Reprise du message précédent :

Faut laissé coché la ligne des IP de ton LAN    
 
Sinon, tu peux aussi appliquer la configuration de ma capture d'écran, et virer toute la tienne.
Mieux vaut repartir de 0.

Sauf s'il teste depuis son téléphone en 4G avec V PN bulgare, non?

 
Je vois, mais comme chaque cas est particulier, ce n'est pas applicable tel quel à priori, je n'ai pas docker (DSM6), pas de reverse proxy, j'utilise toutes les applis DSxxx possibles.
Je fais aussi serveur calibre
 
Pour le VPN on parle d'un VPN du NAS ou d'un VPN du commerce? Ca servirait à quelque chose de me connecter de l'exterieur via mon VPN du commerce configuré pour une IP FR?

En effet, les configurations ne sont pas identiques, mais similaires dans l'approche.
Il faut effectivement adapter un peu.
Par exemple : ne pas mettre la ligne concerant docker.
 
Pour le VPN, moi je parle du serveur VPN dans le NAS, ou sur une machine de ton LAN.
Pas d'un VPN commercial.
L'idée est d'interdire l'accès à DSM et aux autres ressources importantes depuis internet, mais de l'autoriser à travers un tunnel VPN entre ton ordi/téléphone à distance et ton serveur VPN chez toi.
En aucun cas tu passes par un VPN commercial.

Oui, mais lui teste sa configuration en utilisant une IP bulgare qu'il obtient avec un vpn commercial.

 
 
Le SHR sur 3 ou 4 HDD c'est du RAID 5 ... ou RAID 1 si 2 HDD ... ou RAID 6 si SHR 2 et 4 HDD.
Le SHR est juste une "surcouche" au RAID.
 
Et de manière générale le RAID 5, donc le SHR (ou SHR1) sur 3 disques ou + est déconseillé.
Pas mal d'échanges sur ce sujet et la problématique de reconstruction sur de tels niveaux de RAID avec des HDD SATA grand public.
Après tu ne trouveras pas ça en FP ou comme conseil partagé. Trop de gens le pratiquent et préfèrent du coup détourner le regard.

Oui ça j’ai bien compris. Il se place à l’étranger pour voir si son pare-feu le bloque.
Moi je parle d’autre chose et je répondais à sa dernière question.

 
C'est ça, maintenant je fais la distinction, un tunnel pour accéder de n'importe où avec un openvpn servi par le NAS, et une restriction d'accès aux IP françaises...en théorie
Mais ça ne me dit pas pourquoi les bulgares ne sont pas stoppés net  

Question liée : comment Syno (et les autres) savent quelle est l'origine d'une IP?

Hello, j'ai pas tout suivi mais sache une chose, c'est que la liste des IP par pays maintenue par synology est parfois erronée et c'est surtout le cas des VPN commerciaux.
 
Par exemple j'ai longtemps été détecté comme venant de Roumanie par mon firewall Synology alors que j'étais bien sur un serveur VPN (Proton) français.
 
Pour vérifier dans quel pays ton IP est référencée par Synology c'est assez simple, connecte toi sur ton interface admin en local (depuis le LAN), très important pour pas se faire bloquer par la suite. Puis : Control panel >> security >> onglet Protection >> bouton Allow/Block list >> onglet block list >> add IP address >> là tu entres ton IP (celle que te donne ton fournisseur VPN, s'il te la donne pas va simplement sur monip.org), puis tu enregistres. Si tu es bien connecté depuis le LAN tu ne perdras pas l'accès à l'interface d'admin, si c'est le cas vire le VPN. Ensuite, cherche simplement l'IP que tu viens d'enregistrer dans la liste et tu verras le pays identifié dans la colonne de droite.
 
Si tu es connecté en Bulgarie et que ça met bien Bulgarie c'est que le problème ne vient pas de là et probablement du firewall. Si en revanche tu vois un autre pays c'est que c'est là le problème.

Cf. mon post précédent, quand j'avais détecté l'anomalie, j'ai contacté Syno qui m'a dit maintenir la liste à jour avec ses propres sources. Et que cette liste est mise à jour uniquement lors des mises à jour de DSM. Pas plus d'infos...

Il y a des entreprises qui font de la géoloc d'IP
Et on peut retrouver des correspondances pays / opérateur, les scopes d'IP par opérateur étant connues

Yes, mais chacun a ses propres sources et ça diffère sur pas mal de plages. Synology a parfois des loupés sur les pays cf. mon post plus haut.

Possible
C'est pas hyper transparent.

Dites,  
 
je sauvegarde mon nas via hyperbackup vers un sauvegarde off-site compatible rsync.
 
Mettons que je passe à la concurrence en changeant de Nas. Y'a moyen de conserver les données hyperbackup en changeant de système de sauvegarde ? (je suppose que non et que c'est propriétaire mais j'aimerais être sûr).

Ca a surement déjà été dit mais question secu; changer les ports par défaut et dans la mesure du possible mettre des ports "exotiques" limite grandement les tentatives d'attaques.
Au moins les scans ne vont pas repérer les port 5000/5001 indiquant "ici il y a un NAS syno"
 
Perso, j'ai activé l'envoi de mail pour toute tentative de connexions échouée ou réussie. Si je commence à être spammé; ce n'est pas normal ... Et dans le pire des cas je peux couper l'accès.
C'est sûr que si dans le fonctionnement normal vous avez beaucoup de connexions légitimes ; ça devient chiant.

Euh, petite question bête en préparation d'un changement de NAS.
Aujourd'hui j'ai un NAS Syno 2 baies en RAID1 (2x6To). Dans un avenir proche je souhaiterais passer sur un 4 baies et dans un 2nd temps (ou un 3e) étendre le stockage à 4 x 12To en RAID5 (ou SHR).
Ma question est double:
1. Quelle serait le meilleur ordre (remplacement NAS / remplacement HDD) ?
2. Est-ce que je peux "déplacer" ma grappe R1 de mon NAS actuel dans le prochain NAS sans perdre de données ? Et est-ce que je pourrais étendre cette même grappe avec 2 nouveaux disques par la suite ?
 
Quel est votre avis ?

Tu veux bien expliquer comment tu as paramétré les notifs emails pour recevoir à chaque connexion (tentative, échouées ou réussies) ?

Salut,  
je possède un DS218+, 2 baies donc, avec 2 disques de 3to en SHR.
Je souhaite changer les disques pour augmenter la taille de stockage. Dans un premier temps je me suis pris un Seagate 8To.
Pour l'ajouter:  

• Je vérifie que mon stockage est bien sain côté Synology
• J'éteins le nas, remplace un des 3to par le nouveau disque. (cf https://kb.synology.com/fr-fr/DSMUC [...] ?version=)
• Je rallume le nas, exécute un badblocks sur nouveau disque.
• Si badblocks OK, je peux intégrer mon disque dans mon volume de stockage.

Ma question: avec un disque 3To et un 8To, ma capacité sera toujours de 3To? Est ce que je peux retirer le 3To pour ne laisser que le 8To et avoir plus de stockage?  
Mon but est de laisser tourner le 8To quelques temps avant de compléter la baie avec un autre 8To d'ici quelques semaines.
 
Merci

 
Depuis "Centre des journaux" , "Notifications" :
J'ai coché "Le mot clé comprend" et j'ai ajouté les 2 mots clés suivant : "authorization" et "signed in to"
 
De plus j'ai coché "Gravité" avec la valeur "urgence" et coché "Nombre de journaux/seconde dépasse" "10"
 
C'est a adapter mais bien pratique pour être informé    
 
 

Top    
Merci  

Lol

Bon, pour ceux qui ont suivi, j'ai fini par renvoyer le 8To (livré contre signature ... ou pas) et j'ai repris un IronWolf 4Go (comme le défaillant), acheté un boitier USB externe et mis les dossiers de surveillance station dessus.
 

Pour l'instant mon avis est que l'on ne connait pas le modèle de ton NAS actuel. Du coup pas facile de répondre
1. Dépend du modèle actuel et de la vitesse d'évolution de ton besoin de stockage
2. Dépend du modèle actuel et du modèle souhaité. La migration de disque n'est pas assurée de fonctionner suivant les modèles
 

- La toute première chose à faire est de s'assurer que ta (tes ?) sauvegarde est à jour
- N'oublie pas que le Badblocks doit se faire avant d'initialiser le HDD dans DSM
 
- Avec 3To + 8To en SHR. Tu n'aura que 3To exploitable ... Et comme tu es en SHR (pareil en RAID). Tu ne peu donc pas ensuite retirer le 3To pour ne laisser que le 8To car ton Volume va être considéré comme "dégradé" (Alerte dans DSM, BIP du NAS ...)

 
Alors, effectivement j'ai omis ces aspects 'techniques'. Donc pour essayer d'être plus clair et faciliter la réponse:
1. Aujourd'hui j'ai un Syno DS214+ (acheté en 12/2014). Comme je l'ai indiqué, il contient 2x6To achetés entre 05/2022 et 05/2023 monté en R1. Pour l'heure il me reste ~ 1To. Information complémentaire, j'ai également un disque de 4To dans mon PC que j'aimerais transféré sur le NAS (quand j'aurais de la place).  
Mon NAS me sert à 90% pour du stockage de données (documents perso, films, musique).
 
2. Pour l'instant mon idée était d'arrivé au final sur un Syno DS923+ équipé avec 4x12To en R5 (ou SHR).

 
Pourquoi, il fallait pas?

 
Il a laissé cette trace
 

Pas de filtrage des IP source ?
Pas de MFA ?
Un DSM exposé sur Internet sur le port par défaut ?
Un check du Brute Force ?
Un compte admin désactivé ?
D'autres comptes avec des MDP complexes et non logiques ?

Franchement, entre le 2FA, le mot de passe complexe, et tout. J'arrive pas à comprendre comment tu t'es fait piéger.

L'attaquant est peut-être passé par un PC infecté ?

Pas le mien en tous cas, le PC était arrêté

Ca ne sert à rien, ta machine est compromise, tu ne peux plus lui faire confiance.

 
Le mot de passe piraté n'était pas assez compliqué, 5 lettres et 2 chiffres
admin est désactivé
 
Du coup j'ai changé tous mes pwd, j'accède en adresse locale via le vpn et j'ai arrêté le serveur web.
 

Meme avec une attaque brute force, au bout de 2 ou 3 essais successifs infructueux (j'ai oublié les paramètres par défaut) l'IP de l'attaquant est immédiatement blacklistée. Je ne comprends toujours pas comment il a pu passer du premier coup en connexion DSM web comme ça selon tes logs.
A moins qu'une faille ait permis de forcer un nouveau mot de passe au préalable via une autre methode.
Mais dans ce cas il n'y a pas pas de raison que la faille ne soit pas encore là.

 
Comme je l'ai dit un peu plus haut, le hacker a laissé des messages mentionnant explicitement le ddns Synology utilisé, peut-être le problème vient-il des serveurs syno.
J'ai coupé le paquet webserver ça ne devrait plus rentrer par là..
J’espère que le serveur VPN de syno est bien sécurisé lui.

J'ai vu une vulnérabilité importante hier sur surveillance station. Tu as ça ?

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0266/

Édit : ça ne semble exploitable que par un user local sur le nas.

Encore faut-il que cette protection ait été activée    
 
 

 
Tu veux dire le nom de domaine fourni par Synology du type machin.synology.me ?
 
Ou tu parles de quickconnect ?
 
Ce sont deux choses différentes.
 

 
Oui blocage activé et protection du compte également.
 

 
Je parle de machin.synology.me

 
 
Ma version:
 

 
Syno préconise l'Upgrade à 9.2.0-9289, mais ce n'est pas dispo

perso, j'ai fait l'update a la main en téléchargeant le paquet vu que pas proposé en automatique.

pourquoi le croire? quel est son intérêt a dire la vérité? si il exploite une faille autant la laisser dans l'ombre pour continuer ses méfaits.
et le mec si il est précautionneux il a effacé les logs et donc tu peux pas trop savoir sa methode d'entrée. si ca se trouve ca fait 6 mois qu'il fait de la brute force