El teu blog de Linux en català

Xarxes i seguretat

El Facebook, el Twitter, el Diaspora*, la Tafanera, el Menéame, el Directe!, l’ARA, els fòrums del Racó, InterEconomía, el Gmail, el 9gag, el 4chan, GNULinux.cat…

Hi ha mil raons per les quals cada dia perdem un temps considerable consultant o simplement «mirant» pàgines que no tenen res a veure amb la feina que estem fent. Visitar-les és «només un parell de clics» des del nostre espai de treball.

Self Control és una aplicació programada en Perl que ens ajudarà a bloquejar pàgines i dominis per tal que no puguem visitar-les i així estalviar-nos la pèrdua de temps.

El funcionament és senzill: obrim el programa i indiquem quin domini volem bloquejar. A partir d’eixe moment ja no s’hi podrà accedir.

Self Control en acció

No tinc clar que la finalitat siga per un mateix. Jo ho veig molt més interessant per poder bloquejar la navegació a altres persones (a la feina, l’escola, etc.), tot i que en aquests casos probablement ja existeixen altres eines millors.

De tota manera, una vegada iniciat el programa i bloquejada una ip, aquesta ip estarà bloquejada fins la data que li haguem dit. Això vol dir que encara que desinstal·leu el programa, la ip continuarà bloquejada fins que no arribe la data que es va indicar.

Instal·lació

Existeixen paquets deb per instal·lar a Debian i a l’Ubuntu. Atès que l’aplicació és força senzilla, no tindreu problemes en fer servir l’executable per a altres distribucions.

Com molts ja sabreu (i com molts encara no sabreu), Diaspora és una xarxa social lliure. Bàsicament és un concepte diferent que tracta de respectar al màxim la nostra privacitat i la privacitat de les nostres dades.

El punt més important d’aquesta xarxa és que nosaltres mateixos podem muntar el nostre propi servidor i oferir servei i interconnectar-nos amb altres xarxes Diaspora. No tinc clar com funciona això ara mateix, però existeix un servidor al qual ens podem donar d’alta ara mateix a la mateixa Diaspora (però això no lleva que no puguem muntar el nostre propi).

Encara es troba en un estat força alfa i no deixa de ser un Facebook amb només un tauler d’anuncis i missatges, però inclou la característica de crear i gestionar perfils que es mostren d’una o altra manera segons el grup d’amics, familiars, companys de feina, etc. (nosaltres mateixos podem crear els grups).

Evidentment, el que té aquesta xarxa social és el control que tenim sobre les nostres dades: fer còpia de les dades o bé eliminar un compte és una cosa senzilla i ràpida. Cal pensar que una de les coses més serioses del «Cloud computing» és que les nostres dades són a un núvol que no controlem.  Diaspora prova de resoldre això.

Ja hem donat totes les invitacions!

Per cert, la traducció al català és una merda. Qui ho haja fet s’ha lluit immensament deixant cadenes en castellà i traduint com li eixia de la figa (perdoneu, però algú ho havia de dir). Algú s’anima?

En els sistemes Linux, podem controlar l’escriptori d’un ordinador des d’un altre per mitjà dels programes Vino (servidor d’escriptori remot) i Vinagre (client d’escriptori remot). Per a Windows, també es pot fer el mateix per mitjà del Terminal Server. En entorns Linux, també disposem d’un client de Terminal Server, des del qual podem visualitzar i interactuar remotament amb l’escriptori d’un ordinador Windows.

Per a poder-lo utilitzar, primer cal activar en l’ordinador Windows el servidor de Remote Desktop. Després, en el nostre ordinador amb Linux, trobarem el client de Terminal Server a «Aplicacions>Internet>Client de Terminal Server».

Pantalla del client de Terminal Server

Pantalla del client de Terminal Server

En aquest programa cal passar les dades de l’ordinador a què ens volem connectar. Per exemple, al camp «Ordinador» hi hem de posar la seva adreça IP o, si el tenim configurat a la xarxa, el seu nom. També podem configurar l’usuari de connexió, el domini i la contrasenya. Amb això, si fem clic a «Connecta» veurem que iniciem una sessió a l’ordinador remot en el nostre escriptori.

Apart d’això, hi ha altres configuracions que pot ser interessant modificar. Per exemple, a la pestanya «Pantalla» podem fer que quan ens connectem a l’ordinador remot se’ns mostri en pantalla completa. A la pestanya «Recursos locals» podem fer que el so que es generi en l’ordinador remot se’ns escolti a través del nostre ordinador, o (una opció molt interessant) que els nostres discos locals es vegin en la connexió que tenim a l’ordinador remot. D’aquesta manera, podrem intercanviar fàcilment fitxers entre el nostre ordinador local i el remot.

A la pestanya «Programes» podrem fer que, en iniciar la connexió remota, s’engegui de forma automàtica un programa. Des de la pestanya «Rendiment» podrem activar la memòria cau del mapa de bits per tal que la connexió vagi més ràpida. A més, un cop tinguem configurada la connexió a una certa màquina, ens podem desar aquesta configuració, per tenir-la disponible de forma senzilla.

Si tenim una o més connexions d’aquest estil desades, podem instal·lar en el panell superior de Gnome una miniaplicació que ens facilitarà la connexió a aquestes. Per a tenir-la, fem clic amb el botó dret sobre el panell superior de Gnome i seleccionem l’opció «Afegeix al quadre…». A la finestra que s’obri, fem doble clic sobre la «Miniaplicació del client de Terminal Server». Se’ns afegirà aquesta miniaplicació. Quan hi fem clic a sobre, ens sortiran totes les connexions que tinguem configurades, per tal que ens hi puguem connectar fàcilment, o per crear una connexió nova.

Miniaplicació del client de Terminal Server

Miniaplicació del client de Terminal Server

Com veieu, es tracta d’un client de Terminal Server molt complet i que ens permet una interacció molt gran entre el nostre equip Linux i l’ordinador Windows remot al que ens connectem.

inSSIDer és una aplicació que pot escanejar qualsevol xarxa sense fils per tal d’establir quina és la fortalesa del senyal, encara que no s’estiga connectat a la xarxa. Això permet als usuaris de forma ràpida i senzilla decidir quina és la millor xarxa a la qual connectar-se (en cas que hi haja més d’una xarxa sense fils a la qual hi tinguem accés).

Interfície de la versió alfa a GNU/Linux

Característiques

  • Es poden ordenar els resultats per adreces Mac, SSID, canals, RSSI i darrer cop que s’ha descobert
  • Inspecció de la nostra pròpia xarxa per veure si hi ha conflictes amb altres xarxes sense fils
  • Seguiment de la fortalesa de la senyal en dBm
  • Filtratge de punts d’accés d’ús senzill
  • Exportació de xarxes sense fils i dades GPS per veure on es troben els punts al Google Earth

Baixada

Aquest programa encara està en versió alfa, però existeixen paquets de baixada per a distribucions rpm, deb i també per compilar en format tar.gz, tant de 32 com de 64bits.

Ahir va aparèixer a MuySeguridad un article molt interessant, on es resumien els virus que han aparegut per a sistemes GNU/Linux. El primer que crida l’atenció d’aquest article és que el nombre de virus per a GNU/Linux és molt baix. Però si llegiu detingudament el resum que fan, encara us cridarà més l’atenció la poca afectació que ha pogut fer aquest virus. Això és degut a que l’arquitectura de GNU/Linux (i en general de tots els sistemes UNIX-like) dificulta molt la seva actuació.

A continuació us faig una traducció literal de l’article de MuySeguridad:

1996:
El grup de crackers VLAD va escriure el primer virus GNU/Linux conegut com a Staog. Feia ús d’una vulnerabilitat en el nucli que li permetia quedar-se com a procés resident i esperar a que s’executés un binari. Un cop executat, el virus s’afegia a aquest fitxer. Després que es descobrís el virus, la vulnerabilitat es va solucionar ràpidament. VLAD també va ser responsable del virus per a Windows 95 Boza.

1997:
El virus Bliss va arribar a GNU/Linux com un virus que s’adjuntava a executables del sistema i evitava que s’executessin. Un usuari havia de tenir accés a root per tal que el virus fos efectiu. A dia d’avui, Debian encara és vulnerable a aquest virus, però l’amenaça és mínima, perquè els usuaris no acostumen a treballar amb root.

1999:
No hi va haver virus importants aquest any, però és curiós el missatge que es va enviar als usuaris de PCs, instant-los a utilitzar Linux. Va arribar en plena època del virus Melissa (per a Windows) i apareixia un missatge en el PC que comentava que el virus Tuxissa anava a  instal·lar Linux. Només era un missatge, sense acció posterior.

2000:
Un virus conegut com a Virus.Linux.Winter.341 va arribar i s’introduïa en arxius ELF (el format executable en Linux). El virus era molt petit, només 341 bytes, i afegia LoTek by Wintermute a la secció de notes de l’arxiu ELF. El virus també permetia el canvi de nom de l’ordinador a Wintermute, però mai no va arribar a obtenir el control de la màquina per aconseguir aquest efecte.

2001:
Aquest any va ser prou mogut en el mercat de virus GNU/Linux perquè va començar amb el virus ZipWorm, que s’adjuntava en qualsevol fitxer Zip que estigués en el mateix directori on s’executava. El següent va ser el virus Satyr que no era maliciós, afegint als fitxers ELF l’entrada unix.satyr version 1.0 (c)oded jan-2001 by Shitdown [MIONS], http://shitdown.sf.**. També va arribar un virus anomenat Ramen que substituia els fitxers index.html amb la seva pròpia versió que Ramen Crew a la part superior i un paquet de Ramen Noodles a la part inferior. Una altra de les amenaces Linux del 2001 va ser el cuc Cheese que bloquejava les portes posteriors creades pel virus Ramen.

2002:
Una vulnerabilitat per a Apache va servir de guia per la creació i expansió del cuc Mughty (Mighty?). El cuc explotava la vulnerabilitat en la interfície SSL d’Apache que infectava els ordinadors de manera silenciosa. Posteriorment, es creava una connexió a un servidor IRC i s’esperava en un canal per rebre instruccions / ordres.

2003:
Aquest any van arribar virus no maliciosos com Rike, escrit en assemblador i que s’adjuntava als fitxers ELF. Un cop adjunt, expandia l’espai que ocupava el fitxer i escrivia RIKE en aquest espai lliure.

2004:
De manera similar al virus anterior, va arribar el virus Binom que expandia la mida del fitxer i escrivia l’entrada [ Cyneox/DCA en aquest espai. El virus s’expandia després d’executar-se el fitxer infectat.

2005:
El cuc Lupper va començar a expandir-se entre servidors web Linux vulnerables. El cuc buscava una URL específica i intentava utilitzar un exploit que aprofitava una vulnerabilitat PHP/CGI. Si el servidor permetia rebre ordres remotes i de descàrrega de fitxers, començava la infecció i continuava buscant altres servidors a infectar.

2006:
Va aparèixer una variant del cuc Mighty de 2002 conegut com a Kaiten. Obria una connexió a un canal IRD i esperava ordres per ser executades.

2007:

Un exploit d’OpenOffice va servir per expandir un virus conegut com a BadBunny. Aquest virus infectava Windows, Mac y Linux. El virus creava un fitxer badbunny.py i un script XChat creava badbunny.pl, un virus Perl que infectava altres fitxers Perl. També hi va haver un troià de renom, Rexob, que un cop en la màquina obria una porta posterior que permetia l’execució de codi.

2009:
L’any passat hi va haver un problema per als usuaris de GNOME que mitjançant la descàrrega de «salvapantalles» i altres fitxers aparentment segurs, hostatjaven un salvapantalles conegut com a WaterFall. Un cop instal·lat en la màquina, obria una porta posterior que causava que la màquina participés en atacs DDoS. Aquest tipus d’atacs van afectar a webs com MMOwned.com.

2010:
Aquest any va arribar el cuc koobface que s’expandia a través de les xarxes socials i tenia com a objectius equips Windows, Mac i més recentment GNU/Linux. Un cop infectat l’equip, el virus intentava aconseguir informació de login de FTP i xarxes socials. Un cop que es coneixia la contrasenya, el virus enviava un missatge infectat a tots els teus contactes.

El servei Ubuntu One ja està disponible en Ubuntu des de fa un temps, i permet tenir sincronitzades les dades entre els nostres ordinadors, apart de mantenir-nos una còpia en els servidors d’Ubuntu. D’aquesta manera si, per exemple, se’ns espatlla un disc no haurem perdut les nostres dades sincronitzades (que poden ser documents, fotografies, contactes, etc.), sinó que sempre els podrem recuperar dels servidors d’Ubuntu. A més, a través d’Ubuntu One tenim accés a la Ubuntu Music Store. El pla bàsic d’emmagatzemament (de 2 GB), anomenat Ubuntu One Basic, és gratuït.

Logo d'Ubuntu One

Fins ara, jo no l’utilitzava, perquè per a sincronitzar dades em semblava molt millor el servei Dropbox. Però darrerament hi ha hagut diverses novetats interessants relacionades amb l’Ubuntu One.

  • Avui mateix acaba d’aparèixer un servei d’Ubuntu One per a iPhone i Android, sobretot centrat en l’streaming de música. Es diu Ubuntu One Mobile, té un preu de 3,99$ al mes o 39,99$ a l’any (uns 30€ anuals). Aquest servei té un període de proves gratuït de 30 dies.
  • S’està treballant en una versió d’Ubuntu One per a Windows. Aviat tindrem disponible una versió Beta.
  • S’han modificat les tarifes dels plans de pagament (per poder obtenir més de les 2 GB gratuïtes). Els nous preus són molt competitius, i personalment estic pensant seriosament utilitzar-los. Aquestes noves tarifes consisteixen en poder ampliar l’espai de 20 GB en 20 GB. Cada ampliació d’espai que utilitzem costa 2,99$ mensuals o 29,99$ anuals. Això vol dir que per uns 23€ anuals (depenent del canvi del dòlar) tindrem fins a 22 GB (els 2 GB gratuïts més els 20 GB d’una ampliació), o 42 GB per 46€, etc.

Amb aquestes novetats, Ubuntu One augmenta molt la disponibilitat per a diversos sistemes (apart d’Ubuntu, Windows i la versió Mobile, ja es pot utilitzar en entorns KDE i també hi ha gent que l’utilitza en altres distribucions com Fedora). A més, trobo que els preus d’ampliació d’espai estan molt bé. En canvi, el preu d’Ubuntu One Mobile potser el trobo una mica car pel servei que ofereix.

La situació és la següent. Tenim un ordinador, el servidor, que es pot connectar bé al nostre router per mitjà de l’interfície wlan0. Per contra, tenim un altre ordinador, el client, que no té targeta de connexió inal·làmbrica o pel que sigui, no es pot connectar per wifi a Internet. Així, perquè l’ordinador client tingui connexió a Internet, el connectarem a l’ordinador servidor amb un cable de xarxa ethernet creuat. Per aconseguir-ho, configurarem l’ordinador servidor perquè faci d’enrutador a l’ordinador client a través del tallafocs d’iptables.

Esquema simple d'enrutament

Llegeix-ne més

A propòsit d’aquesta menció de Virtualmin he pensat que valia la pena comentar algunes de les diferencies entre els diferents panells que et permeten administrar un servidor web de manera visual (o sigui sense tocar la linia de comandes) i en quins casos els que són lliures són, fins i tot, millors que els privatius.

Abans que res, cal saber que Virtualmin funciona sobre Webmin. Mentre que Webmin s’encarrega d’administrar la maquina en general, Virtualmin només ho fa de l’allotjament web, però que integrats en un sol menú et donen la possibilitat de passar d’un a l’altre sense adonar-nos-en.

Diferències de Webmin/Virtualmin respecte els panells comercials més coneguts

La combinació de Webmin amb Virtualmin es un pel diferent dels panells comercials tradicionals: Cpanel, Plesk, DirectAdmin, etc… Aquests panells privatius son ideals per revenedors de hosting (en anglès resellers) que ho ofereixen a terceres persones, perquè tenen opcions integrades com ara control de factures, i son més visuals alhora que no integren totes les opcions de configuració com si que fa Webmin/Virtualmin. En general també són més limitats per a l’usuari i per tant tenen menys opcions. Són per tant enfocats a aquells que volen gestionar el mínim relacionat amb el seu hosting. (més…)

La versió per a GNU/Linux del servidor IRC Unreal IRCd ha estat contaminada amb un troià des del novembre de 2009 sense que ningú se n’adonara. L’anunci s’ha fet als fòrums de la pàgina web oficial del projecte. Allà, els desenvolupadors comenten el següent:

Hem descobert que el fitxer Unreal3.2.8.1.tar.gz que es troba als nostres servidors es va reemplaçar fa un temps per una versió amb un troià. Aquest troià permet a qualsevol persona executar qualsevol ordre amb els privilegis de l’usuari que està executant el servidor ircd. […] Sembla que el reemplaç va ser al novembre de 2009 (almenys a alguns servidors). Ningú no se n’ha adonat fins ara.

Això ens ha d’ensenyar a tots els perills d’executar programari de tercers. GNU/Linux és un sistema segur, per descomptat, però un sistema és tan segur com nosaltres el fem. Per això mateix l’invent del «root» és una de les millors bases amb les que juguem. De tota manera tampoc no cal que el pànic s’escampe: aquests casos encara són aïllats.

Fer còpies de seguretat de les nostres dades és una cosa que probablement no tothom fa i no tothom entén la seua importància. Supose que no seré l’únic que per una raó o una altra (sobretot quan instal·le una nova distribució des de cero esborrant tot el que hi ha) sempre perd alguna part de les meues dades.

He d’admetre que la principal raó per la qual no faig còpies de seguretat de les meues dades és simplement perquè no sé on desar eixes còpies: probablement uns 50GB d’informació que en DVD ocuparien massa i en un disc USB no estarien del tot segures (però seria la millor opció). Encara quedaria una altra alternativa: desar-ho a un servidor remot. Això podria ser interessant a una xarxa on puguem tindre un ordinador o disc dur connectat a la mateixa que permetera fer la sincronització (existeixen routers que permeten connectar-hi discos USB).

Doncs bé, programes per fer còpies de seguretat n’hi ha molts, però Déjà Dup és el més senzill amb què m’he trobat mai. Per comprovar-ho, només cal que veieu la finestra principal del programa:

Finestra principal del Déjà Dup

Assistent del Déjà Dup

Déjà Dup permet fer còpies en local i en servidors remots sense gaire complicacions. Com podeu veure, l’aplicació només té dos grans botons per fer la còpia o bé per restaurar-ne una que ja s’haja fet. Existeixen, per descomptat, unes opcions bàsiques per tal de configurar el programa. En fer clic a Backup, s’iniciarà un assistent que ens demanarà les dades bàsiques per fer la còpia: lloc on volem desar-la així com la possibilitat de xifrar les dades. El procés de restauració de la còpia també és prou senzill.

En fer una còpia de seguretat, Déjà Dup fa una còpia exacta de TOTA la estructura de directoris del nostre sistema. Això pot suposar alguns problemes de sobreescritura a l’hora de fer la restauració. Heu de tindre en compte que Déjà Dup no és com el Grsync, i no fa còpies de seguretat incrementals. Podreu trobar paquets precompilats per a Ubuntu i Debian al launchpad. La resta de mortals haureu de compilar des de les fonts (tot i que potser alguna altra distribució haja preparat ja els paquets).

  • Descàrrega | Déjà Dup (trobareu el ppa per a Ubuntu, a la dreta trobareu el tar.bz2 de les fonts i a baix de tot la resta de paquets precompilats)
  • Font | MuyLinux