Adrien Murillo Non classé Xpenology installation, configuration et sécurisation de services

Xpenology installation, configuration et sécurisation de services

Contexte:

Besoin d’un client d’installer un serveur nas avec plusieurs services spécifiques avec une configuration d’ordinateur spécifique.

Après quelque recherche, afin de correspondre au besoin du client j’ai proposé la possibilité d’installer Xpenology qui est une refonte en open source de DSM (Disk Station Manager) basé sur un noyau Linux sous licence GNU.

J’ai proposé au client la possibilité d’installer un hyperviseur de type 1 et notamment l’hyperviseur ESXI afin d’ajouter de la flexibilité mais le client a refusé car l’ordinateur disposera que de 8 go de ram.

Suite à la confirmation du client ne nas simulé sera un DS3617xs

Schéma environnement client :

nas

Description des services du NAS :

  • Serveur DNS publique avec une zone de redirection et zone inverse
  • Serveur web sous WordPress
  • Un antivirus
  • Un serveur OpenVPN de client à site
  • Serveur multimédia
  • Une base de donnée
  • Team viewer
  • Service centralisation de plusieurs cloud
  • Docker
  • Gestion des logs

Matériel à disposition:

  • 8 go de ram ddr3 (2 barette de 2go et une de 4 go)
  • 5 disque dur de 1to chacun
  • Une carte mère du socket Ive Bridge avec un Xeon e3 1220 V2
  • Une carte réseau 1 gbit/s
  • Une alimentation de 400 watt certifié silver
  • Un boitié Dell
  • Une clé usb 2.0 de 16go

Activité:

J’ai commencé par installer le fichier .pat qui contient le système d’exploitation DSM. Puis j’ai téléchargé l’image de XPENology

Une fois téléchargé j’ai installé deux programmes qui sont OSFmount qui sert à monter virtuellement une image et balenaEtcher qui sert à graver une image disque et la rendre bootable avec une partition EFI sur une clé usb

Ensuite, je suis allée dans les propriétés de la clé USB puis dans « détail » pour aller sur parent afin de copier le champ VID et PID que j’ai renseigné dans le fichier info du nas.txt avec d’autre information comme le numéro de série et l’adresse mac de la carte réseau

Une fois toutes ces informations obtenues, j’ai lancé le logiciel OSFmount et monter l’image pour se faire lancer le logiciel OSF mount et j’ai fait un nouveau montage

Ensuite sélectionner la partition 0

Décocher la case read only read only

Ouvrir le dossier Grub et ouvrir grub.cfg

Ouvrir le fichier et renseigner les informations contenues dans le fichier info du nas.txt

Ensuite ouvrir le logiciel balenaEtcher et graver l’image disque

Montage de l’ordinateur chez le client :

Une fois l’installation des composants effectués nous avons branché la clé USB dans un port USB A se trouvant dans la carte mère.

J’ai branché les câbles et démarrer l’ordinateur et j’ai mis la priorité de boot à la partition EFI de la clé USB.

Une fois fait, voici l’écran obtenu:

Désormais, il faut se rendre sur l’URL http://find.synology.com

Désormais, il faut appuyer sur « configurer »

Sélectionner l’installation manuelle et indiquer le fichier .pat

Ensuite attendre que l’installation s’effectue

Renseigner ces identifiants en prenant soin de renseigner en mot de passe au moins 8 caractères avec chiffre, lettre et symboles et un nom d’utilisateur qui n’est pas commun

Par la suite ne pas activer les mises à jour automatiquement

Pour finir, il ne faut pas renseigner de compte quick connect

Configuration du nas à distance avec TeamViewer:

Désormais, j’ai utilisé TeamViewer afin d’accéder à l’ordinateur du client qui est relié sur le même réseau que ne nas.

J’ai commencé par accéder à l’interface d’administration de la livebox puis j’ai rentré le nas en tant que baux DHCP statique

Puis j’ai renseigné en DMZ le nas

Une fois fait, j’ai renseigné l’IP du nas sur Firefox sur le port 5000 pour arriver sur l’interface de configuration:

Renseigner les informations remplies auparavant

Nous sommes désormais à la page d’accueil du nas

Sécurisation du DSM :

Sécurisation Utilisateur :

Pour commencer nous allons activer la double vérification avec un utilisateur et l’installation de l’application andOTP sur appareil android

Renseignement du courriel :

Puis scanner avec l’application andOTP le code QR

Renseigner le code généré par l’application

Désormais, la double authentification est effectuée

Désormais il faut renseigner à l’utilisateur et aux autres utilisateurs des conditions minimales pour la gestion des mots de passe

Accéder à la partie sécurité et renseigner les paramètres suivant

Désormais, il faut changer le port d’administration par défaut du nas

Aller dans la catégorie réseaux puis renseigner des ports autres que ceux par défaut

Au passage faire la même chose avec SSH et dans paramètre avancée sélectionner élevé afin que l’algorithme de chiffrement sois performant

Configurer le Raid

Nous allons configurer le raid et le système de fichier propriétaire de synology .

Le raid SHR est l’équivalent du Raid5, mais optimisé pour les nas synology

Le système de fichier btrfs est un système de fichier optimisé spécifiquement pour DSM (incompatible avec d’autre os)

Accéder au gestionnaire de stockage puis créer un volume avec les paramètres indiqués

Désormais allée dans groupe de stockage

Une fois fini une vérification de la cohérence de parité est effectuée

Ensuite, observé les journaux dans la partie HDD/SSD les journaux

Nous pouvons observer que les journaux montrent que le disque dur 2 est défectueux

Observation du nombre de secteur défectueux

Communication au client des logs exporté ainsi que l’état du disque dur

Problème pouvant survenir sur le raid :

Le raid configuré et le raid 5 propriétaires à Synology celui-ci peut prévoir 1 tolérance aux pannes si le disque dur viendrais à ne plus fonctionner, il faudrait prévoir un disque dur de rechange d’une capacité de 931 go minimum

Installation des services :

Installation des paquets nécessaire pour permettre de rendre accessible les services

Installé les services suivant au gestionnaire de paquet

Service VPN

Nous allons commencer par configurer le service VPN afin de pouvoir avoir une connexion distante chiffrée de bout en bout

Une fois le paquet ouvert allé dans la section OpenVPN

Mettre la configuration adaptée et exporter la configuration

Allée dans la section privilège et accorder les droits qu’aux utilisateurs qui ont besoin d’un service

Test du fonctionnement du service :

Nous allons modifier le fichier de configuration du VPN et télécharger le client open vpn

Renseignement du dynamique DNS de la Livebox à la ligne remote et suppression du sharp à la ligne redirect-gateway def1

Téléchargement du client open VPN et importation du fichier de configuration

Affichage de la connexion réussi

Service DNS:

Le service DNSs sera un DNS public accessible depuis n’importe où avec deux zones master enregistré pour résoudre les noms et les IP

Nous allons ouvrir le paquet DNSserver puis se rendre dans zone pour la créer

Choisir une zone master et sélectionner zone de redirection

Ensuite, sélectionnez limiter mise à jour de la zone afin de choisir qui recevra le transfert de la zone et sélectionner limiter le service IP source afin de renseigner les sous réseaux qui ne pourront pas utiliser ce service

Enregistrez ces 2 paramètres afin de pouvoir résoudre le serveur lui-même

Nous allons désormais configurer la zone inverse

Même configuration sauf qu’il faut juste sélectionner zone inverse

Enregistré ces deux enregistrements en prenant soin de renseigner l’inverse le l’IP publique de la partie hôte à l’enregistrement PTR

Test du service DNS:

Renseignement dans les propriétés de la carte réseau le DNS (l’IP publique du serveur NAS)

Désormais il faut ouvrir l’invite de commande en tant qu’administrateur vider le cache DNS et faire la résolution d’une IP et d’un nom avec la commande nslookup

Le service DNS fonctionne nous pouvons exporter les deux zones sur le DNS

TeamViewer :

Enregistrement des Informations de connexions TeamViewer dans le gestionnaire de mot de passe KeepassXC pour des accès distants

Service WEB :

Pour le service web, nous allons installer WordPress ainsi que les différentes extensions adaptées

Nous allons lancer WordPress et l’installer en choisissant un mot de passe sur et un identifiant non publique

WordPress étant installé il faut vérifier la connexion à la base de données avec Phpmyadmin

Pour se faire lancer le paquet PhpMyadmin. Une fois sur l’interface d’administration de la base de donnée remplir les champs utilisateur et mot de passe renseigné lors de l’installation de WordPress

Observation des tables de la base de données de notre site WordPress

Exportation de la base de donnée neutre

Pour exporter la base de donnée sélectionnez exporter puis format SQL et enfin exécuter

Une fois fait nous pouvons accéder à la page de login de notre site WordPress se trouvant dans http://IP/wordpress/admin

Une fois connecté à notre site allé sur extension puis j’ai ajouté ces extensions

Nous pouvons aller sur la première extension qui servira à faire une sauvegarde complète du site

Pour se faire aller sur All-in-one WP Migration puis sauvegarde afin de réaliser une sauvegarde complète.

Xpenlogy DSM explorer xpenology extension preview allinone

Ensuite, nous allons modifier le fichier de configuration du site WordPress.

Pour se faire aller dans les paramètres puis WPS hide login

Xpenlogy DSM setting xpenology extension preview wps

Descendre en bas de la page puis changer les URL de connexion et cliquer sur enregistrer les modifications

Centralisation des Clouds :

Nous pouvons lancer le paquet Cloud Sync et appuyer sur le + pour rajouter un fournisseur de cloud à notre liste

Désormais sélectionner télécharger uniquement les modifications du NAS pour garder les données dans le cas où elles auraient été supprimées du cloud avec une planification de la synchronisation 2 jours par semaine

De même sélectionner le chiffrement des données afin que le NAS chiffre les données et déchiffre les données reçues avec le même mot de passe

Rentrer les mots de passe pour configurer la clé de chiffrement et appuyer sur ok

Une fois la configuration convenue appuyer sur appliquer

Ensuite enregistré la clé dans un environnement sécurisé

Gestion des logs:

Pour gérer les logs nous allons utiliser le centre des journaux intégré au DSM

Je suis allée dans le centre des journaux puis notification et j’ai paramétré les notifications avec ces paramètres

Ensuite, nous allons paramétrer l’archivage des journaux dans un dossier partagé du NAS

Xpenlogy DSM setting xpenology extension archive storage

Une fois fait, il faut télécharger uns serveur de log qui va centraliser tous les logs dans un répertoire. Nous avons choisi le serveur Visual Syslog serveur sur un client Windows 10.

Désormais, il faut se rendre dans envoie des journaux puis configurer le serveur Syslog en prenant soin de bien renseigner son IP, puis envoyé un journal de test.

Xpenlogy DSM setting xpenology extension  udp rfc

Observation de la réception du journal aux serveurs Syslog

Xpenlogy DSM setting xpenology extension  udp rfc network

Nous pouvons valider la configuration des journaux

Solution pour améliorer l’environnement réseau :

Afin d’améliorer la sécurité de cet environnement réseau, il aurait fallu bloquer les ports d’administration du DSM afin que l’administration s’effectue uniquement avec le serveur open VPN. Pour ce faire, l’utilisation d’un pare-feu tel que Pfsense aurait été plus adapté avec des règles spécifiques vers la DMZ.

De plus, l’utilisation d’un hyperviseur de type 1 tel que Vmware ESXI aurait rajouté une meilleure flexibilité.

Pour finir, la configuration du SH2 (Raid 6 propriétaires de Synology) aurait été préférable car le disque dur défectueux peut ne plus fonctionner à tout moment et si pendant la reconstruction d’un autre disque dur ne fonctionne plus la récupération des données ne sera plus possible

Related Post

error: