Bon aujourd’hui, astro galère sur les droits de son syno :/.
Je pensais pas avoir du mal là dessus un jour, j’ai l’impression que c’est tout bête, mais je voudrais juste:
_accéder à mes partages en lecture seule depuis le réseau (SMB)
_accéder en lecture/écriture en local, notamment via sickbeard et sabnzbd que je viens d’installer sur le NAS (un DS 416play). Depuis file station aussi accessoirement
_éventuellement créer un user dédié pour des transferts FTP.
(Le but c’est de sécuriser un peu le tout face à un éventuel ransomware qui se retrouverait je ne sais pas comment sur un de mes PC)
Bref niveau droits j’ai un user (mon user habituel), qui a les droits (lecture/écriture) en réseau. J’ai fouillé dans la config et j’ai pas trouvé de distinction entre les droits en local et via un accès SMB : est-ce normal Oo ?
Aussi je ne sais pas avec quel users sont lancés sickbeard/sabnzbd ?? C’est pas mon user ni l’admin visiblement, car ni l’un ni l’autre ne voient le contenu de mes dossiers partagés
Bref si vous avez une piste pour m’aider à configurer tout ça ou un autre moyen pour sécuriser le tout, merci
Pour que Sickbeard / sabnzbd (c’est pas bien, t’as pas appliqué mon tuto NG v2!) puissent accéder à tes volumes réseau il faut que ces derniers soient non pas lancés via un utilisateur interne à windows (service réseau de mémoire), mais par ton utilisateur.
Pour ce faire, ouvre le panneau de config services (win-R, services.msc), puis clic-droit sur sickbeard et sabnzbd, puis Propriétés
Tu vas dans l’onglet Connexion, tu coches “ce compte” et tu mets tes identifiants à toi. Tu redémarres le service, et là il verra bien tes montages réseau
Coldo a répondu à la deuxième question, et pour SMB selon moi c’est les droits de l’utilisateur défini ; il n’y a pas de gestion spécifique me semble-t-il.
Mais tu peux aller poser la question ici, où tu devrais trouver des participants pointus.
Il y a entre autres un tuto sur la sécurisation assez fouillé.
Alors en fait, idealement, il ferait un user dédié, avec un mot de passe bien fort, histoire de se premunir du fait que le ransomware tournerait avec son login. Reutiliser un login de user pour un service, c’est quand meme un peu cracra
Désolé j’ai pas été clair je crois, je réponds vite fait ce midi, je me poserai ce soir pour les détails:
Actuellement : sabnzbd et sb tournent sur mon pc. Is accèdent aux répertoires réseau qui sont montés sur un disque réseau en RW.
Ce que je voudrais : mon lecteur réseau en lecture seule, et sabnzbd et sb qui tournent sur le syno et plus sur le PC, en ayant l’accès direct/local de mes répertoires.
Pour sabnzb, l’application est lancée avec un user dédié sabnzb:users. Je n’utilise pas sickbeard, mais je suppose que c’est la même chose.
La meilleure façon de faire ce que tu veux faire, c’est effectivement de créer des utilisateurs dédiés avec le minimum de droits à chaque fois. Et de ce point de vue, j’étais tombé sur la même limitation que tu as vue: pour un utilisateur donné, tu ne peux pas donner des droits lecture/écriture par application d’accès. Un user toto qui peut écrire dans un répertoire, le peut par smb, par ftp, par nfs etc …
Là où tu peux jouer, c’est de restreindre l’accès aux différentes applications pour les users.
Ton user qui doit faire de l’upload FTP ne fait que de l’upload FTP, et n’a accès à aucune autre application que FTP. Tu peux aussi augmenter la sécurité en ayant des shares dédiés.
Au final, la seule chose qui te protège efficacement en cas d’attaque d’un cryptolocker, c’est d’avoir des backups réguliers en incrémental…
Edit: je pensais que tu avais sabnzb sur le nas, autant pour moi
Sab et Sickbeard doivent exister en packages Syno, et ils écrivent ainsi en local.
Côté partage, si tu veux de la lecture seule, tu donnes juste ce droit à ton user windows, et ça devrait être bon
Oui côté smb j’arrive à avoir un accès en lecture seule.
Sab et sb sont bien installés sur le NAS, mais pour je ne sais quelle raison ils ne voient pas mes partages (enfin ils voient bien les partages mais pas du tout le contenu).
Je vérifierai les droits pas défaut mais il me semble pas avoir bloqué quoi que ce soit au niveau local
Il me propose les chemins réels du coup. Je vois le dossier parent correspondant à mon partage, mais j’ai aucun contenu.
J’ai supposé que c’était un pb de droits, alors que ça pourrait juste être un soucis d’arborescence ?
En fait j’ai carrément mal cadré le pb dans le premier post, mes excuses
edit : bon j’ai fini par trouver, sab et sb appartiennent à deux groupes : sc-download et sc-media . il suffit de donner les droits à ces groupes et ça semble fonctionner.
Merci pour votre aide
