lo-ol

"Votre valeur réside en ce que vous êtes et non pas en ce que vous possédez"

nas

Certificats SSL gratuits pour sécuriser un NAS Synology

Rédigé par lolo • 04 juin 2015 • 7 commentaires

Cela faisait un moment que je cherchais un moyen simple et gratuit de sécuriser davantage mes connexions à mon nas Synology. L'activation du mode https (voir ici) est une première étape mais cela ne suffit pas pour sécuriser les échanges. De plus, cette méthode à un inconvénient : à chaque connexion en https, un message d'avertissement apparaît pour signaler que le certificat du site n'est pas reconnu.

Dans mon cas, le fait de ne pas avoir de certificat me pose un autre souci ; je ne peux pas utiliser les clients CalDavZAP et CardDavMATE en mode https :-(.

J'ai donc cherché un moyen de mettre en place un certificat SSL sur un NAS Synology et j'ai trouvé cet  excellent tutoriel :

http://missilehugger.com/819/free-ssl-certificate-to-secure-your-synology-nas/

En suivant celui-ci, vous pourrez obtenir gratuitement un certificat SSL valable un an pour un nom de domaine et un sous-domaine associé (www par exemple).

Suite à cela, vous pourrez vous connecter en https directement (plus de message d'avertissements) et utiliser les clients CalDavZAP et CardDavMATE en https. A ce propos, la société qui met à disposition ces deux clients (inf-it) propose désormais une nouvelle application InfCloud qui fusionne CalDavZAP et CardDavMATE. Affaire à suivre...

Enjoy !

ShellShock et Synology

Rédigé par lolo • 26 septembre 2014 • Aucun commentaire

Pour ceux qui n'auraient pas suivi l'actualité de ces derniers jours, une gigantesque faille nommée ShellShock a été découverte dans le célébrissime interpréteur de commande "Bash" sous Linux (et également sous Mac Os). Je ne vais pas revenir sur celle-ci, de nombreux sites l'ont déjà fait (par exemple https://shellshocker.net/).

Apparement, cette vulnérabilité existe depuis une vingtaine d'années mais maintenant qu'elle est connue, c'est le branle-bas de combat entre les pirates en herbes qui vont s'en donner à coeur-joie et les sys-admin qui vont devoir payer les pôts cassés. En tout cas, après la désormais célèbre faille "HeartBleed", voilà qui ne va pas redorer le blason du monde du libre...

Bref, maintenant que le problème est connu, la question est de savoir s'il nous impacte en tant que possesseur de nas Synology.

Pour cela, il suffit de se connecter à son nas depuis un terminal et de lancer la commande suivante pour connaitre le shell utilisé :

$ echo $SHELL

Si vous n'avez pas installé de paquets alternatifs via ipkg, vous devriez avoir comme résultat :

/bin/ash

Il s'agit du shell utilisé par défaut par le nas. Il n'est pas impacté par la vulnérabilité. Pour s'en assurer, vous pouvez tester les commandes ci-dessous :

Exploit 1 (CVE-2014-6271)

env x='() { :;}; echo vulnerable' /bin/ash -c "echo this is a test"

Exploit 2 (CVE-2014-7169)

env X='() { (a)=>\' /bin/ash -c "echo date"; cat echo ; rm -f echo

Ouf, c'est rassurant smiley.

En revanche, si vous avez installé bash depuis le gestionnaire de paquets ipkg, vous êtes concerné par la faille et je vous conseille de l'enlever au plus vite :

$ /opt/bin/ipkg remove bash

Si vous souhaiter garder un shell un peu plus évolué que celui installé par défaut, vous pouvez vous tourner vers zsh qui est au moins aussi bien que bash, la vulnérabilité en moins.

Notification mail synology depuis OVH dédié et derrière une freebox

Rédigé par lolo • 05 août 2014 • 1 commentaire

Pour ceux que ça intéresse, je viens de perdre 2 heures à essayer tout un tas de bidouilles pour paramétrer la notification par email de mon nas synology connecté derrière une freebox en utilisant une boite mail hébergée chez ovh.

En fait, c'était tout simple, arggggghhh !!!

Il suffit de renseigner les différents champs comme suit :

Récepteurs : l'adresse ou vous voulez recevoir la notification

Préfixe du sujet : comme vous voulez (par exemple "NAS - ", ça peut aider pour trier ses emails ;-))

Fournisseur de service : Serveur SMTP personnalisé

Serveur SMTP : ssl0.ovh.net

Port SMTP : 465 (ovh conseille d'utiliser le port 587 mais j'ai pas réussi à faire fonctionner les notifications avec)

Ensuite, vous cochez "Authentification requise" et renseigner les champs associés :

 - Nom d'utilisateur : Adresse mail que vous souhaitez utiliser pour l'envoi (du type )

 - Mot de passe : le mot de passe associé à l'adresse mail

Ensuite, on coche l'utilisation de la connexion sécurisée (SSL/TLS) en renseignant les champs associés :

- Nom de l'émetteur : Nom de l'expéditeur du mail

- Adresse email de l'émetteur : même adresse que celle renseignée dans le champ "nom d'utilisateur"

 

Au début, je pensais que le problème venait de redirections de ports manquantes. Mais vu que dans mon cas je n'est pas de serveur de mail sur mon nas et que je fais directement appelle au smtp d'ovh, je n'ai besoin d'aucune redirections (j'ai mis du temps à m'en rendre compte !).

Et voilà, en espérant que ça pourra dépanner quelqu'un.  Enjoy !

DSM 5.0 en version bêta

Rédigé par lolo • 26 janvier 2014 • Aucun commentaire

En ce début d'année, on a envie d'un peu de changement.

Et ça tombe bien car Synology vient de sortir une nouvelle version béta de son système : DSM 5.0. Etant donné que je suis un peu casse-coup (inconscient peut-être ?), je me suis empressé de l'installer sur mon nas.

Pas mal de changements dans cette nouvelle version. Vous pouvez voir la présentation commerciale des principales nouveautés ici et la liste complète du changelog .

Tout d'abord, ce qui saute aux yeux : l'interface a (encore) été totalement refaite. Je ne sais pas trop quoi en penser car j'aimais bien l'ancienne interface et j'espère juste qu'ils ne mettent pas tous leur effort pour changer le graphisme au détriment d'éléments plus importants (comme la sécurité par exemple ?).

 Un editeur de texte avec coloration syntaxique a fait son apparition et permet de modifier des fichiers directement depuis l'interface admin.

Quelques modifications importantes :

  • Le groupe web apache se nomme désormais "http" au lieu de l'ancien "nobody".
  • Prise en compte d'un module multi-processing multi-thread pour apache (mpm-worker et mod_cgid)
  • Les dossiers de configuration d'apache ont été déplacé dans /etc/httpd !
  • Changement de version de php désormais en php-5.5 (php-fpm).
  • MariaDB remplace MySQL en tant que paquet indépendant. A voir si la migration va se faire sans douleur...
  • Gestion des logs centralisée
  • Possibilité de poster des demande de support à Synology directement depuis le DSM (mode bêta uniquement non ?)
  • Possibilité de prise de contrôle à distance par les ingénieurs de Synology pour réparer votre serveur. WTF !!! Quid de la sécurité ?
  • Passage à roundcube 0.9 (enfin une mise à jour pour roundcube !)

Modifications des librairires basiques du système :

  • php: 5.3.27 -> 5.5.4
  • postgresql: 8.3 -> 9.3
  • mysql 5.1.49 -> mariadb 15.5.33.a (WTF? DiskStation>mysql -V gives "mysql  Ver 15.1 Distrib 5.5.33a-MariaDB")
  • bzip2: 1.0.5 -> 1.0.6
  • expat: 2.0.1 -> 2.1.0
  • libevent: 2.0.15 -> 2.0.21
  • libjpeg-turbo: 1.3.0
  • libpng16: 1.6.5
  • libpng12: 1.2.49 -> 1.2.50 (static, placed in chroot environment)
  • libssh2: 1.4.2 -> 1.4.3
  • libxml2: 2.7 -> 2.9.1
  • libxslt: 1.1.26 -> 1.1.28
  • logrotate: 3.8.3 -> 3.8.6
  • mod_fastcgi: 2.4.6
  • ncurses: 5.5 -> 5.9
  • pcre: 7.9 -> 8.33
  • readline: 6.2 -> 6.2.004
  • xz: 5.0.4 -> 5.0.5
  • zlib: 1.2.5 -> 1.2.8
  • libgcrypt: 1.5.2 -> 1.5.3
  • curl: 7.26.0 -> 7.32.0
  • libtiff: 4.0.1 -> 4.0.3
  • gd: 2.0.35 -> 2.1.0
  • freetype: 2.3.7 -> 2.5.0.1
  • libexif: 0.6.19 -> 0.6.21
  • imagemagick: 6.7.6 -> 6.8.7.0
  • syslog-ng: 3.2.4 -> 3.4.3
  • eventlog: 0.2.4 -> 0.2.12
  • logrotate: 3.8.3 -> 3.8.7
  • Add SPDY support on apache (except 853x and QorIQ platforms)
  • Added libaio 0.3.109 (used by STT and mariadb)
  • Added ssmtp 2.64 (the default sendmail; mail() of hardcode PHP is no longer needed)
  • Added php-apcu (support APC API user file cache, opcocde cache provided by opcache in PHP)
  • Removed libiconv 1.11 (developers can now use iconv of toolchain glibc)
  • Removed memcached and related package
    • memcached-1.4.x
    • libmemcached-1.0.x
    • pecl-memcached-2.x

Autre :

  • GNU tar replaced busybox tar
  • hostname will only be stored to /etc/hostname (no longer to /etc/sysconfig/network)
  • The default superuser of PostgreSQL now changed from admin to postgres
  • default locale=en_US.UTF8

De nombreuses choses ont été déplacées de /usr/syno/etc vers /etc et de /usr/syno/apache/bin vers /usr/bin. Le reste de /usr/syno/apache a été éclaté vers /etc/httpd, /lib/httpd et /usr/share/httpd. Ça va pas mal bousculer les habitudes des utilisateurs avancés.

 

Pas mal de changements également au niveau des applis qu'il faut quasiment toutes mettre à jour.

De plus, cette nouvelle version est résolument tournée vers l'inter-connectivité :

  • Meilleure prise en charge des tv connectée Samsung et compagnie
  • Possibilité de partager des fichiers du DSM à des utilisateurs de Facebook et Google+
  • Un peu + de "cloud" avec notamment la possibilité de synchroniser des fichiers depuis Google Drive, Dropbox, ou Baidu Cloud.

 

Bref, pas mal de choses à découvrir car je suis loin d'être exhaustif. Si vous voulez tester l'interface sans prendre le risque de l'installer : demo

Bilan :

De mon côté, l'installation s'est bien passé après la mise à jour de tout un tas d'applis. Mes différents services fonctionnent sans difficultés particulières. En revanche les bidouilles manuelles que j'avais faites sur la version précédente ont sauté mais c'est le cas à chaque changement de version :,-(. Va falloir remettre les mains dans le cambouis pour installer ipkg et compagnie ...

Il faut que je regarde davantage l'histoire du passage à MariaDB qui m'inquiètes un peu. Après, je n'ai pas encore testé en profondeur donc je vais peut être découvrir des gros soucis dans les jours à venir. Un problème gênant à noter est que depuis la mise à jour, je n'arrête pas d'avoir des scan de l'étranger sur le serveur de mail. Du coup, je reçois pas mal de mails pour me dire qu'une tentative a été bloquée...

Hormis quelques désagréments, Synology semble une fois de plus tenir ses promesses. Un peu de nettoyage a été fait et il va falloir s'y habituer mais il semblerait que ça soit pour la bonne cause.