Differences

This shows you the differences between two versions of the page.

--- informatique:hardware:synology_ds415plus [2021/04/06 17:44] – [docker] installer pihole pteu
+++ informatique:hardware:synology_ds415plus [2024/03/22 11:05] (current) – [Sécurisation du NAS] pteu
@@ Line 71: / Line 71: @@
 Cette partie traite de la sécurisation (hardening) d'un NAS Synology. Parce qu'il arrive qu'il contienne des données sensibles et qu'il soit connecté à Internet, il faut prendre quelques précautions.
+Sources:
+  * [[https://www.nas-forum.com/forum/topic/77493-tuto-pas-%C3%A0-pas-s%C3%A9curisation-du-nas-pour-dsm-7/|Sécurisation du NAS - pour DSM 7]] (sur nas-forum.com)
 ====système====
@@ Line 175: / Line 178: @@
   * **SynoCommunity** (Location=http://packages.synocommunity.com/)
   * **cphub** (Location=https://www.cphub.net)
+====synogear====
+Certains outils de base des distributions Linux sont installables en CLI avec la commande ''synogear'' :
+<code bash>
+# installation, en root (sudo)
+synogear install
+ download DiagnosisTool 3.0.1-3008 successfully
+# lister les composants installés
+synogear list
+</code>
+On retrouvera par exemple iperf, dig, iostat, tcpdump, tracepath, tmux etc...
 ====Tiny Tiny RSS====
@@ Line 208: / Line 224: @@
 Pour qu'un utilisateur puisse utiliser Audio Station, aller dans le Panneau de configuration/Utilisateur ; cliquer sur l'utilisateur puis sur l'onglet Applications, et vérifier les droits.
+====Jellyfin====
+Logiciel de catalogue et lecteur multimédia en mode web. Dockerisable, Jellyfin existe en paquet SynoCommunity plus simple à installer (à accompagner avec le paquet ffmpeg, qui est proposé par l'assistant).
+Avec DSM 7 il faut octroyer les droits d'accès au répertoire multimédia à l'utilisateur interne sc-jellyfin : pour cela aller dans le panneau de configuration> Dossier partagé ; clic droit sur le dossier> Modifier. Dans la fenêtre, choisir l'onglet Permissions, choisir dans la selectbox "Utilisateur du système interne" et donner les droits en Lecture seule  l'utilisateur sc-jellyfin.
+{{ :informatique:hardware:syno_droits_jellyfin.jpg |}}
 =====Virtualisation=====
@@ Line 244: / Line 267: @@
 Pour installer Docker, aller dans Centre de paquets > Docker > Installer
+{{ :informatique:hardware:docker_-_pihole.png?nolink |}}
 ====Installer pihole====
 Une fois Docker, installer, le lancer ;
   * dans **Registre** on peut rechercher une image sur le dockerhub ; rechercher "pihole" et Télécharger l'image **pihole/pihole** (image officielle de pi-hole.net, ~333 Mo)
-  * une fois l'image téléchargée, elle apparaît dans le menu **Image** sous la forme "<image>/latest", si on n' pas spécifier de version spécifique. Sélectionner l'image puis cliquer sur **Lancer**. Cela pour effet d'instancier l'image, qui apparaitra, une fois configurée, sous la forme d'un **Conteneur** (dans le menu éponyme).
+  * une fois l'image téléchargée, elle apparaît dans le menu **Image** sous la forme "<image>/latest", si on n'a pas spécifié de version spécifique. Sélectionner l'image puis cliquer sur **Lancer**. Cela pour effet d'instancier l'image, qui apparaitra, une fois configurée, sous la forme d'un **Conteneur** (dans le menu éponyme).
 Pour la configuration, procéder comme suit :
@@ Line 274: / Line 298: @@
 # bind le serveur web sur toutes les adresses locales du NAS
-ServerIP=0.0.0.0
+#ServerIP=0.0.0.0
 # si vous avez configuré un DNS pour votre Syno, vous pouvez le préciser ici
@@ Line 280: / Line 305: @@
 # dans mon cas j'ai déjà un résolveur DNS, donc je le spécifie ici. Sinon, ne pas ajouter cette ligne
-PIHOLE_DNS_1=192.168.1.65
+PIHOLE_DNS_=192.168.1.65
+# on peut préciser plusieurs forwarders séparés par un ";", et spécifier le port d'écoute avec #<PORT>
+PIHOLE_DNS_=192.168.1.65#5353;80.67.169.12;80.67.169.40
 </code>
@@ Line 291: / Line 318: @@
 Pour contourner cela, sélectionner le conteneur puis : "Paramètres > Paramètre en double". Cela permettra de modifier les variables d'environnement tout en conservant les données partagées sur les volumes.
+===Mise à jour du conteneur===
+Globalement la procédure consiste à arrêter le conteneur, le supprimer, supprimer l'image locale, puis à télécharger la dernière image "latest", et enfin recréer le conteneur.
+Pour automatiser la re-création du conteneur, on peut créer le user-script suivant dans le planificateur de tâche du syno (à lancer en root, et en désactivant la répétition pour ne le lancer que manuellement) :
+<code bash>
+docker run -d --name=pihole-new \
+-e WEB_PORT=3443 \
+-e WEBPASSWORD=MDP4cc3sInterfaceWeb \
+-e DNSMASQ_LISTENING=local \
+-e VIRTUAL_HOST=pihole.local.perso \
+-e PIHOLE_DNS_=127.0.0.1#1053;192.168.1.65 \
+-e TZ=FR \
+-v docker/pihole/dnsmasq.d:/etc/dnsmasq.d \
+-v docker/pihole/pihole:/etc/pihole \
+--net=host \
+--restart=unless-stopped \
+pihole/pihole
+</code>
+Ressources :
+  * https://github.com/pi-hole/docker-pi-hole#readme
+====Docs docker====
+  * [[https://docs.docker.com/docker-for-windows/install/]]
+=====Hyperbackup=====
+Mise en place d'une sauvegarde Hyperbackup sur un NAS Synology vers un serveur rsync "compatible" (pas Synology) via SSH (en l'occurence un NAS OpenMediaVault v5).
+Sur le serveur OMV distant :
+* créer un nouveau partage "bck-syno" dans Access Right Manager> Shared Folder
+* activer le SSHd et créer un utilisateur "usr-hbkp" ; l'ajouter dans le groupe SSH
+* activer le service rsyncd : dans Services> Rsync
+   * onglet Server : "Activer"
+   * créer un nouveau Module, déclarer le dossier partagé, activer "Authenticate users" et ajouter l'utilisateur usr-hbkp
+Sur le NAS Syno source, installer puis lancer "Hyper Backup" ; puis créer une nouvelle sauvegarde : Serveur de fichier/Rsync :
+  * type : serveur compatible rsync
+  * chiffrement activé
+  * saisir l'IP distante, l'utilisateur usr-hbkp et son mot de passe SSH
+  * choisir le répertoire à sauvegarder
+Lancer la sauvegarde. Les fichiers **rsyncd.conf** et **rsyncd.secrets** seront créés dans le dossier distant.
 =====Tips=====
+====Installer les plugins OMV-extra====
+Vu ici : https://forum.openmediavault.org/index.php?thread/5549-omv-extras-org-plugin/
+<code bash>
+wget -O - https://github.com/OpenMediaVault-Plugin-Developers/packages/raw/master/install | bash
+</code>
 ====Connexion SSH====
@@ Line 307: / Line 383: @@
 Pour renouveler son certificat [[https://letsencrypt.org/|let's encrypt]] (qui n'est valide que 3 mois) :
   * ouvrir le port public tcp/80 vers le port tcp/80 syno
-  * se logguer en SSH avec un compte admin au syno, puis :
+  * se logguer en SSH avec un compte admin au syno, puis : ''sudo /usr/syno/sbin/syno-letsencrypt renew-all [ -v[v] ]'' ; ex :
 <code bash>
-sudo /usr/syno/sbin/syno-letsencrypt renew-all [ -v[v] ]
+sudo /usr/syno/sbin/syno-letsencrypt renew-all -v
+DEBUG: Issuer name of certificate. [Let''s Encrypt]->[/usr/syno/etc/certificate/_archive/JjujoD/cert.pem]
+DEBUG: Issuer name of certificate. [Synology Inc.]->[/usr/syno/etc/certificate/_archive/lx0mfJ/cert.pem]
+DEBUG: certificate is not issued by Let''s encrypt. [/usr/syno/etc/certificate/_archive/lx0mfJ/cert.pem]
+DEBUG: start to renew [/usr/syno/etc/certificate/_archive/JjujoD].
+DEBUG: setup acme url https://acme-v02.api.letsencrypt.org/directory
+DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/directory
+DEBUG: GET Request: https://acme-v02.api.letsencrypt.org/acme/new-nonce
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/new-order
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/new-order
+DEBUG: Failed to port map router detect. [1]
+DEBUG: failed to open port 80.
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/41127559850
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/41127559850
+DEBUG: dns-01 is not support for toto.fr
+DEBUG: Setup challenge for toto.fr with type http-01
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/41127559850/iipDBw
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/chall-v3/41127559850/iipDBw
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/41127559850
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/41127559850
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/41127559850
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/authz-v3/41127559850
+DEBUG: ==> start new-cert.
+DEBUG: generate csr & private key
+DEBUG: get new-cert
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/finalize/68533444/32870294000
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/finalize/68533444/32870294000
+DEBUG: Post JWS Request: https://acme-v02.api.letsencrypt.org/acme/cert/038012c726f8b4e7d4fa059921e49ffb6546
+DEBUG: Post Request: https://acme-v02.api.letsencrypt.org/acme/cert/038012c726f8b4e7d4fa059921e49ffb6546
+DEBUG: get issuer-cert
+DEBUG: save to files
+DEBUG: renew success. [/usr/syno/etc/certificate/_archive/JjujoD].
 </code>
 (PS : le ''sudo -i'' marche aussi)
@@ Line 400: / Line 508: @@
   * [[http://www.anandtech.com/show/8563/synology-launches-rangeleybased-ds415-dsm-51-beta-goes-live|Review Anandtech]]
   * [[http://www.storagereview.com/synology_ds415_nas_review|Review storagereview.com]]
+  * [[https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/Overview_of_LED_indicator_statuses_during_bootup| Interprétation des états des diodes du NAS]] pour diagnostique
+  * [[https://mariushosting.com/synology-how-to-fix-c2000-flaw-with-100-ohm-resistor/|How To Fix C2000 Flaw With 100 Ohm Resistor]]
+  * Topics utiles sur HFR :
+    * [[https://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/serveurs-synology-page-sujet_5497_1.htm|[Topic R+] Les serveurs NAS Synology]]
+    * [[https://forum.hardware.fr/hfr/Hardware/Materiels-problemes-divers/reparation-synology-modeles-sujet_1036942_1.htm|Réparation Synology DS415+ et autres modèles sous Atom C2000]]