ATTENTION : LES SERVEURS D'UNRAID EXPOSÉS À INTERNET SONT ACTUELLEMENT PIRATÉS


2 posts in this topic Last Reply

Recommended Posts

Je reprends le message d'avertissement de @jonp qui mérite d'être aussi diffusé en français. Vous trouverez le sujet d'origine ici : https://forums.unraid.net/topic/104669-warning-unraid-servers-exposed-to-the-internet-are-being-hacked/

 

Bonjour à la communauté Unraid !

 

Ces derniers jours, nous avons constaté une augmentation significative du nombre de serveurs Unraid compromis en raison de pratiques de sécurité insuffisantes. Le but de ce post est d'aider notre communauté à contrôler que leurs serveurs sont sécurisés et de fournir des recommandations utiles sur les bonnes pratiques pour s'assurer que votre système ne devienne pas une autre victime. Nous vous invitons à consulter les recommandations ci-dessous sur votre/vos serveur(s) afin de vous assurer qu'ils sont sécurisés.

 

Choisissez un mot de passe root robuste

Comme pour de nombreux routeurs, les systèmes Unraid n'ont pas de mot de passe par défaut. Cela permet de s'assurer que vous pouvez rapidement et facilement accéder à la console de gestion immédiatement après l'installation du système. Cependant, cela ne signifie pas que vous ne devez pas en définir un. C'est très simple. Il suffit de naviguer dans l'onglet Utilisateurs et de cliquer sur root. Définissez ensuite un mot de passe. À partir de là, vous devrez vous authentifier à chaque fois que vous voudrez vous connecter au webGUI.

 

En complément, il existe un plugin disponible dans Community Applications appelé Dynamix Password Validator. Ce plugin fournit des indications sur la robustesse du mot de passe que vous créez en se basant sur des règles de complexité (le nombre de lettres majuscules et minuscules, de chiffres, de symboles et la longueur totale du mot de passe sont utilisés pour en juger). Pensez à l'installer pour obtenir des conseils supplémentaires sur la robustesse des mots de passe.

 

 

Examinez les mappages de ports sur votre routeur

La redirection de ports vers votre serveur est nécessaire pour certains services spécifiques que vous souhaitez rendre accessibles par Internet, tels que Plex, les serveurs FTP, les serveurs de jeux, les serveurs VoIP, etc. Mais la redirection vers de mauvais ports peut exposer votre serveur à un important risque de sécurité. Voici quelques ports auxquels vous devez faire très attention lors de la redirection :

  • Port 80 : Utilisé pour accéder au webGUI sans SSL (sauf si vous avez défini l'accès à un autre port sur la page des paramètres d'accès de gestion). NE PAS rediriger le port 80. La redirection de ce port par défaut vous permettra d'accéder au webGUI à distance, mais sans SSL pour sécuriser la connexion, les équipements entre votre navigateur et le serveur pourraient " sniffer " les paquets pour voir ce que vous faites. Si vous voulez rendre le webGUI accessible à distance, installez le plugin Unraid.net pour activer Mes Serveurs sur votre système, ce qui peut fournir une solution d'accès à distance sécurisée qui utilise le SSL pour assurer que votre connexion est entièrement cryptée.
  • Port 443 : Utilisé pour accéder au webGUI avec SSL. Ce port n'est préférable au port 80 que si vous avez défini un mot de passe root. Si aucun mot de passe root n'est défini et que vous redirigez ce port, des utilisateurs non autorisés peuvent se connecter à votre webGUI et avoir un accès complet à votre serveur. En outre, si vous transférez ce port sans utiliser le plugin Unraid.net et My Servers, les tentatives de connexion au webGUI via un navigateur présenteront un avertissement de sécurité en raison de l'absence d'un certificat SSL. Envisagez de vous faciliter la vie et d'utiliser Unraid.net avec My Servers pour permettre un accès à distance simple, sûr et sécurisé à vos systèmes Unraid.

 

NOTA : Lorsque vous configurez l'accès à distance dans My Servers, nous vous recommandons fortement de choisir un port quelconque au-dessus de 1000 plutôt que d'utiliser le port 443 par défaut.

 

  • Port 445 : Utilisé pour SMB (partages). Si vous redirigez ce port vers votre serveur, tout partage public peut être connecté à n'importe quel utilisateur sur Internet. D'une manière générale, il n'est jamais conseillé d'exposer les partages SMB directement sur Internet. Si vous avez besoin de pouvoir accéder à vos partages à distance, nous vous suggérons d'utiliser un VPN de type Wireguard pour créer un tunnel sécurisé entre votre appareil et le serveur. En outre, si le disque flash lui-même est exposé à l'aide de SMB et que ce port est redirigé, son contenu peut facilement être supprimé et la clé que vous avez payée peut facilement être dérobée. Évitez tout simplement de le faire. 
  • Port 111/2049 : Utilisé pour NFS (partages). Bien que NFS soit désactivé par défaut, si vous utilisez ce protocole, assurez-vous de ne pas rediriger ces ports par votre routeur. Comme pour SMB, il suffit d'utiliser Wireguard pour créer un tunnel sécurisé à partir de tout périphérique distant qui doit se connecter au serveur via NFS.
  • Port 22/23 : Utilisé par Telnet et SSH pour l'accès à la console. C'est particulièrement dangereux pour les utilisateurs qui n'ont pas de mot de passe root. Comme pour SMB, nous ne recommandons pas de rediriger ces ports du tout, mais plutôt de suggérer aux utilisateurs d'utiliser une connexion VPN Wireguard pour se connecter à l'aide de l'un de ces protocoles. 
  • Ports de la plage 57xx : Ces ports sont généralement utilisés par les VM pour l'accès VNC. Bien que vous puissiez rediriger ces ports pour permettre l'accès VNC à distance pour vos VM, la meilleure et plus facile façon de le faire est d'installer le plugin Unraid.net et d'activer Mes Serveurs. Cela garantit que ces connexions sont sécurisées via SSL et ne nécessite pas le transfert de ports individuels pour chaque VM.
     

En règle générale, vous ne devriez pas avoir besoin de rediriger beaucoup de ports vers votre serveur. Si vous voyez une règle de transfert que vous ne comprenez pas, essayez de la supprimer, voyez si les utilisateurs se plaignent, et si c'est le cas, vous pouvez toujours la remettre en place.

 

Ne mettez jamais et au grand jamais votre serveur dans la DMZ

Même si vous pensez avoir parfaitement sécurisé votre serveur, il n'est jamais recommandé de le placer dans la zone démilitarisée de votre réseau. En faisant cela, vous redirigez chaque port de votre adresse IP publique vers votre serveur et tous les services accessibles localement sont également accessibles à distance. Même si vous pensez avoir sécurisé votre serveur, le placer dans la zone démilitarisée l'expose à des risques inutiles. Ne faites jamais ça.

 

Considérez le réglage des partages comme privés avec des noms d'utilisateurs et des mots de passe.

L'accès aux partages sans mot de passe est très pratique. Nous le savons et c'est pourquoi nous ne vous obligeons pas à définir des mots de passe pour vos partages. Cependant, il y a un risque de sécurité pour vos données lorsque vous faites ça, même si vous ne transférez pas de ports vers votre serveur et que vous avez un mot de passe root fort. Si la sécurité d'un autre appareil de votre réseau, tel qu'un PC, un Mac, un téléphone, une tablette, un appareil IoT, etc. était compromise, il pourrait être utilisé pour établir une connexion locale aux partages de votre serveur. Par défaut, les partages sont configurés pour être accessibles en lecture/écriture de façon publique, ce qui signifie que ces appareils malveillants peuvent être utilisés pour dérober, supprimer ou chiffrer les données qu'ils contiennent. En outre, des utilisateurs malveillants pourraient également utiliser cette méthode pour placer sur votre serveur des données que vous ne souhaitiez pas. Pour ces raisons, si vous devez créer des partages publics, nous vous recommandons fortement de définir l'accès en lecture seule. Seuls les utilisateurs autorisés disposant d'un mot de passe fort doivent être en mesure d'écrire des données sur vos partages.

 

 

Ne partagez pas votre clé USB, et si vous le faites, faites en sorte qu'elle soit sécurisée.

La clé USB elle-même peut être exposée via SMB. C'est pratique si vous devez effectuer des modifications complexes sur votre système, comme modifier le fichier go dans le répertoire de configuration. Cependant, le périphérique flash lui-même contient les fichiers nécessaires pour démarrer Unraid ainsi que vos données de configuration (affectations de disque, partages, etc). Exposer ce contenu publiquement peut être extrêmement dangereux, aussi nous vous déconseillons de le faire à moins que ce ne soit absolument indispensable, et lorsque vous le faites, il est conseillé de le faire de manière sécurisée, en demandant un nom d'utilisateur et un mot de passe pour voir et modifier le contenu.

 

Tenez votre serveur à jour

Indépendamment des autres mesures que vous prenez, il est essentiel de maintenir votre serveur à jour avec la ou les dernières versions pour garantir sa sécurité. Il y a constamment des notifications de sécurité (CVEs) publiées pour les différents composants utilisés dans Unraid OS. Chez Lime Technology, nous faisons de notre mieux pour nous assurer que toutes les vulnérabilités sont corrigées en temps voulu par des mises à jour logicielles. Toutefois, ces mises à jour ne vous seront d'aucune utilité si vous ne les appliquez pas également en temps voulu. Il est simple de maintenir votre système d'exploitation à jour. Il suffit de naviguer dans Outils > Mise à jour du système d'exploitation pour vérifier la présence de mises à jour et les appliquer. Vous pouvez configurer des notifications pour vous avertir lorsqu'une nouvelle mise à jour est disponible à partir de la page Paramètres > Notifications.

 

Autres recommandations de bonnes pratiques

 

En plus de toutes les recommandations ci-dessus, nous avons demandé à SpaceInvaderOne de préparer une vidéo avec encore plus de détails sur les bonnes pratiques liées à la sécurité d'Unraid. Nous posterons un lien dès que la vidéo sera disponible pour vous permettre de voir ce qu'il y a de plus à faire pour améliorer la sécurité de votre système.


Il est vital que tous les utilisateurs examinent ces recommandations concernant leurs systèmes dès que possible afin de s'assurer que vous fassiez tout ce qui est nécessaire pour protéger vos données. Chez Lime Technology, nous nous engageons à faire d'Unraid une plateforme sûre et sécurisée pour tous vos contenus numériques personnels, mais notre capacité d'action dans ce domaine est très limité. Au final, c'est vous, en tant qu'utilisateur, qui êtes responsable de vous assurer que votre réseau et les appareils qui s'y trouvent sont conformes aux bonnes pratiques en matière de sécurité.

Link to post

Si j'ai laissé une mauvaise traduction ici ou là, n'hésitez pas à me contacter par PM.

Je ne sais pas si toutes les questions pourront être répondues ici, sinon il y a toujours le sujet initial, surtout qu'il y a déjà eu pas mal d'échanges, de questions et de réponses par là bas.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.