UNRAID. Un OS multifacette.

[HAZGOD3]

Ah ok SMB sa reviens au même ?

Donc le nextcloud ou service équivalent permet de consulter tout ce qu'il y a dans sont nas en toute sécurité? Il faut voir si les prix sont intéressant

[alan.dub]

Si je puis me permettre, le plus sécurisé reste quand même le https avec certificat (Let’s Encrypt par exemple) et reverse proxy via port 443 et .htaccess pour forcer toutes rentrées http (port 80) en https (port 443).

Ça doit être possible via UnRaid.

Comme ça 0 port à rediriger depuis le NAT vers le NAS et un seul port à ouvrir sur le firewall du NAS.

Sinon, il y a le VPN Server mais ça reste moins simple pour les invités sur le(s) serveur(s).

PS :
Le FTP sans risque ? Quand même...
Et changer les ports par défaut n’apporte aucune sécurité supplémentaire.

[Polopretress]

.htaccess pour forcer toutes rentrées http (port 80) en https (port 443).

avec let's encrypt, tu remplaces la vérification en http avec l'ouverture du port 80 par une vérification DNS. Un dossier "dns-conf" contenant les .ini pour différents fournisseurs existe dans appdata/let's encrypt.
Il y en a un pour OVH dalleurs.

les différentes key a rentrer s'obtiennent sur un api de ovh après avoir rentré ses identifiants et mdp.
https://eu.api.ovh.com/createToken/

[-Lyam-]

ou j'ai écris que c'était sans risque ? j'ai dis pas plus risqué que autre chose ou tu as des services qui tournent genre serveur Web, ou tu les gens ont accès facilement à une page de login/mot de passe public.

Et sinon oui mettre un port assez haut diminue les risques de scan tout simplement parce que les scanner cherchent rarement jusque la pour scanner très souvent les 1024 premier ports (même si je généralise)

Je parle bien dans le cadre de partage de fichier et pas autre chose, j'ai déjà fait tourner des ftp sur de la durée sans aucun soucis, des grands fabriquants mettent leur pilotes à dispo souvent par ftp accessible publiquement, ils se font pas hacker toutes les 5mn.

Au pire on tombe sur quoi en ftp ? on sait que le service tourne si on trouve le port et après ? on tente du brute force ? sauf faille de sécurité avec des login/pass fort, une politique fail2ban franchement si tu veux pas y passer ta vie tu passe à autre chose bien avant.

[alan.dub]

Oh
Je vais voir ça de ce pas, merci

Pour Lyam, tu compares le ftp aux autres, donc j’en conclus que ce n’est pas pire / pas mieux que le ceux communiquant via https et autres VPN.
Pour le partage de fichier il y a justement le WebDAV (via https, certifié donc).

Sur certains os, les ports peuvent dépasser le 10000 suivant les services et pourtant, les attaques sont journalières

[Polopretress]

Oui en fait il suffit de remplacer le mode verification sur le champ : "Flag to specify validation method use either 'http','dns' or 'tls-sni'" ==> au lieu de htpp , tu mets dns puis tu renseignes le fichier .ini dans la champ 'DNS plugin to use if using DNS validation" (par exemple ovh)

Dans le .ini, tu as un lien qui explique comment faire et qui te donne le lien que je viens de donner pour obtenir les keys. (je n'ai dalleurs toujours pas compris pourquoi on n epouvait obtenir ces Keys directement dans notre compte OVH.... car l'API manque d'info quand meme, j'ai utilisé la commande "GET" et limité 1 journée la validité car c'était juste pour du test)

J'ai vu ca sur une video de spaceinvader qui utilisait cloudflare. Il a suffit de transposer a OVH car repasser par un N'ieme site (avec login/mdp) ne me plaisait pas.


Ci joitn la video en question :



bizarre la video ne s'ouvre pas contrairement a d'habitude:
le leien en entier : https://www.youtube.com/watch?v=AS0HydT ... invaderOne

[alan.dub]

[Polopretress]

Ah ok SMB sa reviens au même ?

Donc le nextcloud ou service équivalent permet de consulter tout ce qu'il y a dans sont nas en toute sécurité? Il faut voir si les prix sont intéressant

Pas compris tes remarques.
nextcloud est gratuit justement.

[-Lyam-]

J'ai mis que sftp et ftps étaient conseillés, j'aurais du dire indispensable par rapport à un ftp "basique" effectivement si c'est sur un point de cryptage que la discussion se porte alors oui un ftp basique c'est pas terrible

mais bon on va pas trop dévier sur la sécurité ici.

Mais si un jour cela te tente je monte un ftp sécurisé de test sur un port de mon choix je te file une ip et on verra combien de temps il te faut pour un trouver le port en question si je ressere pas trop ma sécurité sur les scans sur mon pfsense+snort et deux réussir à entrer dessus avec un mpd de +de 24 caractères

[alan.dub]

Tu sais, ça fait longtemps que ce n’est plus des humains derrière les attaques, mais des bots.
Eux sont patients, ils on de la mémoire et ont des outils plutôt efficaces
Je passais juste par là pour dire que le ftp était l’un des pires (voir le pire) des protocoles de communication.

Un coup de Google et tu tomberas sur moults explications

Tu préfères rester sur le ftp, bien à toi, mais je ne laisserais jamais personne dire que c’est un protocole « safe »

[Polopretress]

Lyam parle aussi de fail2ban (qui banit donc, pour une durée a programmer, toute tentative de co en echec) et de mdp a +24 caracteres. (que peu de gens utilise a vrai dire. déjà pour se conformer a la politique cyber qui définit qu'il faut changer son mdp très régulièrement - au moins 1 fois par moi..., c'est une grosse galere ....)

Donc l'acces reste compliqué et mon niveau d'expertise ne me permet pas de savoir si le fait d'ouvrir le ftp est tout de meme un risque de trouver une faille (donc une autre porte d'entrée) autre que l'entrée via mdp renforcé.

Après , sur ce genre d'intrusion, il ne s'agit pas de bot.
et on devient peut etre un peu trop parano lorsque l'on ouvre son NAS a l'extérieur....(perso, aussi bien les dockers OpenVPN et Nexcloud sont toujours OFF sur le serveur sauf besoin spécifique et limité en temps)

[-Lyam-]

Tu sais, ça fait longtemps que ce n’est plus des humains derrière les attaques, mais des bots.
Eux sont patients, ils on de la mémoire et ont des outils plutôt efficaces
Je passais juste par là pour dire que le ftp était l’un des pires (voir le pire) des protocoles de communication.

Un coup de Google et tu tomberas sur moults explications

Tu préfères rester sur le ftp, bien à toi, mais je ne laisserais jamais personne dire que c’est un protocole « safe »

Heu encore une fois à aucun moment je n'ai suggéré que des humains allez faire ce genre d'opération, comme tu semble t'y connaitre j'ai juste proposé un test pour me montrer que une intrusion est simple à réaliser sur un protocole comme du sftp ou ftps surtout que sftp c'est du ssh si je ne m'abuse que l'on peut sécurisé par 2 clé par exemple, donc si tu me dis que c'est pas sécurisé non plus le ssh moi faut m'expliquer

je ne vois pas comment il est possible d'entrer sur un tel système (sauf faille) disposant de mécanisme de ban après X essais,de port non standard avec des mpd fort.

Et non je n'ai pas de préférence à rester sur tel ou tel protocole, mais j'aime bien que l'on me donne des explications plutôt que juste dire spa bien

Mais bon bref, si tu as des infos avec des liens précis je veux bien étudier cela en mp, merci

[alan.dub]

Oui, le Fail2Ban est la première chose à mettre en place mais je persiste
Pour exemple, mes seuls ports redirigés vers mon NAS et ouverts sur son firewall sont :
- ceux du serveur mail (SMTP et IMAP) ainsi que le port 25.
- ceux du serveur VPN.
- le port HTTPS (443) pour le reverse proxy.
- le port HTTP (80) lorsque je dois mettre à jour le (des) certificats.

En local, j'ouvre aussi sur le NAS uniquement le port du proxy pour l'antipub.

Avec ça, je dois avoir entre 10 et 30 attaques du serveur mail, par jour
Des fois rien aussi... ils doivent aussi avoir droit à des vacances

Dans tous les cas, utiliser un protocole non signé permet à un utilisateur (ou bot) malintentionné de voir identifiant et mot de passe en clair.
Donc les 24 caractères... ils ne servent à rien
Pour plus d'info, je ne peux que conseiller ce forum (syno) :
https://www.nas-forum.com
En particulier ce petit échange (mais il y en a plein d'autres) :
https://www.nas-forum.com/forum/topic/5 ... s-sur-ssh/

Après, si utiliser un protocole non signé ne vous dérange pas, loin de moi l'idée de vous faire changer d'avis, vous êtes libres les gars

... mais ça reste une connerie

[-Lyam-]

Navré c'est en anglais mais moi de ce que je traduis du sftp ne transmet rien en clair
https://www.ssh.com/ssh/sftp/

SFTP also protects against password sniffing and man-in-the-middle attacks. It protects the integrity of the data using encryption and cryptographic hash functions, and autenticates both the server and the user.

double authentification par clé (en anglais)
https://www.hallam.ch/blog/index.php/20 ... ntication/
https://www.goanywhere.com/managed-file ... s-for-sftp

info en fr sur le sftp et le ftps

https://www.goanywhere.com/fr/blog/sftp ... e-meilleur

point important du texte sur le sftp:
Il est important de noter que les identifiants utilisateur et les mots de passe fournis à travers la connexion SFTP sont chiffrés (ce qui est un grand avantage par rapport au FTP standard).
point important du texte sur le ftps:
Comme avec SFTP, les noms d’utilisateur et les mots de passe pour les connexions FTPS sont chiffrés.

[alan.dub]

Je parlais de ftp... pas de sftp / ftps
J’aurais pu dire la même chose sur le http (comme le WebDAV via http)

Pour faire plus simple : les protocoles non signés sont à bannir pour une communication WAN.

En effet, en LAN, c'est inutile voir contreproductif.
C'est pour cette raison que lorsqu'on met en place un revers proxy, on utilise les port http simplement.
On attique en WAN en https (443), puis, on attaque en LAN les ports dédiés aux services (sans avoir besoin de les ouvrir dans le firewall du NAS).