Fail2Ban na NAS

  1. Ako prvé musíme povolôiť na NAS SSH Secure Shell (port 22)
  2. Ovládací panel
  3. Terminál a SNMP

4. Zvoľte použiť

Inštalácia Python3

  1. Musíte naištalovať Python3, ten naištalujete cez centrum balíčkov

Teraz sa prihláste cez ssh na NAS užívateľom, akého ste si vytvorili na NAS.Manual ako vytvoriť užívateľa nájdete tu

Keď sa pripojíte a napíšete príkaz, tak zistíte verziu naištalovaného Pythone

python

Stiahneme repozitáre z fail2ban

wget --no-check-certificate https://github.com/fail2ban/fail2ban/archive/0.9.5.tar.gz -O /tmp/fail2ban_0.9.5.tar.gz
cd /tmp
tar -zxvf fail2ban_0.9.5.tar.gz
cd /tmp/fail2ban-0.9.5

Pokračujte v inštalácií a skontrolujte, či ste v správnom adresáry

cd /tmp/fail2ban-0.9.5

python setup.py install

Skontrolujte či Fail2ban funguje

fail2ban-client -h

Teraz Fail2ban je nastavený na to aby blokoval prihlásenia z SSH pomocou hesla.

fail2ban-client status
fail2ban-client start
fail2ban-client status
fail2ban-client stop

Teraz vytvoríme skrypt na spustenie Fail2ban

sudo nano /etc/fail2ban/f2b_start.sh
#!/bin/bash

sudo mkdir /var/run/fail2ban
sudo fail2ban-client start

Uložte a pridajte práva

chmod 770 /etc/fail2ban/f2b_start.sh

Tento skrypt môžete otestovať. Ako prvé zastavte Fail2ban a potom spuste pomocou skryptu

fail2ban-client stop
rm -R /var/run/fail2ban
sh /etc/fail2ban/f2b_start.sh
fail2ban-client status
fail2ban-client stop

Teraz choďte na NAS

  1. Otvorte s iovládací panel
  2. Súborové zložky
  3. Plánovač úloh (Task Scheduler)

Teraz môžete pozrieť, či Vám služba beží

fail2ban-client status

Originálny návod nájdete tu:

http://www.iholken.com/index.php/2016/07/22/guide-for-installing-fail2ban-for-synology-nas-devices-and-configuring-it-for-web-services-like-owncloud-or-wordpress/

Konfigurácia SMB

Čo je SMB

Samba (Server Message Block) Slúži na vzdialený prístup k súborom. SMB počúva štandartne na porte 445

Ako prvé musíte nastaviť na Routri Port forwarding. Každý router to má individuálne. Tak vám to ukážem na routri Asus RT-AC55U

  1. Choďte do WAN

2. Povoľte Port Forwarding

Príklad vytvorenia Port Forwarding

3. Zvoľte uložiť

Ak máte všetko hotové, tak choďte na NAS do ovládací panel

súborové služby

Povoľte SMB

Zvoľte možnosť použiť

Pridávanie užívateľov a ich práva

  1. Kliknite na ovládací panel

2. Kliknite na užívateľ

3. Zvoľte možnosť vytvoriť

4. Vytvorte užívateľa podľa obrázku

  • Email a popis nieje podstatný
  • Podstatné je iba meno a heslo

5. Kliknite ďalej

6. V ďalšom kroku sa rozhodujete či bude užívateľ v skupine administrátori alebo užívatelia

7. V ďalšom kroku vyberáte prístup do akých priečinkov bude mať daný užívateľ prístup a môžete zvoliť či bude môcť iba čítať alebo aj robiť úpravy.

8. V ďalšom kroku dajte iba zvoliť ďalej. To sa Vás pýta iba, na ktorý zväzok. Ja mám 2 Zväzky. 4 T+ 4 T v RAID 1 a 1T + 1T v RAID 1. O RAID píšem viac v tu

9. V ďalšom kroku dávate užívateľovi prístup na aplikácie

10. V ďalšom kroku určujete užívateľovi obmedzenú rýchlosť. Ak to necháte na 0 tak bude mať neobmedzenú rýchlosť

11. Potvrďte nastavenia ak je všetko poriadku zvoľte Použiť. Užívateľ sa vytvorí za pár sekúnd

Ak máte hotového užívateľa, a ak máte vytvorený VPN klienta, tak môže pristupovať na NAS aj na diaľku. Ako Vytvoriť VPN certifikát nájdete tu

Vytvorenie VPN

Ak chcete pristupovať externe (mimo lokálnu sieť) na NAS, tak najbezpečnejšie riešenie je cez VPN. Na výber máte pri NAS 3 typy VPN.

  • PPTP
  • OpenVPN
  • L2TP/IPSec

Na Routri musíte, ako prvé povoliť službu port forwarding. Každý Router to má inak, tak na to žiaľ neexistuje univerzálny návod. Ja mám Router Asus RT-AC55U.

  1. Choďte do WAN
  2. Kliknite na Virtual Server / Port Forwarding
  • Servis Name nieje podstatný, dôležité je, aby ste vedeli na, ktorom porte počúva VPN k NAS

A zvoľte uložiť

V článku sa budeme venovať konfigurácií OpenVPN

  1. Keď idete tvoriť VPN na NAS tak si stiahnite aplikáciu VPN Server

2. Povoliť Server OpenVPN

  • Vypíšte port, na ktorom má počúvať OpenVPN
  • Povoliť kompresiu na licenciu VPN
  • Povoliť klientom prístup k sieti LAN (ak toto nepovolíte, tak síce VNP sa pripojí, ale bude Vám odmietať pripojenie sa na NAS)

3. Keď už máte hotové všetky kroky tak dajte Exportovať konfiguráciu

Súbor sa Vám stiahne v rare

Hlavný súbor je VPNConfig.ovpn

Tam si musíte zapísať, už len Verejnú IP adresu, ktorú Vám pridelil poskytovateľ internetu

Keď to uložíte, tak tento certifikát môžete posunúť užívateľom, ktorím chcete dať prístup na NAS.

V tomto kroku, musíte vytvoriť užívateľov na Servery. Ako nájdete v manuály Pridávanie užívateľov a ich práva