Possesseur de Syno depuis environ une semaine (dans sa boîte), après 4 jours et 18h de Bulk HDD Testing, j'ai enfin déballé l'engin, mis les disques dedans et démarré le tout.
Il m'a installé la dernière version de DSM 6.x qu'il a trouvée automatiquement, et ayant vu que DSM 7 était sorti officiellement, après réflexion, je l'ai réinitialisé et installé manuellement pour ne pas risquer d'avoir des surprises de compatibilités matérielles ou logicielles plus prises en charge, et ne pas avoir à configurer deux fois certaines choses qui se feraient peut-être différemment.
Après l'avoir laissé encore pendant 11h optimiser le SHR en arrière-plan sans le solliciter pour être sûr, j'ai transféré la config des applications qui tournaient en conteneurs sur mon NAS maison précédent et ai tout redéployé, je n'ai pas grand chose mais pas de problème à signaler pour le moment. Du coup j'ai lancé la copie de toutes les données de mon ancien NAS, ça va mouliner encore un moment avant de pouvoir commencer à ranger tout ça proprement et mettre des backups corrects en place.
J'ai quand même eu un souci d'accès à DSM deux fois, mais j'avais bêtement oublié que j'avais changé le nom machine (je n'ai pas assigné d'IP fixe), et ensuite les ports par défaut. La deuxième fois, je me suis quand même demandé ce qu'il se passait parce que j'avais toujours accès à Portainer et en SSH, et find.synology.com ne le trouvait pas. Il ne cherche apparemment que sur les ports par défaut. J'ai finalement installé l'assistant Synology qui me l'a retrouvé avec le nouveau port.
Vu que le tien était déjà configuré depuis un moment, ça ne devait sûrement pas être la même chose (et le bouton d'extinction, en laissant appuyé quelques secondes, éteignait bien le boîtier (proprement, apparemment)), mais voilà, c'était ma petite expérience.
D'ailleurs, en passant, est-ce que certains d'entre vous ont un peu comparé les applications natives Synology par rapport à Next/OwnCloud ?
Les modèles en version j sont équipés d'un SocARM et non d'un processeur x86. Les ARM peuvent être de type 32bits ou 64 bits.
Ce que j'appelle la gamme "normale", ce sont les versions non j (ds220) ou les versions '+' (ds220+). L'entrée de gamme étant les j et avant il existait aussi les play qui visait les serveurs multimédia (mais qui ont disparu avec les modèles x20).
@ook4mi : aucune idée. On peut faire ça sans appareil spécifique ?
Tu as quel modèle ?
Ce que je pige pas c'est que la RAM sollicitée et le CPU reste similaire que lorsque j'avais DSM 6 ... C'est comme si le système s'était emballé à un moment sans raisons particulières, du coup je me demande si c'est pas un BUG lié à DSM 7 et non un problème de capacité.
Ok
petite question noob, je n'ai pas de besoin NAS precisement, pas de site a heberger ou de stream 4K de videos. Juste de la doc, photo, du PDF que j'aimerais securiser sur un support physique, depuis mon tel.
J'utilisais principalement icloud et onedrive, mais l'un sature vite parce qu'il copie tout du tel (ces saleté de tof animées en .mov+jpg ), et l'autre est limité a 1Go, ce qui est peu.
j'ai une box free qui fait NAS, comme toutes les box constructeur je suppose depuis longtemps. Une clé USB 64 Go, ou un recyclage de HDD ancien me suffirai, mais.... c'est le mais, dans l'appli free sur iphone, je ne peux sauver que mes tofs...
Peut etre qu'il y a une appli istore genre NAS manager qui pointerait sur ma box meme en 4G?
penser a mettre une signature moins grosse
Alors à froid comme ça je te conseillerais eventuellement d'installer une VM ou un container sur ta freebox qui monte ta clé ou ton HDD et qui fait tourner une appli type nextcloud ou owncloud. Mais doit y'avoir plus simple
Attaque bruteforce en cours ciblant les NAS Synology exposés sur internet :
https://www.cachem.fr/nas-synology-stealthworker/
Un communiqué a été rédigé par le fabricant de NAS : « Synology PSIRT (Product Security Incident Response Team) a récemment vu et reçu des rapports sur une augmentation des attaques par force brute (brute-force) contre les appareils Synology. Les chercheurs en sécurité de Synology pensent que le botnet est principalement dirigé par une famille de logiciels malveillants appelée « StealthWorker ». À l’heure actuelle, Synology PSIRT n’a vu aucune indication que le malware exploite des vulnérabilités logicielles ». Il ajoute : « Ces attaques s’appuient sur un certain nombre de dispositifs déjà infectés pour essayer de deviner les informations d’identification admin et, en cas de succès, elles accèdent au système pour installer leur logiciel malveillant, qui peut inclure un ransomware. Les dispositifs infectés peuvent mener des attaques supplémentaires sur d’autres dispositifs basés sur Linux, y compris les NAS Synology ».
Merci pour l info !
Si je comprends bien ça tente de deviner les identifiants, donc ce serait une sorte de brute force ? Perso j'ai à la fois un max de 3 ou 5 (je sais plus) tentatives de connexion avant un ban temporaire d IP et une identification par authenticator (en tout cas à la première connexion réussie depuis une nouvelle machine), à priori ça suffit pour être suffisamment défendu contre ce genre de trucs ?
J'ai un Mdp de 30 caractères auto généré que je ne connais pas moi même, ils peuvent y aller
Grand maître du lien affilié
C'est surtout que si le NAS n'est pas exposé sur le Net - en particulier les page web d'admin, SSH, Telnet, etc. bref tout ce qui sert à administrer le NAS - donc pour faire simple, si le NAS n'est pas dans une DMZ ou si les ports correspondants ne sont pas transmis par le routeur - et il n'y a aucune raison de le faire - ça devrait pas trop être un souci. Et oui, le serveur Plex qui tourne sur le NAS est, lui, exposé pour pouvoir regarder les vidéos de vacances dans le RER, de même que PhotoStation pour que Tata Ginette puisse admirer les photos de ses petits-neveux, etc. mais l'alerte ne concerne pas ces services.
Après, les recommandations ci-dessus restent valides
Flickr: http://www.flickr.com/derdide/
Moi je suis un noob qui utilises le quick connect de syno, donc tout ce que tu expliques je sais même pas si ça s'applique à moi ou pas...
D'ailleurs, comment ça se passe cette attaque ? C'est un scan de mass des adresses IP et pouf dès qu'il y a un syno on tente de se connecter dessus ou on peut repérer les syno d'une autre façon directement ?
J'ai un accès à DSM via un nom de domaine perso avec une redirection de port sur la BOX pour éviter d'utiliser le port par defaut à l'extérieur (mais d'après ce que j'ai compris ça sert pas à grand chose puisqu'on peut vite scanner les ports apparement ...), un access à synology drive et synology photo également exclusivement en https et avec double authentification via un sous domaine pour chacun. Les seuls ports ouverts = celui de DSM et 80 + 443 (d'ailleurs je me demande si c'est utile de laisser le port 80 sur ma BOX puisqu'il n'est pas censé être utilisé).
Tout le reste (SSH etc.) c'est désactivé et j'ai pas d'autres applications en particulier. Du coup je pense que ça devrait être bon
EDIT : ah oui je me suis jamais connecté au truc synology quick connect machin, contrairement à Bah qui va se faire pirater sévère
Dernière modification par Tonton_Ben-J ; 06/08/2021 à 10h37.
C'est quoi l'intérêt pour accéder à DSM depuis l'extérieur? Et c'est vraiment nécessaire et si tu sais configurer ce que tu décris, pourquoi n'installes-tu pas plutôt un serveur VPN chez toi?
Flickr: http://www.flickr.com/derdide/
Ça fait un moment que j'entends parler du fait que Quickconnect n'est pas fiable. Il l'est encore aujourd'hui ?
Si on veut rester simple, c'est à dire utiliser une fonction en quelques clics dans DSM, quelle alternative on a pour se passer de Quickconnect (qui a le mérite d'être très simple à paramétrer) ?
Dernière modification par honu ; 06/08/2021 à 13h50.
A vrai dire ça m'a servi exceptionnellement ces derniers jours par faute de temps quand je suis chez moi (oui j'ai plus de temps au taf ), mais oui là maintenant ça ne sert à rien je peux couper l'accès extérieur en effet.
Pour le VPN je ne sais pas faire encore mais j'ai vu qu'il y a des tutos, mais en vrai je ne sais pas si c'est utile surtout si au final je vire l'accès à DSM à l'extérieur.
Ah top, merci !
Ca marche vraiment ces attaques brute force sur des NAS ? Parce que si un ultra noob comme moi a réussi à mettre des barrières à priori assez efficace contre ça, je suppose que la majorité des machines doivent être assez bien protégées.
Edit : ah oui, j'ai aussi désactivé de suite le compte admin, je suppose que le brute force doit souvent essayer ça comme username, sinon ça fait vraiment beaucoup de trucs à brute forcer.
Je ne suis pas expert, mais les recommandations du site Synology sont les mêmes que celles que propose le Conseiller de Sécurité du DSM6.2, qui me paraît bien fait pour l'utilisateur domestique. A priori, selon le communiqué, le botnet utilise des machines Linux compromises qui pourraient potentiellement lancer des tentatives d'authentification en bruteforce sur les NAS de la marque auxquels elles auraient accès, afin de les infecter à leur tour. Ceci sans qu'une faille particulière soit visée.
Il n'est pas très compliqué de trouver des @IP pointant sur des NAS Synology exposés à tous les vents (ou les applis tournant dessus) via Shodan.io.
Pour enfoncer des ports ouverts, on peut déjà tester les protocoles exposés sur internet sur l'@IP publique de la connexion via les outils en ligne de scan de port TCP/UDP.
Et s'assurer que cela ne corresponde qu'à ce qui est strictement nécessaire pour l'usage, par exemple le P2P, et qui été logiquement mis en place dans les règles de NAT du pare-feu du routeur en amont (sur lequel l'UPnP a naturellement été désactivé).
Certains conseillent de durcir également le contrôle en activant le pare-feu sur le NAS et en restreignant l'accès à certaines @IP, pour se prémunir contre des machines non référencées potentiellement infectées qui seraient connectées sur le LAN.
Mais pour quelqu'un qui ne fait que du partage de fichiers sur le LAN, avec des machines clientes de confiance, et qui n'expose aucun service générique du NAS sur internet, le risque est faible AMHA.
A propos des mises à jour, et notamment des NAS déclarés non éligibles à DSM7, je suis tombé sur ce site (Wordpress hébergé par OVH) hier :
https://synupdate.tech/
Bon moyen d'obtenir des @IP avec un Syno derrière... dont le mien.
Je poste ici mon message précédent car je l'avais posté dans un mauvais topic.
J'ai un routeur Asus sur lequel on peut brancher un HDD et faire des sauvegardes du LAN dessus.
Sauf que j'ai un taux transfert super faible là je suis en 4Mo/sec (temps restant 6H30 pour 100GB )(je sauvegarde mon disque système)) et là je suis en Ethernet
Dernière modification par Graine ; 13/08/2021 à 15h23.
Maître des ombres et des lumières combien dure une éternité? Combien de fois faudra t'il faire la même route pour arriver ?
Pourquoi ne pas faire ça directement depuis le pc ?
Et quel genre d'USB ? 2.0 ou 3.0 (routeur et disque, SSD ou clé servant de stockage de masse).
S'il y a beaucoup de petits fichiers, la vitesse d'écriture peut rapidement s'effondrer, ce qui rend préférable la sauvegarde via une image système de plusieurs Go qui saturera le débit du maillon le plus faible, quel qu'il soit.
Oui mais comme j'ai 3 ordis j'aimerais faire les sauvegardes sans utiliser un disque dur en USB mais profiter du serveur de fichier sur le routeur. C'est du 2.0 je pense et c un gros fichiers compressé par easeus.
Apres c'est vrai que je peux utiliser ce disque pour chaque pc mais bon...
Maître des ombres et des lumières combien dure une éternité? Combien de fois faudra t'il faire la même route pour arriver ?
Le routeur est à 100mb en ethernet(je n'ai pas la fibre). Quand je regarde l'utilisation réseau sur un de mes PC je suis à 30%
Maître des ombres et des lumières combien dure une éternité? Combien de fois faudra t'il faire la même route pour arriver ?
100Mb ça limite à 12Mo/s au max.
Le disque c'est quoi comme modèle / type ?
Tu as plusieurs PC qui utilisent le disque en même temps ?