Asustor ADM : quelles fonctionnalités souhaitez-vous?

Une fonctionnalité que j'aimerais bien serait que certains logs soient plus détaillée et donnent plus d'informations ( par exemple que cela soit une "case à cocher" "afficher logs détaillés". Ou quand on clic dessus).

J'aimerais bien aussi savoir quand il y a des "Login Failure" d'avoir comme info : le nom d'utilisateur utilisé et aussi éventuellement le mot de passe. C'est bête mais cela permet de savoir si la personne qui tente des connection utilise un nom d'utilisateur enregistré ou un truc complètement au pif ou aussi si le mot de passe utilisé est valide (bloqué par le dernier rempart 2etapes).

Pour les sauvegardes, il y a bien le "SnapShot Center" mais j'avoue que d'avoir une image de disque complet sur un disque externe du disque système ça peut être très utile et permettrais de réimplanter le système facilement en.cas de gros pépin ou même de corruption du volume au complet. (J'utilise 2 volume, un pour les données (en raid6) qui a des sauvegardes sur des disques externes et un pour le système (raid 1 (ssdm2)) Sur mes PC j'utilise Aomei Backuper et ça m'a déjà été bien utile (disque qui lâche, virus, mise a jour qui se passe mal, etc...) j'adorerais ça pour le volume système du Nas
 
Dernière édition:
Kogoro a dit:
le nom d'utilisateur utilisé et aussi éventuellement le mot de passe.
Cliquez pour agrandir...
Le login c'est possible sans trop de mal je pense :) Pour le mot de passe, cela ne se fera pas je pense. Le mot de passe est envoyé sous forme de hash au serveur, et donc meme le serveur ne le connait pas.
Te fournir le hash du mot de passe tenté n'a pas vraiment d'interet. et le mot de passe en clair n'est a mon sens pas techniquement faisable sans affaiblir grandement le login.
 
  • J'aime
Réactions: Kogoro
EVO a dit:
Le login c'est possible sans trop de mal je pense :) Pour le mot de passe, cela ne se fera pas je pense. Le mot de passe est envoyé sous forme de hash au serveur, et donc meme le serveur ne le connait pas.
Te fournir le hash du mot de passe tenté n'a pas vraiment d'interet. et le mot de passe en clair n'est a mon sens pas techniquement faisable sans affaiblir grandement le login.
Cliquez pour agrandir...
Merci pour la réponse 🙂.

Mettre en place le même système que certains gestionnaire de mot de passe qui détecte si le mot de passe de session utilisé a leaké c'est possible ? (pour le moment je fais avec bitwarden ou Avast pour savoir si mes mots de passe ont leaké ) mais avoir une notif automatique du Nas dès que le mot de passe d'un utilisateur se retrouve dans la nature ça pourrait être intéressant (si faisable bien sûr).

Autre truc auquel j'ai pensé mais c'est sûrement compliqué a mettre en place, un système d'approbation de connection. Si un nouvel appareil se connecte sur un des service du NAS (ou appareil ne s'étant pas connecté depuis longtemps), il faudra l'approbation (par mail, depuis l'app, etc...) sinon le login ne passe pas. Je dis ça car certains services n'utilisent pas le 2FA et si quelqu'un a le mot de passe et nom d'utilisateur il pourrais passer par webdav ou autre service qui demande que utilisateur et mot de passe.
 
Kogoro a dit:
Mettre en place le même système que certains gestionnaire de mot de passe qui détecte si le mot de passe de session utilisé a leaké c'est possible ?
Cliquez pour agrandir...
Probablement mais il faudrait a mon sens que cela soit fait a la création ou au changement de passe. Il me semble que la détection des leak de mot de passe ce fait via un comparatif de hash mais sur une partie seulement. Donc il faudrai également stocker cette partie, et avoir ensuite un serveur externe pour comparaison.

Aussi, je ne suis pas convaincu de l'utilité de ce genre d'outil. Je trouve cela bien la version "adresse mail" pour savoir si ton adresse mail a subit des fuites, ... pour les mots de passe c'est moins pertinent a mon sens, surtout avec les gestionnaire maintenant, ou il est simple d'avoir des mots de passe "dur", unique pour chaque site, ...


Kogoro a dit:
Autre truc auquel j'ai pensé mais c'est sûrement compliqué a mettre en place, un système d'approbation de connection. Si un nouvel appareil se connecte sur un des service du NAS (ou appareil ne s'étant pas connecté depuis longtemps), il faudra l'approbation (par mail, depuis l'app, etc...) sinon le login ne passe pas. Je dis ça car certains services n'utilisent pas le 2FA et si quelqu'un a le mot de passe et nom d'utilisateur il pourrais passer par webdav ou autre service qui demande que utilisateur et mot de passe.
Cliquez pour agrandir...
Oui cela ce fait deja sur certains site, mais si le webdav est deja une passoire, surement qu'il le restera avec cela 😅 Pour le WebDAV, il vaut mieux un 2FA, et avec la possibilité de faire des "mots de passe d'applications" par exemple pour les cas ou le 2FA n'est pas utilisable ( par exemple dans le cas d'une connexion via URL a travers une application tierce )
 
  • J'aime
Réactions: Kogoro
EVO a dit:
Probablement mais il faudrait a mon sens que cela soit fait a la création ou au changement de passe. Il me semble que la détection des leak de mot de passe ce fait via un comparatif de hash mais sur une partie seulement. Donc il faudrai également stocker cette partie, et avoir ensuite un serveur externe pour comparaison.

Aussi, je ne suis pas convaincu de l'utilité de ce genre d'outil. Je trouve cela bien la version "adresse mail" pour savoir si ton adresse mail a subit des fuites, ... pour les mots de passe c'est moins pertinent a mon sens, surtout avec les gestionnaire maintenant, ou il est simple d'avoir des mots de passe "dur", unique pour chaque site, ...



Oui cela ce fait deja sur certains site, mais si le webdav est deja une passoire, surement qu'il le restera avec cela 😅 Pour le WebDAV, il vaut mieux un 2FA, et avec la possibilité de faire des "mots de passe d'applications" par exemple pour les cas ou le 2FA n'est pas utilisable ( par exemple dans le cas d'une connexion via URL a travers une application tierce )
Cliquez pour agrandir...
Pour certains services (Portainer, VirtualBox et justement Webdav/accès au dossiers réseau local) j'utilise le VPN pour que cela ne soit pas accessible depuis l'extérieur. (je passe par Wireguard pour le moment, c'est celui qui semble le mieux fonctionner (sécurité et rapidité) (voir mon poste sur les problèmes VPN sur certains réseaux). Disons que ça ajoute une couche de sécurité, faut d'abord passer par le VPN avant d'avoir accès à ces services.

Au fait, les container sous Docker sont-ils protégé par le pare feu du NAS ? J'ai des serveur de jeu et je me demande si le geoip et défenseur réseau empêche ce que j'ai restreint d'atteindre ces serveurs sur Docker ?
 
EVO a dit:
S'ils sont en bridge ou en mode host, logiquement oui :) Mais je ne connais pas spécifiquement Asustor.
Cliquez pour agrandir...
Hmmm je n’en serais pas si sûr…
Il me semble que sur Synology les conteneurs docker ne soient pas protégés pas le pare-feu du NAS …
Ou alors c’est que le macvlan …
 
MilesTEG a dit:
Hmmm je n’en serais pas si sûr…
Il me semble que sur Synology les conteneurs docker ne soient pas protégés pas le pare-feu du NAS …
Ou alors c’est que le macvlan …
Cliquez pour agrandir...
Bonjour

Je pense que si car dans ADM défender j'ai choisi dans le pare feu "refuser tout sauf". J'ai des containers en bridge, par exemple diurn en 172.20.0.2 qui check les nouvelles images et je dois ajouter explicitement son ip dans les règles sinon il n'a pas accès à internet.
Par contre par défaut l'option est sur "autoriser tous" donc seules les règles de listes noires sont appliquées je pense.
 
  • J'aime
Réactions: MilesTEG
krononox a dit:
Bonjour

Je pense que si car dans ADM défender j'ai choisi dans le pare feu "refuser tout sauf". J'ai des containers en bridge, par exemple diurn en 172.20.0.2 qui check les nouvelles images et je dois ajouter explicitement son ip dans les règles sinon il n'a pas accès à internet.
Par contre par défaut l'option est sur "autoriser tous" donc seules les règles de listes noires sont appliquées je pense.
Cliquez pour agrandir...
Faudra que je teste, je peux tenter le geoip et me connecter par un vpn dans un pays "banni" et voire si le Nas me laisse me connecter au serveur de jeux du container.
 
Kogoro a dit:
Faudra que je teste, je peux tenter le geoip et me connecter par un vpn dans un pays "banni" et voire si le Nas me laisse me connecter au serveur de jeux du container.
Cliquez pour agrandir...
Après j'avoue que je paramètre le parefeu adm par automatisme.
Ma box et mon routeur sont configurés pour ne laisser passer que les ports http/https redirigés vers swag (en macvlan) et 2 ports (openvpn et wireguard).
Swag est configuré avec geoip2db pour laisser passer que 2 pays et crowdsec est actif en plus.
Aucun autre service n'est ouvert à l'extérieur, à moins d'être dans le vpn.
Par contre je dois créer une règle dans le parefeu pour que les containers qui en ont besoin puissent aller sur internet (crowdsec, diun, duplicati pour sauvegarde cloud par exemple)
 
Le pare-feu va être entièrement revu dans ADM 5.0
A noter que l'ASUSTOR AS68 ne sera pas le seul NAS à disposer d'ADM 5.0.
Ça sera le premier à l'avoir car il sortira d'usine avec ADM 5.0 ;)
 
  • J'aime
Réactions: Kogoro
Salut @Dami1 ,

Pour moi un des trucs les plus hallucinant c’est l’absence d’un outil natif de backup style Hyperbackup pour faire des backups versionnés et cryptés vers à peu près n’importe où. Alors oui, on peut toujours installer Duplicati dans un docker mais d’une part l’UI de Duplicati est quand même assez pourrie mais en plus on n’a pas acheté un serveur kubernetes, mais un NAS pour faire du stockage à la base. Un backup puissant ça me semble quand même la base.
Je crois que j’avais vu que @MilesTEG en avait parlé il y a longtemps quelque part mais j’ai pas retrouvé et surtout c’est toujours pas là.
 
  • J'aime
Réactions: MilesTEG
galibech a dit:
Salut @Dami1 ,

Pour moi un des trucs les plus hallucinant c’est l’absence d’un outil natif de backup style Hyperbackup pour faire des backups versionnés et cryptés vers à peu près n’importe où. Alors oui, on peut toujours installer Duplicati dans un docker mais d’une part l’UI de Duplicati est quand même assez pourrie mais en plus on n’a pas acheté un serveur kubernetes, mais un NAS pour faire du stockage à la base. Un backup puissant ça me semble quand même la base.
Je crois que j’avais vu que @MilesTEG en avait parlé il y a longtemps quelque part mais j’ai pas retrouvé et surtout c’est toujours pas là.
Cliquez pour agrandir...
En effet, c'est LA raison qui fait que je ne peux pas utiliser ce NAS en tant que nas principal...
Il sert juste de stockage de données médias, et de destination de backup pour mon Syno.

PS : il y a aussi quelques autres manques qui pèsent... pas d'éditeur de fichier, un par-feu pas terrible... et autres bricoles.
 
" pas d'éditeur de fichier, un par-feu pas terrible... et autres bricoles."
Editeur de fichiers => ADM 5.0
Révision du pare-feu intégralement => ADM 5.0
 
"
Salut @Dami1 ,

Pour moi un des trucs les plus hallucinant c’est l’absence d’un outil natif de backup style Hyperbackup pour faire des backups versionnés et cryptés vers à peu près n’importe où. Alors oui, on peut toujours installer Duplicati dans un docker mais d’une part l’UI de Duplicati est quand même assez pourrie mais en plus on n’a pas acheté un serveur kubernetes, mais un NAS pour faire du stockage à la base. Un backup puissant ça me semble quand même la base.
Je crois que j’avais vu que @MilesTEG en avait parlé il y a longtemps quelque part mais j’ai pas retrouvé et surtout c’est toujours pas là."

=> je n'en disconviens pas. J'en ai déjà parlé ...
 
Dami1 a dit:
=> je n'en disconviens pas. J'en ai déjà parlé ...
Cliquez pour agrandir...
Merci pour ton honnêteté sur une position qui n’est probablement pas si facile que ça à tenir. À défaut de la feature elle-même et étant donnée la rareté de cette honnêteté dans le monde corporate, « si je puis dire »: c’est déjà ça…
 
J'ai vérifié, Docker ne semble pas être protéger (ou pas de la même manière en tout cs) par le pare-feu (je viens d'avoir une tentative de connexion sur mon serveur minecraft sous docker qui vient d’Australie alors que j'ai banni quasiment tout les pays du monde sauf certains d'europe).

Pour mon utilisation je peux hélas pas utiliser "refuser tout" car j'ai tellement de service qui tourne que de devoir autorisé tel ou tel ca serait compliquée surtout que la plupart des gens qui utilisent ces services ont des IP dynamiques donc impossible de whitlist les ips dans ce cas la. Comme la plupart des bots et truc qui tente de hack viennent la plupart du temps de pays hors europe, plus simple de virer tout les pays sauf ceux de mes utilisateurs et le nouveau système de détection des IP louche (AbuseIPDB) fonctionne bien.

J'espère que la nouvelle version du pare-feu sera bien dans la nouvelle version ADM et que cela couvrira aussi Docker :)
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas