[bust3d]

Bonjour, je songe depuis quelques jours a rendre accessible mon NAS depuis internet afin de le piloter de l'extérieur. Le NAS est un netgear RND2000 v2 qui tourne avec un linux debian je crois (apt pour les paquets), uname -a pour plus de détails :

Code:

Linux NAS 2.6.31.8.duov2 #1 Wed Jan 4 17:12:54 HKT 2012 armv5tel GNU/Linux

J'aimerai avoir accès depuis l'extérieur par SSH et si possible explorer mes fichiers via une interface HTTP.
Mais la ou j'ai besoin de lumière c'est sur la sécurité, parce ce sont mes données et j'ai pas trop envie qu'un type me pirate mon disque.
Comment je fais pour me sécuriser des bots qui essaient de se connecter ou de trouver le mot de passe?
ya quoi comme explorateur de fichier par HTTP qui demande pas trop de ressources?
Je voudrai bien savoir si c'est possible de consulter les logs a distance, autrement que de regarder les fichiers dans /var/log via SSH?

[Eno]

Tu peux installer un serveur web léger ( genre nginx ) et créer des locations pour partager ce que tu veux. Pour la sécurité un simple HTTP auth ferait l'affaire.
http://wiki.nginx.org/HttpAuthBasicModule

Pour la sécurité SSH:
- utilise une clef et / ou un mot de passe assez compliqué

Pour le serveur web:
- Le mdp de ton http auth doit être assez compliqué
- Tu peux changer le port par défaut ( 80 ) ça évitera 99% des bots.

[Zeil l'exilé]

Idem apache, mais sans changer le port...
Pense à mettre un index.html bidon à la racine pour ne pas désactiver le listing répertoire, c'est pratique quand même.

SSH sur un autre port aussi, n'autorise pas les connexion root, tu te "su -" une fois connecté.

Rajoute denyhost tant qu'à faire, ca monte très très vite.


Mais à moins d'avoir des pass débiles ou des users de type "admin", "sqladmin" et autre, personne passera. Tu n'auras qu'à regarder ton équivalent de auth.log pour voir le dico des username utilisés, ils sont débiles.


Edit:
Ho j'y pense, y'a ptet un noip daemon sous Debian... c'est quand même pratique.
Pense aussi à la possibilité de faire du wakeonlan sur tes différents PC/serveurs, ca peut parfois aider quand on fait le boulzor à base de "init 0... MERDE MERDE MERDE"

[Natsuki]

Personnellement pour la sécurité j'ai opté pour n'ouvrir sur internet que la connexion en VPN SSL. C'est à mon sens le plus sécurisé et le plus pratique. Une fois le VPN établit je peux rebondir en SSH, HTTP, SMB, RDP,... sur mes serveurs en interne sans soucis et sur n'importe quel port.

Si tu n'as pas possibilité de le faire, respecte les bonnes pratiques de sécurité:
- Si tu te connectes toujours du même endroit (par exemple sur bureau) tu peux créer une liste d'adresse IP autorisées (whitelist) à se connecter à ton serveur. Ca se gère soit au niveau de ton serveur Linux ou au niveau de ta box internet pour peu qu'elle intègre un firewall (une règle "source = IP du bureau, destination = ta box, protocole = https / http / ssh" devrait faire l'affaire). C'est mieux de gérer cela au niveau de la box qu'au niveau du serveur pour la simple raison qu'une requête illicite sera bloquée avant même de rentrer sur ton LAN.
- Utilise des mots de passe complexe (chiffres / lettres / caractères spéciaux / longueur d'au moins 8 caractères)
- Installe des versions à jour des OS / software pour éviter les failles de sécurité.
- Du https pour le serveur web c'est toujours mieux que du http même si ça ne protège en rien d'une attaque DOS ou d'un scanning de port.


Pour browser des fichiers d'un partage Windows en mode web il fut un temps où j'utilisais HTTP explorer (http://http-explorer.sourceforge.net/?lang=fr) et c'était pas mal du tout. Je te conseille d'y jeter un oeil.

Si tu te connectes fréquemment depuis des endroits public je te conseille d'héberger tes services sur des ports standards comme 443 ou 80. Ce sont les deux seuls ports qui seront toujours ouverts où que tu sois. Le port 22 (SSH) est généralement interdit vers internet depuis un réseau d'entreprise.

Héberger le service SSH sur un port exotique (genre 15784) ne t’apportera pas grand chose: Sur un réseau public le port sera certainement verrouillé et tu ne pourras pas accéder chez toi, au niveau sécurité tu seras protégé des pirates du dimanche qui tenteront d'accéder uniquement sur les ports classiques (mais un pirate du dimanche ne trouvera déjà jamais ton IP publique et ne fera jamais tomber ton serveur même si il la trouve), en effet un scan de ports basique avec NMAP indiquera facilement à n'importe qui que ton port exotique en 15784 est ouvert en SSH.

[Saroh(hul)]

A partir du moment ou t'as acces SSH t'as de toute facon accès à tes fichiers (scp sous linux / winSCP sous windows qui fonctionneront un peu comme un du FTP, over SSH).

Pour l’authentification,une clé avec un mot de passe correct. Au pire si quelqu'un choppe ton mot de passe il ne pourra rien faire sans ta clé. Le problème c'est que toi aussi si tu n'as pas ta clé avec toi tu ne pourra pas te logger, donc si c'est pour aller faire un tour sur ton NAS sur un PC public ça ne marchera pas, si sur ton PC/tel portable c'est bon (ya un client ssh android, iPhone je ne sais pas).

Après t'as des outils genre SSHFS qui te permettent de monter le système de fichier de ton NAS comme un lecteur normal sous windows (ou un mount de base sous linux). Comme ça tu peux tranquilement ecouter tes MP3 sans avoir à les telecharger au préalable (tant que t'as une connexion bien sûr).

Sinon le VPN c'ets bien aussi, et là encore je préfère l'auth via clé.

L'avantage du serveur HTTP c'est que tout ordinateur à un browser web, donc tu pourras acceder à tes données sur un ordinateur public.