Qnap Securité apps

B

baba13

Padawan
28 Septembre 2016
94
0
0
Bonjour,

Je vais ouvrir mon NAS vers l’extérieur cependant je me pose la question au niveau de la sécurité avec des apps comme organizr et serveur radicale etc en natif. Il y a t-il un réel danger de les exposer ? Je compte faire du reverse proxy avec nginx ou caddy. Ou peut-être mieux vaut de les installer avec docker ?
 
Dès que tu ouvres un NAS à Internet... tu l'exposes !
On a échangé récemment pour un autre constructeur mais les règles sont les mêmes https://www.forum-nas.fr/viewtopic.php?f=27&t=8966
 
Totalement d'accord avec toi et les conseils donnés, et je rajouterais quand même que :
-Exposer des services en root/admin est doublement risqué (la moindre faille prend de grosses proportions)
-Il faut bien tenir à jour les apps pour limiter ça
-Si possible usage d'un VPN pour ces services admin c'est le must, sinon à défaut au moins mets une auth sur Caddy pour le reverse proxy sur ces domaines (facile avec l'option basicauth), ça protège pas mal contre les failles déjà
 
Merci. J'ai pris un NDD on va être deux ou trois personnes a utiliser les services donc le mieux serait le VPN ? Comment savoir si tel
ou tel service tourne en admin/root ?
J'hésite aussi entre caddy ou nginx en container ...
 
Le mieux serait du OpenVPN si possible oui, maintenant si c'est trop galère selon les plateformes (normalement non, OpenVPN est bien dispo partout, même mobile, mais sait-on jamais) une auth sur le reverse peut faire le taf.
Pour savoir le compte, en général ps est ton ami : une commande du type ps|grep "NOM_DU SERVICE" devrait donner le process associé et le user de lancement.
Pour caddy/nginx, je trouve caddy plus simple à gérer et déployer proprement en reverse pour de petites installations. Si par contre tu veux un gros site, nginx est plus taillé !
 
Un des conseils Synology me frappe "désactivé le compte admin". Très pertinent mais malheureusement impossible avec qnap... Qnap en a besoin pour faire tourner les applications mais on devrait pouvoir au moins le désactiver pour les ip non locales. L'immense majorité des tentatives d'intrusion qnap visent spécifiquement le compte admin. Je le vois bien sur mon dédié accessible en ssh, les attaques automatiques visent les noms codés en dur du type "pi", "admin", "root".
 
Ok merci j'ai finalement tous mis dans des containers pour plus de sécu au niveau des apps. Oui le compte admin il ne faut pas le désactiver et en activant le 2FA c'est quasi impossible de rentré.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour