framboise314.fr

Bonjour,

Pour mes sites web, j'aimerais transférer les fichiers logs sur un NAS. Je me suis dis pourquoi pas acheter un Raspberry pi pour faire un NAS.
Je ne veux pas d'interface bureau seulement de la ligne de commande, j'ai vu qu'en général on suggère plutôt Raspbian lite.
Je ne connais que debian 10, je crains d'être perdu avec Raspbian, est ce que les commandes sont les même ? Pour mon utilisation, vaut-il mieux Raspbian ou debian ?

La seconde chose c'est qu'en terme de sécurité je sais sécuriser un VPS pour un site web (configuration d'iptables, fail2ban, changement du port ssl, authentification par clé RSA, retirer la permission de connexion pour root) mais pour un NAS, je n'y connais rien... Est ce qu'il y a d'autres choses que je dois apprendre pour sécuriser un NAS ?

Merci pour vos éventuels retours.

Bonsoir et bienvenue,

La distribution OpenMediaVault (OMV) est faite spécialement pour ça.

Je ne connais que debian 10, je crains d'être perdu avec Raspbian, est ce que les commandes sont les même ?

identiques ! Raspian nommé maintenant RPiOS sont basés sur debian

Suivant les paquets pour faire les différents types de partages, il faut configurer leurs fichiers de config (samba...)

e sais sécuriser un VPS pour un site web (configuration d'iptables, fail2ban, changement du port ssl, authentification par clé RSA, retirer la permission de connexion pour root)

Je rajouterai changer de user, éviter le protocole Smbv1 (de samba, il y a des failles)

Quelques liens que j'ai utilisés lorsque j'avais fait le même truc :
https://www.raspberrypi.org/documentati ... ecurity.md
https://www.inpact-hardware.com/article ... ment/43739
https://forum.openmediavault.org/index. ... MV-images/
la bible d'OMV : https://forum.openmediavault.org/index. ... post202952

Bonne lecture

J'oubliais pour sécuriser le ssh:
- ouvrir seulement le port avec la technique du knock-knock
- autorisé l'accès au ssh seulement aux users AVEC leur ip ou zone réseau

Merci beaucoup !

Je vais lire ça avec grand intérêt !
Je viens de voir les fameux NAS de Synology qui proposent des solutions clés en mains et sécurisé, du coup j'hésite. D'un coté c'est enrichissant de faire tout soit même avec un Raspberry pi et d'un autre coté il y a un gain de temps. Après niveaux sécurité je ne sais pas si c'est vraiment clé en mains comme ils le disent, si il faut bidouiller autant le faire soit même avec un Raspberry pi.

Quelqu'un a un retour à propos des NAS Synology et de la sécurité ?
(On s'éloigne un peu du sujet, sorry).

Salut à tous.

Chocolat_framboise a écrit :Je ne connais que debian 10, je crains d'être perdu avec Raspbian, est ce que les commandes sont les même ?

A l'identique, je ne sais pas mais Raspbian (Raspberry + Debian) est basé sur du Debian, entre autre la version buster qui est du Debian 10.

Chocolat_framboise a écrit :La seconde chose c'est qu'en terme de sécurité je sais sécuriser un VPS pour un site web

Pour sécuriser un site web, cela commence par bien configurer votre serveur web. Il faut :
1) placer votre serveur web (apache, php, mysql et phpmyadmin) dans un répertoire qui lui est propre.
2) seul un compte système qui sera connu que de vous, aura l'accès en lecture / écriture. Ne pas mettre "root" !
3) tous les autres utilisateurs seront uniquement en lecture et seulement en lecture.
Si un pirate franchit la sécurité, il ne pourra rien modifier ou déposer dans le répertoire (et les sous-répertoires) de votre serveur web.
4) tous les autres accès devront se faire par l'intermédiaire d'apache. Autrement dit par le serveur web.
Renseignez-vous comment augmenter la sécurité avec Apache.
5) Je suppose que vous utilisez mysql. N'utilisez pas le compte "root". Créez en un autre.
6) Que ce soit votre site, phpmyadmin ou les accès à mysql, passez par un certificat SSL.
7) pour sécurisé les accès, vous devez utilisez iptables. Le reste ne sert à rien.
8) ne changez pas les ports. HTTP est le port 80 et HTTPS est le port 443.
9) 3306 est le port réservé à mysql.
10) authentification par clé RSA, je veux bien, mais où allez-vous mettre la clef publique ?
Si c'est pour la laisser sur un ordinateur dont tout le monde aura accès, ce n'est pas une bonne idée.
11) inversement, pour vos accès à vous, pourquoi ne pas utiliser les adresses IP si elles sont fixes ?
12) retirer la permission de connexion pour root. Non, renommez le !

Chocolat_framboise a écrit :mais pour un NAS, je n'y connais rien...

Cela se gère pas samba.

Dyox a écrit :Je rajouterai changer de user, éviter le protocole Smbv1 (de samba, il y a des failles)

Oui, il y avait une faille et cela a été corrigé sous windows, depuis le virus WANNACRY.
Le port 445 est blocké par mon FAI SFR. Donc impossible de pénétrer mon ordinateur par ce port.

Le mieux est de rendre ce port accessible localement dans votre réseau, mais pas par internet (par sécurité).

smbv1 est encore utilisé par quelques vieux serveurs multimedia. Par exemple, celui de la box SFR NB6v2.

Chocolat_framboise a écrit :Quelqu'un a un retour à propos des NAS Synology et de la sécurité ?

Ils sont très chers et ce n'est pas nécessairement ce dont vous avez besoin.
Vous achetez une grosse boite pour ranger vos disques durs, et la sécurité est propriétaire de la marque.

Un NAS (Network Attached Storage), c'est un ou plusieurs disques durs reliés à un ordinateur.
Pourquoi pas un raspberry pi 4 (ou plusieurs) avec des disques Sata.
--> https://www.clubic.com/raspberry-pi/act ... xiste.html

@+

Merci pour ce retour Artemus24, je prends des notes !