Et quel est l'intérêt, plutôt que de l'ouvrir sur le port 8080 ?
C'était un simple exemple mais puisque tu le demandes, l'avantage est que ça permet au monde entier d'y accéder par défaut depuis leur navigateur sans avoir à préciser un port et, notamment, depuis des clients se trouvant derrière des pare-feux d'entreprise dont, bien souvent, seul le port 80 est ouvert vers l'extérieur par défaut. C'est d'ailleurs une des raisons pour lesquelles on a inventé les web services...
Ça peut-être n'importe quoi d'autre : en ouvrant les port 135 à 139, tu peux transformer automatiquement la machine-zombie en serveur SMB Windows public pour faire du dépôt massif de fichiers, spécialement quand il sont illégaux. Ce qui est particulièrement fort, c'est qu'avec les lois merveilleuses du dernier quinquennat, c'est le titulaire de l'accès Internet qui est responsable même si c'est fait complètement à son insu, et c'est à lui de prouver sa bonne foi. Que se passerait-il, par exemple, si on retrouvait sur sa machine un répertoire entier, bien distinct, d'images pédophiles ? Ce ne serait pas du « cache », comme celui de son navigateur, et ce serait difficile d'affirmer qu'elles sont arrivées là par hasard. L'utilisateur a le temps d'avoir de gros ennuis avant qu'une personne compétente et motivée arrive à mettre le doigt sur le cheval de Troie.
Enfin, un dernier exemple très répandu : ouvre le port 25 et tu fais un Open Relay pour envoyer du spam. Il fut un temps où les Freebox étaient livrés avec ce port 25 bridé en émission par défaut (sur les serveurs autres que ceux de Free) pour cette raison et qu'il fallait aller le débloquer (une seule fois) sur sa console de gestion, ce qui était plutôt une bonne chose à mon goût. Je ne sais pas si c'est toujours le cas ou pas.
Le journal parle d'un "système mono-utilisateur classique", j'imagine qu'il s'agit d'une machine de bureau, pas d'un serveur où on fera effectivement tourner différents services sous différents utilisateurs.
Ce n'est pas la question. Relis bien le commentaire : ce n'est pas les serveurs eux-mêmes qui nous intéressent mais le fait que ceux-ci ont facilement la possibilité de déclarer un pseudo-utilisateur pour fonctionner sous leur propre identité et être protégé des attaques venant du compte utilisateur principal, et cela même sans être root, ce qui limite beaucoup les risques en cas de FAILLES non révélées dans ces serveurs.
Il est tout-à-fait possible de faire en sorte que les scripts chargés depuis l'extérieur et lancés naïvement depuis l'interface graphique soient exécutés par défaut sous l'identité d'un pseudo-utilisateur. Au lieu de cela, l'auteur du billet préconise non seulement de tout faire depuis la même identité, comme c'est généralement le cas, mais en plus de le faire en root !
Qu'on soit bien d'accord : pendant très longtemps nous avons utilisé sans gros problème des machines sans aucun droits d'accès : on a utilisé des huit bits pour beaucoup d'entre nous et MS-DOS a prédominé sur PC une quinzaine d'années. Seulement, nous étions bien moins informatisés qu'aujourd'hui et surtout beaucoup moins connectés. Et encore, malgré cela, les gens qui ont connus cela savent à quel point il était facile de se faire refiler une disquette vérolée, même en 5"1⁄4. Même le Goupil du nanoréseau de mon collège en 1990 l'avait été.
Je ne suis pas contre faire des machines complètement ouvertes pour la simplicité de la chose, à condition qu'elles restent au sein d'un réseau qui — lui — est sécurisé comme il le faut et administré par une personne compétente. Ce n'est pas non plus ce que préconise le blog.
[^] # Re: Pourquoi faire ?
Posté par Obsidian . En réponse au journal Contre la phobie du root. Évalué à 2.
C'était un simple exemple mais puisque tu le demandes, l'avantage est que ça permet au monde entier d'y accéder par défaut depuis leur navigateur sans avoir à préciser un port et, notamment, depuis des clients se trouvant derrière des pare-feux d'entreprise dont, bien souvent, seul le port 80 est ouvert vers l'extérieur par défaut. C'est d'ailleurs une des raisons pour lesquelles on a inventé les web services...
Ça peut-être n'importe quoi d'autre : en ouvrant les port 135 à 139, tu peux transformer automatiquement la machine-zombie en serveur SMB Windows public pour faire du dépôt massif de fichiers, spécialement quand il sont illégaux. Ce qui est particulièrement fort, c'est qu'avec les lois merveilleuses du dernier quinquennat, c'est le titulaire de l'accès Internet qui est responsable même si c'est fait complètement à son insu, et c'est à lui de prouver sa bonne foi. Que se passerait-il, par exemple, si on retrouvait sur sa machine un répertoire entier, bien distinct, d'images pédophiles ? Ce ne serait pas du « cache », comme celui de son navigateur, et ce serait difficile d'affirmer qu'elles sont arrivées là par hasard. L'utilisateur a le temps d'avoir de gros ennuis avant qu'une personne compétente et motivée arrive à mettre le doigt sur le cheval de Troie.
Enfin, un dernier exemple très répandu : ouvre le port 25 et tu fais un Open Relay pour envoyer du spam. Il fut un temps où les Freebox étaient livrés avec ce port 25 bridé en émission par défaut (sur les serveurs autres que ceux de Free) pour cette raison et qu'il fallait aller le débloquer (une seule fois) sur sa console de gestion, ce qui était plutôt une bonne chose à mon goût. Je ne sais pas si c'est toujours le cas ou pas.
Ce n'est pas la question. Relis bien le commentaire : ce n'est pas les serveurs eux-mêmes qui nous intéressent mais le fait que ceux-ci ont facilement la possibilité de déclarer un pseudo-utilisateur pour fonctionner sous leur propre identité et être protégé des attaques venant du compte utilisateur principal, et cela même sans être root, ce qui limite beaucoup les risques en cas de FAILLES non révélées dans ces serveurs.
Il est tout-à-fait possible de faire en sorte que les scripts chargés depuis l'extérieur et lancés naïvement depuis l'interface graphique soient exécutés par défaut sous l'identité d'un pseudo-utilisateur. Au lieu de cela, l'auteur du billet préconise non seulement de tout faire depuis la même identité, comme c'est généralement le cas, mais en plus de le faire en root !
Qu'on soit bien d'accord : pendant très longtemps nous avons utilisé sans gros problème des machines sans aucun droits d'accès : on a utilisé des huit bits pour beaucoup d'entre nous et MS-DOS a prédominé sur PC une quinzaine d'années. Seulement, nous étions bien moins informatisés qu'aujourd'hui et surtout beaucoup moins connectés. Et encore, malgré cela, les gens qui ont connus cela savent à quel point il était facile de se faire refiler une disquette vérolée, même en 5"1⁄4. Même le Goupil du nanoréseau de mon collège en 1990 l'avait été.
Je ne suis pas contre faire des machines complètement ouvertes pour la simplicité de la chose, à condition qu'elles restent au sein d'un réseau qui — lui — est sécurisé comme il le faut et administré par une personne compétente. Ce n'est pas non plus ce que préconise le blog.