Asustor Sécurisation versus Reset

Pulsar33

Chevalier Jedi
1 Mars 2016
152
0
0
Bonsoir,

Après utilisation pendant quelques jours en local, il est temps de passer à l'internet, et donc de sécuriser le bébé un minimum. Mais comme tout bon parano qui se respecte, je commence par me dire "et si je bloque le bidule, comment je reviens en arrière ?".

Coup d’œil à la doc (quickstart et complète), voici ce qu'on trouve sur la réinitialisation dans le second :

Si pour une raison quelconque vous n'arrivez pas à vous connecter à votre NAS, ce bouton peut être utilisé pour restaurer les réglages par défaut de certains paramètres.
- Le mot de passe du compte de l'administrateur du système (admin) est réinitialisé à "Admin".
- Les ports HTTP et HTTPS du système sont restaurés sur 8000 et 8001, respectivement.
- Le système est restauré pour obtenir automatiquement une adresse IP. [...]
- ADM Defender est réinitialisé et permet à nouveau toutes les connexions.


C'est un bon début mais est-ce suffisant ? En effet, voici les sécurisations qui me semblent nécessaires :

1° Désactiver le compte "guest" et créer des comptes utilisateurs (ne pose pas de problème)
2° Permettre uniquement la connexion HTTPS et changer le numéro de port (8001 par défaut)
3° Créer un autre compte administrateur et désactiver le compte "admin" (compte par défaut)
Fort heureusement, tout ceci est possible, merci ASUSTOR !

Premier doute : dans les paramètres, onglet Gérer, lorsque je vais changer le port 8001 en autre chose puis cocher "Ne permettre que connexion HTTPS", je serai bien sûr connecté à cet instant en HTTP sur le port 8000. Je suppose, j'espère que lorsque je vais cliquer sur Appliquer, le bidule va gérer correctement la déconnexion puis la reconnexion. Sinon, c'est une première raison d'utiliser le Reset.

Or rien n'est dit sur la réinitialisation de l'option "Ne permettre que connexion HTTPS".
Si ça c'est mal passé et que cette option n'est pas forcée inactive par le Reset, je vois mal la suite ...

Deuxième doute : en admettant que ce cas soit prévu, je peux continuer ma sécurisation. Conserver le compte "admin" limite considérablement la sécurité du bébé étant donné qu'elle ne repose plus alors que sur un mot de passe. On peut sans doute le choisir assez long, mais c'est au prix d'une saisie laborieuse chaque fois que nécessaire, en particulier à distance avec un smartphone. Il convient donc de créer un autre administrateur puis de désactiver "admin".

Or rien n'est dit sur la réactivation du compte "admin" en cas de Reset. Là encore si ça ne le fait pas, je suis mal barré.

Donc avant de faire ces manipulations indispensables de mon point de vue, pourriez-vous me confirmer que :
a) Le Reset désactive l'option "Ne permettre que connexion HTTPS"
b) Le Reset réactive le compte "admin" s'il était désactivé (en plus de forcer son mot de passe)

Cordialement
Pulsar33
 
Bonjour,

Ooooops, j'ai peur de ne pas avoir mis ce sujet au bon endroit. Désolé, j'ai découvert ce forum cette nuit.
Si un gentil modo veut bien le déplacer (dans Installation, démarrage, ... je suppose), je le remercie d'avance.

Bonne journée
Pulsar33
 
Bonjour,

Merci webmail !

Hum, suis-je le seul méga-parano à me poser ces questions ?
Va-t-il falloir que je consulte ? :lol:

Bonne journée
Pulsar33
 
Pulsar33 a dit:
a) Le Reset désactive l'option "Ne permettre que connexion HTTPS"
b) Le Reset réactive le compte "admin" s'il était désactivé (en plus de forcer son mot de passe)
[/b]
Cordialement
Pulsar33

salut Pulsar

a) oui
b) je ne comprends pas :mrgreen:

cdlt
 
Bonjour Dami1 et merci pour cette première réponse.

Je reprécise donc ma deuxième question.
Comme indiqué plus haut, je ne souhaite pas laisser le compte "admin" accessible depuis internet, considérant que c'est de notoriété publique et que la sécurité ne repose donc que sur le seul mot de passe, plutôt que sur un couple user/password. J'envisage donc de désactiver le compte "admin" (en supposant que ce soit possible) après avoir bien sûr créé un autre compte administrateur, nommé par exemple "MonCompteAdmin".

La question est : en admettant que ça se passe mal, maintenant ou plus tard, est-ce que l'appui sur "Reset" va remettre actif le compte "Admin" que j'avais désactivé, en plus de réinitialiser son mot de passe à "Admin" comme indiqué dans la doc ?

J'espère que c'est plus clair (et que tu peux obtenir la réponse)
Bonne journée
Pulsar33
 
Personnellement, mon NAS est sur Internet, je me faisais un peu de soucis aussi au début, mais si quelqu"un veut s'y connecter c'est qu'il veut vraiment t'emmerder, sinon aucune raisons.

De mon côté :

- HTTP autorisé
- admin actif avec mon MDP perso (et vas y pour le casser celui-là)
- guest désactivé
- des comptes pour ma famille et une pote avec des droits limité (lecture seule dans un ou deux dossiers mais 0 accès autrementà
- SSH actif sur port 22 dans le NAS, mais inactif sur la box (donc pas de possibilité de connexion sans réactiver depuis la box)
- ADM Defender sur liste noire auto (ce qui m'a valu deux ou trois ban de ma propre IP, pratique n'est-ce pas ? :o) )

Ca suffit comme sécurité pour moi. Si jamais j'ai des soucis à un moment je me pencherai un peu plus sur la sécurité, mais là pour le moment j'en ai pas vraiment besoin. Sachant que j'ai pris un NDD gratuit type DynDNS, et que j'ai aussi le NDD myasustor utilisable. Tout ce que je devrais faire à la rigueur c''est une redirection apache du NDD myasustor vers une page qui rend le NAS inaccessible depuis cette URL, un peu trop exposée à la communauté Asustor.
 
Pulsar33 a dit:
avoir bien sûr créé un autre compte administrateur, nommé par exemple "MonCompteAdmin".
La question est : en admettant que ça se passe mal, maintenant ou plus tard, est-ce que l'appui sur "Reset" va remettre actif le compte "Admin" que j'avais désactivé, en plus de réinitialiser son mot de passe à "Admin" comme indiqué dans la doc ?
En théorie oui.
 
Bonsoir,

@Dami1 : En théorie, oui ... :lol:
Voilà qui va donner confiance à un parano comme moi ! :oops:

En tout cas, j'apprécie ta réactivité et ton suivi des sujets, merci.
Je vais donc essayer prochainement la sécurisation souhaitée en croisant les doigts.

@MaksOuw : oui, je comprends que ça puisse suffire à bon nombre de personnes.
Néanmoins, j'envisage de me connecter à distance sur des WiFi non sécurisés d'où le HTTPS, lors de déplacements de longue durée, d'où la nécessité éventuelle d'accéder en mode Admin. Comme déjà dit plus haut, je peux sans doute mettre un password hyper-costaud pour l'admin mais c'est désagréable, surtout à partir d'un smartphone, alors que la cumul (user x password) permet un password moins pénalisant.

Du coup, j'ai deux autres questions qui me viennent toujours dans le même contexte :
1° Quelle est la longueur maximum d'un password s'il y en a une ?
2° En cas de "Reset", je suppose que les données ne sont pas modifiées, c'est bien ça ? (si on perd tout, c'est la loose intégrale)

Bonne soirée
Pulsar33
 
utilise une phrase mémorisable facilement comprenant minuscules, majuscules, chiffres et caractères spéciaux
plutôt que +ezgergezrhtehé""224>545>45454dGGHTHHJTRTHN :lol:
 
Oui, je connais le principe. Le problème, c'est qu'avec un smartphone, alterner Maj Min Accents & Symboles dans une phrase longue, c'est juste pas possible sans s'énerver, surtout quand on a des gros doigts maladroits (et que le mot de passe est caché par des étoiles) :roll:

Concernant la longueur maximale des mots de passe, j'ai eu un problème récemment sur un site marchand qui a accepté le mot de passe saisi deux fois et n'a pas été fichu de l'exploiter sans pour autant me prévenir. J'ai dû déclarer le mot de passe oublié pour pouvoir le raccourcir ...

Bonne soirée
Pulsar33
 
Bonjour,

Dami1 a dit:
En théorie oui.

Et bien finalement non puisqu'on ne peut pas désactiver le compte "admin" même depuis un autre compte ayant les droits d’administration. La seule solution est donc de mettre un mot de passe totalement pas possible sur le compte "admin" après avoir créé un autre compte d'administration sur lequel on met un mot de passe sérieux mais plus acceptable.

Je réitère donc ma dernière question : quelle est la longueur maximum d'un mot de passe ?
Si je pose cette question, c'est parce que j'ai déjà vu des systèmes qui acceptaient la (double) saisie de mots de passe très longs qu'ils étaient ensuite incapables de reconnaître. @Dami1 : si tu pouvais avoir une réponse confirmée par la technique ce serait sympa.

Bonne journée
Pulsar33
 
Ma réponse n'était pas anodine Pulsar ;) . Le métier ;)
Sinon pour ta question je t'invite à la poser avec ton ID ASUSTOR, le S/N de ton NAS via le formulaire support http://support.asustor.com/index.php?/Default/Tickets/Submit
 
Bonjour,

Coté support, faut visiblement pas être pressé et savoir lire en vertical :x
Heureusement, les caractères européens sont quand même acceptés :roll:
Bon, en attendant une hypothétique réponse, je peux vous indiquer qu'un mot de passe de plus de 25 caractères a été accepté et qu'il est correctement géré.

Bon week-end
Pulsar33
 
Bonjour,

Réponse officielle du support, finalement sous un délai "raisonnable" :
La longueur maximum d'un password est de 32 caractères

Cordialement
Pulsar33
 
Pulsar33 a dit:
Bonjour,

Réponse officielle du support, finalement sous un délai "raisonnable" :
La longueur maximum d'un password est de 32 caractères

Cordialement
Pulsar33

cool merci pour la communauté
 
MaksOuw a dit:
Personnellement, mon NAS est sur Internet, je me faisais un peu de soucis aussi au début, mais si quelqu"un veut s'y connecter c'est qu'il veut vraiment t'emmerder, sinon aucune raisons.

Je rebondi sur ce post, et il semble que certains essaient quand même, sur mon Nas qui ne comporte rien de très confidentiel...

Voici les deux adresses IP qui ont été bloquées par la liste noire auto de mon Nas dans Defender.
J'ai regardé sur la toile et ces adresses sont apparemment connues...

http://www.ipillion.com/ip/42.55.136.240

https://www.abuseipdb.com/whois/116.104.121.75

Je les ai mis en liste noire permanente, mais je pense qu'il y aura essais en provenance d'autres adresses... :evil:
 
The Burgund a dit:
MaksOuw a dit:
Personnellement, mon NAS est sur Internet, je me faisais un peu de soucis aussi au début, mais si quelqu"un veut s'y connecter c'est qu'il veut vraiment t'emmerder, sinon aucune raisons.

Je rebondi sur ce post, et il semble que certains essaient quand même, sur mon Nas qui ne comporte rien de très confidentiel...

Voici les deux adresses IP qui ont été bloquées par la liste noire auto de mon Nas dans Defender.
J'ai regardé sur la toile et ces adresses sont apparemment connues...

http://www.ipillion.com/ip/42.55.136.240

https://www.abuseipdb.com/whois/116.104.121.75

Je les ai mis en liste noire permanente, mais je pense qu'il y aura essais en provenance d'autres adresses... :evil:

Ca doit être des bots chinois qui parcourent le web pour trouver des serveurs et récupérer des données quelle qu'elle soit ;) un chinois avait essayé de se co chez moi aussi, en bruteforce. Il a abandonné au bout de 3 heures :)

Et de mon côté j'ai coupé le serveur web, j'ai changé le port SSH, comme ça je suis tranquille !