Asustor Désactiver root/Admin... oui mais ?

[shaks2022]

bonjour
Suite aux derniers firmware déployé par Asustor dans le cadre de sa politique d'incitation à se protéger, il est demandé à désactiver ssh/le compte admin.
Je ne demande pas mieux de créer un autre compte administrateur du NAS et de désactiver le compte 'admin' mais :
- j'ai cru comprendre qu'on ne peut alors plus se connecter root en ssh sur le NAS. Et comme Asustor ne permet pas de se connecter autrement que root en ssh, ça veut dire plus de ssh du tout. Vrai ou faux ?
- mon NAS principal est sauvegardé par un NAS de backup également Asustor qui s'allume le temps de faire les sauvegardes par rsync. rsync est configuré pour passer par ssh, ce qui est le seul moyen pour chiffrer les données en transit.. les sauvegardes sont forcément lancées à l'initiative du NAS de backup ( rappel : pas toujours allumé), donc le service ssh doit être opérationnel sur mon NAS principal. vrai /faux ?

si les 2 réponses sont 'vrai'. Je fais mes sauvegardes comment ? où est le défaut dans ma stratégie ?

 

[julesvil]

Hello,

- Faux : tu peux te connecter en SSH avec ton nouveau compte administrateur ;
- Vrai (mais) : tu réactives le SSH le temps de faire ton rsync, tu le désactives après. Je pense que le conseil est de ne pas le laisser ouvert en permanence.

 

[Khadath]

J'ai un soucis quand je désactive le compte admin : certains ordinateur windows n'arrive plus à se connecter au NAS alors qu'ils sont paramétrés avec le compte administrateur secondaire que j'ai créé.

Quelqu'un a-t-il une idée/solution ?

 

[Dami1]

J'ai un soucis quand je désactive le compte admin : certains ordinateur windows n'arrive plus à se connecter au NAS alors qu'ils sont paramétrés avec le compte administrateur secondaire que j'ai créé.

Quelqu'un a-t-il une idée/solution ?

problème de permissions / autorisations de compte ou groupe

 

[Khadath]

J'ai vérifié, le compte secondaire a toutes les permissions / autorisations et fait partie du groupe admin. Ça fonctionne pourtant pour un ordi sur windows mais pas pour d'autre. Quand je mappe le disque dur sur ces PC, je le fais avec le compte admin secondaire.

 

[Dami1]

"windows n'arrive plus à se connecter au NAS "=> smb?
ordi sous quoi? Windows 10?, Windows 11?

 

[shaks2022]

Hello,

- Faux : tu peux te connecter en SSH avec ton nouveau compte administrateur ;
- Vrai (mais) : tu réactives le SSH le temps de faire ton rsync, tu le désactives après. Je pense que le conseil est de ne pas le laisser ouvert en permanence.

Bonjour
- 1/ Je confirme que la connexion en ssh n'a pas été perturbée, d'autant plus que je n'utilise pas de mot de passe car la sécurité est réalisée par un échange de clés.
- 2/ Bonne idée , mais question : existe t'il un moyen d'activer et désactiver le service ssh en fonction des heures de la journée ? Existe t'il un moyen d'activer / désactiver ssh en ligne de commande ? ( je m'occuperai alors de créer les entrées nécessaires en crontab )
[Edit] d'autant plus que l'ajout sur aimaster est particulièrement bourrin: on peut désactiver ssh dans la rubrique sécurité, mais pas le réactiver

L'astuce à connaitre : Pour distinguer un compte administrateur d'un compte utilisateur, c'est uniquement via la vue "acces control" ==> "local groups" ==> administrators ==> edit ==> onglet member , et là , ceux qui sont cochés sont administrateur du NAS.
En effet, la vue "acces control" ==> "local user" ==> edit ou n'importe quoi d'autre ne permet pas de distinguer un compte utilisateur d'un compte administrateur.

 

[Kogoro]

J'ai une petite question, j'ai Deluge, Portainer CE et VirtualBox (et autres appli) qui se sont automatiquement configurer avec le nom de compte "admin" si je créer un nouveau compte administrateur et que je désactive l'ancien, ça va changer le nom d'utilisateur des autres appli ?

 

[shaks2022]

J'ai une petite question, j'ai Deluge, Portainer CE et VirtualBox (et autres appli) qui se sont automatiquement configurer avec le nom de compte "admin" si je créer un nouveau compte administrateur et que je désactive l'ancien, ça va changer le nom d'utilisateur des autres appli ?

bonjour
je peux te répondre pour virtualbox : le compte admin de virtualbox n'a rien à voir avec le compte admin du NAS. La bonne pratique, c'est d'avoir un mot de passe différent pour chaque compte, ce qui évite de faire l'amalgame et d'affaiblir la sécurité de ton système d'information.
Encore mieux, avoir un user différent, ce qui est l'objet de tout ce topic

 

[Khadath]

"windows n'arrive plus à se connecter au NAS "=> smb?
ordi sous quoi? Windows 10?, Windows 11?

Ordinateur sous windows 10, connecter au nas via SMB (j'ai mapper via ACC avec le compte secondaire).

Peut être que le problème est ailleurs mais après avoir mapper, j'ai désactivé le compte "admin", et depuis un message apparaît à l'ouverture de windows (message qui n'apparaît pas quand je réactive "admin") :
"Erreur lors de la reconnexion de Y: à \\adresse du nas
Microsoft Windows Network : Nom de périphérique local déjà utilisé.
Cette connexion n'a pas été restaurée."

 

[shaks2022]

Ordinateur sous windows 10, connecter au nas via SMB (j'ai mapper via ACC avec le compte secondaire).

Peut être que le problème est ailleurs mais après avoir mapper, j'ai désactivé le compte "admin", et depuis un message apparaît à l'ouverture de windows (message qui n'apparaît pas quand je réactive "admin") :
"Erreur lors de la reconnexion de Y: à \\adresse du nas
Microsoft Windows Network : Nom de périphérique local déjà utilisé.
Cette connexion n'a pas été restaurée."

Tu as mémorisé la connexion du disque Y dans le cache de ton pc avec le compte admin.
Depuis une fenêtre de commande :
'net use' pour voir tes mappages réseaux
'net use y: /d' pour retirer le mappage du disque y.

 

[Kogoro]

bonjour
je peux te répondre pour virtualbox : le compte admin de virtualbox n'a rien à voir avec le compte admin du NAS. La bonne pratique, c'est d'avoir un mot de passe différent pour chaque compte, ce qui évite de faire l'amalgame et d'affaiblir la sécurité de ton système d'information.
Encore mieux, avoir un user différent, ce qui est l'objet de tout ce topic

Pas tout a fait d'accord avec le multiple user et password. J'ai bossé au service informatique de la ville et la pluspart des problèmes provenait justement de ça. Soit les problèmes venait à cause des mot de passe faible mais aussi du fait que a cause des multiples comptes et noms d'utilisateur, certains comptes de certaines appli étaient délaissé car jugé trop contraignant et ya rien de pire que un compte laisse à l'abandon. Tout mes comptes ayant été piraté (côté perso) c'était les comptes de sites où j'ai arrêté de traîner car laisse a l'abandon depuis plus de 3 ans. Vaut mieux un compte "admin" avec un mot de passe bien fort et le changer que d'avoir 10 comptes différents et d'oublier et avoir la flemme de les changer. Je parle de fait et expériences de mon ancien boulot et expériences personnelles. Si c'est avoir 2-3 comptes ça va mais entre le Nas et tout mes autres services hors NAS, si je dois utiliser un autre pseudo pour chaque ça devient une usine a gaz pour tout retenir (oui je sais ya des appli genre bitwarden mais le jour où tu paume ton accès master t'est baisé) . Pour moi, la meilleure sécurité c'est mot de passe fort , 2FA, et une sauvegarde externe (deux c'est encore mieux). Pour les autres applications, j'essaie de les rendre non accessible depuis internet (pour Deluge c'est impossible car le port WebUi est aussi utilisé pour communiquer avec les tracker apparemment). Sinon la seule fois où j'ai eu un piratage ça été avec le NAS et pourtant, mot de passe fort et 2FA. Apparemment ils ont même pas eu besoins du mot de passe pour accéder au NAS de toute façon ?

 

[shaks2022]

Pas tout a fait d'accord avec le multiple user et password. J'ai bossé au service informatique de la ville et la pluspart des problèmes provenait justement de ça. Soit les problèmes venait à cause des mot de passe faible mais aussi du fait que a cause des multiples comptes et noms d'utilisateur, certains comptes de certaines appli étaient délaissé car jugé trop contraignant et ya rien de pire que un compte laisse à l'abandon. Tout mes comptes ayant été piraté (côté perso) c'était les comptes de sites où j'ai arrêté de traîner car laisse a l'abandon depuis plus de 3 ans. Vaut mieux un compte "admin" avec un mot de passe bien fort et le changer que d'avoir 10 comptes différents et d'oublier et avoir la flemme de les changer. Je parle de fait et expériences de mon ancien boulot et expériences personnelles. Si c'est avoir 2-3 comptes ça va mais entre le Nas et tout mes autres services hors NAS, si je dois utiliser un autre pseudo pour chaque ça devient une usine a gaz pour tout retenir (oui je sais ya des appli genre bitwarden mais le jour où tu paume ton accès master t'est baisé) . Pour moi, la meilleure sécurité c'est mot de passe fort , 2FA, et une sauvegarde externe (deux c'est encore mieux). Pour les autres applications, j'essaie de les rendre non accessible depuis internet (pour Deluge c'est impossible car le port WebUi est aussi utilisé pour communiquer avec les tracker apparemment). Sinon la seule fois où j'ai eu un piratage ça été avec le NAS et pourtant, mot de passe fort et 2FA. Apparemment ils ont même pas eu besoins du mot de passe pour accéder au NAS de toute façon ?

Bonjour
Je comprends tes arguments mais aujourd'hui, l'utilisation d'un coffre fort à mot de passe est quasiment obligatoire, et pour moi, c'est tellement évident que j'oublie de le mentionner.
J'ai commencé il y a 20 ans avec gorilla password, et aujourd'hui, j'utilise keepass, avec centralisation sur mon NAS en webdav.
Et aujourd'hui, je regrette de ne pas avoir créé tous mes comptes 'sociaux' ( forum, blog, etc...) avec un user différent car si c'est le cas,
1/ tu peux pas être pisté sur le net
2/ si tu perds un compte dans la nature comme tu le dis, aucune importance.

mais pour en revenir au sujet, en local sur un même appareil, ça permet d'éviter la confusion.
Avec un coffre fort, tu n'hésites pas à multiplier les comptes et donc a compartimenter tes autorisations plutôt que de tout faire avec un seul compte et tu seras dans la merde parce que le jour où on te volera ton téléphone, tu pourras pas facilement désactiver le compte utilisé par ce téléphone parce que tu l'utilises aussi sur tous tes autres appareils...

Et puis avec mon coffre fort, basculer sur un compte administrateur alternatif était juste une formalité. Le plus difficile a été de lui trouver un nom qui ne veut rien signifier. Parce que le nommer 'admin2' ou 'Nimda', c'est pas la peine de faire la démarche.

 

[shaks2022]

J'ai une petite question, j'ai Deluge, Portainer CE et VirtualBox (et autres appli) qui se sont automatiquement configurer avec le nom de compte "admin" si je créer un nouveau compte administrateur et que je désactive l'ancien, ça va changer le nom d'utilisateur des autres appli ?

je peux maintenant te répondre pour portainer : j'ai installé ce logiciel depuis mon compte admin alternatif sous adm ( donc pas 'admin') . ça n'a pas empêché portainer de me demander un nouveau user et mot de passe du compte administrateur de portainer, et donc ce compte n'a aucun rapport avec le compte administrateur du NAS.

 

[Dami1]

tu as aussi ceci en coffre-fort mot de passe dans App Central que tu peux auto-héberger sur ton NAS https://www.asustor.com/app_central/app_detail?id=1106&type=9&model=

 

[Dami1]

je peux maintenant te répondre pour portainer : j'ai installé ce logiciel depuis mon compte admin alternatif sous adm ( donc pas 'admin') . ça n'a pas empêché portainer de me demander un nouveau user et mot de passe du compte administrateur de portainer, et donc ce compte n'a aucun rapport avec le compte administrateur du NAS.

c'est normal. Portainer est une 3rd party app avec sa propre porte d'entrée. ça n'est pas une app développée par ASUSTOR.

 

[Drthrax74]

Bonjour,

Tous d'abord il faut bien comprendre que le NAS dispose de plusieurs groupe (Administrator, User) et selon à quel groupe d'utilisateur est relié le compte que tu veux utiliser, il disposera oui ou non à un accès administrateur et donc le SSH.

Le compte administrateur ayant tout les droits est le compte root, pour pouvoir se connecter en root, il faut un relié au groupe compte administrator et taper la commande sudo -i .

Le compte root est à utiliser avec précaution, tu peux tout détruire sur ton NAS. (Exemple récemment chez nous au boulot, l'administrateur à taper une commande de suppression en mode récursive qui à formater le serveur dans sa totalité avec les données et à provoquer un incident majeur)


Ensuite Portainer est un conteneur qui gère le socket docker qui est un applicatif.

Chaque docker à son propre "système d'exploitation" (image) et donc il dispose d'un compte root propre à chaque conteneur.

Tu comprendras que l'ensemble des différents système étant pas dans une Active Directory (Windows Server), tu ne peux pas gérer le parc avec un utilisateur unique.

Ensuite il faut aussi comprendre le pare-feu logiciel (NAS) et matériel (Routeur) et parallèlement le blocage par Pays .


Exemple concret:
J'ai 2 IP internet (WAN) qui sont fixe.
Dans les règles de pare-feu (matériel), j'ai autoriser le port à être accessible depuis l'extérieur
Dans les règles du NAS, j'ai bloquer tout les pays sauf la France.
La règle spécifique au port de mon applicatif autorise que l'IP WAN d'un de mes 2 points de terminaison.

Ce qui veux dire concrètement:
Si tu viens d'un pays qui est pas la France: BLOQUE
Si tu veux communiquer sur le port spécifique de mon application et si tu as pas comme IP WAN celle autorisé: BLOQUE
Si tu est de la france avec l'ip autorise et sur le port de mon applicatif: AUTORISER

Un Pare-feu bloque l'entrant par défaut et autorise le flux sortant .

Une règle négatif est prioritaire à une règle d'autorisation.

Ce qui implique que tu as une règle qui autorise le port 80 et ta une règle qui bloque tout, le port 80 sera fermé au finale .

 

[shaks2022]

Bonjour,

Tous d'abord il faut bien comprendre que le NAS dispose de plusieurs groupe (Administrator, User) et selon à quel groupe d'utilisateur est relié le compte que tu veux utiliser, il disposera oui ou non à un accès administrateur et donc le SSH.

Le compte administrateur ayant tout les droits est le compte root, pour pouvoir se connecter en root, il faut un relié au groupe compte administrator et taper la commande sudo -i .

Le compte root est à utiliser avec précaution, tu peux tout détruire sur ton NAS. (Exemple récemment chez nous au boulot, l'administrateur à taper une commande de suppression en mode récursive qui à formater le serveur dans sa totalité avec les données et à provoquer un incident majeur)


Ensuite Portainer est un conteneur qui gère le socket docker qui est un applicatif.

Chaque docker à son propre "système d'exploitation" (image) et donc il dispose d'un compte root propre à chaque conteneur.

Tu comprendras que l'ensemble des différents système étant pas dans une Active Directory (Windows Server), tu ne peux pas gérer le parc avec un utilisateur unique.

Ensuite il faut aussi comprendre le pare-feu logiciel (NAS) et matériel (Routeur) et parallèlement le blocage par Pays .


Exemple concret:
J'ai 2 IP internet (WAN) qui sont fixe.
Dans les règles de pare-feu (matériel), j'ai autoriser le port à être accessible depuis l'extérieur
Dans les règles du NAS, j'ai bloquer tout les pays sauf la France.
La règle spécifique au port de mon applicatif autorise que l'IP WAN d'un de mes 2 points de terminaison.

Ce qui veux dire concrètement:
Si tu viens d'un pays qui est pas la France: BLOQUE
Si tu veux communiquer sur le port spécifique de mon application et si tu as pas comme IP WAN celle autorisé: BLOQUE
Si tu est de la france avec l'ip autorise et sur le port de mon applicatif: AUTORISER

Un Pare-feu bloque l'entrant par défaut et autorise le flux sortant .

Une règle négatif est prioritaire à une règle d'autorisation.

Ce qui implique que tu as une règle qui autorise le port 80 et ta une règle qui bloque tout, le port 80 sera fermé au finale .

bonjour
pour info, il est impossible de se connecter en ssh sur un Asustor autrement qu'avec 'root/mdp du compte' admin'... donc sudo existe peut-être mais n'a aucune utilité sur un nas asustor.
Après quoi on peut mettre en place un échange de clé ssh et continuer à se connecter root en ssh sur le nas avec le compte admin désactivé.... a condition d'avoir laissé actif le service 'terminal' (ssh) service qui remonte maintenant une notification si il est actif, afin d'inciter les utilisateurs à ne pas le laisser actif pour rien...

je repose la question : existe t'il un moyen en ligne de commande pour activer/desactiver le service ssh ? afin de pouvoir coller ça dans la crontab par exemple....

 

[Drthrax74]

Bonjour,

Pour l'accès SSH tu te trompes, je me connecte bien avec mon compte administrateurs que j'ai crée puis je pas en root si besoin.
Un utilisateur qui est pas dans le groupe administrator ne peux pas se connecter.
L'authentification par clé SSH ne marche pas super bien car le script d'arrêt / relance du protocole SSH réinitialise la configuration.
Pour la gestion de tâche planifiées ta crontab.

 

[Dami1]

"pour info, il est impossible de se connecter en ssh sur un Asustor autrement qu'avec 'root/mdp du compte' admin'."
=>non. tu fais sudo -i, tu ressaisis ton mdp, tu bascules en root et c'est tout (avec admin désactivé)