mardi 22 décembre 2009

Liens à examiner

Mes devoirs de vacance. A lire :
  • http://www.nslu2-linux.org/wiki/DS101/AngstromHowto (kernel 2.6.24 pour l'heure fourni de base avec le dernier firmware du DS 109)
  • http://www.nslu2-linux.org/wiki/Optware/PackageWishList
  • http://www.nzlinux.com/2009/05/throttle-ssh-connections-2/ (malheureusement pas d' iptables disponible avec le kernel du Synology)
  • http://perso.youm.org/index.php/aide/linux/176-erreur-ssh-pty-allocation-request-failed-on-channel-0.html (liens sur les erreurs pty - mkdir /dev/pts nécesssaire)
  • http://fredo.servehttp.com/html/Astu-02.htm#ipkg
  • http://eligere.wordpress.com/2008/04/25/fix-ssh-openpty-error-session_pty_req-session-0-alloc-failed/
  • http://forum.synology.com/enu/viewtopic.php?f=36&t=6770 (brute force SSH)
  • http://www.laurentbloch.org/spip.php?article122
  • http://www.nslu2-linux.org/wiki/Optware/Packages
  • http://www.nslu2-linux.org/wiki/DS101/AngstromHowto
  • http://www.nslu2-linux.org/wiki/Optware/AddAPackageToOptware
  • http://www.nas-forum.com/forum/index
  • http://en.gentoo-wiki.com/wiki/Synology_DS107
  • http://blog.bobpeers.com/2008/05/30/ssh-into-a-synology-disk-station-using-secure-keys/
  • http://wiki.clug.org.za/wiki/Defending_Against_Brute_Force_SSH_Attacks
  • http://www.nslu2-linux.org/wiki/HowTo/UseOpenSSHForRemoteAccess#client
  • http://senseya.free.fr/index.php?tag/fail2ban
  • http://www.sshguard.net/
  • http://blocksshd.sourceforge.net/
  • http://denyhosts.sourceforge.net/
  • http://www.fail2ban.org/wiki/index.php/Main_Page
  • http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
  • https://help.ubuntu.com/community/SSH/OpenSSH/Advanced?action=show&redirect=AdvancedOpenSSH
  • RRdtool monitoring : http://www.vinial.fr/?p=14
  • http://sourceforge.net/projects/dsgpl/files/
  • http://www.kegel.com/crosstool/
  • http://blog.keyphrene.com/keyphrene/index.php/2008/08/18/10-magnetoscope-freebox-sur-synology-ds107
  • http://forum.synology.com/enu/viewtopic.php?f=90&t=9196 (SSh DS)
  • http://www.patdef.fr/Compilation-de-la-chaine-arm-elf.html
  • http://www.gnuarm.com/support.html
  • Synology Ds109 Cross Compile package on ubuntu: : http://forum.synology.com/enu/viewtopic.php?f=143&t=16560
  • http://forum.synology.com/wiki/index.php/Overview_on_modifying_the_Synology_Server%2C_bootstrap%2C_ipkg_etc
  • http://michauko.org/blog/2008/07/11/mon-nas-est-libre-et-evolutif-ipkg/
  • http://glr81.free.fr/pages/ds101-ssh-logs.htm
  • http://glr81.free.fr/pages/ds101-ssh-logs.htm
  • Wan access to DS - Security : http://forum.synology.com/enu/viewtopic.php?f=21&t=6660
  • https://cs407.dyn-o-saur.com/doku.php/ipkg:installation_bootstrap
  • https://bugs.launchpad.net/ubuntu/+source/gvfs/+bug/207072
  • wake-up : http://forum.synology.com/enu/viewtopic.php?f=83&t=9419
  • http://forum.synology.com/enu/viewtopic.php?t=5475
  • http://www.asteriosk.gr/blog/2009/02/20/pty-allocation-request-failed-on-channel-0/
  • http://forum.synology.com/wiki/index.php/Overview_on_modifying_the_Synology_Server%2C_bootstrap%2C_ipkg_etc
  • http://forum.synology.com/enu/viewtopic.php?f=106&t=19254
  • http://linuxhelp.blogspot.com/2009/12/how-to-build-open-source-freenas-server.html
Faire un article sur :
  • Mailstation (postfix +dovecot) http://www.synology.com/enu/support/releaseNote/MailStation.php
  • Blogging Letype : http://lifetype.net/

Publié par à Aucun commentaire:

lundi 21 décembre 2009

Administration via Internet

Attention danger!

Par défaut les accès SSH ne sont pas loggués!
Si bien qu'avec un compte standard configuré avec un mot de passe trivial, votre DS 109 sera potentiellement aux mains de personnes mal intentionnées expertes en attaque de type brute force .

Il est nécessaire de reconfigurer sshd et syslogd pour pouvoir garder des traces des accès SSH

(lien/détails à fournir)

Exemple d'accès détectés :

Dec 21 21:16:15 sshd[30747]: reverse mapping checking getaddrinfo for 82-200-130-235.telecom.kz [82.200.130.235] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 21 21:16:15 sshd[30747]: Failed password for root from 82.200.130.235 port 42804 ssh2
Dec 21 21:16:21 sshd[30753]: reverse mapping checking getaddrinfo for 82-200-130-235.telecom.kz [82.200.130.235] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 21 21:16:21 sshd[30753]: Failed password for root from 82.200.130.235 port 43836 ssh2
...
Dec 21 21:31:09 sshd[30990]: Invalid user webmaster from 87.88.196.199
Dec 21 21:31:09 sshd[30990]: Failed password for invalid user webmaster from 87.88.196.199 port 44086 ssh2
Dec 21 21:31:14 sshd[30996]: Failed password for root from 87.88.196.199 port 44373 ssh2
Dec 21 21:31:20 sshd[31002]: User ftp not allowed because shell /sbin/nologin does not exist
Dec 21 21:31:20 sshd[31002]: Failed password for invalid user ftp from 87.88.196.199 port 44610 ssh2
Dec 21 21:31:27 sshd[31008]: Invalid user sales from 87.88.196.199
Dec 21 21:31:27 sshd[31008]: Failed password for invalid user sales from 87.88.196.199 port 44871 ssh2
Dec 21 21:31:33 sshd[31014]: Failed password for admin from 87.88.196.199 port 45188 ssh2
Dec 21 21:31:40 sshd[31020]: Invalid user andrea from 87.88.196.199
Dec 21 21:31:41 sshd[31020]: Failed password for invalid user andrea from 87.88.196.199 port 45508 ssh2
Dec 21 21:31:47 sshd[31026]: Invalid user backup from 87.88.196.199
Dec 21 21:31:47 sshd[31026]: Failed password for invalid user backup from 87.88.196.199 port 45857 ssh2
ec 22 20:12:23 sshd[1012]: reverse mapping checking getaddrinfo for ocefdb.ocef.uni.edu.pe [190.81.186.6] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 22 20:12:23 sshd[1012]: Failed password for root from 190.81.186.6 port 35660 ssh2
Dec 22 20:12:27 sshd[1018]: reverse mapping checking getaddrinfo for ocefdb.ocef.uni.edu.pe [190.81.186.6] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 22 20:12:27 sshd[1018]: Failed password for root from 190.81.186.6 port 36648 ssh2
Dec 22 20:12:35 sshd[1024]: reverse mapping checking getaddrinfo for ocefdb.ocef.uni.edu.pe [190.81.186.6] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 22 20:12:35 sshd[1024]: Failed password for root from 190.81.186.6 port 37605 ssh2
Dec 22 20:12:39 sshd[1030]: reverse mapping checking getaddrinfo for ocefdb.ocef.uni.edu.pe [190.81.186.6] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 22 20:12:39 sshd[1030]: Failed password for root from 190.81.186.6 port 39495 ssh2
Dec 22 20:12:43 sshd[1036]: reverse mapping checking getaddrinfo for ocefdb.ocef.uni.edu.pe [190.81.186.6] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 22 20:12:43 sshd[1036]: Failed password for root from 190.81.186.6 port 40437 ssh2



Modifications nécessaires pour avoir des logs des accès SSH :
  • commenter ( par # ) la ligne info dans etc/syslog.deny
  • activer dans /etc/ssh/sshd_config
SyslogFacility AUTH
LogLevel INFO
  • Ajouter l'option -m 0 comme argument à syslogd dans /etc/rc :
syslogd_flags="-S -m 0"

Modifications nécessaires pour utiliser des clés (RSA,DSA) pour les accès SSH
  • Activer dans /etc/ssh/sshd_config :

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys


Quelques problèmes remarqués avec les accès SSH :
  • Bien souvent (multiples connections SSH) , des problèmes pty empêchent les accès
Dec 21 22:13:44 sshd[31066]: error: openpty: No such file or directory
Dec 21 22:13:44 sshd[31066]: error: session_pty_req: session 0 alloc failed
Dec 21 22:14:25 sshd[31076]: error: openpty: No such file or directory
Dec 21 22:14:25 sshd[31076]: error: session_pty_req: session 0 alloc failed

Certains liens suggèrent de procéder comme suit pour résoudre le problème :
  • ajout dans /etc/fstab de : /dev/sda3 /volume1 ext3 defaults 0 0
Celà ne suffit ..
En fait, il y a 3 connections simultanées au maximum pour augmenter ce nombre :
Problème de log ssh : lastlog_openseek :

Dec 22 00:56:41 sshd[31359]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory Dec 22 00:56:41 sshd[31359]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory

Il faut faire un touch /var/log/lastlog
Publié par à Aucun commentaire:

Accès via SSH et installation de logiciels additionnels

Synology propose des logiciels additions : Mailstation, Webstation mais de nombreux packages sont disponibles via un projet ( Optware ) pour systèmes embarqués au format ipkg

Le DS 109 inclut un procésseur ARM bien connu :

DiskStation> cat /proc/cpuinfo
Processor : ARM926EJ-S rev 1 (v5l)
BogoMIPS : 1192.75
Features : swp half thumb fastmult edsp
CPU implementer : 0x56
CPU architecture: 5TE
CPU variant : 0x2
CPU part : 0x131
CPU revision : 1
Cache type : write-back
Cache clean : cp15 c7 ops
Cache lockdown : format C
Cache format : Harvard
I size : 16384
I assoc : 4
I line length : 32
I sets : 128
D size : 16384
D assoc : 4
D line length : 32
D sets : 128

Hardware : Feroceon-KW
Revision : 0000
Serial : 0000000000000000

il suffit de lancer les commandes suivantes pour pouvoir utiliser les packages ipkg

cd /root wget http://ipkg.nslu2-linux.org/feeds/optware/cs08q1armel/cross/unstable/syno-mvkw-bootstrap_1.2-7_arm.xsh
ipkg update
Pour l'heure j'ai installé peu de logiciels tiers :

DiskStation> ipkg list_installed
atop - 1.21-1 - A better top with history monitoring
less - 436-1 - Less file browser
libpcap - 1.0.0-2 - PCAP Library
lsof - 4.82-1 - LiSt Open Files - a diagnostic tool.
ncurses - 5.7-1 - NCurses libraries
ncursesw - 5.7-1 - NCurses libraries with wide char support.
netcat - 1.10pl32-5 - TCP/IP swiss army knife.
tcpdump - 4.0.0-1 - tcpdump dumps the traffic on a network
wget - 1.12-2 - A network utility to retrieve files from the Web
zlib - 1.2.3-3 - zlib is a library implementing the 'deflate' compression system.
Successfully terminated.

Plus d'explications sur le bootstrap et ikpkg :

Publié par à Aucun commentaire:

Déballage et installation

Après avoir ouvert ce cadeau de Noël reçu à l'avance, il est temps d'installer le disque dur : cela se révèle être très simple - avec un tournevis bien entendu pour bien "arrimer" le disque dur 1,5Gb commandé.

Grosse déception pour l'installation : un assistant pour Linux existe mais s'avère complètement inopérant : impossible de voir le Ds 109 à partir de cette application écrite en QT. Quel dommage : Synology veuillez penser davantage aux utilisateurs 100% Linux !

Je décide donc de faire l'installation à partir de mon Mac-mini sous Macos X...
L'assistant sous Macos X fonctionne bien. Je décide de formater mon disque dur au format EXT3 et non FAT32 comme conseillé pour de meilleures performances.

Une fois le disque formaté, on accède au Synology via l'interface web (HTTP sur le port 5000 mais on peut plus tard activer une interface sécurisée HTTPS) dans mon cas :


Publié par à Aucun commentaire:

dimanche 20 décembre 2009

Au commencement ...


J'ai acheté il y a peu un Synology DS 109 : un disque réseau multimédia (1 emplacement/1 baie) compatible Linux/MacOS X/Windows, multi-protocoles (SSH,FTP,Netbios,AppleTalk, ...) recommandé notamment par SVM :




Ce Blog parlera de cette expérience. Je vais utiliser ce produit pour sauvegarder mes données, mais aussi utiliser les fonctionnées mél, web .. et voir comment bien utiliser le système Linux qui en est le coeur.
Publié par à Aucun commentaire:
Inscription à : Commentaires (Atom)