Asustor ADM : quelles fonctionnalités souhaitez-vous?

Une fonctionnalité que j'aimerais bien serait que certains logs soient plus détaillée et donnent plus d'informations ( par exemple que cela soit une "case à cocher" "afficher logs détaillés". Ou quand on clic dessus).

J'aimerais bien aussi savoir quand il y a des "Login Failure" d'avoir comme info : le nom d'utilisateur utilisé et aussi éventuellement le mot de passe. C'est bête mais cela permet de savoir si la personne qui tente des connection utilise un nom d'utilisateur enregistré ou un truc complètement au pif ou aussi si le mot de passe utilisé est valide (bloqué par le dernier rempart 2etapes).

Pour les sauvegardes, il y a bien le "SnapShot Center" mais j'avoue que d'avoir une image de disque complet sur un disque externe du disque système ça peut être très utile et permettrais de réimplanter le système facilement en.cas de gros pépin ou même de corruption du volume au complet. (J'utilise 2 volume, un pour les données (en raid6) qui a des sauvegardes sur des disques externes et un pour le système (raid 1 (ssdm2)) Sur mes PC j'utilise Aomei Backuper et ça m'a déjà été bien utile (disque qui lâche, virus, mise a jour qui se passe mal, etc...) j'adorerais ça pour le volume système du Nas
 
Dernière édition:
Kogoro a dit:
le nom d'utilisateur utilisé et aussi éventuellement le mot de passe.
Cliquez pour agrandir...
Le login c'est possible sans trop de mal je pense :) Pour le mot de passe, cela ne se fera pas je pense. Le mot de passe est envoyé sous forme de hash au serveur, et donc meme le serveur ne le connait pas.
Te fournir le hash du mot de passe tenté n'a pas vraiment d'interet. et le mot de passe en clair n'est a mon sens pas techniquement faisable sans affaiblir grandement le login.
 
  • J'aime
Réactions: Kogoro
EVO a dit:
Le login c'est possible sans trop de mal je pense :) Pour le mot de passe, cela ne se fera pas je pense. Le mot de passe est envoyé sous forme de hash au serveur, et donc meme le serveur ne le connait pas.
Te fournir le hash du mot de passe tenté n'a pas vraiment d'interet. et le mot de passe en clair n'est a mon sens pas techniquement faisable sans affaiblir grandement le login.
Cliquez pour agrandir...
Merci pour la réponse 🙂.

Mettre en place le même système que certains gestionnaire de mot de passe qui détecte si le mot de passe de session utilisé a leaké c'est possible ? (pour le moment je fais avec bitwarden ou Avast pour savoir si mes mots de passe ont leaké ) mais avoir une notif automatique du Nas dès que le mot de passe d'un utilisateur se retrouve dans la nature ça pourrait être intéressant (si faisable bien sûr).

Autre truc auquel j'ai pensé mais c'est sûrement compliqué a mettre en place, un système d'approbation de connection. Si un nouvel appareil se connecte sur un des service du NAS (ou appareil ne s'étant pas connecté depuis longtemps), il faudra l'approbation (par mail, depuis l'app, etc...) sinon le login ne passe pas. Je dis ça car certains services n'utilisent pas le 2FA et si quelqu'un a le mot de passe et nom d'utilisateur il pourrais passer par webdav ou autre service qui demande que utilisateur et mot de passe.
 
Kogoro a dit:
Mettre en place le même système que certains gestionnaire de mot de passe qui détecte si le mot de passe de session utilisé a leaké c'est possible ?
Cliquez pour agrandir...
Probablement mais il faudrait a mon sens que cela soit fait a la création ou au changement de passe. Il me semble que la détection des leak de mot de passe ce fait via un comparatif de hash mais sur une partie seulement. Donc il faudrai également stocker cette partie, et avoir ensuite un serveur externe pour comparaison.

Aussi, je ne suis pas convaincu de l'utilité de ce genre d'outil. Je trouve cela bien la version "adresse mail" pour savoir si ton adresse mail a subit des fuites, ... pour les mots de passe c'est moins pertinent a mon sens, surtout avec les gestionnaire maintenant, ou il est simple d'avoir des mots de passe "dur", unique pour chaque site, ...


Kogoro a dit:
Autre truc auquel j'ai pensé mais c'est sûrement compliqué a mettre en place, un système d'approbation de connection. Si un nouvel appareil se connecte sur un des service du NAS (ou appareil ne s'étant pas connecté depuis longtemps), il faudra l'approbation (par mail, depuis l'app, etc...) sinon le login ne passe pas. Je dis ça car certains services n'utilisent pas le 2FA et si quelqu'un a le mot de passe et nom d'utilisateur il pourrais passer par webdav ou autre service qui demande que utilisateur et mot de passe.
Cliquez pour agrandir...
Oui cela ce fait deja sur certains site, mais si le webdav est deja une passoire, surement qu'il le restera avec cela 😅 Pour le WebDAV, il vaut mieux un 2FA, et avec la possibilité de faire des "mots de passe d'applications" par exemple pour les cas ou le 2FA n'est pas utilisable ( par exemple dans le cas d'une connexion via URL a travers une application tierce )
 
  • J'aime
Réactions: Kogoro
EVO a dit:
Probablement mais il faudrait a mon sens que cela soit fait a la création ou au changement de passe. Il me semble que la détection des leak de mot de passe ce fait via un comparatif de hash mais sur une partie seulement. Donc il faudrai également stocker cette partie, et avoir ensuite un serveur externe pour comparaison.

Aussi, je ne suis pas convaincu de l'utilité de ce genre d'outil. Je trouve cela bien la version "adresse mail" pour savoir si ton adresse mail a subit des fuites, ... pour les mots de passe c'est moins pertinent a mon sens, surtout avec les gestionnaire maintenant, ou il est simple d'avoir des mots de passe "dur", unique pour chaque site, ...



Oui cela ce fait deja sur certains site, mais si le webdav est deja une passoire, surement qu'il le restera avec cela 😅 Pour le WebDAV, il vaut mieux un 2FA, et avec la possibilité de faire des "mots de passe d'applications" par exemple pour les cas ou le 2FA n'est pas utilisable ( par exemple dans le cas d'une connexion via URL a travers une application tierce )
Cliquez pour agrandir...
Pour certains services (Portainer, VirtualBox et justement Webdav/accès au dossiers réseau local) j'utilise le VPN pour que cela ne soit pas accessible depuis l'extérieur. (je passe par Wireguard pour le moment, c'est celui qui semble le mieux fonctionner (sécurité et rapidité) (voir mon poste sur les problèmes VPN sur certains réseaux). Disons que ça ajoute une couche de sécurité, faut d'abord passer par le VPN avant d'avoir accès à ces services.

Au fait, les container sous Docker sont-ils protégé par le pare feu du NAS ? J'ai des serveur de jeu et je me demande si le geoip et défenseur réseau empêche ce que j'ai restreint d'atteindre ces serveurs sur Docker ?
 
Kogoro a dit:
Au fait, les container sous Docker sont-ils protégé par le pare feu du NAS ?
Cliquez pour agrandir...
S'ils sont en bridge ou en mode host, logiquement oui :) Mais je ne connais pas spécifiquement Asustor.
 
EVO a dit:
S'ils sont en bridge ou en mode host, logiquement oui :) Mais je ne connais pas spécifiquement Asustor.
Cliquez pour agrandir...
Hmmm je n’en serais pas si sûr…
Il me semble que sur Synology les conteneurs docker ne soient pas protégés pas le pare-feu du NAS …
Ou alors c’est que le macvlan …
 
MilesTEG a dit:
Hmmm je n’en serais pas si sûr…
Il me semble que sur Synology les conteneurs docker ne soient pas protégés pas le pare-feu du NAS …
Ou alors c’est que le macvlan …
Cliquez pour agrandir...
Bonjour

Je pense que si car dans ADM défender j'ai choisi dans le pare feu "refuser tout sauf". J'ai des containers en bridge, par exemple diurn en 172.20.0.2 qui check les nouvelles images et je dois ajouter explicitement son ip dans les règles sinon il n'a pas accès à internet.
Par contre par défaut l'option est sur "autoriser tous" donc seules les règles de listes noires sont appliquées je pense.
 
  • J'aime
Réactions: MilesTEG
krononox a dit:
Bonjour

Je pense que si car dans ADM défender j'ai choisi dans le pare feu "refuser tout sauf". J'ai des containers en bridge, par exemple diurn en 172.20.0.2 qui check les nouvelles images et je dois ajouter explicitement son ip dans les règles sinon il n'a pas accès à internet.
Par contre par défaut l'option est sur "autoriser tous" donc seules les règles de listes noires sont appliquées je pense.
Cliquez pour agrandir...
Faudra que je teste, je peux tenter le geoip et me connecter par un vpn dans un pays "banni" et voire si le Nas me laisse me connecter au serveur de jeux du container.
 
Kogoro a dit:
Faudra que je teste, je peux tenter le geoip et me connecter par un vpn dans un pays "banni" et voire si le Nas me laisse me connecter au serveur de jeux du container.
Cliquez pour agrandir...
Après j'avoue que je paramètre le parefeu adm par automatisme.
Ma box et mon routeur sont configurés pour ne laisser passer que les ports http/https redirigés vers swag (en macvlan) et 2 ports (openvpn et wireguard).
Swag est configuré avec geoip2db pour laisser passer que 2 pays et crowdsec est actif en plus.
Aucun autre service n'est ouvert à l'extérieur, à moins d'être dans le vpn.
Par contre je dois créer une règle dans le parefeu pour que les containers qui en ont besoin puissent aller sur internet (crowdsec, diun, duplicati pour sauvegarde cloud par exemple)
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas