En effet, le service SFTP nécessite toujours un client et mon but était de pouvoir accéder à mon serveur à partir de n'importe quelle pc rapidement. File explorer peut le faire mais au niveau sécurité c'est pas top. Le cloud je suis pas trop fan.
En ce qui me concerne, je ne veux pas ouvrir le serveur à la famille/amis mais c'est juste pour moi, pouvoir accéder à certains fichiers n'importe quand, n'importe où et pouvoir les uploader de la même manière.
Mon avis est que de rentrer ses identifiants sur des machines inconnues c'est "tendre le baton pour se faire battre" (quelque soit le protocole, je n'irais jamais taper mes codes bancaires sur une machine inconnue, je me donne les mêmes contraintes pour mon réseau).
Dans le même registre, l'utilisation du FTP en local c'est pratique pour sa simplicité, mais non recommandable via Internet car tous les échanges se fonds en clair (dont les identifiants/mots de passe, ce qui rend tout dispositif de protection inutile).
Aurais tu un bon tuto pour Fail2Ban, Nginx et CalmAV pour l'installer sur freenas ?
Non je connais pas de tuto complet.
Je précise que tout ce que j'installe, je le fait dans une Jail, je ne touche pas a l'installation de FreeNAS.
L'intérêt c'est de sécuriser un service web ouvert sur Internet (Owncloud en l'occurrence sur les ports standards 80 et 443).
Pour Owncloud avec Nginx j'ai suivis ce topic
http://forums.freenas.org/index.php?threads/how-to-owncloud-using-nginx-php-fpm-and-mysql.17786/, j'ai aussi consulté la doc officielle
http://nginx.org/en/docs/ et j'ai glané quelques info- ici et là (ex:
http://www.nginxtips.com/hardening-nginx-ssl-tsl-configuration/) pour arriver a une configuration qui me semble assez robuste.
Pour fail2ban j'ai commencé par ce topic
http://forums.freenas.org/index.php?threads/install-and-setup-fail2ban-on-owncloud-portsjail.19216/ puis j'ai suivit la même demarche.
Idem pour ClamAV j'ai installé le port, et je me suis documenté et j'ai fais des essais.
Comme j'aime bien comprendre ce que fais, je passe beaucoup de temps à me documenter et à faire beaucoup d'essais jusqu'au résultat escompté.
Vu l'ampleur de la tâche, je conseillerais de se contenter du SFTP qui est simple, sécurisé et efficace, ne nécessite qu'une regle NAT sur la boxe du FAI qui par ailleurs intègre un firewall (c'est le cas chez la plupart des FAI Français, ça vaut ce que ça vaut, mais ça a le mérite d'exister).
Pour revenir à ton besoin, il est aussi possible de se constituer une cle USB avec la version portable Filezilla et son fichier xml de configuration des sites, tes clés d'authentification SSH cryptées, Pageant, Putty, ainsi que Keepass portable, cela constitue une petite trousse à outil évitant d'avoir à installer quoique ce soit sur le PC utilisé pour se connecter,.
D'ailleurs, je m'acharne à essayer de sécuriser freenas mais est ce que ce serait pas plus simple de configurer un firewall pour mon routeur netgear ? C'est possible ça ?
Le firewall est indispensable évidemment, par conséquent, pour accéder au services de Freenas il n'y a pas 36 solutions. Soit un VPN, soit des règles NAT qui par définition ouvrent une brèche.
Dans le cas d'une règle NAT, tu te retrouves avec un service ouvert sur Internet que tu te dois de securiser un minimum, car accessible par tous, contrairement au VPN qui consiste à créer un "tunnel".
Le SFTP avec authentification par clé est trés robuste et simple, il ne nécessite pour ainsi dire rien d'autre qu'une configuration adéquate (identification par clé, authentification par mot de passe désactivé, gestion/vérification du certificat...). SSH a été devellopé dans cet optique.
Pour les autres services comme un serveur web (http/https pour coller au titre du topic), il faut prendre en considération beaucoup plus d'éléments pour mitiger les risques (gérer l'ensemble du trafic, défacement de site, exécution de code malveillant, failles dans l'application...). D'où "l'usine à gaz" que j'ai brievement décrit.
Ne pas donner la posibilité aux users freenas de passer en root et mettre un vrai mot de passe bien complexe pour le compte root de freenas. Avec ça t'as déjà de quoi faire. Si cest pour du @home pas besoin de sécurité de malade. On veut savoir ce que vous faites pour l'oncle sam le reste il s'en balance.
Donner la possibilité à
un utilisateur freenas de passer en root
est ce qu'il faut faire et désactiver la permission de se connecter en SSH en tant que root.
Pourquoi? Pour la simple et bonne raison que sur tous les système UNIX ou LINUX "root" est l'administrateur, et ça, tout le monde le sait.
En procédant ainsi, il faut d'abord qu'un Hacker connaisse le nom de l'utilisateur pour pouvoir initier la connexion en SSH permettant l'accès à root, avant même de pouvoir craquer le mot de passe où la clé (que je recommande).
Ça décourage efficacement les opportunistes.
Si c'est pour du @home pas besoin de sécurité de malade. On veut savoir ce que vous faites pour l'oncle sam le reste il s'en balance.
@home on a la responsabilité de l'utilisation de sa connexion Internet, je ne souhaite donc pas que mon NAS soit un zombi et qu'à mon insu il devienne:
-une ferme à Bitcoin.
-soit utilisé par des plaisantins pour effectuer des attaques distribuées.
-serve de proxy à des inconnus pour mener des activités crapuleuses.
-...
Ce n'est que mon avis de paranoiac, pas d'offense à avoir ;)
!
