Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Gilles Pion
Ref: de pehache
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier).
Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN. Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le routeur: https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme les FreeBox) -- Gilles
Ref: <g7k9jhFq95U1@mid.individual.net> de pehache
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN.
Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le
routeur:
https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup
Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme
les FreeBox)
--
Gilles
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier).
Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN. Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le routeur: https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme les FreeBox) -- Gilles
pehache
Le 16/12/2018 à 16:10, Gilles Pion a écrit :
Ref: de pehache
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier).
Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN. Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le routeur: https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme les FreeBox)
La box n'a pas de VPN, et le Syno est un petit modèle : s'il doit gérer un VPN ça risque de le surcharger. A la limite si ce n'était que pour moi je le ferais peut-être, mais là il y d'autres utilisateurs (famille) et s'ils passent par le VPN pour tout ce qu'ils font (je les vois mal penser à couper le VPN quand ils n'utilisent pas le montage SMB) ça ne va pas le faire... Si c'était possible d'utiliser directement SMB ça m'arrangerait. -- "...sois ouvert aux idées des autres pour peu qu'elles aillent dans le même sens que les tiennes.", ST sur fr.bio.medecine
Le 16/12/2018 à 16:10, Gilles Pion a écrit :
Ref: <g7k9jhFq95U1@mid.individual.net> de pehache
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN.
Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le
routeur:
https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup
Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme
les FreeBox)
La box n'a pas de VPN, et le Syno est un petit modèle : s'il doit gérer
un VPN ça risque de le surcharger. A la limite si ce n'était que pour
moi je le ferais peut-être, mais là il y d'autres utilisateurs (famille)
et s'ils passent par le VPN pour tout ce qu'ils font (je les vois mal
penser à couper le VPN quand ils n'utilisent pas le montage SMB) ça ne
va pas le faire...
Si c'était possible d'utiliser directement SMB ça m'arrangerait.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier).
Il y a toujours la possibilité de faire ça en passant dans un tunnel VPN. Paquet VPN serveur serveur du NAS, sous réserve d'ouvrir les ports requis sur le routeur: https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup Ou bien celui de la box si celle-ci dispose de son propre module serveur (comme les FreeBox)
La box n'a pas de VPN, et le Syno est un petit modèle : s'il doit gérer un VPN ça risque de le surcharger. A la limite si ce n'était que pour moi je le ferais peut-être, mais là il y d'autres utilisateurs (famille) et s'ils passent par le VPN pour tout ce qu'ils font (je les vois mal penser à couper le VPN quand ils n'utilisent pas le montage SMB) ça ne va pas le faire... Si c'était possible d'utiliser directement SMB ça m'arrangerait. -- "...sois ouvert aux idées des autres pour peu qu'elles aillent dans le même sens que les tiennes.", ST sur fr.bio.medecine
pehache
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour, Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier). L'authentification est-elle chiffrée/chiffrable ? Le transport est-il chiffré/chiffrable ? Samba lui-même est-il suffisamment fiable ? Si j'ouvrais le routeur pour SMB ce serait sur un port non standard, histoire d'éviter les scans systématiques. Voilà les options que présente l'interface du Syno : http://prntscr.com/lva7aq J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs. Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une option valide, ça m'éviterait d'avoir à installer des clients sshfs sur les ordis des utilisateurs. -- "...sois ouvert aux idées des autres pour peu qu'elles aillent dans le même sens que les tiennes.", ST sur fr.bio.medecine
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs,
donc en pratique je peux passer par sshfs.
Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une
option valide, ça m'éviterait d'avoir à installer des clients sshfs sur
les ordis des utilisateurs.
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Bonjour, Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier). L'authentification est-elle chiffrée/chiffrable ? Le transport est-il chiffré/chiffrable ? Samba lui-même est-il suffisamment fiable ? Si j'ouvrais le routeur pour SMB ce serait sur un port non standard, histoire d'éviter les scans systématiques. Voilà les options que présente l'interface du Syno : http://prntscr.com/lva7aq J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs. Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une option valide, ça m'éviterait d'avoir à installer des clients sshfs sur les ordis des utilisateurs. -- "...sois ouvert aux idées des autres pour peu qu'elles aillent dans le même sens que les tiennes.", ST sur fr.bio.medecine
Alain
On 18/12/2018 00:11, pehache wrote:
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs. Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une option valide, ça m'éviterait d'avoir à installer des clients sshfs sur les ordis des utilisateurs.
Bonsoir, SSH présente une certaine sécurité seulement si avec des biclés. Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais je ne sais pas si c'est possible sur une config de ce genre. Côté clients, winscp va bien et est utilisable par des touristes si configuré pour eux (clés et association des programmes pour lire les divers types de fichiers). Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais pas. a+
On 18/12/2018 00:11, pehache wrote:
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs,
donc en pratique je peux passer par sshfs.
Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une
option valide, ça m'éviterait d'avoir à installer des clients sshfs sur
les ordis des utilisateurs.
Bonsoir,
SSH présente une certaine sécurité seulement si avec des biclés.
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais
je ne sais pas si c'est possible sur une config de ce genre.
Côté clients, winscp va bien et est utilisable par des touristes si
configuré pour eux (clés et association des programmes pour lire les
divers types de fichiers).
Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais
pas.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs. Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une option valide, ça m'éviterait d'avoir à installer des clients sshfs sur les ordis des utilisateurs.
Bonsoir, SSH présente une certaine sécurité seulement si avec des biclés. Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais je ne sais pas si c'est possible sur une config de ce genre. Côté clients, winscp va bien et est utilisable par des touristes si configuré pour eux (clés et association des programmes pour lire les divers types de fichiers). Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais pas. a+
pehache
Le 18/12/2018 à 01:36, Alain a écrit :
On 18/12/2018 00:11, pehache wrote:
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs. Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une option valide, ça m'éviterait d'avoir à installer des clients sshfs sur les ordis des utilisateurs.
Bonsoir, SSH présente une certaine sécurité seulement si avec des biclés.
biclés ? Clef publique/privée ?
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais je ne sais pas si c'est possible sur une config de ce genre.
Oui on peut. Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on peut mettre des règles de blocage d'IP genre après 10 tentatives infructueuses. Et déplacer le port 22 vers un port non standard pour réduire les scans.
Côté clients, winscp va bien et est utilisable par des touristes si configuré pour eux (clés et association des programmes pour lire les divers types de fichiers). Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais pas.
A voir, OK. Sinon sur Mac c'est OSXFUSE+sshfs -- "...sois ouvert aux idées des autres pour peu qu'elles aillent dans le même sens que les tiennes.", ST sur fr.bio.medecine
Le 18/12/2018 à 01:36, Alain a écrit :
On 18/12/2018 00:11, pehache wrote:
Bon, j'ai trouvé comment activer l'accès ssh pour tous les
utilisateurs, donc en pratique je peux passer par sshfs.
Ca m'intéresserait quand même de savoir si l'utilisation de SMB est
une option valide, ça m'éviterait d'avoir à installer des clients
sshfs sur les ordis des utilisateurs.
Bonsoir,
SSH présente une certaine sécurité seulement si avec des biclés.
biclés ? Clef publique/privée ?
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais
je ne sais pas si c'est possible sur une config de ce genre.
Oui on peut.
Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on
peut mettre des règles de blocage d'IP genre après 10 tentatives
infructueuses. Et déplacer le port 22 vers un port non standard pour
réduire les scans.
Côté clients, winscp va bien et est utilisable par des touristes si
configuré pour eux (clés et association des programmes pour lire les
divers types de fichiers).
Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais
pas.
A voir, OK. Sinon sur Mac c'est OSXFUSE+sshfs
--
"...sois ouvert aux idées des autres pour peu qu'elles aillent dans le
même sens que les tiennes.", ST sur fr.bio.medecine
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs. Ca m'intéresserait quand même de savoir si l'utilisation de SMB est une option valide, ça m'éviterait d'avoir à installer des clients sshfs sur les ordis des utilisateurs.
Bonsoir, SSH présente une certaine sécurité seulement si avec des biclés.
biclés ? Clef publique/privée ?
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais je ne sais pas si c'est possible sur une config de ce genre.
Oui on peut. Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on peut mettre des règles de blocage d'IP genre après 10 tentatives infructueuses. Et déplacer le port 22 vers un port non standard pour réduire les scans.
Côté clients, winscp va bien et est utilisable par des touristes si configuré pour eux (clés et association des programmes pour lire les divers types de fichiers). Mais n'existe pas sur Mac. Y'a un équivalent cyberduck que je ne connais pas.
A voir, OK. Sinon sur Mac c'est OSXFUSE+sshfs -- "...sois ouvert aux idées des autres pour peu qu'elles aillent dans le même sens que les tiennes.", ST sur fr.bio.medecine
Alain
On 18/12/2018 09:20, pehache wrote:
biclés ? Clef publique/privée ?
oui, générées par le programme sur le client (ex puttygen pour winscp) ou à défaut en ligne de commande ssh-keygen.
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais je ne sais pas si c'est possible sur une config de ce genre.
Oui on peut. Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on peut mettre des règles de blocage d'IP genre après 10 tentatives infructueuses. Et déplacer le port 22 vers un port non standard pour réduire les scans.
Re, Oui, sur un serveur unix exposé sur Internet, on filtre ce qui entre avec netfilter/iptables + fail2ban qui modifie les règles netfilter d'après les logs d'authenfification. On peut faire la même chose en smb/samba, mais on perd l'avantage du bi-clés. Sinology est je crois en unix BSD donc voisin du Mac ; on y accède par SSH mais j'ignore ce qu'on peut faire ; peut-être en tous cas regarder ce qu'il y a dedans. Pour la sécurité, je ne connais que l'option "maximum", que les nuisibles parviennent tôt ou tard à contourner. Vu la fréquence des scans, on s'y fait prendre facilement ; suffit d'installer un serveur avec une distribution où sshd est activé par défaut, en oubliant de le mettre dans un réseau non-dmz et bien protégé. a+ a+
On 18/12/2018 09:20, pehache wrote:
biclés ? Clef publique/privée ?
oui, générées par le programme sur le client (ex puttygen pour winscp)
ou à défaut en ligne de commande ssh-keygen.
Et une certaine surveillance (filtrage et logs) n'est pas inutile,
mais je ne sais pas si c'est possible sur une config de ce genre.
Oui on peut.
Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on
peut mettre des règles de blocage d'IP genre après 10 tentatives
infructueuses. Et déplacer le port 22 vers un port non standard pour
réduire les scans.
Re,
Oui, sur un serveur unix exposé sur Internet, on filtre ce qui entre
avec netfilter/iptables + fail2ban qui modifie les règles netfilter
d'après les logs d'authenfification.
On peut faire la même chose en smb/samba, mais on perd l'avantage du
bi-clés.
Sinology est je crois en unix BSD donc voisin du Mac ; on y accède par
SSH mais j'ignore ce qu'on peut faire ; peut-être en tous cas regarder
ce qu'il y a dedans.
Pour la sécurité, je ne connais que l'option "maximum", que les
nuisibles parviennent tôt ou tard à contourner.
Vu la fréquence des scans, on s'y fait prendre facilement ; suffit
d'installer un serveur avec une distribution où sshd est activé par
défaut, en oubliant de le mettre dans un réseau non-dmz et bien protégé.
oui, générées par le programme sur le client (ex puttygen pour winscp) ou à défaut en ligne de commande ssh-keygen.
Et une certaine surveillance (filtrage et logs) n'est pas inutile, mais je ne sais pas si c'est possible sur une config de ce genre.
Oui on peut. Après, avec un mot de passe fort ça le fait aussi, non ? D'autant qu'on peut mettre des règles de blocage d'IP genre après 10 tentatives infructueuses. Et déplacer le port 22 vers un port non standard pour réduire les scans.
Re, Oui, sur un serveur unix exposé sur Internet, on filtre ce qui entre avec netfilter/iptables + fail2ban qui modifie les règles netfilter d'après les logs d'authenfification. On peut faire la même chose en smb/samba, mais on perd l'avantage du bi-clés. Sinology est je crois en unix BSD donc voisin du Mac ; on y accède par SSH mais j'ignore ce qu'on peut faire ; peut-être en tous cas regarder ce qu'il y a dedans. Pour la sécurité, je ne connais que l'option "maximum", que les nuisibles parviennent tôt ou tard à contourner. Vu la fréquence des scans, on s'y fait prendre facilement ; suffit d'installer un serveur avec une distribution où sshd est activé par défaut, en oubliant de le mettre dans un réseau non-dmz et bien protégé. a+ a+
pehache
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour, Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier). L'authentification est-elle chiffrée/chiffrable ? Le transport est-il chiffré/chiffrable ? Samba lui-même est-il suffisamment fiable ? Si j'ouvrais le routeur pour SMB ce serait sur un port non standard, histoire d'éviter les scans systématiques. Voilà les options que présente l'interface du Syno : http://prntscr.com/lva7aq J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
je suis tombé sur cette discussion reddit (en anglais), qui donne plein d'arguments tout à fait censés contre l'utilisation de SMB, même en v3, sur internet : https://www.reddit.com/r/sysadmin/comments/6wvvcm/experts_help_us_understand_smb3x_inflight/ L'argument le plus évident étant que SMB -quelle que soit la version- n'a jamais été pensé pour cet usage par Microsoft. Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son cloud Azure : https://docs.microsoft.com/fr-fr/azure/storage/files/storage-how-to-use-files-windows Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se permettre d'être négligents avec la sécurité, et ils ont apparemment suffisamment confiance en SMB3 pour le faire utiliser à leurs client au travers d'internet... Après, je suppose que tout est question de configuration côté serveur, c'est là qu'il faut être très rigoureux.
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
je suis tombé sur cette discussion reddit (en anglais), qui donne plein
d'arguments tout à fait censés contre l'utilisation de SMB, même en v3,
sur internet :
https://www.reddit.com/r/sysadmin/comments/6wvvcm/experts_help_us_understand_smb3x_inflight/
L'argument le plus évident étant que SMB -quelle que soit la version- n'a
jamais été pensé pour cet usage par Microsoft.
Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son
cloud Azure :
https://docs.microsoft.com/fr-fr/azure/storage/files/storage-how-to-use-files-windows
Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se
permettre d'être négligents avec la sécurité, et ils ont apparemment
suffisamment confiance en SMB3 pour le faire utiliser à leurs client au
travers d'internet... Après, je suppose que tout est question de
configuration côté serveur, c'est là qu'il faut être très rigoureux.
Bonjour, Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier). L'authentification est-elle chiffrée/chiffrable ? Le transport est-il chiffré/chiffrable ? Samba lui-même est-il suffisamment fiable ? Si j'ouvrais le routeur pour SMB ce serait sur un port non standard, histoire d'éviter les scans systématiques. Voilà les options que présente l'interface du Syno : http://prntscr.com/lva7aq J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
je suis tombé sur cette discussion reddit (en anglais), qui donne plein d'arguments tout à fait censés contre l'utilisation de SMB, même en v3, sur internet : https://www.reddit.com/r/sysadmin/comments/6wvvcm/experts_help_us_understand_smb3x_inflight/ L'argument le plus évident étant que SMB -quelle que soit la version- n'a jamais été pensé pour cet usage par Microsoft. Sauf que... MS utilise bien SMB3 pour les partages de fichiers sur son cloud Azure : https://docs.microsoft.com/fr-fr/azure/storage/files/storage-how-to-use-files-windows Azure étant ultra-important dans leur stratégie, ils ne peuvent pas se permettre d'être négligents avec la sécurité, et ils ont apparemment suffisamment confiance en SMB3 pour le faire utiliser à leurs client au travers d'internet... Après, je suppose que tout est question de configuration côté serveur, c'est là qu'il faut être très rigoureux.
Nicolas George
Alain , dans le message , a écrit :
SSH présente une certaine sécurité seulement si avec des biclés.
Faux. SSH présente une certaine sécurité y compris s'il est utilisé avec un mot de passe.
Alain , dans le message <1d8e806a-5eb0-52c4-49b1-0ec7a2b8d857@free.fr>,
a écrit :
SSH présente une certaine sécurité seulement si avec des biclés.
Faux. SSH présente une certaine sécurité y compris s'il est utilisé avec
un mot de passe.
SSH présente une certaine sécurité seulement si avec des biclés.
Faux. SSH présente une certaine sécurité y compris s'il est utilisé avec un mot de passe.
pehache
Le 18/12/2018 à 00:11, pehache a écrit :
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour, Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier). L'authentification est-elle chiffrée/chiffrable ? Le transport est-il chiffré/chiffrable ? Samba lui-même est-il suffisamment fiable ? Si j'ouvrais le routeur pour SMB ce serait sur un port non standard, histoire d'éviter les scans systématiques. Voilà les options que présente l'interface du Syno : http://prntscr.com/lva7aq J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs.
C'était un faux problème : la restriction aux admin ne concerne en fait que l'accès au shell par ssh. sftp est par contre ouvert à tous les utilisateurs, ce qui suffit pour sshfs.
Le 18/12/2018 à 00:11, pehache a écrit :
Le 15/12/2018 à 13:15, pehache a écrit :
Bonjour,
Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet
? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a
évolué...
En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison.
Je suppose qu'il s'agit de Samba (à verifier).
L'authentification est-elle chiffrée/chiffrable ?
Le transport est-il chiffré/chiffrable ?
Samba lui-même est-il suffisamment fiable ?
Si j'ouvrais le routeur pour SMB ce serait sur un port non standard,
histoire d'éviter les scans systématiques.
Voilà les options que présente l'interface du Syno :
http://prntscr.com/lva7aq
J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace.
Notamment j'ai l'impression que quand on veut accéder à un fichier il
est entièrement téléchargé en local avant d'être ouvert (je me trompe
?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès
ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs,
donc en pratique je peux passer par sshfs.
C'était un faux problème : la restriction aux admin ne concerne en fait
que l'accès au shell par ssh. sftp est par contre ouvert à tous les
utilisateurs, ce qui suffit pour sshfs.
Bonjour, Est-il raisonnable d'utiliser un disque réseau SMB au travers d'internet ? Il y a 15 ans je crois ça ne l'était pas du tout, mais le protocole a évolué... En pratique le serveur SMB est sur un NAS Synology que j'ai à la maison. Je suppose qu'il s'agit de Samba (à verifier). L'authentification est-elle chiffrée/chiffrable ? Le transport est-il chiffré/chiffrable ? Samba lui-même est-il suffisamment fiable ? Si j'ouvrais le routeur pour SMB ce serait sur un port non standard, histoire d'éviter les scans systématiques. Voilà les options que présente l'interface du Syno : http://prntscr.com/lva7aq J'ai envisagé aussi webdav, mais je le trouve vraiment peu efficace. Notamment j'ai l'impression que quand on veut accéder à un fichier il est entièrement téléchargé en local avant d'être ouvert (je me trompe ?). Il y a aussi la solution sshfs, mais le Syno n'autorise les accès ssh que pour les administrateurs de la machine, ce qui est un peu gênant.
Bon, j'ai trouvé comment activer l'accès ssh pour tous les utilisateurs, donc en pratique je peux passer par sshfs.
C'était un faux problème : la restriction aux admin ne concerne en fait que l'accès au shell par ssh. sftp est par contre ouvert à tous les utilisateurs, ce qui suffit pour sshfs.
