Bonjour,
Pour mes sites web, j'aimerais transférer les fichiers logs sur un NAS. Je me suis dis pourquoi pas acheter un Raspberry pi pour faire un NAS.
Je ne veux pas d'interface bureau seulement de la ligne de commande, j'ai vu qu'en général on suggère plutôt Raspbian lite.
Je ne connais que debian 10, je crains d'être perdu avec Raspbian, est ce que les commandes sont les même ? Pour mon utilisation, vaut-il mieux Raspbian ou debian ?
La seconde chose c'est qu'en terme de sécurité je sais sécuriser un VPS pour un site web (configuration d'iptables, fail2ban, changement du port ssl, authentification par clé RSA, retirer la permission de connexion pour root) mais pour un NAS, je n'y connais rien... Est ce qu'il y a d'autres choses que je dois apprendre pour sécuriser un NAS ?
Merci pour vos éventuels retours.
Sécuriser un NAS
Modérateur : Francois
-
dyox
- Raspinaute
- Messages : 976
- Enregistré le : dim. 28 déc. 2014 15:28
- Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe
Re: Sécuriser un NAS
Bonsoir et bienvenue,
La distribution OpenMediaVault (OMV) est faite spécialement pour ça.
Suivant les paquets pour faire les différents types de partages, il faut configurer leurs fichiers de config (samba...)
Quelques liens que j'ai utilisés lorsque j'avais fait le même truc :
https://www.raspberrypi.org/documentati ... ecurity.md
https://www.inpact-hardware.com/article ... ment/43739
https://forum.openmediavault.org/index. ... MV-images/
la bible d'OMV : https://forum.openmediavault.org/index. ... post202952
Bonne lecture
La distribution OpenMediaVault (OMV) est faite spécialement pour ça.
identiques ! Raspian nommé maintenant RPiOS sont basés sur debianJe ne connais que debian 10, je crains d'être perdu avec Raspbian, est ce que les commandes sont les même ?
Suivant les paquets pour faire les différents types de partages, il faut configurer leurs fichiers de config (samba...)
Je rajouterai changer de user, éviter le protocole Smbv1 (de samba, il y a des failles)e sais sécuriser un VPS pour un site web (configuration d'iptables, fail2ban, changement du port ssl, authentification par clé RSA, retirer la permission de connexion pour root)
Quelques liens que j'ai utilisés lorsque j'avais fait le même truc :
https://www.raspberrypi.org/documentati ... ecurity.md
https://www.inpact-hardware.com/article ... ment/43739
https://forum.openmediavault.org/index. ... MV-images/
la bible d'OMV : https://forum.openmediavault.org/index. ... post202952
Bonne lecture
[Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (index de liens utiles) Awesome Raspberry Pi-
dyox
- Raspinaute
- Messages : 976
- Enregistré le : dim. 28 déc. 2014 15:28
- Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe
Re: Sécuriser un NAS
J'oubliais pour sécuriser le ssh:
- ouvrir seulement le port avec la technique du knock-knock
- autorisé l'accès au ssh seulement aux users AVEC leur ip ou zone réseau
- ouvrir seulement le port avec la technique du knock-knock
- autorisé l'accès au ssh seulement aux users AVEC leur ip ou zone réseau
Modifié en dernier par dyox le mar. 4 août 2020 07:28, modifié 1 fois.
[Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (index de liens utiles) Awesome Raspberry Pi-
Chocolat_framboise
- Messages : 39
- Enregistré le : lun. 3 août 2020 21:28
Re: Sécuriser un NAS
Merci beaucoup !
Je vais lire ça avec grand intérêt !
Je viens de voir les fameux NAS de Synology qui proposent des solutions clés en mains et sécurisé, du coup j'hésite. D'un coté c'est enrichissant de faire tout soit même avec un Raspberry pi et d'un autre coté il y a un gain de temps. Après niveaux sécurité je ne sais pas si c'est vraiment clé en mains comme ils le disent, si il faut bidouiller autant le faire soit même avec un Raspberry pi.
Quelqu'un a un retour à propos des NAS Synology et de la sécurité ?
(On s'éloigne un peu du sujet, sorry).
Je vais lire ça avec grand intérêt !
Je viens de voir les fameux NAS de Synology qui proposent des solutions clés en mains et sécurisé, du coup j'hésite. D'un coté c'est enrichissant de faire tout soit même avec un Raspberry pi et d'un autre coté il y a un gain de temps. Après niveaux sécurité je ne sais pas si c'est vraiment clé en mains comme ils le disent, si il faut bidouiller autant le faire soit même avec un Raspberry pi.
Quelqu'un a un retour à propos des NAS Synology et de la sécurité ?
(On s'éloigne un peu du sujet, sorry).
Re: Sécuriser un NAS
Salut à tous.
1) placer votre serveur web (apache, php, mysql et phpmyadmin) dans un répertoire qui lui est propre.
2) seul un compte système qui sera connu que de vous, aura l'accès en lecture / écriture. Ne pas mettre "root" !
3) tous les autres utilisateurs seront uniquement en lecture et seulement en lecture.
Si un pirate franchit la sécurité, il ne pourra rien modifier ou déposer dans le répertoire (et les sous-répertoires) de votre serveur web.
4) tous les autres accès devront se faire par l'intermédiaire d'apache. Autrement dit par le serveur web.
Renseignez-vous comment augmenter la sécurité avec Apache.
5) Je suppose que vous utilisez mysql. N'utilisez pas le compte "root". Créez en un autre.
6) Que ce soit votre site, phpmyadmin ou les accès à mysql, passez par un certificat SSL.
7) pour sécurisé les accès, vous devez utilisez iptables. Le reste ne sert à rien.
8) ne changez pas les ports. HTTP est le port 80 et HTTPS est le port 443.
9) 3306 est le port réservé à mysql.
10) authentification par clé RSA, je veux bien, mais où allez-vous mettre la clef publique ?
Si c'est pour la laisser sur un ordinateur dont tout le monde aura accès, ce n'est pas une bonne idée.
11) inversement, pour vos accès à vous, pourquoi ne pas utiliser les adresses IP si elles sont fixes ?
12) retirer la permission de connexion pour root. Non, renommez le !
Le port 445 est blocké par mon FAI SFR. Donc impossible de pénétrer mon ordinateur par ce port.
Le mieux est de rendre ce port accessible localement dans votre réseau, mais pas par internet (par sécurité).
smbv1 est encore utilisé par quelques vieux serveurs multimedia. Par exemple, celui de la box SFR NB6v2.
Vous achetez une grosse boite pour ranger vos disques durs, et la sécurité est propriétaire de la marque.
Un NAS (Network Attached Storage), c'est un ou plusieurs disques durs reliés à un ordinateur.
Pourquoi pas un raspberry pi 4 (ou plusieurs) avec des disques Sata.
--> https://www.clubic.com/raspberry-pi/act ... xiste.html
@+
A l'identique, je ne sais pas mais Raspbian (Raspberry + Debian) est basé sur du Debian, entre autre la version buster qui est du Debian 10.Chocolat_framboise a écrit :Je ne connais que debian 10, je crains d'être perdu avec Raspbian, est ce que les commandes sont les même ?
Pour sécuriser un site web, cela commence par bien configurer votre serveur web. Il faut :Chocolat_framboise a écrit :La seconde chose c'est qu'en terme de sécurité je sais sécuriser un VPS pour un site web
1) placer votre serveur web (apache, php, mysql et phpmyadmin) dans un répertoire qui lui est propre.
2) seul un compte système qui sera connu que de vous, aura l'accès en lecture / écriture. Ne pas mettre "root" !
3) tous les autres utilisateurs seront uniquement en lecture et seulement en lecture.
Si un pirate franchit la sécurité, il ne pourra rien modifier ou déposer dans le répertoire (et les sous-répertoires) de votre serveur web.
4) tous les autres accès devront se faire par l'intermédiaire d'apache. Autrement dit par le serveur web.
Renseignez-vous comment augmenter la sécurité avec Apache.
5) Je suppose que vous utilisez mysql. N'utilisez pas le compte "root". Créez en un autre.
6) Que ce soit votre site, phpmyadmin ou les accès à mysql, passez par un certificat SSL.
7) pour sécurisé les accès, vous devez utilisez iptables. Le reste ne sert à rien.
8) ne changez pas les ports. HTTP est le port 80 et HTTPS est le port 443.
9) 3306 est le port réservé à mysql.
10) authentification par clé RSA, je veux bien, mais où allez-vous mettre la clef publique ?
Si c'est pour la laisser sur un ordinateur dont tout le monde aura accès, ce n'est pas une bonne idée.
11) inversement, pour vos accès à vous, pourquoi ne pas utiliser les adresses IP si elles sont fixes ?
12) retirer la permission de connexion pour root. Non, renommez le !
Cela se gère pas samba.Chocolat_framboise a écrit :mais pour un NAS, je n'y connais rien...
Oui, il y avait une faille et cela a été corrigé sous windows, depuis le virus WANNACRY.Dyox a écrit :Je rajouterai changer de user, éviter le protocole Smbv1 (de samba, il y a des failles)
Le port 445 est blocké par mon FAI SFR. Donc impossible de pénétrer mon ordinateur par ce port.
Le mieux est de rendre ce port accessible localement dans votre réseau, mais pas par internet (par sécurité).
smbv1 est encore utilisé par quelques vieux serveurs multimedia. Par exemple, celui de la box SFR NB6v2.
Ils sont très chers et ce n'est pas nécessairement ce dont vous avez besoin.Chocolat_framboise a écrit :Quelqu'un a un retour à propos des NAS Synology et de la sécurité ?
Vous achetez une grosse boite pour ranger vos disques durs, et la sécurité est propriétaire de la marque.
Un NAS (Network Attached Storage), c'est un ou plusieurs disques durs reliés à un ordinateur.
Pourquoi pas un raspberry pi 4 (ou plusieurs) avec des disques Sata.
--> https://www.clubic.com/raspberry-pi/act ... xiste.html
@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
-
Chocolat_framboise
- Messages : 39
- Enregistré le : lun. 3 août 2020 21:28
Re: Sécuriser un NAS
Merci pour ce retour Artemus24, je prends des notes !