rss.xml

<?xml version="1.0" encoding="utf-8"?>
<?xml-stylesheet type="text/xsl" href="assets/xml/rss.xsl" media="all"?><rss xmlns:atom="http://www.w3.org/2005/Atom" xmlns:dc="http://purl.org/dc/elements/1.1/" version="2.0"><channel><title>hydrosIII</title><link>https://hydrosiii.github.io/</link><description>Pensamientos variados sobre tecnología y otros temas</description><atom:link type="application/rss+xml" rel="self" href="https://hydrosiii.github.io/rss.xml"></atom:link><language>es</language><lastBuildDate>Mon, 25 May 2015 08:26:47 GMT</lastBuildDate><generator>http://getnikola.com/</generator><docs>http://blogs.law.harvard.edu/tech/rss</docs><item><title>Debian con Gr-security y el proyecto Mempo.</title><link>https://hydrosiii.github.io/posts/debian-con-gr-security-y-el-proyecto-mempo.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Recientemente, empezé a preocuparme más por la seguridad de los sistemas ya que, me he dado cuenta de que en general internet es un lugar bastante hostil.
Debido hace poco  a la vulnerabilidad Ghost, me preocupe por el estado del sistema cuando se trata con bugs aún no descubiertos por lo que una cosa
prudente en un servidor abierto a internet es configurar la seguridad preventiva.&lt;/p&gt;
&lt;p&gt;Ahora bien, Debian tiene muchas herramientas de seguridad que se pueden instalar facilmente desde los repostiorios oficiales como Selinux o Apparmor, pero
si se quiere algunas cosas no tan oficiales pues es un poco dificil encontrarlas. En este caso yo estaba buscando instalar el Kernel Gr-Security en Debian&lt;/p&gt;
&lt;p&gt;Gr-security y Pax son una serie de parches al kernel linux que protegen contra posibles vulnerabilidades en el kernel y que además brindan un sistema parecido a Selinux
o Apparmor. Lo mas interesante del kernel grsecurity es que protege contra los desbordamientos de memoria, que de vez en cuando se encuentran en el kernel. Así protege
que cada uno de los programas no se "salten" a donde no deben, debido a bugs en el código. Lo mejor es que esto es implementado sólo con el hecho de correr el kernel
Gr-security, que además es compatible "out of the box" con casi todas aplicaciones. Digo casi todas por que en realidad Gr-security interfiere con la capacidad del
kernel de usar Apparmor, por lo que si usamos Appramor para securizar Debian, es mejor pensar antes de instalar dicho kernel. Lo positivo es que Gr-security posee su
propia implementación de RBAC, parecida a Apparmor y fácil de usar, por lo que en realidad no se pierde y se gana mucho al instalar este kernel. Ahora bien,
siempre cabe la posibilidad de que algunas cosas fallen debido a la implementación del kernel, sobretodo si son programas que implementan funciones en las cosas que
modifica Gr-security, por lo que si se está corriendo cosas como Docker o linux containers, hay que tener cuidado antes de implementar dicho kernel. Yo no uso ninguna de estas dos tecnologías en los servidores con Gr-security, al menos por ahora, por lo que no sé si son afectadas por los parches Gr-security, pero aconsejo precaución. En cualquier otro caso Gr-security será una capa más en la cebolla de la seguridad.&lt;/p&gt;
&lt;p&gt;Hay dos formas de instalar el kernel Gr-security, la primera es bajar el kernel vanilla, parcharlo con los parches disponibles en: http://grsecurity.net/ o en Debian
https://packages.debian.org/wheezy/linux-patch-grsecurity2. Ahora parchar y compilar un kernel no es algo que se puede explicar en un artículo tan corto.
Pero este procedimiento no es tan complicado, tiene sus ventajas y desventajas:&lt;/p&gt;
&lt;p&gt;Desventajas:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;El uso del CPU durante la compilación es mucho, por lo que no es viable compilar el kernel en un servidor en producción. Esto se puede resolver compilando el kernel
en una maquina de escritorio o similar y después subiéndolo aunque se cae en el riesgo de caer en incompatibildades.&lt;/li&gt;
&lt;li&gt;Podría haber problemas de incompatibildad en los drivers del nuevo kernel y el antiguo, sobretodo si se está compilando una version diferente.&lt;/li&gt;
&lt;li&gt;Es dificil saber que drivers incluir, la mayoría de los kernels incluyen todos los drivers como módulos cargables, por lo que copiando la configuración por defecto
debería de funcionar, pero requiere de cierta experiencia.&lt;/li&gt;
&lt;li&gt;Si aparece una vulnerabilidad grave en el kernel y es neceario cambiarlo, habrá que hacer todo el proceso de nuevo, por lo que es más comodo usar un repositorio.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Ventajas:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Se puede compilar el kernel sin módulos por seguridad, aunque esto requiere de experiencia y saber para que sirve cada uno, ya que es fácil romper cosas. Por ejemplo
se puede deshabilitar el soporte ipv6, cuando no se use.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Lo más facil somo se vió es usar paquetes precompilados puestos a nuestra disposición por el proyecto Mempo, a traves de sus repositorios.&lt;/p&gt;
&lt;p&gt;se puede usar paxtest para probar la protección del kernel, este
en Debian solo esta disponible para i386, yo sólo para probar baje el
paquete 64 bit de arch linux, lo descomprimí ya que es solo un script en
bash y ejecutables compilaodos en c e instale manualmente los ficheros,
usando cp , este seguramente no es muy buen método, pero me fue
imposible construir el paquete Debian de paxtest, creo que es por esto
que no hay versión 64 bits de este. Una vez "instalado" paxtest podemos
hacer las pruebas de protección del kernel.&lt;/p&gt;
&lt;p&gt;Hay que tener mucho cuidado con el logueo del kernel gr-security ya que como viene instalado loguea todos los eventos del sistema, abarrotando rapidamente la partición de log del sistema. Esta opción es configurable.&lt;/p&gt;
&lt;p&gt;&lt;a href="http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options"&gt;http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;Notas:&lt;/p&gt;
&lt;p&gt;No se porque el repo de Mempo esta abajo desde hace un buen rato, por lo que no se si el proyecto continua con vida. Antes se encontraban en essta web. http://deb.mempo.org/&lt;/p&gt;
&lt;p&gt;Aún se puede encontrar una página aquí:&lt;/p&gt;
&lt;p&gt;&lt;a href="https://rawgit.com/mempo/mempo-websites/master/mempo-main/html/index.html"&gt;https://rawgit.com/mempo/mempo-websites/master/mempo-main/html/index.html&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;Aquí se encuentra la web el proyecto, peor su principal dirección esta caida junto con sus repos. Ahí informa que tiene repos en freenet para evitar este tipo de cosas, pero no me puesto a investigar si realmente sirven. Parece ser que su dominio venció o algo por el estilo pero los repos ya no funcionan.&lt;/p&gt;
&lt;p&gt;Se pueden encontrar builds del kernel gr-security aquí:&lt;/p&gt;
&lt;p&gt;&lt;a href="http://molly.corsac.net/~corsac/debian/kernel-grsec/packages/"&gt;http://molly.corsac.net/~corsac/debian/kernel-grsec/packages/&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;Espero que el proyecto Mempo no haya muerto y no pase de un nombre de dominio caducado. Entre al IRC y no obtuve respuesta respecto a esto, pero al menos había gente. Si alguién leyendo esto sabe del estado del proyecto, peude dejar un comentario.&lt;/p&gt;
&lt;p&gt;Mas info:
&lt;a href="https://wiki.debian.org/grsecurity"&gt;https://wiki.debian.org/grsecurity&lt;/a&gt;&lt;/p&gt;&lt;/div&gt;</description><guid>https://hydrosiii.github.io/posts/debian-con-gr-security-y-el-proyecto-mempo.html</guid><pubDate>Mon, 25 May 2015 13:19:40 GMT</pubDate></item><item><title>Usar docker en Debian Jessie</title><link>https://hydrosiii.github.io/posts/usar-docker-en-debian-jessie.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Hace poco instalé un servidor Debian para producción, entre otras cosas usé docker para facilitar la configuración de algunas cosas,
y para probar algunos contenedores sin tener que instalar todas las dependencias. Docker en el momento que escribo esto, aún no llega a Debian Jessie.&lt;/p&gt;
&lt;p&gt;Docker es un proyecto que surgió a partir de LXC (contenedores linux) para automatizar y facilitar el deployment de aplicaciones. Su concepto es crear contenedores de aplicación con todas las dependencias incluidas. Para quien sepa un poco del tema, estos son una especie de microsistemas, un chroot con esteroides, en donde las aplicaciones tienen un entorno ideal para funcionar.&lt;/p&gt;
&lt;p&gt;Desde su lanzamiento el proyecto docker ha contado con el entusiasmo de grandes compañias y su proceso de desarrollo es muy acelerado. Incluso se ha creado una distribución Linux sólo para la gestión de contenedores como es CoreOS. Otras distros que intentan automatizar todo mediante docker y de hecho cambiar la manera en que son vistos los sistemas operativos son Red Hat Atomic, y Snappy Ubuntu. El proyecto docker es una de las promesas que promete revolucionar la arquitectura de los sistemas operativos, y tiene muchas ventajas, aunque por ahora sigue en constante desarrollo, y no se ve todavía tanto en la producción. Aunque hay compañias que ya ofrecen servicios relacionados con docker.&lt;/p&gt;
&lt;p&gt;Debian Jessie ya es la nueva versión de Debian estable y docker estaba en las repos de Debian en el pasado sólo que el mantenedor del paquete decidió sacarlo ya que el ciclo de desarrollo era muy rápido  por lo que no se podía mantener una versión estable en Debian, es por eso que se planea incluirlo en el repositorio backport de Jessie tan pronto como este disponible.&lt;/p&gt;
&lt;p&gt;Por ahora si queremos usar docker en Debian Jessie es fácil, solo hay que seguir las instrucciones que vienen para ubuntu.&lt;/p&gt;
&lt;pre class="code literal-block"&gt;curl -sSL https://get.docker.com/ | sh
&lt;/pre&gt;


&lt;p&gt;Nota: Esto sólo lo probé en Jessie, pero debería de funcionar en Wheezy, si estás usando un kernel superior al 3.13&lt;/p&gt;
&lt;p&gt;Con eso debería de bastar para que docker esté instalado en nuestro sistema. Una nota, Debian Jessie por defecto usa Systemd,Ubuntu Trusty usa upstart, así que el manejo de los contenedores en Debian se hace difernete. En mi caso quité systemd y use Sysvinit. Se puede usar Runit para automatizar el lanzamiento de contenedores en Debian.&lt;/p&gt;
&lt;p&gt;Pueden seguir el thread sobre docker en Jessie, aquí:&lt;/p&gt;
&lt;p&gt;&lt;a href="https://lists.debian.org/debian-release/2015/03/msg00685.html"&gt;https://lists.debian.org/debian-release/2015/03/msg00685.html&lt;/a&gt;&lt;/p&gt;&lt;/div&gt;</description><guid>https://hydrosiii.github.io/posts/usar-docker-en-debian-jessie.html</guid><pubDate>Mon, 25 May 2015 12:35:08 GMT</pubDate></item><item><title>Redes sociales alternativas</title><link>https://hydrosiii.github.io/posts/redes-sociales-alternativas.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Después del año 2000 el Internet pasó de ser un espacio descentralizado utilizado por pocas personas, a ser difundido de manera mundial y usado para múltiples propósitos con   una centralización creciente y pocas empresas concentrando gran parte de las visitas de Internet. Va en aumento el número de horas que pasamos en Internet, cada vez se vuelve una parte importante de nuestra vida.&lt;/p&gt;
&lt;h5&gt;Facebook .&lt;/h5&gt;
&lt;p&gt;En el 2004 Marck Zuckerbeg lanzó Facebook, en sus inicio una red social privada para estudiantes de Harvard pero que se abrió   a todo el mundo en el 2006. Este pronto llegó a nuestro país, y es ahora una de los sitios con mayor número de usuarios. &lt;/p&gt;
&lt;p&gt;En pocos años Facebook se constituye en una empresa multimillonaria y que concentra gran parte de la información confidencial de los usuarios.  No fue la primer Red Social, pero es ahora una de las mas grandes. Facebook se ha vuelto parte de la vida diaria. &lt;/p&gt;
&lt;h5&gt;Twitter.&lt;/h5&gt;
&lt;p&gt;Fue creado en 2006 por Jack Dorsey como una red social de rápida interacción bajo el concepto de microblogging, limitando la información enviada por el usuario en un tweet a 140 caracteres, y varias fotos  o un video. Es ahora una de las plataformas de comunicación mas usadas mundialmente. &lt;/p&gt;
&lt;p&gt;Estas dos empresas ambas con sede en Estados Unidos hoy concentran gran parte del tráfico de internet y han adquirido tal importancia que muchas de las campañas de marketing de empresas, partidos políticos, individuos e instituciones se hacen a través de estas redes. Es importante destacar que  estas redes también han potenciado varios movimientos sociales como los de la primavera árabe o el movimiento 132 en México, por lo que sus usos no se ven limitados al marketing o interacción social diaria.&lt;/p&gt;
&lt;h5&gt;Redes sociales descentralizadas.&lt;/h5&gt;
&lt;p&gt;El problema está en que  gran parte de los datos personales de los usuarios es controlada por una empresa y depende de la utilización que esta pueda hacer de ellos. Para ser precisos si se tiene un perfil en Facebook los datos van a a dar al centro de datos en Palo Alto California, donde están sujetos a las leyes y jurisdicción estadounidenses. Edward Snowden desaconseja el uso de estas redes sociales debido a los problemas de privacidad seguridad y vigilancia que estas implican. Otro problema se encuentra en la censura y control de la información propiciadas por la  política de uso que las empresas imponen a estas redes sociales.&lt;/p&gt;
&lt;p&gt;Como respuesta a esto han surgido varias iniciativas para combatir la centralización de datos, se han creado una serie de redes sociales alternativas, que aspiran a ser descentralizadas y hechas con software libre, de igual manera que el correo electrónico. De esta manera mediante el uso de un protocolo común todos los usuarios podrán tener su información en el servidor que ellos elijan, en el cual confíen o inclusive tener su información en una computadora-servidor en su propia casa. Esta es la idea detrás de iniciativas como Gnu/Social y Diaspora. Redes sociales descentralizadas que buscan combatir los problemas generados por las redes sociales centralizadas.&lt;/p&gt;
&lt;p&gt;La ventaja sobre de la descentralización sobre la centralización, es sobretodo que cada una de estas plataformas forman una red de servidores, los cuales no son susceptibles de apropiación empresarial o de explotabilidad de los datos personales de los usuarios con fines de mercado o de investigación, otorgando un mayor control y privacidad al usuario sobre sus datos. También la estructura misma de las redes las hace poco propensas a la censura o caídas del sistema,  ya que aunque los nodos en particular pueden caer, es poco probable que toda la red caiga.&lt;/p&gt;
&lt;p&gt;Otro concepto clave de estas redes es que son de código libre, por lo que su código es revisado en busca de agujeros de seguridad  para saber que hace el código con los datos del usuario, además de ser modificable por los usuarios con conocimientos pertinentes. Entre las principales redes sociales alternativas se encuentran:&lt;/p&gt;
&lt;p&gt;&lt;a href="https://diasporafoundation.org/"&gt;Diaspora&lt;/a&gt; es una iniciativa creada  por varios estudiantes del &lt;em&gt;New York University's Courant Institute of Mathematical Sciences&lt;/em&gt; , aunque pronto pasó a ser desarrollada por su comunidad de usuarios. Se despliega a través de pods es decir  servidores autónomos en los que los usuarios pueden registrarse y comunicarse con toda la red Diaspora u otras redes sociales. Actualmente se puede encontrar la lista de pods con espacio disponible &lt;a href="http://podupti.me/"&gt;aquí&lt;/a&gt;.  Otra alternativa a Diaspora es &lt;a href="http://friendica.com/"&gt;Friendica&lt;/a&gt; que se haya en un estado de desarrollo más avanzado, con una lista de pods disponibles &lt;a href="http://dir.friendica.com/siteinfo"&gt;aqui&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;También existe la posibilidad de poner tu propio pod. Hay que destacar que estas dos redes sociales, son de código totalmente libre, lo que permite a los usuarios instalarlas en su propia computadora y modificarlas a gusto.&lt;/p&gt;
&lt;p&gt;Otras redes sociales descentralizadas, son &lt;a href="https://hydrosiii.github.io/posts/gnu.io"&gt;Gnu/Social&lt;/a&gt; y Pump.io.  Gnu/social está auspiciada por la Free Sfotware Foundation en Estados Unidos, y puede adquirir diversas formas. Se puede formar una plataforma parecida a Facebook, o puede adoptar la forma de una plataforma de microblogging parecida a twitter, llamada &lt;a href="https://hydrosiii.github.io/posts/quitter.se"&gt;Quitter&lt;/a&gt;. &lt;/p&gt;
&lt;p&gt;Es de destacar también el objetivo no lucrativo de estas redes sociales, ya que por lo general los pods no están implementados por empresas sino por fundaciones o colectivos de hackers. EL objetivo último de estas redes sociales, no es encerrar a los usuarios en sitios particulares, sino que se está trabajando en un protocolo de comunicación común, para que el usuario pueda comunicarse con otros usuarios en otros pods o en otras redes (Un usuario de Diaspora se comunique con un usuario de Friendica y de Gnu/social), todo esto para evitar el encierro o la dependencia tecnológica en una organización o empresa y aumentado las ventajas de la descentralización. Esto ya es viable en varias de estas redes sociales, permitiendo comunicarse incluso con un perfil de Facebook  o Twitter. En un futuro se está pensando la implementación de herramientas de encriptación como GPG,  ya usada ampliamente en el correo electrónico para garantizar la privacidad de las comunicaciones.&lt;/p&gt;
&lt;p&gt;Hasta ahora, el número de usuarios de estas redes es limitado, pero con el Internet volviéndose un lugar cada vez más hostil para la privacidad, es importante pensar en estas redes como alternativa, y tener mucho cuidado con los datos personales dejados en la web. &lt;/p&gt;&lt;/div&gt;</description><guid>https://hydrosiii.github.io/posts/redes-sociales-alternativas.html</guid><pubDate>Fri, 20 Feb 2015 19:25:40 GMT</pubDate></item><item><title>Reflexiones sobre el modelo de seguridad y distribución de Debian, Openbsd y otros sistemas operativos.</title><link>https://hydrosiii.github.io/posts/reflexiones-sobre-el-modelo-de-seguridad-y-distribucion-de-debian-openbsd-y-otros-sistemas-operativos.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Anteyer, en la lista de seguridad de Debian se anunció el fin del 
soporte de seguridad para chromium, ya que es imposible construir las 
nuevas versiones de chromium, con los compiladores disponibles en Debian 
Wheezy. Esto es indicador de varias cosas, en primer lugar: Wheezy se 
empieza a quedar viejo, se aproxima el fin de su ciclo de vida. En 
segundo lugar google publica nuevas versiones de chromium demasiado 
pronto sin preocuparse por la compatibilidad reversa.&lt;/p&gt;
&lt;p&gt;Para los usuarios que usan chromium, se recomienda dejar de usarlo y 
preferir un navegador como iceweasel, que aún tiene soporte de 
seguridad. Si es posible, desintalarlo del todo del sistema. Ahora bien, 
¿Qué tan peligroso puede ser seguir usando chromium?, la verdad no
mucho, al menos por ahora, sin embargo aunque a nivel personal no 
implique mucho riesgo, si puede implicarlo en una organización con miles 
de computadoras corriendo chromium.&lt;/p&gt;
&lt;p&gt;Inmediatamente algunos voluntarios están proponiendo soluciones para ver 
si es posible paliar esto.&lt;/p&gt;
&lt;p&gt;Todo esto me lleva a una reflexión más sobre los modelos de seguridad de 
cada uno de los sistemas operativos, y que es lo que esto implica. &lt;/p&gt;
&lt;p&gt;Hace poco acabo de instalar mi primer sistema Openbsd, en una maquina 
vitual, me impresiono la política de distribución que tienen para su 
sistema. Sacan una nueva versión cada seis meses y sólo le dan soporte 
de seguridad a las dos últimas versiones, lo que significa que el soporte 
dura cuando mucho un año. Un año!!!!!, y en el mundo Gnu/linux nos 
quejamos cuando una distribución dura 6 meses, como sería el caso de 
Fedora, mas o menos.&lt;/p&gt;
&lt;p&gt;Pero la pregunta es ¿Por que Theo De Raadt y el equipo de OpenBSD decidió esta política de funcionamiento? Según las 
palabras de la página de OpenBSD, pues simplemente por que ellos no 
creen en la compatibilidad binaria reversa. Como un sistema BSD más 
parecido a UNIX, se instala todo desde repositorios oficiales o de plano 
se compila usando el sistema de ports. Los paquetes viejos y no 
mantenidos salen de la distribución, asi como el código fuente 
defectuoso y no compilable. Esto desde luego crea un entorno por si 
mismo hostil hacia el código fuente mal escrito y no mantenido que 
refuerza la seguridad total del sistema. La consecuencia secundaria es 
obvia: fuera aplicaciones viejas de Openbsd, olvidate de usar programas 
precompilados viejos, con vulnerabilidades de seguridad y otras cosas 
peores. Obviamente el software instalable se restringe a software con código fuente libre
y con licencia compatible BSD, lo que vuelve auditable el sistema entero.&lt;/p&gt;
&lt;p&gt;Como comparación tenemos distribuciones LTS como Debian que 
implementan unas aplicaciones estables, parches de 
seguridad, además de un cómodo repositorio backports, donde se 
encuentran las aplicaciones nuevas. Es posible hacer funcionar  a veces los programas 
de anteriores versiones de Debian o incluso de Ubuntu. Además de que el soporte extendido permite que estas distribuciones sean 
usadas para servidores y entornos mas estables, ya que no hay que estar 
cambiando tan seguido.&lt;/p&gt;
&lt;p&gt;Pero la cuestión es esta: si el modelo de desarrollo más seguro es el de 
OpenBSD, basada más en código fuente. ¿Por que este no es mas 
implementado en servidores?. No es que no se utilize, pero su uso se 
limita más a routers y firewalls. El argumento a favor de este modelo es 
que es más facil gestionar el cambio si este es hecho poco a poco, es decir que es mucho más facil actualizar un 
sistema cada 6 meses, y corregir los pocos errores que surjan que 
migrar un sistema de 10 años de antigüedad, como por ejemplo Centos o 
Red Hat. En estas distros su modelo de distribución está basado 
en: (Pensamiento de un sysadmin vago) A ver a quien le toca actualizar esto en 10 años, espero no ser yo.&lt;/p&gt;
&lt;p&gt;Ahora, Debian se halla entre esos dos extremos por lo que pienso que su 
modelo de distribucion es ideal para servidores, aunque no tanto para 
escritorios, ya que se mueve muy rápido. Esto partiendo del supuesto de 
que los administradores de servidores son gente que sabe del tema, y que 
les toca gestionar el cambio, mientras que los usuarios "normales", lo 
único que quieren es usar un sistema que sirva. Quizá el modelo  de 
distribución para escritorio sería Centos, Ubuntu LTS o similares.&lt;/p&gt;
&lt;p&gt;Según esta premisa de la seguridad planteada por OpenBsd, deberíamos de 
usar en servidores distribuciones de corto soporte. Llevándolo un poco 
al extremo parecería que lo ideal sería usar Arch linux para 
servidores dejando a Centos o Ubuntu LTS, para los desktops y cosas no 
tan "vitales". Siguiendo con esta línea de pensamiento hay una distribución linux
que se ajusta a esta medida, Gentoo, flexible pero robusta, moderna pero estable, mas apegada al pensamiento 
BSD conservador y utilizada en servidores, aunque complicada de configurar y mantener.&lt;/p&gt;
&lt;p&gt;Pero a pesar de todos los pensamientos anteriores, la distro de facto en la empresa es Red Hat en servidores,
en el escritorio (ni a distro se llega) es Windows. Windows merece una mención aparte en el tema de la seguridad, ya que en mi opinión
se podria considerar el sistema mas inseguro de los mencionados. Tiene gran compatibilidad binaria reversa, usa programas binarios
sin código fuente auditable por años sin ningún tipo de soporte de seguridad, las actualizaciones de seguridad no actualizan todos los programas, además 
de que necesita antivirus y demás porquerias. Además claro del modelo de software cerrado que promueve, pero es por estas mismas cualidades por las 
que triunfa en la empresa (sobretodo por la compatibilidad reversa de binarios precompilados), además de que poseee un gran tiempo de "soporte". &lt;/p&gt;
&lt;p&gt;En conclusión: Como siempre, es el tema de la seguridad contra la comodidad, por un lado está el sistema operativo super seguro, OpenBSD, con código fuente 
auditable, herramientas de seguridad ultraprobadas, diseño minimalista, y acercamiento a la seguridad activa, pero con corto tiempo de soporte y no amigable 
al usuario sea este el usuario medio de PCs, o un administrador de sistemas. Por otro lado está Windows, un sistema pesado, lleno de binarios que ni sus programadores 
entienden pero que quedaron ahí para conservar la compatibilidad reversa, sin seguridad a nivel de separación de usuarios, sin soporte de seguridad para aplicaciones 
de terceros, que necesita usar antivirus, que promueve el uso de aplicaciones binarias de fuentes no comprobadas, pero eso sí, tiene una interfaz gráfica donde le 
puedes "picar" y creerte experto en computación, además de instalaciones de doble click, y cosas parecidas. Este esquema en el mundo de hoy (que ya no son los 
amigables años 90) es insostenible razón por la cual se le tienen que agregar 30 antivirus y demás cosas. &lt;/p&gt;
&lt;p&gt;Me parece que un justo medio es Debian, amigable para el usuario, cómodo para el administrador y con actualizaciones de seguridad responsables o alguna otra distro 
linux. En fin, final de la reflexión.&lt;/p&gt;
&lt;p&gt;Preguntas al aire:&lt;/p&gt;
&lt;p&gt;¿Alguién usando windows en servidores por aquí?.
¿Que tan seguro es Red Hat o Centos?
¿Hay que cambiar todos a Gentoo, FreeBSD, OpenBSD, después de ver esta situación?
¿Cuál es el lugar de MacOS en todo esto?&lt;/p&gt;
&lt;p&gt;Fuentes:&lt;/p&gt;
&lt;p&gt;http://www.openbsd.org/security.html
https://www.debian.org/security/&lt;/p&gt;&lt;/div&gt;</description><category>Debian</category><category>openbsd</category><category>seguridad</category><guid>https://hydrosiii.github.io/posts/reflexiones-sobre-el-modelo-de-seguridad-y-distribucion-de-debian-openbsd-y-otros-sistemas-operativos.html</guid><pubDate>Thu, 05 Feb 2015 04:53:03 GMT</pubDate></item><item><title>Internet, software libre y libertad de expresión</title><link>https://hydrosiii.github.io/posts/internet-software-libre-y-libertad-de-expresion.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;500 años después la imprenta y el papel se siguen utilizando, pero cada 
vez más documentos sólo son impresos de forma digital, careciendo de una 
forma física.&lt;/p&gt;
&lt;p&gt;La revolución digital convirtió a cualquier usuario de computadoras en 
un potencial escritor, fotografoo cineasta acercando el derecho a 
la libertad de expresión a las masas.&lt;/p&gt;
&lt;p&gt;Cada día lidiamos con las computadoras de forma creativa, no recuerdo 
haber escrito documentos a mano hace un buen tiempo, salvo algunas 
notas. La difusión de contenidos a través de la Web, se ha vuelto algo fundamental en el mundo 
de hoy día. Ya sea contenido escrito o multimedia, todo circula por la 
internet. &lt;/p&gt;
&lt;p&gt;Es por eso que es importante recalcar el papel que la persona tiene 
sobre la creación y difusión de los contenidos digitales.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://hydrosiii.github.io/posts/internet-software-libre-y-libertad-de-expresion.html"&gt;Leer más…&lt;/a&gt; (restan 2 minutos)&lt;/p&gt;&lt;/div&gt;</description><category>política</category><guid>https://hydrosiii.github.io/posts/internet-software-libre-y-libertad-de-expresion.html</guid><pubDate>Sat, 31 Jan 2015 06:22:43 GMT</pubDate></item><item><title>Mas vulnerabilidades en Linux: Ghost.</title><link>https://hydrosiii.github.io/posts/mas-vulnerabilidades-en-linux.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Una nueva vulnerabilidad se encontró en la libreria glibc, con la que
corren la mayoría de las distribuciones Gnu/linux. Esta es sólo una
pequeña reflexión y no un tutorial de como parchar. Curiosamente aunque
Debian corre eglibc, también fue afectado.&lt;/p&gt;
&lt;p&gt;Un buen tutorial sobre como parchar tu servidor o desktop lo puedes
encontrar aquí:&lt;/p&gt;
&lt;p&gt;&lt;a class="reference external" href="http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/"&gt;http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;En resumen, actualiza tu sistema desde los repos principales y todo
estará parchado, a menos que corras algo tan antiguo como Centos 4, en
cuyo caso, será mejor que te cuestiones por que haces algo como esto,
más si es un servidor con acceso a internet.&lt;/p&gt;
&lt;p&gt;En realidad esta vulnerabilidad se suma a la serie de bugs que se
encontraron el año pasado en software relacionado con Gnu/linux como es
heartbleed ( que en realidad afectó a todos los sistemas corriendo
Openssl), shellshock (Mac y Linux), poodle (de nuevo openssl). A
Gnu/linux le está lloviendo duro.&lt;/p&gt;
&lt;p&gt;Es sorprendente que estas vulnerabilidades son parchadas horas o
incluso minutos despues de  anunciadas por los expertos en seguridad,
como es el caso de shellshock, lo que nos habla de una buena gestión de
la seguridad. Pero también son vulnerabilidades que existían desde hace
hace años, que es lo que tienen en común.
Por lo que en realidad pudieron ser descubiertas por los hackers
Black Hat, desde hace un buen tiempo, lo que les permitiría controlar
gran parte de la web. Esto en realidad asusta. No quiero ni pensar lo
que pasa en sistemas de código cerrado como windows o Mac en donde no se
publican parches rapidamente y este proceso tarda semanas a veces, o
incluso con que tarde dias, como hizo Mac al parchar shellshock.&lt;/p&gt;
&lt;p&gt;Heartbleed por ejemplo permite tener acceso a todo la memoria de un
servidor que corra Openssl, esto en realidad hacía que la vulnerabilidad
hiciera mas inseguro al servidor si corria por ejemplo https, de que si
corría simple http. La única diferencia es que nadie sabia que estaba
ahí. Lo mismo con shellshock. Y ahora los investigadores que
descubrieron Ghost aseguran que crearon un email mediante el cual podían
obtener privilegios root y una shell!!!!! Paranoid mode enabled.!!!!&lt;/p&gt;
&lt;p&gt;Y encima de todo se viene systemd para las distros linux, que he estado
leyendo tiene algunos fallos de seguridad medio feos, sobretodo
relacionados con los logs, como este:&lt;/p&gt;
&lt;p&gt;&lt;a class="reference external" href="http://hackingthesystem4fun.blogspot.mx/2014/12/chicos-systemd-lovers-diganme-alguna.html"&gt;http://hackingthesystem4fun.blogspot.mx/2014/12/chicos-systemd-lovers-diganme-alguna.html&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;¿Que se puede hacer? Yo por lo mientras voy a empezar a aprender algo de
BSD, ya que aunque no estan flexible como linux, de repente uno tiene la
sensación de que Gnu/linux es un barco hundiéndose. Por varias cosas.&lt;/p&gt;
&lt;p&gt;BSD al menos ha esquivado Shellshock y también Ghost. Le empezaré a
echar un vistazo a OpenBSD el sistema super seguro, ya que en los
tiempos que corren (NSA vigilante) tener seguridad extra no está demás
aunque dificulte algo las cosas. Además de que de por si, internet es un
lugar hostil. Esto lo sé sólo con ver la cuenta de ataques automatizados
ssh a un servidor.&lt;/p&gt;
&lt;p&gt;Lo que menos quiero encontrarme es que mis servidores fueron hackeados
por una vulnerabildad misteriosa aún no descubierta, y que no se tiene
ni idea de como un malware entró al sistema.&lt;/p&gt;
&lt;p&gt;También sería bueno recalcar que mientras mas simple sea un sistema
es mas seguro es, por ejemplo debo recalcar que la distribución Alpine
Linux, se ha salvado de varias. Se salvo de shellshock, y de Ghost.
Gracias a que usa busybox y ulibc, pero sobretodo a que es un sistema
más simple.  Tampoco usa systemd y además usa un kernel Grsecurity y
Pax. Una buena opción, aunque no tan robusta como Debian.&lt;/p&gt;
&lt;p&gt;De los bugs de openssl nadie se salvó. Para esta libreria existe como
alternativa GnuTLS y mas recientemente Libressl.&lt;/p&gt;
&lt;p&gt;Por lo mientras a corto plazo voy poniendo PAX en mis sistemas y a largo
plazo a comenzar con BSD.&lt;/p&gt;&lt;/div&gt;</description><category>seguridad</category><guid>https://hydrosiii.github.io/posts/mas-vulnerabilidades-en-linux.html</guid><pubDate>Fri, 30 Jan 2015 06:28:54 GMT</pubDate></item><item><title>Servidor murmur en Debian parte 2 (mumble-server)</title><link>https://hydrosiii.github.io/posts/servidor-murmur-en-debian-parte-2-mumble-server.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Esta es la segunda parte del tutorial para correr el un servidor murmur
en Debian.  Aunque el tutorial anterior delineaba lo básico. Cuando
intenté cambiar algunas configuraciones empezé a tener problemas, por lo
que escribo esto a manera de notas, y por si alguien lo necesita
consultar. Trata sobre la configuración de los certificados SSL para que
nuestro servidor sea reconocido como seguro.&lt;/p&gt;
&lt;p&gt;Nota: En este artículo se utilizará mumble-server y murmurd como
sinónimos ya que son lo mismo pero por la convención de los nombres de
Debian tienen dos nombres diferentes, espero que esto no cause
confusión.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://hydrosiii.github.io/posts/servidor-murmur-en-debian-parte-2-mumble-server.html"&gt;Leer más…&lt;/a&gt; (restan 3 minutos)&lt;/p&gt;&lt;/div&gt;</description><category>Debian</category><guid>https://hydrosiii.github.io/posts/servidor-murmur-en-debian-parte-2-mumble-server.html</guid><pubDate>Mon, 26 Jan 2015 06:29:53 GMT</pubDate></item><item><title>Instalar un servidor murmur en Debian (mumble-server)</title><link>https://hydrosiii.github.io/posts/instalar-un-servidor-murmur-en-debian-mumble-server.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Este es un minitutorial sobre como instalar un servidor murmur en
Debian.
Para quien no lo sepa, murmur es el servidor de mumble, un programa que
puede sustituir a skype, para hablar con gente de lejos. Mumble fue
pensado originalmente para los videojuegos y esta diseñado par trabajar
con anchos de banda pobres, por lo que lo hace muy eficiente en cuanto a
la transmisión de audio, mucho mejor que skype.&lt;/p&gt;
&lt;p&gt;Pero la principal ventaja que yo le veo, es la seguridad que obtenemos
al correr todo esto en un servidor propio, y saltarnos la vigilancia de
compañias como google o skype. Se puede instalar en una vieja maquina
con Debian, cualquier cacharro de los 90 funciona para correr este
servidor. Igualmente una raspberry pi, o inclusive existe una version
para los routers con Openwrt. Los routers de marca linksys.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://hydrosiii.github.io/posts/instalar-un-servidor-murmur-en-debian-mumble-server.html"&gt;Leer más…&lt;/a&gt; (restan 2 minutos)&lt;/p&gt;&lt;/div&gt;</description><category>Debian</category><guid>https://hydrosiii.github.io/posts/instalar-un-servidor-murmur-en-debian-mumble-server.html</guid><pubDate>Sun, 25 Jan 2015 07:18:48 GMT</pubDate></item><item><title>Pensamientos sobre systemd</title><link>https://hydrosiii.github.io/posts/pensamientos-sobre-systemd.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Administro algunos servidores, nada grande, sin embargo leo bastante sobre lo que pasa en el mundo Gnu/linux y me tomó por sorpresa todo lo que se está dando
gracias a systemd. Tengo que admitir que systemd en Arch linux me ha corrido sin problemas, y sus tiempos de booteo son muy pequeños. Sin embargo después de haber
manejado un sistema como Debian en servidores empiezo a entender el por que de esta polémica.&lt;/p&gt;
&lt;p&gt;Systemd funciona bien en el escritorio y aunque no  tengo tanta experiencia en la administración de servidores si puedo entender que es demasiado complicado para ser
una de las partes principales del sistema, el pid 1, con la información que tengo disponible me coloco en la postura antisystemd.&lt;/p&gt;
&lt;p&gt;En general systemd debería de ser una opción más, pero de ninguna manera una imposición. Yo encuentro confuso el que este intentando usurpar funciones como las de cron
¿Que tiene de malo cron? ¿Acaso funciona mal?. También encuentro confuso lo de los logs binarios, he usado esta función dos veces en mi vida a lo mucho, pero mi
computadura de escritorio se prende y apaga todos los dias, solo corre procesos de escritorio y no la mantengo prendida meses ni dependo de ella para funciones
cruciales. Mi experiencia con systemd se limita a mi Arch linux.&lt;/p&gt;
&lt;p&gt;Una reflexión, con system V en Debian, nunca me falló nada, de hecho sólo me preocupo de este sistema a la hora del arranque, que en un servidor bien puede ser una vez
cada año, sin embargo SystemD esta ahí todo el tiempo, con su omnipresencia impuesta. Me parece triste que Gnu/linux y un proyecto comunitario como Debian hayan llegado
al extremo de una cuasi guerra civil por este programa. Tampoco me parece correcto la imposición de systemd sobre la mayoria de las distros linux.&lt;/p&gt;
&lt;p&gt;Tengo un poco de miedo al futuro ya que aposté por Debian para todos mis servidores, no se si hice bien, por ahora seguirán corriendo tranquilos, pero cuando llegue la
hora de cambiar a Jessie sentiré nervios, espero por el bien de todos que haya Jessie-lts como ya lo hay con squeeze, para tener mucho tiempo.
Una vez en Jessie quizá les ponga systemd, pero si de alguna manera puedo evitarlo no lo haré. Quizá una vez que use systemd en servidores me de cuenta de sus bondades.
Lo único que esperaría es que tenga la opción de elegir. No me queda claro, pero al día de hoy aún existe un paquete de systemV en Jessie, no se
si se quedará ahí y se pueda evitar systemD. Quizá el proyecto Devuan sea la respuesta, quiza otra distro.&lt;/p&gt;
&lt;p&gt;Hasta ahora tengo puesta la vista en Alpine linux que usa Openrc, paquetes binarios (no como Gentoo) y que opta por un diseño minimalista y seguro, este será mi escape
en caso de emergencia, por lo mientras estoy tranquilo y disfruto la vida, que venga lo que tenga que venir. No se donde se está metiendo Gnu/linux
cuando sus principales distros empresariales, Red Hat y Suse están usando Systemd. Espero que no empieze la catastrofe. El tiempo lo dirá.&lt;/p&gt;&lt;/div&gt;</description><category>linux</category><guid>https://hydrosiii.github.io/posts/pensamientos-sobre-systemd.html</guid><pubDate>Sat, 20 Dec 2014 10:14:56 GMT</pubDate></item><item><title>Volviendo a Arch linux "estable".</title><link>https://hydrosiii.github.io/posts/volviendo-a-arch-linux-estable.html</link><dc:creator>hydrosIII</dc:creator><description>&lt;div&gt;&lt;p&gt;Arch linux es una gran distribución linux, es muy flexible y adaptable
al usuario de tal manera que se le puede llamar meta-distro. Sin embargo
es una distribución rolling release, lo que significa que siempre tiene
todo el software actualizado, por lo recibe todas las versiones nuevas
de los paquetes, los cuales desde luego cambian. Es por eso que no es
un sistema operativo estable. Esta es una guía para volverlos mas usable, aunque muchas de las cosas que aquí se dicen, aplican para
cualquier sistema Gnu/linux, y muchas veces por extensión a cualquier SO.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://hydrosiii.github.io/posts/volviendo-a-arch-linux-estable.html"&gt;Leer más…&lt;/a&gt; (restan 13 minutos)&lt;/p&gt;&lt;/div&gt;</description><category>Arch linux</category><guid>https://hydrosiii.github.io/posts/volviendo-a-arch-linux-estable.html</guid><pubDate>Wed, 19 Nov 2014 08:22:07 GMT</pubDate></item></channel></rss>