé.

Alors, pourquoi ne pas utiliser le VPN du syno ?

C'est aussi possible. L'intérêt d'utiliser Bitwise, c'est que le lancement de la connexion sécurisée et de la tâche de sauvegarde seront couplés comme nous le verrons plus loin.

Pour ma part, un FAI pourri me fait passer par du NAT3 et un grand nombre de ports sortants et entrants me sont bloqués, le VPN ne fonctionne plus.



Maintenant, les paramètres vont être comme suit :



Créer une tâche ou clic droit sur une tâche, Editer la tâche, à l'onglet Fichiers, choisissez vos fichiers à sauvegarder dans sources et mettre comme destination ftp, 127.0.0.1, port 21, votre compte et mot de passe ssh et votre chemin de sauvegarde sur le serveur. 



A l'onglet Planification, choisissez votre périodicité.



A l'onglet Evénements :

- Evénements avant sauvegarde

choisissez ligne de commande et entrez cette commande (à adapter à vos chemins) :

EXECUTE,"C:\Program Files\Bitvise SSH Client\BvSsh.exe"," -profile=""C:\Program Files\Bitvise SSH Client\profile.bscp"" -hide=main -loginonstartup -autoLogout -exitOnLogout"

ATTENTION : chez moi, la fonction ajouter une ligne de commande rajoute des choses du type "commandline,false" et des guillemets qui empêchent le bon fonctionnement. Faites une fois la manip puis corrigez la tâche en remettant la bonne ligne de commande.

pause de 10 secondes



- Evénements après sauvegarde

pause de 10 secondes

fermer un programme : taper seulement BvSsh (ce qui donne : CLOSE,BvSsh,true. Pour moi ça marche, sinon, ligne de commande : taskkill /IM /F BvSsh.exe)



Un autre avantage d'utiliser Cobian, c'est que vous pouvez crypter vos fichiers en AES soit un par un soit dans une archive zip (avec au choix zip ou 7zip, ce dernier à préférer car open-source).

C'est dans l'onglet Archive.



Etape 3

- dans Bitwise, à l'onglet login, compte et mot de passe idem et à l'onglet Services, cochez FTP-to-SFTP bridge. Testez votre configuration. 



Dans l'onglet Options, vous pouvez décocher Open terminal et Open sftp, vous n'en aurez pas besoin pour l'usage décrit ici.





Cette méthode est beaucoup plus lente que le ftp, à réserver pour les fichiers sensibles ou à laisser tourner si vous avez beaucoup de données.



Source SFTP sur Syno

Source Cobian-Bitwise
	
, , , , , 






	

		
Compte FTP hacké

		
22/05/2014 -  commentaires

	

	
	

 


Vous utilisez FileZilla pour envoyer vos fichiers sur votre serveur ?



Vous n'utilisez pas d'antivirus résident ?



"Paas bieeen !"


 


FileZilla est un très bon client FTP, son inconvénient dans le cas présent est que les mots de passe de vos comptes FTP sont stockés en clair.

Et que les trojans et virus n'existent plus pour vous bousiller l'ordi mais pour vous piquer certaines données sensibles !



En particulier tout ce qui est mots de passe !



Vous pouvez opter pour un autre logiciel de FTP qui va crypter vos mots de passe comme Core FTP mais qui est moins pratique ou vous pouvez garder FileZilla et suivre la méthode, originale, de Christophe Avonture sur son blog de sécurité.



L'idée est de crypter le fichier où sont stockés les mots de passe de FileZilla (et de tromper le système en lui faisant croire que les fichiers sont bien là où ils devraient être).


 


FileZilla étant un produit Mozilla, les autres doivent se comporter de la même façon !



Et donc, méthode à appliquer à ThunderBird et FireFox aka votre logiciel de messagerie et votre navigateur.

Thunderbird et FireFox ont une fonction de mot de passe principal, qui permet de protéger les mots de passe stockés mais c'est très facile à cracker...

Avec la méthode d'Avonture, utilisant Truecrypt, vos mots de passe seront réellement à l'abri. 


 


Pensez à changer régulièrement vos mots de passe, surtout ces derniers temps, depuis qu'une faille dans Open-SSL fait que potentiellement tous les mots de passe qui ont été utilisés sur des sites en https peuvent avoir été récupéré avec la faille Heartbleed.

Facebook, Paypal, Ebay, Amazon, Gmail, Yahoo!, votre banque ne vous ont rien dit, et pourtant, il est possible que depuis quelques semaines votre couple login/mot de passe soit dans la nature...!


	
, , , 






	

		
Domotique

		
23/08/2012 -  commentaires

	

	
	



En fait, je m'intéresse un  peu à la domotique, il y a des sites spécialisés très intéressants pour ça mais c'est encore un autre domaine à étudier ! Et je manque de temps (bon, comme tout le monde, sans doute !).

Sur Framasoft, je suis tombé sur le fiche descriptive de Stantor-Domodulor. Ca paraît super intéressant.

Par contre, une fois sur le site du script, hem... comment dire... ça sent l'usine à gaz de papi "avec les derniers outils de la technologie web actuelle" !

L'interface doit avoir été réalisée par un vieil ingénieur et le système et la connectique par un petit jeune qui joue avec Linux et Arduino.



C'est donc sans doute prometteur mais ça ne se met pas en place aussi facilement qu'un script PHP/MySQL !



PHP, MySQL et beaucoup de sondes et Arduino à côté !

Français, anglais




Stantor




Je suis aussi tombé sur ce programme :

Egodom-Smarthom

A étudier


	
, , 












	

		
Sécuriser son serveur

		
01/08/2012 -  commentaires

	

	
	



Outre les conseils que vous pourrez trouver sur cette page Synology concernant la sécurité, il est possible d'ajouter quelques mesures utiles.




Petite checklist du lien précédent :

- Avez-vous changé le compte Admin par défaut ?

- Avez-vous utilisé un mot de passe fort ?

- Avez-vous activé le service de blocage automatique des IP ?

- Optionnel, avez-vous activé le Http sécurisé ? Si vous êtes seul (ou peu) à utiliser ce service, il n'est pas nécessaire de créer un certificat de connexion. Il faudra juste se souvenir que votre site sera considéré comme dangereux par les navigateurs mais si vous êtes sûr de votre adresse, il suffit d'ajouter une exception pour accéder au serveur/site.

Pour ceux qui ont un nom de domaine, voici un tuto pour créer un certificat.





- Avez-vous créé des règles dans le pare-feu du Syno ?



Par défaut, le pare-feu est réglé sur autoriser les connexions si aucune règle n'est remplie.

Passez à refuser les connexions si aucune règle n'est remplie et créez des règles pour pouvoir continuer à accéder au Syno :

vous avez la possibilité de créer une règle avec les services du Syno déjà remplis et les ports correspondants, utilisez-la !

Créer, cochez"Sélectionnez dans une liste d'applications intégrées", Sélectionnez, vous trouverez tous les services que vous allez utiliser dans la fenêtre qui s'ouvre. Si vous avez changé le port d'utilisation d'une application, il faudra créer une règle spécifique pour l'application. Cochez autoriser en bas de la fenêtre pour pouvoir accéder au service.




pare-feu du Syno





Sites web hébergés sur le Syno



Si vous ne souhaitez pas que les robots indexent vos sites web (et Photo Galerie, semble t'il), créez un fichier texte nommé robots.txt avec le contenu suivant :

User-agent: *

Disallow: /




En ne mettant que le slash après disallow, vous interdisez aux robots d'indexer tous ce qui est sur le serveur (garder en mémoire que certains robots ne respectent pas cette instruction).

Si vous ne souhaitez bloquer le référencement que d'un site, mettre Disallow: /Photo (par exemple pour la galerie Photostation). Ou le nom du répertoire du site web hébergé dans le dossier Web.

Ce fichier robots.txt est à enregistrer dans le répertoire web du Syno (/volume1/web/).




Protéger un répertoire web par mot de passe (.htaccess)



La procédure par htaccess est un peu différente chez Synology de la gestion de la protection sur les autres serveurs web.

La procédure est expliquée dans cette page.



Sous windows, pour créer le mot de passe crypté nécessaire aux fichiers normal.pw et admin.pw du syno, il faut utiliser htpasswd.exe (disponible dans les packs de serveur comme Xampp,  Wamp...). Je ne vous mets pas mon fichier exe en téléchargement, je ne peux pas vous garantir de son intégrité. Mieux vaut télécharger le pack.



Ensuite, invite de commande DOS (Menu démarrer > Executer > cmd )



Entrez le chemin vers votre fichier htpasswd.exe suivi de ce qui est en gras ci-dessous

D:\wamp\Apache2\bin\htpasswd.exe -c .htpasswd votreLogin



Vous avez maintenant un fichier .htpasswd créé à côté de votre htpasswd.exe.

Vous pouvez l'ouvrir avec l'éditeur de texte et vous pourrez lire quelque chose comme ça : votreLogin:v46GgHz.

A copier/coller dans votre fichier normal.pw (ou admin.pw pour le pass admin).





Renforcer la protection de son serveur avec Fail2Ban



Votre serveur Synology comporte déjà des moyens de protection contre les personnes indésirables.

Comme il n'y a que très peu de personnes qui ont accès aux sites et services hébergés sur mon Syno, j'ai réglé le blocage automatique par IP à blocage permanent après 3 tentatives erronées en une heure.

Il est possible d'ajouter encore une couche de protection avec Fail2Ban, qui fonctionne de manière similaire mais plus finement. Le paramétrage peu se faire par service, accès http, accès ssh, accès à la messagerie, etc...

Vous trouverez un tuto pour Synology ici.

A l'installation, j'ai noté des différences de chemin. Chez moi, le fichier jail.conf est situé dans /opt/share/fail2ban-0.8.4/config/

Pour y accéder sous PuTTy :   vi /opt/share/fail2ban-0.8.4/config/jail.conf

Pensez à changer dest=you@mail.com par votre email pour chaque règle si vous voulez recevoir les notifications.

Le répertoire filter.d n'est pas non plus au même endroit qu'indiqué dans le tuto. Pour y accèder : cd /opt/share/fail2ban-0.8.4/config/filter.d/



Vous pouvez compléter votre étude d'installation avec le tuto de Nicolargo. 




Mon petit aide-mémoire fail2Ban



iptables -L -n   // liste tous les bannis et autorisés les bannis sont en DROP

iptables -L fail2ban-ssh    //liste les bannis SSH



iptables -D fail2ban-SSH -s 192.168.1.202 -j DROP   // retirer une addresse des bannis SSH



relancer service (démon)

cd /opt/share/fail2ban-0.8.4/

./fail2ban-client -c config/ start




Pour ceux qui ont installé Asterisk (tuto plus tard), un tuto de paramétrage de la règle Fail2Ban pour Asterisk


	
, 






	

		
Sauvegarder régulièrement ses données

		
21/07/2012 -  commentaires

	

	
	



Il y a tant de risques de perdre ses données !




Cobian Backup permet de faire des sauvegardes automatiques et régulières sur différents types de stockage.

Ce logiciel comporte beaucoup de paramètres mais en même temps est assez simple de prise en main.

Vous pouvez choisir entre plusieurs type de sauvegarde :

- miroir, si vous supprimez un fichier dans la zone source, CB le supprime dans la zone de destination

- complète, tous les fichiers sont remplacés sans distinction,

- différentielle, les fichiers modifiés depuis la dernière sauvegarde complète seront chargés,

- incrémentielle, tous les fichiers modifiés depuis la dernière sauvegarde seront chargés,




Vous pouvez sélectionner des répertoires ou seulement des fichiers, par extension, par poids et exclure sur la même base de tri.

La programmation des sauvegardes se fait par période ou à une heure précise au jour(s) voulu(s).

Vous pouvez programmer plusieurs sauvegardes pour des fichiers/dossiers différents à des moments et avec des règles différentes. 

Vous pouvez programmer la cible de sauvegarde soit dans un répertoire du même ordinateur, sur un disque externe, sur votre réseau ou par FTP.

Et vous pouvez recevoir le rapport de sauvegarde par mail.

Pour Windows

Multilingue 




Cobian Backup 11


	
, , , 






	

		
Gestionnaire de mots de passe

		
17/07/2012 -  commentaires

	

	
	



TeamPass est plutôt destiné aux entreprises mais il peut être pratique quand on est bordélique/en voyage/utilisateur de mots de passe différents pour tous les sites sur lesquels on doit s'enregistrer (ce que tous le monde devrait faire !).

Le programme est plutôt bien conçu avec vérification de la puissance du mot de passe, attribution des droits très fine. La première prise en main est un peu brouillonne mais une fois paramétrer, tout va bien.

J'utilse teamPass avec un accès sécurisé sur le Syno ainsi l'envoi du mot de passe d'accès est crypté.

PHP, MySQL - développement actualisé 

Multilingue




TeamPass







Equivalents pour ordinateur :



- Keepass (la série 2.x s'installe sur Windows, Mac, Linux)

- Access Manager présenté sur le site Libellules.ch


	
, , , ,