lunes, 8 de septiembre de 2008

Xornadas Software Libre Rianxo

El pasado sábado 6 de Septiembre, Kutus y yo nos fuimos a Rianxo.Salimos a las 08:45 y después de 130 km a eso de las 10:00 llegamos a la Casa da Cultura-Cuartel Vello.Asistimos a las Xornadas de Software Libre.La opinión general fue muy positiva.En primer lugar,presentaron RianxoSenCabos, una iniciativa que ya está en marcha, y que pretende crear una wifi libre en el Concello de Rianxo y alrededores.Eché en falta alguna diapositiva y alguna foto.Después Mister Brenlla no deleitó con sus ya famosas charlas de evangelización.Pasión por el software libre y alguna que otra risa(lo del Rey León fue buenísimo).Más tarde Pedro Silva nos presentó Blogaliza, un espacio para blogs galegos.Charló un poco sobre las características del site,hardware, tecnologías y demás.A mi modo de ver, la charla sobre "El uso de patrones y estándares" a cargo de Claudio Filho de broffice.org fue la mejor.Muy amena y divertida, con vídeos y diapositivas curradas.
En fin, una gran jornada de software libre.Esperemos que se repita para el próximo año.

Que bueno que vinite!

Hola! Casualidades de la vida.Resulta que introduzco en google.es kvm+debian y comienzo a repasar los resultados.En quinto o sexto lugar aparece linux-os.com.ar. Leo el artículo de KVM y me fijo en la sección de links.Siempre se puede encontrar algún RSS interesante al que suscribirse.Resulta que enlazan este humilde y aburrido blog.Gracias! Es gratificante, saber que por lo menos, existe gente a la que le puede interesar lo que escribo.

viernes, 5 de septiembre de 2008

Mis razones por las que no usar MVS

En 2006, Microsoft creó Virtual Server Enterprise Edition como descarga gratuita para competir con los programas de virtualización, VMware y Xen.Personalmente me resulta penoso que tuviesen que esperar a que VMWare se consolidase y a que naciese Xen y demás para darse cuenta de que aún no tenían nada con lo que competir.Lo que es más terrorífico es que a estas alturas, después de joder Xenix intentando meter la mano en un mundo Unix,y después de su alianza con Novell-SuSE, piensen que gratis es igual que libre.
Microsoft Virtual Server es un Software, Xen por ejemplo, se integra en el núcleo de GNU/Linux.Entre sus características destacan:consumo excesivo de recursos(clásico en Sistemas Microsoft), inestabilidad bajo ciertas condiciones de contorno, despliegue y ejecución lentos, virtualización dificultosa o imposible de algunos entornos derivados de UNIX. Su código es propietario.
Aunque Virtual Server 2005 R2 puede funcionar en procesadores x64, no puede crear sistemas operativos virtuales que requieran procesadores x64(Debian AMD-64, o Red Hat EL x86_64).También permite usar SMP, pero no virtualizarlo (no permite el uso de más de una CPU por sistema operativo virtual). Lo que significa que aunque Virtual Server 2005 R2 puede funcionar en procesadores de varios núcleos, la máquina virtualizada sólo podrá tener un procesador
Para finalizar, si tuviese que elegir, nunca virtualizaría un sistema Windows, ya que como s.o su rendimiento en relación al coste y al hardware necesario es penoso...el tema de la virtualización asusta.(Lo digo en serio).Pero, en el remoto caso de que me lavasen el cerebro en plan La Naranja Mecánica y tuviese que eligir, repito, poco probable, elegiría VMWare. ¿Por qué? Que lleven 10 años en el ajo me da algo más de confianza.Por cierto, las instrucciones en VMWare,Xen y demás se hacen directamente al hardware,en MVS , Virtual PCs y demás son llamadas al sistema operativo anfitrión.

Cada vez más friki

Hace tiempo que conozco ethtool; lo que desconocía es que puedes enviar impulsos eléctricos para identificar qué interfaz de red corresponde con el nombre que asigna el S.O GNU/Linux.

Probad esto y mirad el led de vuestra interfaz de red.
[root@satriani] ethtool -p eth0 5

martes, 2 de septiembre de 2008

Respuesta a dos grandes preguntas!

Muchas gracias por responder a mi post. La verdad es que este blog parece un monólogo. Procedo a postear mi respuesta, esperando “resolver” alguna duda. Ante la primera pregunta :”¿el hecho de cachear tanta pagina para acelerar la navegación no puede proveer errores de seguridad?”, respondo.

Considero que esta mal formulada, ya que proveer es sinónimo de suministrar o facilitar. Un software de proxy-cacheo es un elemento más de seguridad en una LAN-WAN, en ningún caso lo contrario; salvo aquellos que estén mal administrados y/o configurados. Una de las características de un proxy es el anonimato, es decir, hacer creer a quién nos sirve el fichero(.htm,.jpeg,.iso...etc) que es una única máquina la que realiza las peticiones. El proxy, dedice, en base a parámetros de configuración o listas de control de acceso(ACLs), como por ejemplo ip_origen o tipo_fichero si ese fichero se debe entregar desde la caché de la maquina o actualizar el contenido de la misma con una versión posterior en el tiempo.

Históricamente, los proxies eran uno de los principales objetivos a la hora de ejecutar un ataque. Fundamentalmente por una mala configuración en sus listas de control de acceso, y permitir conexiones desde la WAN hacia la LAN. Squid es el software proxy que conozco, utilizo y administro, y hasta hoy, salvo errores garrafales que explicaré en otro post, su rendimiento y sus niveles de seguridad son excelentes.

Evidentemente pueden aparecer vulnerabilidades en el diseño del software en sí y en la configuración del sistema, sobre todo a la hora de definir el espacio de la caché en disco,permisos y demás[cache_dir, coredump_dir] pero considero que este tipo de software requiere de la figura de un Administrador de Sistemas con cierta experiencia.

En respuesta a la segunda pregunta,comienzo del mismo modo que la anterior; reformulo la pregunta : ¿qué herramientas y técnicas utilizas para blindar el proxy?.

Fundamentalmente las divido en tres.
Nivel de Sistema Operativo.

Kernel: Compilación siempre, entre otras cosas para agilizar el sistema y por ejemplo,evitar dar soporte a sistemas de ficheros innecesarios: FAT,NTFS,XFS...etc.

Software: Compilar siempre la última versión estable. Uso Debian GNU/Linux , y basta con configurar las preferencias de apt y apt-build, para optimizar y securizar a niveles aceptables tus paquetes de Software.

Nivel de Red:

Acceso Externos: Si hay que acceder a la máquina,siempre por SSH generando juegos de llaves que impidan a los más ilusos acceder al Sistema. Evidentemente acceso como root ni de broma. Jugar un poco con sudo nunca viene mal.

Firewall: En el 99% por ciento de la instalaciones, Squid va de la mano con Iptables, como mínimo con reglas DROP para INPUT y FORWARD, logeando acceso externos(-j LOG –log-prefix), para extraerlos con un simple script en bash o con, por ejemplo el fwanalog. Utilizo mucho portsentry que añade reglas DROP a iptables para proteger la maquina de nmappers principiantes y demás curiosos.

ACLs: Controles horarios,control de origenes y destinos por IP,fichero...existen tantas combinaciones!

Autenticación :OpenLDAP y Squid se entienden muy bien.Con NCSA lo mismo, pero digamos que al tratarse de auth local, no se recomienda. Nunca lo he probado con Active Directory.