La gestion et sécurisation de mes données

FTP

Chevalier Jedi
4 Septembre 2017
220
6
18
Allez... j'inaugure le nouveau thème de ce forum ! :geek:

Donc voici le résumé de la gestion et de la sécurisation de mes données perso...
Stockage_et_securisation_des_donnees.png


Comme vous pouvez le voir c'est très orienté "sécurité" :p

Voici les grands principes :
  • Les données des 3 PC sont dupliquées en temps réel sur le NAS maître (un Synology DS918+), par le client Drive.
  • Elles rejoignent les fichiers audio/vidéo familiaux (films, musiques, photos, vidéos perso, etc.)
  • ainsi que les sauvegardes de mes sites web rapatriées toutes les nuits automatiquement par lftp en sftp.
  • A l'arrivée sur le NAS, les données sont mirorées en RAID 1. Au cas où un disque lâche, aucune interruption de service, pas besoin de restauration, on continue sur une jambe le temps que le nouveau disque arrive.
  • Puis, l'ensemble des données du NAS sont automatiquement archivées tous les jours sur un NAS de backup distant (un Synology DS118) par Hyper Backup via une connexion OpenVPN. Il est prévu pour contenir 10 ans d'archives :
    - 1 backup journalier la semaine écoulée
    - 1 backup hebdomadaire le mois écoulé
    - 1 backup mensuel l'année écoulée
    - 1 backup annuel les 9 années qui suivent
  • Les données les plus importantes bénéficient d'une sauvegarde supplémentaire en temps réel chez tresorit où sont conservées 10 versions de chaque fichier. C'est l'un des rares (si ce n'est le seul) vrai service Zero Knowledge qui ne stocke les données qu'en Europe.
  • Celles stockées sur mon laptop sont cryptées avec VeraCrypt, notamment pour sécuriser les déplacements à l'étranger.
  • Enfin, j'ai aussi conservé un héritage du passé avec des sauvegardes hebdomadaires déconnectées, accessibles facilement et à l'abri de virus qui crypteraient toutes les données de disques réseaux, réalisées via mon desktop grâce à l'excellent FreeFileSync.
Au niveau des accès maintenant :
  • L'accès externe à mon LAN ne se fait que via OpenVPN installé dès le routeur (et pas sur le NAS). Donc aucun port ouvert sur la box, le routeur (hors OpenVPN) ou le NAS et la box est en mode Bridge.
  • Ensuite, même une fois sur le LAN, l'accès au NAS se fait par double authentification.
  • Le NAS de backup n'est lui tout simplement pas accessible depuis Internet ! Aucun port n'est ouvert sur le réseau distant, il n'y a pas même d'accès OpenVPN. C'est le NAS distant qui est programmé pour se réveiller tous les jours à heure fixe, se connecter automatiquement en OpenVPN chez moi et permettre ainsi à Hyper Backup d'effectuer sa sauvegarde, un éventuel contrôle d'intégrité ou me permettre d'effectuer une opération de maintenance. Le NAS est aussi paramétré pour s'éteindre automatiquement et tout accès à DSM passe pas une double authentification.
  • Les données sur ce NAS distant sont aussi cryptées évidement.
  • Enfin côté tresorit, OVH & Hostinger, dans les trois cas l'accès aux données se fait aussi via double authentification.
Pour finir, un onduleur Eaton 5SC (Line Interactive sinusoïdale) sécurise l'alimentation de la box, du routeur, d'un switch (qui ne figure pas sur le schéma), du NAS maitre et du desktop. Le NAS a le serveur UPS activé et informe un client NUT sur le desktop si besoin (cf. tuto).

Voilà. C'est tout... pour le moment :geek:
Si vous avez des questions, vous êtes les bienvenus.
 
Dernière édition:
Franchement, superbe installation, il est vrai que niveau sécurité c'est déjà du costaud. Concernant la double authentification (si l’info n'est pas trop sensible) tu utilise une version lié au mobile ? Car même si je ne suis pas parano, il apparait dans la presse (info/intox?) que les swap sim (demande de la part d’escrocs à l'opérateur de la victime une nouvelle sim pour pouvoir récupérer l’accès au numéro et ce qui vas avec) sont de plus en plus présent.

De même je m'était renseigner un petit peu sur OpenVPN et l'un des défaut c'est une seule connexion à la fois. Le routeur que tu as avec openVPN permet t'il de comblé cela ?
 
madkoin a dit:
Concernant la double authentification (si l’info n'est pas trop sensible) tu utilise une version lié au mobile ? Car même si je ne suis pas parano, il apparait dans la presse (info/intox?) que les swap sim (demande de la part d’escrocs à l'opérateur de la victime une nouvelle sim pour pouvoir récupérer l’accès au numéro et ce qui vas avec) sont de plus en plus présent.
Je n'utilise pas les SMS mais une app en local, ce que conseille finalement cet article... ;)
https://www.cnetfrance.fr/news/arnaque-a-la-carte-sim-plus-personne-n-est-a-l-abri-et-oubliez-l-authentification-a-deux-facteurs-39883869.htm


madkoin a dit:
De même je m'était renseigner un petit peu sur OpenVPN et l'un des défaut c'est une seule connexion à la fois. Le routeur que tu as avec openVPN permet t'il de comblé cela ?
J'ai pas de besoin d'avoir plus d'une connexion à la fois. Il n'y a qu'une seule autre personne qui a accès à mon LAN et il y a très peu de chance qu'on doive y accéder en même temps.

Mais une petite recherche montre qu'il est parfaitement possible d'avoir plusieurs accès OpenVPN. C'est pas une limitation propre à OpenVPN. D'ailleurs tous les fournisseurs de VPN proposent de multiples connexion OpenVPN sur les même serveurs.
Cette limitation ne vient pas non plus du routeur. Elle vient du logiciel qui sert de serveur VPN, de l'implémentation +/- simple d'OpenVPN dans ce logiciel.
Dans mon cas c'est le firmware DD-WRT. Et effectivement, par défaut l'interface graphique ne permet de paramétrer qu'un seul accès client. Mais on peut en paramétrer plus en ligne de commande...
https://forum.dd-wrt.com/phpBB2/viewtopic.php?t=317649
A titre d'exemple, Tomato semble lui permettre 2 clients et 2 serveurs dans le GUI.
Tout dépend du logiciel serveur :)
 
FX Cachem a dit:
Merci FTP pour ce partage... je ne connaissais pas Tresorit.
Tu peux avoir 3Go gratuit sans limitation de durée si tu veux l'essayer...
https://support.tresorit.com/hc/en-us/articles/227327447-Basic-plan-features-and-limitations
https://www.cloudwards.net/review/tresorit/
https://tresorit.com/files/smb-cloud-storage-buyers-guide.pdf (page 10) ;)
 
Plutôt sympa comme installation !

Tu utilises quoi comme routeur ? J'en cherche un qui prends en charge OpenVPN pour pouvoir accéder à mes serveurs chez Scaleway, mais les prix me refroidissent ...

Le fait de passer ta box en mode bridge, ça te prive de TV ?
 
Urluberlu a dit:
Tu utilises quoi comme routeur ? J'en cherche un qui prends en charge OpenVPN pour pouvoir accéder à mes serveurs chez Scaleway, mais les prix me refroidissent ...
Asus RT-AC66U (109€ chez Amazon.fr) avec son firmware remplacé par DD-WRT.
T'as un client et un serveur OpenVPN.

Mais il y a des modèles plus récent. Celui-ci je l'ai acheté en 2012.

Urluberlu a dit:
Le fait de passer ta box en mode bridge, ça te prive de TV ?
Non.
https://www.forum-nas.fr/viewtopic.php?p=79611#p79611
 
Merci pour le partage de ton installation qui peux êtres une bonne source d'inspiration.
 
Mise à jour :
  • Une sauvegarde quotidienne entièrement automatisée des fichiers & bases de données de mes sites web via lftp/sftp a été mise en place
  • Le disque du boîtier NexStar GX est passé d'un VelociRaptor 600Go à un Red Plus 4To pour passer d'un backup offline sélectif à un complet
  • Les disques du DS918+ sont passés de 2 Red Plus 4To à 2 Red Plus 8To car j'arrivais à 80% de remplissage (cf. promo Amazon.de)
  • Le disque du 2nd portable est passé d'un SSD 250Go à un SSD 500Go car il était aussi arrivé à 80% de remplissage (cf. promo Amazon.fr)


Au passage, petite précision pour ceux qui ont des sites web chez OVH (et vraisemblablement aussi chez d'autres hébergeurs).

Personnellement, je n'ai pas été touché par l’incendie de Strasbourg, mes données n'étant pas à Strasbourg.
Sécurité supplémentaire, l'ensemble de mes sites bénéficiaient de backups journaliers (fichiers et BDs) réalisés par OVH.

Sauf que... j'ai réalisé à cette occasion que les backups d'OVH étaient souvent stockés sur le même site que celui des serveurs de production, parfois même dans la même salle serveur !
Ughhh ! o_O

D'où la mise en place de l'automatisation de mes propres backups vers mon NAS maître, backups que je réalisais déjà avant, mais seulement une fois de temps en temps, à la main (car venant en plus des backups OVH).

A méditer donc... car je pense que cette situation doit être assez fréquente et beaucoup ne doivent pas en avoir conscience, tout rassurés qu'ils sont par la simple existence de backups quotidiens.
 
Bonjour @FTP

Je suis justement confronté au problème : sauvegarde de mes sites vers un NAS.
Aurais-tu un de tes bons tuto pour expliquer ta méthode via lftp ?

Je regarde actuellement la solution offerte par Synology : Active Backup for Business qui semble prometteuse.

Merci par avance ! ?
 
Aurais-tu un de tes bons tuto pour expliquer ta méthode via lftp ?
Désolé, ça fait un bout de temps que je ne suis pas repassé par ici et donc je ne reçois plus de notifications.
Oui j'ai un tuto sur le sujet mais il n'est pas sur Forum-nas.fr.
Forum-nas n'étant plus sur phpBB et le BBCode d'ancre étant manquant, je ne peux plus faire de copier/coller facilement vers Forum-nas.fr. Du coup les MAJ prenant trop de temps, je ne poste plus les nouveaux tutos et les MAJ ici. Désolé :(

Tu pourras le trouver ici...

FX ne devrait pas trop m'en vouloir, ce forum/site n'est pas concurrent et n'a plus vraiment d'activité" depuis des années ;)
 
Dernière édition:
  • J'aime
Réactions: FX Cachem et A-d-r-i
Mise à jour :
  • Mise à jour de sécurité par la suppression de toute nécessité d'un accès extérieur au réseau distant