Bof… A partir du moment où tu as un port ouvert (celui du https) en avoir un autre en plus ce n’est pas différent. Le protocole ne change pas l’éventuelle faille de sécurité.
Personnellement je suis plus sensible au fait que le NAS te sert à la fois à ha et à ton stockage. Si jamais la machine est compromise, alors l’accès à toutes les données est potentiellement plus facile.
Si la machine n’hebergeait que ha, seules les données ha le seraient
C’est pas faux Mais si ton réseau est compromis, tout ce qui est dessus l’est. Donc HA à part ou sur le NAS, c’est mort
Bon, je vais ouvrir le port 80
Oui le réseau local c’est un souci et un pont vers autre chose. Mais il y a une petite différence quand même : L’accès aux données locales c’est presque « facile ». L’objectif des attaques est de devenir root (ou d’avoir assez de droits pour), donc par définition root à accès à tout.
Pour y avoir accès à travers le réseau, puisque le root d’une machine n’a accès à rien « à l’exterieur », il faut profiter d’un partage pourri ou compromettre une machine de plus (avec un accès ssh ouvert par ex) …
Dans tous les cas, la situation est pénible, on est d’accord
oui, c’est le risque.
Mais le cloisonnement entre le DSM et la VM est quand même pas trop mal fait.
Je vais essaye d’attaquer mon DSM depuis la VM, on verra si j’y arrive
Bon, j’ai regardé,
Depuis le terminal de HA, on est en local sur le réseau => on peut accéder à toutes les machines en ssh , si elles répondent.
Une solution serait de se mettre en dmz . Mais quid des IoT …
Mettre HA en DMZ ???
HA n’aurait accès à plus rien. ç’est comme si tu le mettait en dehors de chez toi.
Oui, mais ssh non sécurisé ?
Si tu ne veux pas ouvrir le port 80, il y a 2 solutions payantes : Nabu Casa ou nom de domaine.
Et 1 non payante : Cloudflare Zero Trust pour se connecter à HA
Si je mets une DMZ ce serait pour séparer deux réseaux, HA + IoT d’un côté, NAS + PCs de l’autre.
Mais ce ne serait pas pratique, of course.
Je suis déjà en nom de domaine.
Je vais continuer à protéger le port 80 et me faire un réveil pour l’activer lorsque let’s encrypt m’avertit que le certificat ne sera bientôt plus valide
Dans la configuration de Let’s encrypt utilise « Challenge : dns ». Et configure en conséquence.
Tu n’auras pas besoin d’ouvrir ton port 80.
Je suis chez free.
Pour utliser le challenge dns, qu’est ce que je dois mettre ?
Free ?
Il ne fournit pas de nom de domaine.
MaFreebox.free.fr, c’est un sous domaine.
Je parle de quelque chose comme mondomaine.com.
Oui, mais tu as un sous-domaine, pas un domaine.
freeboxos.fr c’est le domaine.
xxx, c’est le sous domaine.
Les deux sont utilisables comme URL.
Par contre pour générer un certificat sans le challenge http (Qui ne nécessite pas d’avoir le port 80 ouvert) il faut pouvoir accéder à des informations exclusives du domaine. Ça implique d’être propriétaire du domaine (ou d’avoir les droits)
Ah oui, alors c’est mort Je vais conserver ma méthode en ouvrant le port 80 tous les 3 mois
Merci pour l’aide les amis
Bonjour,
depuis quelques jours je n’arrive plus à accéder à mon interface HA que ce soit depuis le navigateur internet de mon PC ou depuis l’appli de smarphone (android), ça a commencé peu après mon installation de Duckdns, j’avais enfin réussi à accéder à mon interface via la 4G mais un ou deux jours après j’ai le message « la connexion à échoué »
J’ai réussi 2 fois à me reconnecter en redémarrant l’image virtuel mais je me retrouve avec une interface limité avec un « fond rouge » dans laquelle j’ai normalement la possibilité de télécharger un journal d’erreur mais pas moyen de le télécharger, il y avait une update disponible (12.3) je l’ai lancé me disant que ça pourrait peut-être solutionner le problème mais depuis je n’ai pas réussi à me reconnecter et la je sèche.
Pour info :
HA est installé sur mon Synology DS720+
j’ai une Freebox Delta
Est-ce que tu arrives à te connecter sans passer par le https (http://@IP:8123)?
Sinon, à la console (via le bouton Connecter de VMM)?
non je n’arrive pas à me connecter que ce soit via le nom de domaine ou via l’adresse ip
j’ai utiliser le bouton Connecter et j’arrive sur une interface type avec des lignes de commandes
que puis-je taper depuis cette fenêtre pour essayer d’avoir une indication sur le problème ?
la console te permet d’accéder au coeur du système
tu peux essayer de vérifier ta conf, mettre à jour le système ou restorer un backup. tu dois aussi pouvoir te connecter en ssh sur ha et récupérer tes fichiers yaml avant de tout résintaller (si rien ne marche)
Sans voir ton système, difficile de t’aider plus