Utenti integrati e consigli di Sicurezza

Status
Not open for further replies.

Frederic996

Dabbler
Joined
Oct 13, 2017
Messages
32
Ciao a tutti,
sapreste dirmi cosa sono tutti gli utenti integrati che vedo sul mio sistema freenas? sono tutti necessari? vorrei capire se disattivarli potrebbe comportare un malfunzionamento del sistema.
Vorrei rendere visibile il mio nas anche da rete wan, ma prima di fare ciò, vorrei quanto meno mettere in sicurezza il mio nas, sinceramente vedendo tutte quelle utenze non mi sento molto sicuro!

Ne approfitto inoltre per chidervi, che sistemi di sicurezza adottereste su un nas che andrà sul www ??

Grazie a tutti per il costante supporto.

Un caro saluto
 

Attachments

  • user_freenas.JPG
    user_freenas.JPG
    179.7 KB · Views: 395

Zofoor

Patron
Joined
Aug 16, 2016
Messages
219
Sono gli utenti gestiti dai vari servizi di freenas. Sono quindi necessari.

In ogni caso, riguardo al mettere il NAS su rete WAN, direi che ci deve essere davanti un firewall che faccia passare solo le porte 80/443 (immagino che vorrai ospitare qualche sito) oltre a limitazioni varie tipo rate limit di chiamate consentite. Cloudflare o simili che gestisca i record DNS e faccia da reverse proxy, e se possibile blocco GeoIP degli accessi dai paesi a cui non si è interessati ad esser raggiungibili.

Poi bisogna vedere l'esigenza specifica, perchè personalmente molto difficilmente farei gestire a FreeNAS un server web, molto piu' probabile che lo faccia installando una macchina virtuale configurata a doc che eventualmente utilizzi Freenas solo come base di storage. Comunque, bisogna sapere bene quello che si sta facendo, molte volte ho visto siti internet "casalinghi" diventare le porte d'accesso per l'invio di spam a mezzo mondo. E questo vuol dire non solo tener conto di limitare l'accesso al server, ma anche che il sito web ospitante sia fatto in maniera ottimale cosi' da non permettere l'esecuzione di codice da remoto.

In questo senso un secondo reverse proxy interno che gestisca le richieste e applichi dei filtri standard per gli attacchi piu' diffusi (sql injection ad esempio) sarebbe quasi obbligatorio. Questo permette anche di limite i rischi nell'esporre il web server ad internet dovuti a problemi di sicurezza del software che gestisce il server web (Apache, nginx, IIS, ecc).
 

Frederic996

Dabbler
Joined
Oct 13, 2017
Messages
32
Sono gli utenti gestiti dai vari servizi di freenas. Sono quindi necessari.

In ogni caso, riguardo al mettere il NAS su rete WAN, direi che ci deve essere davanti un firewall che faccia passare solo le porte 80/443 (immagino che vorrai ospitare qualche sito) oltre a limitazioni varie tipo rate limit di chiamate consentite. Cloudflare o simili che gestisca i record DNS e faccia da reverse proxy, e se possibile blocco GeoIP degli accessi dai paesi a cui non si è interessati ad esser raggiungibili.

Poi bisogna vedere l'esigenza specifica, perchè personalmente molto difficilmente farei gestire a FreeNAS un server web, molto piu' probabile che lo faccia installando una macchina virtuale configurata a doc che eventualmente utilizzi Freenas solo come base di storage. Comunque, bisogna sapere bene quello che si sta facendo, molte volte ho visto siti internet "casalinghi" diventare le porte d'accesso per l'invio di spam a mezzo mondo. E questo vuol dire non solo tener conto di limitare l'accesso al server, ma anche che il sito web ospitante sia fatto in maniera ottimale cosi' da non permettere l'esecuzione di codice da remoto.

In questo senso un secondo reverse proxy interno che gestisca le richieste e applichi dei filtri standard per gli attacchi piu' diffusi (sql injection ad esempio) sarebbe quasi obbligatorio. Questo permette anche di limite i rischi nell'esporre il web server ad internet dovuti a problemi di sicurezza del software che gestisce il server web (Apache, nginx, IIS, ecc).

Grazie tante per la tua precisione e cortesia, per quanto riguarda firewall non ho problemi, ho un router cisco ed un firewall juniper, che cercherò di configurare a dovere, abiliterò inoltre le canoniche acl sul router, così da filtrare il traffico soltanto verso determinate net o ip puntuali (quali ip della mia azienda) predisporrò dunque le interfacce di management filtrate da ACL, il firewall riesce già ad effettuare geo IP Block e tanta altra roba.. desideravo sapere invece cosa è necessario per migliorare la sicurezza su freenas, in quanto su base linux (non sono molto ferrato) desideravo sapere se potrebbero esserci falle di sicurezza o "utenze e/o servizi privilegiati" che potrebbero in qualche modo mettere a rischio il nas sul web.

Altra domanda poco inerente con il titolo... ho creato un utente specifico con annesso gruppo chiamato per l'appunto "special" che possa accedere al path in (SMB) del volume "mnt/DISK_TEST8G/jails/owncloud_1/media/Pippo-iOS/files" ma purtroppo non riesco ad accedervi, potresti darmi qualche dritta?? riesco tranquillamente a visualizzare e gestire tutti i permessi delle altre cartelle da me create, ma avrei necessità di creare questo path smb così da ritrovarmi in LAN la cartella direttamente di jail/owncloud... sopra indicata.
In precedenza ho anche provato a creare il dataset sul jails primario "DISK_TEST8G", così ho pensato di creare un nuovo dataset sul sottoinsieme jails, ma non riesco ad accedervi ugualmente.
Sapresti dirmi se fattibile e cosa cosa sto sbagliando?

Versione FreeNAS-11.0-U4 (54848d13b)


Grazie Infinite!
 

Attachments

  • Cattura.JPG
    Cattura.JPG
    30 KB · Views: 398
  • Cattura1.JPG
    Cattura1.JPG
    55.9 KB · Views: 355
  • Immagine.png
    Immagine.png
    29.5 KB · Views: 384

Zofoor

Patron
Joined
Aug 16, 2016
Messages
219
Bene, mi fa piacere la preparazione a riguardo.

Passando al secondo problema occorre guardare Nextcloud con quale utente e gruppo crea i files.
Penso che la soluzione piu' comoda sia quella di creare un gruppo nella jail di owncloud di nome special e con lo stresso ID usato in FreeNAS. Dopodichè modificare i permessi dei files esistenti in modo che il gruppo associato sia appunto special, ed infine modificare le impostazioni del web server in modo che crei i files con il gruppo appena creato.
Vi sono comunque molte alternative a questa via (tutte con lo stesso principio di logica, devono condividere o gruppo o utente), trovi una guida qui: https://forums.freenas.org/index.ph...plugins-write-permissions-to-your-data.27273/
 

Frederic996

Dabbler
Joined
Oct 13, 2017
Messages
32
Bene, mi fa piacere la preparazione a riguardo.

Passando al secondo problema occorre guardare Nextcloud con quale utente e gruppo crea i files.
Penso che la soluzione piu' comoda sia quella di creare un gruppo nella jail di owncloud di nome special e con lo stresso ID usato in FreeNAS. Dopodichè modificare i permessi dei files esistenti in modo che il gruppo associato sia appunto special, ed infine modificare le impostazioni del web server in modo che crei i files con il gruppo appena creato.
Vi sono comunque molte alternative a questa via (tutte con lo stesso principio di logica, devono condividere o gruppo o utente), trovi una guida qui: https://forums.freenas.org/index.ph...plugins-write-permissions-to-your-data.27273/

Ti ringrazio per i tuoi preziosi consigli, alla fine ho risolto modificando i permessi direttamente da shell, ho utilizzato un chgrp per associare il gruppo desiderato e successivamente modificato i permessi utente con un chmod 777.

Un saluto a tutti
 
Status
Not open for further replies.
Top