Guía express Tor+Privoxy

25. May 2009 admin

1. Obviedad: instalar Tor y Privoxy.
2. Editar el archivo /etc/privoxy/config y sacar el comentario de la línea
   forward-socks4a   /               127.0.0.1:9050 .
3. Reiniciar el servicio privoxy.
4. Configurar el navegador para que use la dirección del proxy, es decir 127.0.0.1, puerto 8118.
5. Comprobar en https://check.torproject.org/?lang=es.
6. Más información en el sitio de Tor y Privoxy respectivamente.

Uncategorized | 0 Comments »

Mandriva vuelve a parecerse a Mandrake

24. May 2009 admin

Después de las desafortunadas versiones 2005 y 2006 de Mandriva, esta distribución ha tratado de recuperar la posición pérdida. Sin embargo,  salió Mandriva 2009.0 y no me dejó la mejor impresión.

Tal es así que en mi escritorio personal me mudé durante algunos meses a Ubuntu.

Sin embargo, en el escritorio del trabajo seguía usando Mandriva, aunque con bastantes contratiempos debidos al el pobre desempeño en la gestión de paquetes que padecía luego de instalar la 2009.0. Decidí actualizar hace unas semanas directamente por urpmi de 2009 a 2009 Spring, más que nada para probar y luego sí, hacer una instalación limpia. Y el resultado fue ciertamente sorprendente, la actualización pasó prácticamente desapercibida.

Es importante remarcar que la actualización se hizo mientras estaba trabajando, el resultado fue gratamente sorprendente.

Entonces decidí volver en mi escritorio personal a Mandriva. Estaba vez instalando a partir de la versión de One. El resultado fue similar aunque noté un único bug importante que arrastra de versiones anteriores, si se utiliza un directorio personal ya existente,  con muchos archivos con el UID 500, el primer inicio de sesión se demora muchísimo. Esto es porque el sistema busca reemplazar todas las apariciones en los archivos de configuración /home/guest para reemplazarlos por el /home/nombre_de_usuario.

En link citado aquí, hay un workaround, pero ciertamente debería buscarse una solución mucho más elegante y práctica, o al menos avisar al usuario del proceso que se está realizando.

Más allá de eso, debe decirse que Mandriva 2009 Spring parece ser una edición depurada con mucho más minuciosidad y prolijidad que las anteriores, especialmente de la fallida 2009.

Todas las distribuciones tienen fortalezas y debilidades. Si hay algo que me gusta de Mandriva para usarlo como escritorio es la cohesión del entorno y de las herramientas, lo cual hace que sea para mí la distro a elegir cuando la cantidad de bugs y/o desprolijidades no alcanza niveles que amenazan aquellas virtudes.

Una mención especial merece la versión de KDE 4 que parece resolver muchos de los inconvenientes de las ediciones pasadas.

Otra cosa que me gustó fue nuevo diseño artístico de la edición Free, mucho más profesional comparándolas con versiones anteriores.

Hay una detalle tal vez no muy conocido y que no está en los repositorios, me refiero al mandriva-seed.sh. Se trata de un script que se vale de makeself y dd principalmente para volcar un archivo iso a un pendrive

La 2009.1 Spring es una versión ciertamente recomendable para usarla como sistema de escritorio. Es la mejor versión de Mandriva, desde que así se llama la distribución.

Artículos Técnicos | 3 Comments »

Complacido con GNOME

31. January 2009 admin

Durante años fui usuario de KDE (desde la versión 1.x, por lo menos). La versión 3.5.9 fue tal vez el mejor escritorio libre del momento. Luego vino la promesa de KDE 4. Muchos teníamos grandes expectativas en él.

Es de esperar en un cambio en el número de versión significativo, también una serie de modificaciones importantes. Lamentablemente la manera en que se produjo no fue de las mejores.

Las primeras versiones de KDE 4 carecían de importantes problemas de usabilidad. El cambio de paradigmas basado en plasmoides es interesantes, pero supone para el usuario final un escollo difícil superar. Y creo que también lo es para quienes durante mucho tiempo usamos un ya confiable KDE 3.

Lamentablemente Konqui, el dragoncito amigable se tornó en una criatura apática, que al menos por el momento no repara en lanzar bocanadas de fuego hacia los nuevos usuarios que acercan a Linux.

El bache de Vista introducido por Microsoft supuso una oportunidad muy importante para Linux. Pero KDE de manera llamativa la desaprovechó produciendo cambios a primera vista que recuerdan demasiado el obtuso sistema operativo de Microsoft que hoy la empresa de Redmond parece querer borrar de un plumazo.

La documentación de KDE 4 es muy pobre, obsoleta o cuasi inexistente.

Por otro lado el otro entorno principal open source, GNOME, que nunca me terminaba de convencer, terminó por hacerme sentir como en casa. Mucho más cercano al paradigma de escritorio de Mac OS, que muchos usuarios de escritorio no conocen por el monopolio de hecho de Microsoft, proporciona una alternativa amigable, sanamente minimalista y previsible.

Es cierto, Nautilus carece de la tan útil prestación para dividir ventanas, Kate es mejor editor que Gedit, Digikam me gusta más que F-Spot y estoy más acostumbrado a Kontact que Evolution. Pero globabalmente hoy por hoy GNOME es globalmente, un entorno de escritorio más confiable que KDE. Si es cierto, aun no he probado KDE 4.2, después de hacerlo, tal vez tenga que cambiar de opinión.

De todas maneras, no soy el único que opina de este modo, el propio Linus Torvalds que alguna vez desfenestró a GNOME, es usuario de dicho entorno.

Artículos Técnicos | 1 Comment »

Nuevo driver de broadcom

1. January 2009 admin

Tengo en la notebook la placa wireless Broadcom Corporation BCM4311 802.11b/g WLAN (rev 01).

El problema que había hasa hace poco con esta placa era que para funcionar necesitaba o bien un driver libre más firmware no libre, o la utilización de un controlador de windows no libre con ndiswrapper.

Eso hacía algo irritante las instalaciones, ya que lo más habitual era tener que contectarlo a una red cableada y desde ahí bajarse, por ejemplo el firmware. Es cierto, uno podía recurrir a ciertas artimañas, tales como tener el firmware en un pendrive previo a la instalación y luego copiarlo. Aun así, no era lo más cómodo. Recientemente Broadcom sacó un nuevo driver que incluye el dichoso firmware. Mandriva agregó en sus repositorios un paquete llamado dkms-broadcom-wl.

Mientras tanto, Ubuntu Intrepid Ibex ya viene con el driver wl.ko.
La mala noticia: No funciona en primera instancia, ya que pretende usar los drivers  b43 y ssb.

La buena noticia: Esto se puede revertir sin necesidad de bajar ni copiar absolutamente nada. Solamente hay que tocar algunas cosillas del sistema, como muestro a continuación:

1. Agregar en /etc/modprobe.d/blacklist:
   blacklist ssb
   blacklist b43
2. Modificar /etc/rc.local para que quede así:

   # Make sure that the script will "exit 0" on success or any other

   # value on error.

   #

   # In order to enable or disable this script just change the execution

   # bits.

   #

   # By default this script does nothing.

   modprobe -r ssb

   modprobe -r wl

   modprobe wl

   exit 0

Se debe reiniciar el sistema y listo.

Artículos Técnicos | 0 Comments »

Una presentación sobre sistemas de archivos

26. October 2008 admin

Ángel Vilte de la Facultad de la Universidad de la Plata me invitó a dar una charla para un evento de software libre. Las diapositivas de la misma se pueden descargar haciendo clic en filesystems .

Artículos Técnicos | 0 Comments »

Mandriva 2009 y además LPI

13. October 2008 admin

Bajé e instalé Mandriva 2009. Probablemente sea la primera distro con una versión de KDE 4.x utilizable. Cosas que me gustaron: la nueva cara del Mandriva Control Center, esa idea tan Mandrake de una distro fácil, amigable y potente a la vez. Otro acierto es el menú de KDE 4 a la antigua.

Lamentablemente tiene las históricas desprolijidades de Mandrake/Mandriva, por ejemplo, algunos mirrors que no funcionan, las vueltas que hay que hacer para reproducir una película de un DVD usando compiz. No es que sea difícil, pero es molesto. Algo que no se entiende es: ¿Por qué no se activan por defecto las configuraciones que funcionan seguro con compiz? ¿Por qué esperar a que el usuario tenga que hacerlo? Otra cosa increíble es que se incluyan herramientas propias de la distribución que no funcionan correctamente. ¿No era mejor excluirla o ponerla en los repositorios de testing? Otra cosa irritante es padecer las falencias de una placa wireless Broadcom Corporation BCM4311 802.11b/g WLAN (rev 01). Y la herramienta de Mandriva para configuración de redes que hace fácil lo difícil, pero también complica lo sencillo, ¿por qué a veces es más complicado conectarse a una red inalámbrica abierta?

Y lo peor, puede ser que la distribución no sea la causante, pero ¿porqué luego de instalar Mandriva la unidad de DVD olvide su configuración de la región?

Bueno, aun así el saldo es positivo, por ahora me gusta esta nueva versión. La recomiendo. Los que no saben nada de Linux que quieran usarla como con cualquier otra distribución, les sugiero que busquen algo que tenga el tiempo y la paciencia para ayudarlos. De hecho lo mismo pasa con Windows: los usuarios no técnicos casi siempre tienen alguien cerca que los asiste.

Invito a votar por la solución de los bugs de Mandriva tales como el 44186.

Ah, además ya tengo la primer certificación LPI, en otro orden de cosas…

Artículos Técnicos | 2 Comments »

Acerca del poder de root y permisos de usuarios y grupos II

18. August 2008 admin

Una manera no tan conocida (tal vez por su relativa inmadurez) son las POSIX CAPABILITIES en Linux. Las PCaps permiten asignar determinados permisos a procesos y archivos ejecutables. La idea es evitar el uso del poderoso pero a la vez peligroso SUID Bit.

El archivo  /usr/include/linux/capability.h contiene la descripción definición de las 31 PCaps. Para poder usarlas:

• Verificar que esta soportado por el kernel

• Habilitar KPROBES y compilar si es necesario

• Compilar e instalar las nuevas libreras PCAPS

Se trata de la version 2.x de estas libreras que in

cluyen las herramientas setcap y getcap.

• Compilar e instalar capable_probe

• Cargar el modulo capable_probe

Este módulo es muy importante para comenzar a usar las PCaps e ir aprendiendo como funcionan. De esta manera, podremos ver los mensajes relativas a las PCaps en el archivo /var/log/messages. Hay que tener en cuenta que dicho archivo crecer notablemente, por lo que se recomienda no tener cargado todo el tiempo el módulo capable_probe.

Una de las primeras cosas que se pueden hacer es probar alguna aplicación y ver que capabilities esta usado. Por ejemplo, vemos que el comando at requiere la facultad para realizar diversas tareas administrativas, pasar por el alto el control de acceso discrecional, cambiar propietarios de archivos, manipulación de SUID y SGID bits.

Espero pronto poder escribir algunas cosas ms sobre este apasionante tema.

Artículos Técnicos | 1 Comment »

Acerca del poder de root y permisos de usuarios y grupos

6. July 2008 admin

Más allá de lo clásico

El tradicional poder de root en Linux se puede prestar, delegar, fragmentar, etc. mediante distintos métodos. El esquema típico de permisos también se puede ampliar…

Prestando el poder: el comando su

El comando su permite que un usuario haga las veces de otro usuario (generalmente root) ingresando la contraseña de este último. Se puede desde correr un único comando hasta correr una sesión completa como root usando todas sus variables de entorno.  Existe un comando similar llamado sg, que sirve para tomar temporalmente las atribuciones de un grupo. Una diferencia importante es que con sg solamente se registran los intentos fallidos. Además, con sg se hace necesario el uso de las casi poco utilizadas contraseñas de grupos.

Jun 28 17:56:11 pulperia sg[7865]:\
Invalid password for group `users' from `sergio'

Delegando el poder: sudo

La página del manual correspondiente a sudo dice que es un programa diseñado para permitir que el administrador conceda privilegios de root limitados a otros usuarios y registrar su actividad. Si bien sudo tiene una buena cantidad de años, casi tres décadas, se hizo popular hace mucho menos tiempo gracias a Ubuntu. Esta distribución usa sudo de manera predeterminada. Cuando se instala la distribución, se crea un usuario que actuará como “power user”: cada vez que se deba realizar una tarea administrativa se deberá ingresar la contraseña de este usuario calificado. El usuario tendrá además un tiempo de gracia para ejecutar comandos administrativos en la misma terminal.

El archivo de configuración es /etc/sudoers, y una línea típica dice algo así:

¿Qué usuario? ¿Dónde? ¿Cómo qué usuarios? ¿Qué comandos?

Además, se pueden definir alias de usuarios, de usuarios ejecutores, de hosts y de comandos.

User_Alias     DBMASTER = sergio

User_Alias      RANGER = sergio

Runas_Alias    DB = mysql,root

root    ALL=(ALL) ALL

DBMASTER pulperia=(DB) /etc/init.d/mysqld,/usr/sbin/mysql*

RANGER pulperia=(ALL) /usr/bin/tail /var/log/messages,/sbin/reboot,\
/sbin/halt,/sbin/poweroff

Repartiendo el poder: ACLs al estilo POSIX

Recordemos que el esquema en Linux tradicional es UGO (user, group, others)

• Cada archivo y cada proceso tiene un único usuario dueño
• Cada archivo y cada proceso tiene un único usuario

Las ACLs al estilo POSIX en Linux se aplican al sistema de archivos y a procesos y permiten extender el enfoque arriba mencionado. De este modo, cada archivo puede contener más de un usuario dueño y/o más de un grupo dueño.

Para sacar provecho de las ACLs es necesario que el sistema de archivos sobre las cuales se quiere aplicar tenga soporte para las mismas.

UUID=831727be-3460-455e-bd1e-200231b2fb84 / \
ext2    relatime,errors=remount-ro,acl,user_xattr 0

Una vez aplicados los cambios, además de los conocidos comandos chmod y chown se pueden usar los comandos setfacl y getfacl.

El comando setfacl permite definir y/o agregar usuarios y permisos.

setfacl -m u:prueba:rw file2

Luego ejecutando ls -l file2 puede informarnos si el archivo tiene acls:

-rw-rwx—+ 1 sergio sergio 0 2008-06-29 18:51 file2

Sin embargo, el comando getfacl es mucho más informativo:

sergio@coldplay:~/testdir$ getfacl file2

# file: file2

# owner: sergio

# group: sergio

user::rw-

user:prueba:rw-

user:burrufini:rwx

group::r-x

group:users:r-x

mask::rwx

other::---

El archivo tiene un dueño (owner) que es sergio, y dos copropietarios (named users) es decir, prueba y burrufini. Asimismo, tiene un grupo dueño que es sergio y un grupo copropietario (named group) que es user. Las máscara (mask) es muy importante ya que pone límite a los permisos de los usuarios copropietarios del grupo propietario y de los grupos copropietarios.

La máscara también se configura con setfacl:

sergio@coldplay:~/testdir$ setfacl -m mask:r-x file2

sergio@coldplay:~/testdir$ getfacl file2

# file: file2

# owner: sergio

# group: sergio

user::rw-

user:prueba:rw-                 #effective:r--

user:burrufini:rwx              #effective:r-x

group::r-x

group:users:r-x

mask::r-x

other::---

Notar lo siguiente:

sergio@coldplay:~/testdir$ chmod g+rw file2

sergio@coldplay:~/testdir$ ls -l file2

-rw-rwx---+ 1 sergio sergio 0 2008-06-29 18:51 file2

sergio@coldplay:~/testdir$ getfacl file2

# file: file2

# owner: sergio

# group: sergio

user::rw-

user:prueba:rw-

user:burrufini:rwx

group::r-x

group:users:r-x

mask::rwx

other::---

Esto quiere decir que al ejecutar chmod para cambiar los permisos del grupo, en realidad se cambiaron los permisos de la máscara. Por lo tanto al usar acls para cambiar o definir los permisos del grupo dueño se debe usar el comando setfacl (setfacl -m group::permisos archivo).

Pero con las acls se puede hacer algo más: se pueden definir que permisos tendrán los archivos creados en un directorio:

sergio@coldplay:~/testdir$ setfacl -m g:users:rw- pepe

# file: pepe

# owner: sergio

# group: sergio

user::rwx

group::r-x

group:users:rw-

mask::rwx

other::---

default:user::rwx

default:group::r-x

default:group:users:r-x

default:mask::r-x

default:other::---

Es importante recordar que en el caso de los archivos (no directorios), no importa que permisos se establezcan por defecto, siempre se aplica el limitante de lectura-escritura como permisos máximos para todos los usuarios, dicho de otra manera, nunca se creará por defecto un archivo con permiso de ejecución habilitado.

Artículos Técnicos | 0 Comments »

Volúmenes lógicos

3. June 2008 admin

LVM, la implementación de volúmnes lógicos, sirve para flexibilizar el manejo de particiones y entre otras cosas más para crear instantáneas que pueden usarse con xen.

Para crear un LVM es necesario crear 1 o más PVs (volúmenes físicos). Un PV puede ser la partición de un disco. Uno o más PVs conforman un VG (grupo de volúmenes). Una vez conformado un VG se puede particionar tal como si fuera un disco tradicional. En este caso cada partición es llamada volúmen lógico (LV).

Algunas herramientas de LVM

• pvcreate: Crea volúmenes físicos
• vgcreate: Crea un grupo de volúmenes
• vgchange: Sirve para modificar los atributos de un grupo de volúmenes, por ejemplo para  activar o desactivarlo.
• vgreduce: Elimina volúmenes físicos.
• vgextend: Agrega volúmenes físicos a un grupo de volúmenes
• lvcreate: Crea un volúmen lógico
• lvextend: Sirve para expandir un volúmen lógico, si se usa ext3, luego hay que usar la herramienta resize2fs. Se puede usar con con el sistema de archivos correspondiente montado.
• lvreduce: Sirve para achivar un volumen lógico, previamente si usa ext3 hay que usar el comando resize2fs indicando un tamaño coherente con lo que se indica on lvreduce. Por lo que entiendo no puede usar con el sistema de archivos montado
• Las herramientas vgdisplay, pvdisplay, y lvdisplay muestran respectivamente información de grupos de volúmenes, volúmenes físicos y volúmenes lógicos.
• lvs: Muestra información resumida de todos los volúmenes lógicos.
• lvrename: Sirve para cambiarle el nombre a un volumen lógico.

Las líneas en /etc/fstab correspondientes a volúmenes lógicos puede verse así:

/dev/vboxes/mercurio        /mercurio        ext3    defaults    1 2

/dev/vboxes/venus        /venus        ext3    defaults    1 2

/dev/vboxes/marte        /marte        ext3    defaults    1 2

Si bien existen herramientas gráficas, es conveniente conocer los comandos subyacentes.

Artículos Técnicos | 0 Comments »

Lack of communication

19. May 2008 admin

Some time ago, I’ve found the atypical fashion of managing permissions. In my job, I was trying to make SecureW2 – a software that provides TTLS to Windows systems – works on Windows Vista. During about a month I was breaking my head against the wall, trying to figure out why on most laptops SecureW2 was failing.

It’s ok, I must admit that I don’t like Windows. At home I use Linux, at work most of the time I use Linux too. You can say that I am a stupid when I tell you why SecureW2 was not working on Vista. SecureW2 was not working because most of users run software as a non-privileged user. So the solution was to click with right button of mouse and then clic in Run as administrator…

What a weird way of security approach, but the worst to me is the strange way of communicate to users. If an action needs more privileges, I thing the right thing is tell the problem to the user and not depend of telepathy. Because of this, I like so much Linux. Linux it’s not a perfect OS, but it tell you when you must run either root or take more privileges.

Artículos Técnicos | 0 Comments »