{"id":175,"date":"2011-04-28T12:39:00","date_gmt":"2011-04-28T12:39:00","guid":{"rendered":"http:\/\/hoper.dnsalias.net\/atdc\/index.php\/2011\/04\/28\/20110428se-mefier-des-certitudes\/"},"modified":"2020-02-18T10:14:11","modified_gmt":"2020-02-18T09:14:11","slug":"20110428se-mefier-des-certitudes","status":"publish","type":"post","link":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/2011\/04\/28\/20110428se-mefier-des-certitudes\/","title":{"rendered":"Se mefier des certitudes"},"content":{"rendered":"<p>Il y a des choses dont on est vraiment certain. Par exemple, le fait qu&rsquo;un seul processus puisse, \u00e0 un instant T, \u00eatre en \u00e9coute sur un couple IP\/Port donn\u00e9. C&rsquo;est ainsi que fonctionne tous les syst\u00e8mes d&rsquo;exploitations et les connexions r\u00e9seaux depuis la nuit des temps. (Je parle bien sur de l&rsquo;age recul\u00e9 de l&rsquo;invention de TCP\/IP).<\/p>\n<p>Aussi, en voyant une personne demander comment faire pour qu&rsquo;apache et sshd \u00e9coutent simultan\u00e9ment derni\u00e8re le port 443 de la m\u00eame machine (et bien \u00e9videment sur la m\u00eame interface), je n&rsquo;ai m\u00eame pas pris la peine de r\u00e9pondre. Je me suis juste dit qu&rsquo;elle n&rsquo;avais pas tout compris au fonctionnement du base du r\u00e9seau.<\/p>\n<p>Alors quand, une heure plus tard, cette m\u00eame personne est revenue r\u00e9pondre \u00e0 sa propre question avec une technique parfaitement fonctionnelle, j&rsquo;avoue que \u00e7a m&rsquo;a mis un petit coup au moral \ud83d\ude42 Certes, je n&rsquo;avais pas totalement tort dans la mesure ou, je vous rassure, il n&rsquo;est toujours pas possible de mettre plusieurs processus en \u00e9coute sur la m\u00eame interface et sur le m\u00eame port. En revanche, il est parfaitement possible de permettre \u00e0 apache ET \u00e0 sshd de recevoir des connexions, gr\u00e2ce \u00e0 un troisi\u00e8me processus qui se chargera de faire le tri des connexions. Je n&rsquo;ai pas encore eu le temps de tester <a href=\"http:\/\/univers-libre.net\/index.php\/2010\/02\/sslh-https-et-ssh-sur-le-meme-port\">sslh<\/a>, (edit : un exemple en changeant la configuration d&rsquo;apache est <a href=\"https:\/\/www.morot.fr\/sslh-faire-cohabiter-un-serveur-web-et-ssh-sur-le-meme-port\/\">disponible ici<\/a>), mais c&rsquo;est une chose que je ferai d\u00e8s que possible. EDIT : J&rsquo;ai test\u00e9, \u00e7a, \u00e7a fonctionne. M\u00eame si de mon c\u00f4t\u00e9 je trouve plus simple et plus logique de modifier le port d&rsquo;\u00e9coute de d\u00e9mon ssh plutot que de modifier la configuration d&rsquo;apache.<\/p>\n<p>Clairement con\u00e7u pour permettre \u00e0 une machine externe \u00e0 un r\u00e9seau ferm\u00e9 de servir de passerelle (y compris si elle utilise d\u00e9j\u00e0 le port 443 donc), ce logiciel ouvre des possibilit\u00e9s int\u00e9ressantes. Il est donc possible qu&rsquo;un serveur web s\u00e9curis\u00e9 (https), prot\u00e9g\u00e9 par un firewall qui ne laisserait passer que les connexions sur le 443, puisse RECEVOIR des connexions ssh. Et cela sans rien modifier de la configuration du firewall. Sympathique non ? Encore mieux&#8230; Alors qu&rsquo;un tunnel ssh en mode reverse (-R), pour permettre la m\u00eame chose laisserai des traces sur le firewall et sur les routeurs (connexion sortante pour \u00e9tablir le tunnel) cette m\u00e9thode la ne laissera&#8230; aucun logs nul part. Absolument rien. Pas la moindre trace. C&rsquo;est quand m\u00eame fantastique tout ce qu&rsquo;on peut faire avec un syst\u00e8me unix bien configur\u00e9&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il y a des choses dont on est vraiment certain. Par exemple, le fait qu&rsquo;un seul processus puisse, \u00e0 un instant T, \u00eatre en \u00e9coute sur un couple IP\/Port donn\u00e9. C&rsquo;est ainsi que fonctionne tous les syst\u00e8mes d&rsquo;exploitations et les connexions r\u00e9seaux depuis la nuit des temps. (Je parle bien sur de l&rsquo;age recul\u00e9 de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-175","post","type-post","status-publish","format-standard","hentry","category-geekitude"],"_links":{"self":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/comments?post=175"}],"version-history":[{"count":3,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/175\/revisions"}],"predecessor-version":[{"id":1650,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/175\/revisions\/1650"}],"wp:attachment":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/media?parent=175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/categories?post=175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/tags?post=175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}