Jump to content
Sethenès

Remplacer les disques d'un Synology sans Raid et sans Spare

Recommended Posts

Attention à une chose LYC, c'est qu'au plus te prendras une gamme du passé (les 1817 dont tu parlais), au moins elle sera compatible avec les nouvelles avancées de Syno (virtualisation, etc.).

 

Les versions "18" me semblent être le "minimum syndical" de ce qu'on peut espérer, mais les versions à venir et qui auront connu dès le départ du développement la fonctionnalité VM seront encore bien plus adaptées : carte-mère, refroidissement et autres améliorations qui permettront l'usage d'un processeur encore un peu plus puissant.

Share this post


Link to post
Share on other sites

Oui mais les 1518 ou 1818 c’est pas pour tout de suite je pense. De toutes façon je n’ai pas le budget pour changer là.

J’aurai pas mal de frais sur ma voiture bientôt (je la mets demain au garage).

 

Je changerai peut-être en 2018 après que mon NAS aura atteint ses 3 ans. :)

Share this post


Link to post
Share on other sites

Indéniablement, les failles Meltdown et Spectre vont avoir des conséquences sur l'emploi de mon Synology et notamment des ... VMs.

 

Au départ, je pensais utiliser le Syno comme un relais vers le web, de manière à éloigner le problème des softs malveillant de mes machines principales car ne l'oublions pas, ce qui est pratique avec une VM, c'est qu'elle peut se cloner. Donc il suffisait d'installer une "bonne" VM une fois pour toute et d'en utiliser un clone pour un temps avant de le supprimer et d'en recréer un nouveau.

 

Mais avec ces deux failles, je dois abandonner cette idée pas parce que le principe n'est pas bon mais parce que le Syno est devenu le pire endroit où faire tourner des VMs ayant accès au web.

 

Par contre, je vais encore plus qu'aujourd'hui différencier l'usage des machines. Celles de développement n'iront plus du tout sur le web mais .... en retour je n'appliquerai aucun patch anti-failles sur ces machines.

Share this post


Link to post
Share on other sites

Peux-tu expliquer ces deux points ?

Pourquoi le Syno est le pire endroit où faire tourner des VMs ? A cause du nombre de données que tu as dessus ? Mais je veux dire, si DSM est patché contre Meltdown et Spectre, c'est quoi le soucis ? La perte de performance engendrée par les patchs ?

Mais avec ces deux failles, je dois abandonner cette idée pas parce que le principe n'est pas bon mais parce que le Syno est devenu le pire endroit où faire tourner des VMs ayant accès au web.

 

Par contre, je vais encore plus qu'aujourd'hui différencier l'usage des machines. Celles de développement n'iront plus du tout sur le web mais .... en retour je n'appliquerai aucun patch anti-failles sur ces machines.

Share this post


Link to post
Share on other sites

Parce qu'un tel patch n'existera jamais. Les implications de ces deux failles sont telles qu'on en a même pas encore fini de faire le tour des conséquences possibles, alors évoquer une solution complète ... Et évidemment sur le SYno, il y a toutes mes données qui transitent.

 

Déjà les systèmes "sans bugs" (vue de l'esprit) doivent être constamment patchés, or ici le défaut de conception est majeur. Lionel de MacBidouille comparait cela avec les corrections sans fin de flash d'Adobe. Et je crois qu'il a raison.

 

Lis les sujets d'iAPX sur cette page  : http://forum.macbidouille.com/index.php?s=&showtopic=407003&view=findpost&p=4197088

 

Il y parle des drivers, des possibles conséquences sur le "ret", etc.

 

Juste pour signaler un peu ce qu'est le ret, c'est à chaque fois qu'on appelle une sous-routines (fonction, procédure, etc.) et qu'ensuite on revient à l'endroit de l'appel, les informations de retour sont transmises via cette technique. En C par exemple et en Excel :

 

int GetSize(void *image)

{

... le code

return taille;    <- le ret en question

}

 

Public function GetSize(byref image as ...) as long

{

... le code

GetSize = taille  < le ret en question

}

Share this post


Link to post
Share on other sites

Juste un extrait des interventions d'iAPX :

 

Pour la sécurité des Skylake et suivant, j'ai trouvé ma réponse pour RET, dans ce message concernant le noyau Linux.

"That's good, because retpoline doesn't work on Skylake (since Skylake will actually predict rets too, and then you're just completely hosed)."
Ça veut dire que les architecture récentes, Skylake de 2015 et suivantes, sont -encore- plus exposées que les précédentes, notamment à une attaque sur l'instruction RET tongue.gif

Share this post


Link to post
Share on other sites

Je n'ai plus qu'à désinstaller VMM...

Ca fait flipper quand même.

 

Hier j'ai fais un geekbench de mon MacBook Pro pour voir, un coup.

Je pense que le score est moins haut qu'avant le patch (environ 7600 points) contre environ 9000 il me semble avant...

Possible ? (Je ne suis pas certain de la diminution du score)

Share this post


Link to post
Share on other sites

Je n'ai plus qu'à désinstaller VMM...

Ca dépend ce que tu en fais.

 

Si tu ne sors jamais avec ces VMs sur le web, le risque est (jusqu'à présent en tout cas) très faible.

 

Je pense que face à ces deux failles, la solution à court et à moyen terme ne sera pas "software" ni "hardware" mais structurelle.

 

Elle ne sera pas software parce que les vulnérabilités seront découvertes 2x plus vite qu'elles ne seront patchées.

 

Elle ne sera pas hardware car il faut tout repenser à la base et cela prendra 3 à 5 ans, je pense.

 

Elle peut être structurelle, par exemple en découplant les usages.

 

Ici, je ne pense pas tant aux particuliers, mais bien aux grandes entreprises qui ont un peu trop rogné sur les dépenses informatiques en sous-traitant des fonctionnalités qui n'auraient pas du l'être et en se séparant des compétences des personnes capables de gérer des données sensibles.

Share this post


Link to post
Share on other sites

@ Sethenès

 

Quand on accède aux données / logiciels depuis l'extérieur via :

- un canal VPN (auth + chiffrement) +

- chiffrement des données (au niveau de l'application) +

- ports fermés via firewall (sauf canal VPN),

- gestion des accès/droit par user,

 

Il y a tjrs un risque ?

 

Un risque que l'utilisateur a été piraté et que les compromissions passent par ce canal par ex. ?

Je ne vois pas comment on peut injecter du code sinon …

en considérant que le canal est étanche bien sur …

 

Merci de fournir des exemples ou lien que je puisse m'informer plus en détails …

et prendre une position claire par rapport à cela.

 

Je vois immédiatement des conséquences par rapport aux nouvelles lois

concernant l'accès aux données sur internet, et la conservation (e-commerce & autres bdd).

 

nota : il serait utile d'ouvrir un autre topic parce que la …

 

---

 

Au sujet des disques et vérifications, voici un petit dernier :

 

WD WD80PUZX 8 To (5400 tr/m) : 56 h

Share this post


Link to post
Share on other sites

@ Sethenès

 

Quand on accède aux données / logiciels depuis l'extérieur via :

- un canal VPN (auth + chiffrement) +

- chiffrement des données (au niveau de l'application) +

- ports fermés via firewall (sauf canal VPN),

- gestion des accès/droit par user,

 

Il y a tjrs un risque ?

 

Un risque que l'utilisateur a été piraté et que les compromissions passent par ce canal par ex. ?

Je ne vois pas comment on peut injecter du code sinon …

en considérant que le canal est étanche bien sur …

 

Merci de fournir des exemples ou lien que je puisse m'informer plus en détails …

et prendre une position claire par rapport à cela.

 

Je vois immédiatement des conséquences par rapport aux nouvelles lois

concernant l'accès aux données sur internet, et la conservation (e-commerce & autres bdd).

 

nota : il serait utile d'ouvrir un autre topic parce que la …

 

---

 

Au sujet des disques et vérifications, voici un petit dernier :

 

WD WD80PUZX 8 To (5400 tr/m) : 56 h

 

Dans le cas que tu évoques, je n'en vois pas (enfin pas de nouveaux apportés par Spectre ou Meltdown). Mais bon, je ne suis pas expert non plus.

 

La faille, pour être exploitée, suppose que sur le même CPU deux applications tournent en parallèle. L'une essayant d'accéder aux données extraites de la mémoire pour l'autre et présentent temporairement dans le cache.

 

C'est pour ça que la virtualisation est le premier cas qui vient à l'esprit, puisqu'au lieu que les différents processus tournant sur un CPU proviennent du même OS, la en plus, ils proviennent d'OS différents (appartenant parfois à des clients différents). Il suffit donc qu'un client soit vérolé ou malhonnête pour qu'il puisse épier les process des autres clients qui seraient hébergés sur la même machine que lui.

 

Mais il faut deux processus, l'un qui épie les données de l'autre. Dans le cas que tu décris (connexion via un VPN) je ne vois pas bien comment, sauf évidemment si tes clients ont accès au VPN et que l'un décide d'épier ce que font les autres.

Share this post


Link to post
Share on other sites

OK je vois un peu mieux merci ;)

 

Ca veut dire être élu, accéder à la mémoire etc …

 

Donc virus/malware/trojan ou n'importe quoi qui regarde ou il faut …

Mais cela implique injection de code etc … , suite à escalade de privilège etc …

 

Effectivement dans des VM pour des archi plus lourdes, ca le fait pas du tout …

la moindre faille et injection peut compromettre tous les clients hébergés par le même serveur sur des VM différentes.

 

Je vais surveiller du côté d'OVH alors ce qu'ils disent …

Share this post


Link to post
Share on other sites

à vérifier sur vos NAS Intel : https://github.com/speed47/spectre-meltdown-checker

 

Pour ces 3 CVE :

 

Variant 1: bounds check bypass (CVE-2017-5753) - Spectre
Variant 2: branch target injection (CVE-2017-5715) - Spectre
Variant 3: rogue data cache load (CVE-2017-5754) - Meltdown

 

Rien chez Synology, pas de maj CVE (uniquement vérifié pour le 918+ INTEL CELERON J bien concerné) …

 

sic …

 

OVH communique très bien sur la planification, et suivi des phases, qui est touché, quel service / os etc …

 

nota : vous pouvez ouvrir un autre fil svp.

Share this post


Link to post
Share on other sites

 

nota : vous pouvez ouvrir un autre fil svp.

Bah tu peux le faire aussi. ;)

 

 …

 

je reformule … je m'adresse aux modérateurs et non à vous deux.

 

Les échanges ici divergent régulièrement du sujet initial et je proposais d'ouvrir un autre sujet et continuer ailleurs

afin de ne pas polluer celui ci.

 

Si je demande cela, c'est parce qu'il est nécessaire de transférer par la meme occasion les échanges du sujet divergent,

puisque je ne dispose pas des droits (suis pas modérateur du forum) …

 

cette demande implique donc la présence et intervention d'un modérateur …

 

C'est mieux ?

 

Désolé, je ne pense pas qu'un nouveau fil soit utile. 

 

Voici, toujours dans la même discussion, un résumé des 3 failles : http://forum.macbidouille.com/index.php?showtopic=407033&st=60&p=4198015&&do=findComment&comment=4198015

 

Je suis incapable de dire si c'est exact, mais au moins ça aide à la compréhension.

Merci.

L'explication sur le comment (l'accès mémoire) est assez simple.

Mais je pense que cela cache une complexité non évoquée (ca paraît tellement simpliste comme faille, c'est étonnant) …

Share this post


Link to post
Share on other sites

Info pour les utilisateurs de Syno en général et de Cloud Station en particulier.

 

Il semble que la refonte du système Cloud Station drive & serveur dans la prochaine version ne fasse pas que des heureux. Pour ma part, et dans la mesure où c'est une pierre angulaire de la gestion de mes données, je vais donc prendre encore plus mon temps qu'avec une révision majeure habituelle (en gros, d'habitude, j'attends un ou deux patchs correctifs dont je lis l'ampleur des modifications avant de sauter le pas) et patienter un "bon" moment, le temps d'avoir un maximum de retours.

 

Un utilisateur prévenu ...

Share this post


Link to post
Share on other sites

J'utilise déjà Synology Drive (et non pas Cloud Station Drive, qui est remplacé par Synology Drive) depuis un petit moment, qu'est-ce qui va changer dans la prochaine version par rapport à l'actuelle ?

Share this post


Link to post
Share on other sites

Je n'ai pas encore bien saisi les changements, mais certains gourous de Syno ne semblent pas très pressé de switcher, donc je vais prendre mon temps.

Share this post


Link to post
Share on other sites

Surtout que avec le drive c'est potentiellement des milliers de fichiers qui peuvent rencontrer des pb de sync …

avec la synchro. multi-device et de voir tout éparpillé fait peur !

 

Meme en faisant des sauvegardes avant au cas ou, c'est dangereux …

 

Je suis pas prêt de la faire pour moi ou client et l'avais meme pas vu passer celle la !

 

et je vais être particulièrement vigilant, merci.

Share this post


Link to post
Share on other sites

A ceux qui utilisent VMM (Sethenès ou aexm au hasard ;)), je cherche à isoler une VM du reste du réseau en la mettant sur un autre NAT mais pas en bridge, je ne sais pas si c'est possible, j'imagine que oui mais je ne trouve pas...

Si vous avez une idée. Merci. :)

Share this post


Link to post
Share on other sites

Je ne suis pas très fort en réseau. J'ai un peu regardé les paramètres et il y a une option qui permet de créer un "virtual switch".

 

Pour cela, il faut choisir l'option Networking dans la liste à gauche dans le fenêtre de gestion des VMs.

 

Si je mentionne cela, c'est parce qu'en cherchant sur le net, je trouve cette discussion : https://forum.synology.com/enu/viewtopic.php?t=134903 et dans la première réponse, l'auteur fait référence à cette possibilité.

 

Je ne sais pas si ça t'aide.

Share this post


Link to post
Share on other sites

je confirme c'est bien cela. Y'a une option à un moment lors de l'installation, c'est Open vSwitch.

Panneau de configuration > réseau > interface réseau > onglet gérer > Open vSwitch.

 

EDIT : quoi que … ca doit ête pour Docker ça ! à vérifier …

 

En tout cas dans VMM, y'aun onglet réseau ou tu peux régler des commutateurs (switch).

je sais plus si c'est lié ou non (mais ca commence à être complexe la !).

 

Attention, seule la version payante permet de configurer à souhait ses VM.

Synology va commencer à faire payer ses modules (ça accélère en tout cas).

 

Perso., après investissements (cache SSD NVMe 2 x 128 Go R/W), je trouve le DS918+ un peu lent pour la virtualisation.

 

Je vais ajouter de la RAM pour voir, sinon je vais revendre la machine pour plus de puissance, et éventuellement passer chez QNAP (les proc semblent plus costauds).

La fibre arrive chez moi et quand j'aurai un double WAN,

je compte bien vendre plus de services hébergés (meme si ca me fait peur = hébergement = infogérance etc …)

avec un backup "fibre + nas" installé chez un membre de ma famille. On peut pas faire mieux :D

 

Synology a clairement du retard sur la virtualisation (en tout cas, c'est le sentiment que j'ai).

Share this post


Link to post
Share on other sites

Synology a clairement du retard sur la virtualisation (en tout cas, c'est le sentiment que j'ai).

+1

 

Les QNAP sont plus costauds, mais pour le coup c'est leur OS qui a pas mal de retard niveau ergonomie (avis perso).

J'aime bien les Syno, j'ose espérer que les modèles futurs seront plus à même de faire de la virtualisation dans des meilleures conditions.

 

Pour infos, jusqu'à aujourd'hui et depuis plusieurs semaines, c'est une VM W7 installée sur mon NAS qui gérait ma webradio, ma programmation musicale de Geek on Mic, qui recevait mon flux quand je prenais le direct, et qui encodait le tout et envoyait le flux à mon serveur de diffusion loué chez un prestataire, avant de distribuer le flux final aux auditeurs.

 

J'avais alloué 4Go de RAM et 3 vCPU. Ça tournait pas mal même si quand je sollicitais un peu le NAS le flux ramait et on entendait des parasites ou un effet de son accéléré à l'antenne.

Depuis cet aprem j'ai échangé la VM au profit d'un des serveurs dédiés au format rack que j'ai.

C'est donc maintenant un R210 II avec un Xeon E3 et 16Go de RAM qui se charge de faire tout ça.

Enfin, le montage est un poil plus complexe que ça, puisque trois machines interviennent, dont deux en permanence.

Je ne vais pas détailler ici la config de manière précise par soucis de sécurité, mais grossos modo :

stockage musique + base de données : NAS

gestion radio, automation, programmation, encodage du flux, diffusion : serveur dédié

Prise d'antenne et animation en direct : autre PC avec console de mixage etc...

(les trois fonctionnant ensemble, dans tous les cas tout passe par le serveur dédié (et avant aujourd'hui par la VM stockée sur le NAS)

 

Le PC envoie au serveur dédié qui envoie au serveur de diffusion que je loue qui envoie ensuite aux auditeurs.

 

Je suis assez content du résultat et avec le dédié je ne devrai plus avoir de soucis de performances (parasites à l'antenne), même si ce serveur sert aussi de serveur de déploiement via PXE pour installer mes OS (j'ai mis ça aussi en place la nuit dernière et ça fonctionne super bien :P).

Avec le Xeon E3 1240 v2 je suis tranquille, c'est même surévalué pour les besoins mais au moins je peux ajouter encore des services dessus. ;)

Serveur%20de%CC%81die%CC%81%20Geek%20on%

La VM sur le NAS n'était jamais en dessous de 30 à 40% d'utilisation CPU.

Share this post


Link to post
Share on other sites

Il est certain que Synology s'est (ou s'était) un peu endormi sur ses lauriers. Même si l'interface fait un peu gadget (il faut reconnaitre qu'avec toutes ces couleurs, ça ne fait pas très pro), les fonctionnalités du Syno sont larges.

 

Bref, depuis un an, ils se réveillent, en tout cas au niveau hardware ... mais ils ont facilement pris deux ans de retard.

 

Par contre, je pense qu'il faut rester raisonnable. Quand on voit la taille du boitier du 918+ et qu'on enlève la place laissée pour les disques, ça ne laisse quand même pas beaucoup d'espace pour y loger tout un serveur.

 

Et le nerf de la guerre ici, c'est la chaleur à dissiper. Pour ma part, je trouve le choix de Synology judicieux. Plutôt que d'avoir des soucis à évacuer cette chaleur, ils limitent fortement la quantité produite. Evidemment, cela s'en ressent sur les performances. Mais c'est la garantie d'une longue durée de vie tant pour le hardware que pour les données (et un NAS, c'est quand même le but premier : garder des données en sécurité).

 

Mais il faut voir la possibilité de faire des VMs comme un plus et pas comme un but.

 

Pour ce qui est des QNAP, la société où je travaillais, "rebrandait" des QNAP. A l'époque, les options étaient beaucoup moins développées que les Synos (j'avais d'ailleurs un tarif préférentiel pour nos QNAP mais malgré tout j'ai choisi des Syno).

 

Mais j'imagine qu'ils ont aussi fortement progressé sur leurs points faibles (software).

 

La seule chose, c'est que sans préjuger des performances, la taille du boitier est quand même un indicateur.

 

Je ne peux pas imaginer (mais peut être ai-je tort) que dans un boitier de la taille d'un 918+ (avec la place réservée pour 4 disques durs), il soit possible d'avoir un hosting de plusieurs VMs qui tournent en parallèle et font elle-même tourner plusieurs applications.

 

Et la raison est simple : la chaleur.

 

Car soit les disques chauffent, soit la machine sera très bruyante à cause de ventilateurs.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×