DSM 5.0 de Synology : mise à jour de sécurité et meilleure stabilité du RAID 5

DSM 5.0 de Synology : mise à jour de sécurité et meilleure stabilité du RAID 5

Un blocage d'IP par pays en prime

37

DSM 5.0 de Synology : mise à jour de sécurité et meilleure stabilité du RAID 5

Synology vient de mettre en ligne une mise à jour de son Disk Station Manager (DSM) 5.0. Estampillé 5.0 - 4493 elle améliore la stabilité d'une grappe de disques montés en RAID 5 via le DSM 4.1 et corrige une faille de sécurité du noyau Linux. Peu avant, Synology ajoutait un filtre dans le firewall afin de permettre un blocage d'IP par pays de provenance.

DSM 5.0

 

Au cours des dernières semaines, Synology a déployé plusieurs mises à jour afin de corriger des failles de sécurité plus ou moins importantes. Il y a notamment eu Heartbleed, mais pas uniquement puisque nous avions aussi évoqué le cas du serveur VPN et plus récemment d'une faille XSS.

 

Depuis aujourd'hui, un nouveau firmware estampillé 5.0 - 4493 est disponible sur les serveurs de Synology, et il est de nouveau question d'une faille de sécurité (CVE-2014-0196). Cette dernière touche le noyau Linux et permet de provoquer un deni de service, mais aussi d'obtenir une élévation des privilèges. Notez que, selon nos confrères d'Ars Technica, elle serait en fait présente depuis la version 2.6.31-rc3 publiée en 2009. Identifié au début du mois de mai, un correctif a rapidement été mis en ligne et Synology vient donc de mettre à jour son DSM 5.0.

 

Ce n'est pas le seul changement puisque les notes de versions indiquent aussi une amélioration de la stabilité avec un RAID 5, mais dans certaines conditions seulement. En effet, si vous avez créé votre grappe depuis le DSM 4.1 ou une version précédente, le DSM 5.0 - 4493 effectuera « une passe de nettoyage » sur vos données, mais sans les détruire évidemment. Des bugs du côté du iSCSI et du serveur PHP sont corrigés au passage, les notes de versions se trouvent par ici.

 

Notez que fin avril un firmware 5.0 - 4482 avait été mis en ligne, avec principalement des corrections de bugs, mais aussi une nouveauté intéressante : la possibilité de bloquer des IP par pays :

 

DSM 5.0

 

Comme toujours, la mise à jour peut directement être installée via l'interface d'administration (vous devriez même avoir une notification) ou bien en téléchargeant le firmware par ici.

Commentaires (37)


Le blocage d’ip par pays n’est pas nouveau. Je suis sûr à 99.99% d’avoir vu ça sur mon syno. Si quelqu’un peut confirmer.








raffoul a écrit :



Le blocage d’ip par pays n’est pas nouveau. Je suis sûr à 99.99% d’avoir vu ça sur mon syno. Si quelqu’un peut confirmer.







Notez que fin avril un firmware 5.0-4482 avait été mis en ligne, avec principalement des corrections de bugs, mais aussi une nouveauté intéressante : la possibilité de bloquer des IP par pays





Sinon merci pour l’info, MàJ en cours sur mes NAS.





une mise à jour de son Disk Station Manager (DSM) 5.0. Estampillé 5.0-4493 elle améliore la stabilité (,,,) via le DSM 4.1



5 ou 4.1 ???



Edit : ok je viens de comprendre, ça améliore le RAID 5 pour les cas ou les volumes ont été créé depuis l’ancienne version de DSM


D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)


Sympa cette info.








kyuden a écrit :



D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)





Pas chez nous (DS412+ et RS2212RP+).









kyuden a écrit :



D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)







Nope (DS713+)







raffoul a écrit :



Le blocage d’ip par pays n’est pas nouveau. Je suis sûr à 99.99% d’avoir vu ça sur mon syno. Si quelqu’un peut confirmer.







En revanche chez moi, je m’auto-exclue si je refuse toute les connections sauf celles provenant de France… Les IP locales ne sont pas pris en compte?









animus a écrit :



Nope (DS713+)







En revanche chez moi, je m’auto-exclue si je refuse toute les connections sauf celles provenant de France… Les IP locales ne sont pas pris en compte?







Ah oui maintenant je me rappelle, j’avais voulu faire ça y a 1 ou 2 mois. Je m’auto excluais également. Du coup j’ai abandonné. La flemme de sélectionner les pays à exclure un par un … C’est bcp trop long.



Donc cette fonctionnalité pas nouvelle et n’est visiblement toujours pas convaincante ;)









kyuden a écrit :



D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)







Sur mon DS-1513+, je ne rencontre aucun problème de ce type.



Est-ce que le temps de “nettoyage” est long pour le RAID5 ?

Pour information j’ai 14 Tio (11 Tio avec RAID5)



J’avais pas fait attention pour le blocage par pays <img data-src=" />








kyuden a écrit :



D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)







Le DSM5 est très gourmant en ressource, je regrette le 4 …









raffoul a écrit :



Ah oui maintenant je me rappelle, j’avais voulu faire ça y a 1 ou 2 mois. Je m’auto excluais également. Du coup j’ai abandonné. La flemme de sélectionner les pays à exclure un par un … C’est bcp trop long.



Donc cette fonctionnalité pas nouvelle et n’est visiblement toujours pas convaincante ;)







Corrigez moi si je me trompe, mais pour ce cas Il suffit de placer un ACCEPT sur le network local puis ensuite un DROP sur le Pays voulu non?



Merci pour vos retour vis a vis des freezes sinon !

Pour ma part c’est sur un DS214+.



Par contre c’est quand ils veulent de pouvoir planifier la MAJ… en environnement de prod 247, pouvoir faire la MAJ quand on le souhaite sans forcément être présent.


Faites :) + Blocage d’un opérateur Bulgare, au passage un vilain Monsieur avec un certain Linux essayait de casser la sécurité du NAS, résultat, limite d’authentification + blocage et son opérateur est banni <img data-src=" />








animus a écrit :



Nope (DS713+)



En revanche chez moi, je m’auto-exclue si je refuse toute les connections sauf celles provenant de France… Les IP locales ne sont pas pris en compte?





dépend de ta configuration de filtrage, j’ai pas de soucis moi.





kyuden a écrit :



Corrigez moi si je me trompe, mais pour ce cas Il suffit de placer un ACCEPT sur le network local puis ensuite un DROP sur le Pays voulu non?



Merci pour vos retour vis a vis des freezes sinon !

Pour ma part c’est sur un DS214+.





C’est exactement ce que j’ai <img data-src=" />



Bon, par contre pour mon DS1511+ il DL la MAJ mais ne veut pas l’appliquée, et sur le site de syno, reste la version actuelle que j’ai, alors que la version de la news est bien indiquée dispo pour les 1513+ <img data-src=" />









colonelc4 a écrit :



Faites :) + Blocage d’un opérateur Bulgare, au passage un vilain Monsieur avec un certain Linux essayait de casser la sécurité du NAS, résultat, limite d’authentification + blocage et son opérateur est banni <img data-src=" />





J’ai BL 2 fois un pote qui tapait pas le bon mot de passe, et r&vocation à vie de configurée sur le NAS <img data-src=" />



Depuis, je l’ai débloqué quand même…



De mon côté j’ai automatisé l’authentification chez mes users (Famille&Amis), donc peut de risques de mauvaises authentifications. Mais bon, je ne pensais pas intéresser les hackers, mais apparemment avec les logiciels des scanning, t’échappe pas aux attaques !








colonelc4 a écrit :



De mon côté j’ai automatisé l’authentification chez mes users (Famille&Amis), donc peut de risques de mauvaises authentifications. Mais bon, je ne pensais pas intéresser les hackers, mais apparemment avec les logiciels des scanning, t’échappe pas aux attaques !







Comment est-ce que tu as fait pour automatiser une authent ? Sur l’IP ?









kyuden a écrit :



Corrigez moi si je me trompe, mais pour ce cas Il suffit de placer un ACCEPT sur le network local puis ensuite un DROP sur le Pays voulu non?



Merci pour vos retour vis a vis des freezes sinon !

Pour ma part c’est sur un DS214+.







Perso j’ai accept france + réseau local, et coché deny lorsque aucune règle n’est remplie <img data-src=" />









colonelc4 a écrit :



De mon côté j’ai automatisé l’authentification chez mes users (Famille&Amis), donc peut de risques de mauvaises authentifications. Mais bon, je ne pensais pas intéresser les hackers, mais apparemment avec les logiciels des scanning, t’échappe pas aux attaques !







Comment on “automatise” de l’authentification ? <img data-src=" />

Les deux termes ne vont pas ensemble <img data-src=" />





Peu avant, Synology ajoutait un filtre dans le firewall afin de permettre un blocage d’IP par pays de provenance.





C’est bien mais j’aimerais bien un blocage par plage horaire plutôt. Peu importe d’où la connexion vient, je veux la bloquer entre 22h et 6h par exemple. J’avais ouvert un ticket chez Synology, je n’ai pas de nouvelle, et sur le forum, on m’a juste répondu avec des commandes imbitables. Je demande juste une interface user-friendly, comme le reste du DSM <img data-src=" />










Gab& a écrit :



Comment est-ce que tu as fait pour automatiser une authent ? Sur l’IP ?







IP ?…-&gt; ?





Non non rien a voir, le NAS a des applications sur les différents stores, avec la possibilité des appli de s’autologuées ;), de plus, pour les utilisateurs PC, suffit de leurs mapper un lecteur sur Internet avec l’adresse du NAS et le bon port selon le protocole utilisé (FTP/WebDav…etc) NetDrive fait ca sous Windows et peut aussi être automatisé pour le boot+authentification, et le tour est joué.









Jarodd a écrit :



C’est bien mais j’aimerais bien un blocage par plage horaire plutôt. Peu importe d’où la connexion vient, je veux la bloquer entre 22h et 6h par exemple. J’avais ouvert un ticket chez Synology, je n’ai pas de nouvelle, et sur le forum, on m’a juste répondu avec des commandes imbitables. Je demande juste une interface user-friendly, comme le reste du DSM <img data-src=" />







Deux choix :




  1. Task Scheduler pour lancer une commande -&gt; Faut que tu trouves la bonne commande par contre.

  2. Ajoute des sources pour les packages et vois si tu trouves pas une application qui puisse t’aider ;)









kyuden a écrit :



Comment on “automatise” de l’authentification ? <img data-src=" />

Les deux termes ne vont pas ensemble <img data-src=" />







Automatic Logon ? ca te dit quelque chose :) comme je l’ai déjà dit, mes users n’accède pas à l’interface du Syno, mais via les appli qui permettent un autologon. Ou sinon via un Mapped Drive.









colonelc4 a écrit :



IP ?…-&gt; ?





Non non rien a voir, le NAS a des applications sur les différents stores, avec la possibilité des appli de s’autologuées ;), de plus, pour les utilisateurs PC, suffit de leurs mapper un lecteur sur Internet avec l’adresse du NAS et le bon port selon le protocole utilisé (FTP/WebDav…etc) NetDrive fait ca sous Windows et peut aussi être automatisé pour le boot+authentification, et le tour est joué.







Je comprend toujours pas. Tu fais passer NFS via internet? Si oui, c’est pas un-peu-super-dégueulasse d’avoir du NFS (en claire donc) a travers le net ?



Et pour les autres services, tu les agrèges grâce a Netdrive juste (Je connais pas d’ailleur. M’enfin j’connais pas grand chose a l’univers Windows de toute manière ^^) ?



Quand tu parles d’ “automatic Logon”, c’est le simple fait de remonter tes lecteurs au démarrage ? (+ autres services étant donné que si j’ai bien compris le bousin, netdrive aggrege l’authentification aux services)



Bon puis si on pousse un peu c’est aussi une faille de sécurité l’automatic logon, tu valide juste l’identité de l’équipement client, pas l’utilisateur de cet équipement.









colonelc4 a écrit :



Deux choix :




  1. Task Scheduler pour lancer une commande -&gt; Faut que tu trouves la bonne commande par contre.

  2. Ajoute des sources pour les packages et vois si tu trouves pas une application qui puisse t’aider ;)







    J’ai cherché une appli qui faisait ça, rien trouvé, pourtant ça ne me semble pas être un service exotique.J’espérais avoir une réponse du support, pour une précédente demande, bien moins intéressante, ils m’avaient répondu (et en plus ça avait été intégré dans la release quelques jours après).



    Pour la commande, je crains de mal faire car je ne maîtrise pas le sujet. C’est pour cela que j’aimerais que le DSM s’en charge, il est quand même là pour ça <img data-src=" /> Heureusement qu’on n’a pas à faire de la commande pour créer des users, faire le paramétrage réseau, etc.









kyuden a écrit :



Je comprend toujours pas. Tu fais passer NFS via internet? Si oui, c’est pas un-peu-super-dégueulasse d’avoir du NFS (en claire donc) a travers le net ?



Et pour les autres services, tu les agrèges grâce a Netdrive juste (Je connais pas d’ailleur. M’enfin j’connais pas grand chose a l’univers Windows de toute manière ^^) ?



Quand tu parles d’ “automatic Logon”, c’est le simple fait de remonter tes lecteurs au démarrage ? (+ autres services étant donné que si j’ai bien compris le bousin, netdrive aggrege l’authentification aux services)



Bon puis si on pousse un peu c’est aussi une faille de sécurité l’automatic logon, tu valide juste l’identité de l’équipement client, pas l’utilisateur de cet équipement.







Ils parlent de la famille et des amis … faille de sécurité…., je pense qu’il fait effectivement une remontée de lecteur au travers d’une liaison ipsec.

Dans ce cas, aucun problème pour le NFS.



Pour l’automatisation logon, en entreprise on en fait aussi…










Jarodd a écrit :



C’est bien mais j’aimerais bien un blocage par plage horaire plutôt. Peu importe d’où la connexion vient, je veux la bloquer entre 22h et 6h par exemple. J’avais ouvert un ticket chez Synology, je n’ai pas de nouvelle, et sur le forum, on m’a juste répondu avec des commandes imbitables. Je demande juste une interface user-friendly, comme le reste du DSM <img data-src=" />







Y’a un moyen assez barbare <img data-src=" /> Eteindre le NAS a 22h00, le rallumer à 6h00 <img data-src=" />









gathor a écrit :



Y’a un moyen assez barbare <img data-src=" /> Eteindre le NAS a 22h00, le rallumer à 6h00 <img data-src=" />







Mais pourquoi n’y ai-je pas pensé avant <img data-src=" />



Et en plus ça améliore l’obsolescende programmée du bouzin, je participe à la relance de la croissance <img data-src=" />









Arona a écrit :



Par contre c’est quand ils veulent de pouvoir planifier la MAJ… en environnement de prod 247, pouvoir faire la MAJ quand on le souhaite sans forcément être présent.





Une MAJ en environnement prod sans être présent ?

Est-ce bien sérieux ?









gathor a écrit :



Y’a un moyen assez barbare <img data-src=" /> Eteindre le NAS a 22h00, le rallumer à 6h00 <img data-src=" />







<img data-src=" />



Perso c’est exactement ce que je fais avec mon DS213j, mais pas pour raisons de sécurité, mais pour le silence ! (0h30-9h, ça laisse le temps d’arriver au taf et d’allumer le PC… <img data-src=" />)

En mode normal (pas en veille), les moteurs des 2 Seagate 3To (7200 tr/min) émettent un vrombissement supérieur au bruit des 2 PC à coté… <img data-src=" />

Quand les prix baisseront, faudra que je passe à des 4 To Green… <img data-src=" />









fred42 a écrit :



Une MAJ en environnement prod sans être présent ?

Est-ce bien sérieux ?





Je m’attendais à cette réponse. <img data-src=" />

Tout simplement pour lancer la MAJ juste avant l’arrivée des gens, ainsi les sessions n’étant pas ouvertes, ça limite les dégâts sur de possible fichier ouvert.

Et bien sur ça m’évite surtout de venir 30 minutes avant.



C’est du confort mais disponible sur de nombreux équipements “pro”.









kyuden a écrit :



D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)





411j : pas de freeze.









kyuden a écrit :



D’autres personnes ont-elles rencontrées des problèmes de freeze aléatoires sur leur synology DSM5 ? (pas suite a cette MaJ, avant ça.)







Si tu as rencontré des freezes ca m’interesse, j’ai un 413 en raid 5 avec un dx213 (2 disques indépendants) et ca fait 5-6 fois que je le débranche physiquement car il est planté. Après ca tout repare normalement. Test smart poussé sur tous les disques :RAS. Je met à jour et je vais voir si ca se reproduit.









fred42 a écrit :



Une MAJ en environnement prod sans être présent ?

Est-ce bien sérieux ?







Un NAS SYNO en environnement prod?

Est-ce bien sérieux?



Un peu plus de 24h pour une grappe RAID 5 3x3to RED dans un DS414.

Ça règle pas les sorti de veille intempestive :(








SwordMasteR a écrit :



Un NAS SYNO en environnement prod?

Est-ce bien sérieux?







Ils ont aussi une gamme pro.



Ce produit n’est pas vraiment fait pour les particuliers ; 530 TB ça en fait des films de vacances.



Fermer