Contexte:
Besoin d’un client d’installer un serveur nas avec plusieurs services spécifiques avec une configuration d’ordinateur spécifique.
Après quelque recherche, afin de correspondre au besoin du client j’ai proposé la possibilité d’installer Xpenology qui est une refonte en open source de DSM (Disk Station Manager) basé sur un noyau Linux sous licence GNU.
J’ai proposé au client la possibilité d’installer un hyperviseur de type 1 et notamment l’hyperviseur ESXI afin d’ajouter de la flexibilité mais le client a refusé car l’ordinateur disposera que de 8 go de ram.
Suite à la confirmation du client ne nas simulé sera un DS3617xs
Schéma environnement client :
nasDescription des services du NAS :
- Serveur DNS publique avec une zone de redirection et zone inverse
- Serveur web sous WordPress
- Un antivirus
- Un serveur OpenVPN de client à site
- Serveur multimédia
- Une base de donnée
- Team viewer
- Service centralisation de plusieurs cloud
- Docker
- Gestion des logs
Matériel à disposition:
- 8 go de ram ddr3 (2 barette de 2go et une de 4 go)
- 5 disque dur de 1to chacun
- Une carte mère du socket Ive Bridge avec un Xeon e3 1220 V2
- Une carte réseau 1 gbit/s
- Une alimentation de 400 watt certifié silver
- Un boitié Dell
- Une clé usb 2.0 de 16go
Activité:
J’ai commencé par installer le fichier .pat qui contient le système d’exploitation DSM. Puis j’ai téléchargé l’image de XPENology
Une fois téléchargé j’ai installé deux programmes qui sont OSFmount qui sert à monter virtuellement une image et balenaEtcher qui sert à graver une image disque et la rendre bootable avec une partition EFI sur une clé usb
Ensuite, je suis allée dans les propriétés de la clé USB puis dans « détail » pour aller sur parent afin de copier le champ VID et PID que j’ai renseigné dans le fichier info du nas.txt avec d’autre information comme le numéro de série et l’adresse mac de la carte réseau
Une fois toutes ces informations obtenues, j’ai lancé le logiciel OSFmount et monter l’image pour se faire lancer le logiciel OSF mount et j’ai fait un nouveau montage
Ensuite sélectionner la partition 0
Décocher la case read only read only
Ouvrir le dossier Grub et ouvrir grub.cfg
Ouvrir le fichier et renseigner les informations contenues dans le fichier info du nas.txt
Ensuite ouvrir le logiciel balenaEtcher et graver l’image disque
Montage de l’ordinateur chez le client :
Une fois l’installation des composants effectués nous avons branché la clé USB dans un port USB A se trouvant dans la carte mère.
J’ai branché les câbles et démarrer l’ordinateur et j’ai mis la priorité de boot à la partition EFI de la clé USB.
Une fois fait, voici l’écran obtenu:
Désormais, il faut se rendre sur l’URL http://find.synology.com
Désormais, il faut appuyer sur « configurer »
Sélectionner l’installation manuelle et indiquer le fichier .pat
Ensuite attendre que l’installation s’effectue
Renseigner ces identifiants en prenant soin de renseigner en mot de passe au moins 8 caractères avec chiffre, lettre et symboles et un nom d’utilisateur qui n’est pas commun
Par la suite ne pas activer les mises à jour automatiquement
Pour finir, il ne faut pas renseigner de compte quick connect
Configuration du nas à distance avec TeamViewer:
Désormais, j’ai utilisé TeamViewer afin d’accéder à l’ordinateur du client qui est relié sur le même réseau que ne nas.
J’ai commencé par accéder à l’interface d’administration de la livebox puis j’ai rentré le nas en tant que baux DHCP statique
Puis j’ai renseigné en DMZ le nas
Une fois fait, j’ai renseigné l’IP du nas sur Firefox sur le port 5000 pour arriver sur l’interface de configuration:
Renseigner les informations remplies auparavant
Nous sommes désormais à la page d’accueil du nas
Sécurisation du DSM :
Sécurisation Utilisateur :
Pour commencer nous allons activer la double vérification avec un utilisateur et l’installation de l’application andOTP sur appareil android
Renseignement du courriel :
Puis scanner avec l’application andOTP le code QR
Renseigner le code généré par l’application
Désormais, la double authentification est effectuée
Désormais il faut renseigner à l’utilisateur et aux autres utilisateurs des conditions minimales pour la gestion des mots de passe
Accéder à la partie sécurité et renseigner les paramètres suivant
Désormais, il faut changer le port d’administration par défaut du nas
Aller dans la catégorie réseaux puis renseigner des ports autres que ceux par défaut
Au passage faire la même chose avec SSH et dans paramètre avancée sélectionner élevé afin que l’algorithme de chiffrement sois performant
Configurer le Raid
Nous allons configurer le raid et le système de fichier propriétaire de synology .
Le raid SHR est l’équivalent du Raid5, mais optimisé pour les nas synology
Le système de fichier btrfs est un système de fichier optimisé spécifiquement pour DSM (incompatible avec d’autre os)
Accéder au gestionnaire de stockage puis créer un volume avec les paramètres indiqués
Désormais allée dans groupe de stockage
Une fois fini une vérification de la cohérence de parité est effectuée
Ensuite, observé les journaux dans la partie HDD/SSD les journaux
Nous pouvons observer que les journaux montrent que le disque dur 2 est défectueux
Observation du nombre de secteur défectueux
Communication au client des logs exporté ainsi que l’état du disque dur
Problème pouvant survenir sur le raid :
Le raid configuré et le raid 5 propriétaires à Synology celui-ci peut prévoir 1 tolérance aux pannes si le disque dur viendrais à ne plus fonctionner, il faudrait prévoir un disque dur de rechange d’une capacité de 931 go minimum
Installation des services :
Installation des paquets nécessaire pour permettre de rendre accessible les services
Installé les services suivant au gestionnaire de paquet
Service VPN
Nous allons commencer par configurer le service VPN afin de pouvoir avoir une connexion distante chiffrée de bout en bout
Une fois le paquet ouvert allé dans la section OpenVPN
Mettre la configuration adaptée et exporter la configuration
Allée dans la section privilège et accorder les droits qu’aux utilisateurs qui ont besoin d’un service
Test du fonctionnement du service :
Nous allons modifier le fichier de configuration du VPN et télécharger le client open vpn
Renseignement du dynamique DNS de la Livebox à la ligne remote et suppression du sharp à la ligne redirect-gateway def1
Téléchargement du client open VPN et importation du fichier de configuration
Affichage de la connexion réussi
Service DNS:
Le service DNSs sera un DNS public accessible depuis n’importe où avec deux zones master enregistré pour résoudre les noms et les IP
Nous allons ouvrir le paquet DNSserver puis se rendre dans zone pour la créer
Choisir une zone master et sélectionner zone de redirection
Ensuite, sélectionnez limiter mise à jour de la zone afin de choisir qui recevra le transfert de la zone et sélectionner limiter le service IP source afin de renseigner les sous réseaux qui ne pourront pas utiliser ce service
Enregistrez ces 2 paramètres afin de pouvoir résoudre le serveur lui-même
Nous allons désormais configurer la zone inverse
Même configuration sauf qu’il faut juste sélectionner zone inverse
Enregistré ces deux enregistrements en prenant soin de renseigner l’inverse le l’IP publique de la partie hôte à l’enregistrement PTR
Test du service DNS:
Renseignement dans les propriétés de la carte réseau le DNS (l’IP publique du serveur NAS)
Désormais il faut ouvrir l’invite de commande en tant qu’administrateur vider le cache DNS et faire la résolution d’une IP et d’un nom avec la commande nslookup
Le service DNS fonctionne nous pouvons exporter les deux zones sur le DNS
TeamViewer :
Enregistrement des Informations de connexions TeamViewer dans le gestionnaire de mot de passe KeepassXC pour des accès distants
Service WEB :
Pour le service web, nous allons installer WordPress ainsi que les différentes extensions adaptées
Nous allons lancer WordPress et l’installer en choisissant un mot de passe sur et un identifiant non publique
WordPress étant installé il faut vérifier la connexion à la base de données avec Phpmyadmin
Pour se faire lancer le paquet PhpMyadmin. Une fois sur l’interface d’administration de la base de donnée remplir les champs utilisateur et mot de passe renseigné lors de l’installation de WordPress
Observation des tables de la base de données de notre site WordPress
Exportation de la base de donnée neutre
Pour exporter la base de donnée sélectionnez exporter puis format SQL et enfin exécuter
Une fois fait nous pouvons accéder à la page de login de notre site WordPress se trouvant dans http://IP/wordpress/admin
Une fois connecté à notre site allé sur extension puis j’ai ajouté ces extensions
Nous pouvons aller sur la première extension qui servira à faire une sauvegarde complète du site
Pour se faire aller sur All-in-one WP Migration puis sauvegarde afin de réaliser une sauvegarde complète.
Ensuite, nous allons modifier le fichier de configuration du site WordPress.
Pour se faire aller dans les paramètres puis WPS hide login
Descendre en bas de la page puis changer les URL de connexion et cliquer sur enregistrer les modifications
Centralisation des Clouds :
Nous pouvons lancer le paquet Cloud Sync et appuyer sur le + pour rajouter un fournisseur de cloud à notre liste
Désormais sélectionner télécharger uniquement les modifications du NAS pour garder les données dans le cas où elles auraient été supprimées du cloud avec une planification de la synchronisation 2 jours par semaine
De même sélectionner le chiffrement des données afin que le NAS chiffre les données et déchiffre les données reçues avec le même mot de passe
Rentrer les mots de passe pour configurer la clé de chiffrement et appuyer sur ok
Une fois la configuration convenue appuyer sur appliquer
Ensuite enregistré la clé dans un environnement sécurisé
Gestion des logs:
Pour gérer les logs nous allons utiliser le centre des journaux intégré au DSM
Je suis allée dans le centre des journaux puis notification et j’ai paramétré les notifications avec ces paramètres
Ensuite, nous allons paramétrer l’archivage des journaux dans un dossier partagé du NAS
Une fois fait, il faut télécharger uns serveur de log qui va centraliser tous les logs dans un répertoire. Nous avons choisi le serveur Visual Syslog serveur sur un client Windows 10.
Désormais, il faut se rendre dans envoie des journaux puis configurer le serveur Syslog en prenant soin de bien renseigner son IP, puis envoyé un journal de test.
Observation de la réception du journal aux serveurs Syslog
Nous pouvons valider la configuration des journaux
Solution pour améliorer l’environnement réseau :
Afin d’améliorer la sécurité de cet environnement réseau, il aurait fallu bloquer les ports d’administration du DSM afin que l’administration s’effectue uniquement avec le serveur open VPN. Pour ce faire, l’utilisation d’un pare-feu tel que Pfsense aurait été plus adapté avec des règles spécifiques vers la DMZ.
De plus, l’utilisation d’un hyperviseur de type 1 tel que Vmware ESXI aurait rajouté une meilleure flexibilité.
Pour finir, la configuration du SH2 (Raid 6 propriétaires de Synology) aurait été préférable car le disque dur défectueux peut ne plus fonctionner à tout moment et si pendant la reconstruction d’un autre disque dur ne fonctionne plus la récupération des données ne sera plus possible
