El teu blog de Linux en català

Segur que tots coneixeu Google, el motor de cerca més utilitzat a la xarxa. Funciona molt bé, és molt ràpid i els resultats són encertats, però té una part fosca. Google no només fa diners amb els seus anuncis per tot arreu i tota la publicitat, sinó que a més a més troba benefici en recaptar informació sobre nosaltres.

La solució que us presentem és DuckDuckGo, que és un altre motor de cerca molt eficient i amb una infinitat d’utilitats molt interessants. Ara us en ensenyarem un bon grapat, per a què vegueu com funciona.

(més…)

Atenció! Tots hem fet propaganda alguna vegada del nostre sistema operatiu lliure tot dient que “Ubuntu/Debian/Fedora/etcètera és molt millor que Windows/Mac/El rei d’Espanya, perquè no té virus”, però de vegades l’experiència insisteix en demostrar-nos que ens equivoquem.

I és que a la pàgina web gnome-look.org (una de les pàgines de referència per obtenir complements d’aparença, icones, fons d’escriptori… per a GNOME) s’ha descobert que un usuari havia penjat un paquet .deb corresponent a un aparentment inocu salvapantalles contenia un codi maliciós, aparentment malware, que enviava informació sobre l’ordinador on s’instal·lava i era capaç d’actualitzar-se a ell mateix.

Aquest arxiu defectuós ha estat ràpidament eliminat de la plana web quan un usuari ho va descobrir i ho va fer públic. Aquí podeu veure el fil de discussió als fòrums d’Ubuntu.

Per sort, si us heu baixat aquest arxiu, hi ha una solució fàcil. A la terminal:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

PRECAUCIÓ: EXECUTEU NOMÉS AQUESTA ORDRE SI SOSPITEU QUE PODEU ESTAR AFECTATS PER LA INCIDÈNCIA.

Si teniu algun problema addicional, podeu consultar el fil que he posat més amunt.

Cal que pensem que realment no hi ha cap sistema informàtic totalment invulnerable als atacs. Linux és segur si l’usuari actua de manera segura, gràcies a que hi ha moltíssims experts que desinteressadament fan la tasca de comprovar la seguretat de tot el codi que utilitzen els nostres ordinadors, sempre que l’obtinguem d’una font de confiança.

Per tant, compte a l’hora de donar permisos d’execució a programes baixats d’internet, perquè no totes les coses que instal·lem poden ser segures, i ens podem estar baixant qualsevol marranada. El programari predeterminat, el procedent dels repositoris oficials… és de ben segur completament lliure de codi maliciós, però cal estar sempre a l’aguait!

En fi, un petit ensurt, i per sort una solució senzilla 🙂

Salut!

Font.

Fa un parell de setmanes, em vaig anar a renovar el meu DNI. El nou DNI que vaig rebre ja era electrònic i, juntament amb aquest, em van donar un lector (de la marca bit4id) per a poder-lo utilitzar amb l’ordinador. La pregunta que em va sorgir directament va ser: “Funciona amb Linux?”. Em van respondre amb un breu però efectiu “Sí”.

Em va costar una mica, però sobretot gràcies a aquesta anotació de Crashbit, el vaig poder configurar, i ara mateix ja puc signar documents electrònicament, fer operacions bancàries i algunes gestions amb l’administració per mitjà d’aquest. El procediment per a fer-lo funcionar no és complicat, però sí una mica llarg. A més, hi ha dos paquets (“opensc” i “libopensc2”) que es troben als repositoris oficials de la majoria de distribucions però que, per tal d’utilitzar el lector de DNIe, cal tenir instal·lades unes versions especials.

Per començar, ens assegurarem que no tinguem aquests dos paquets instal·lats. Obrim el Synaptic (o el gestor de paquets propi de la nostra distribució) i fem una cerca per nom de paquet “opensc”. Hem de comprovar que els paquets “opensc” i “libopensc” no estiguin instal·lats. Si ho estan, els desinstal·lem completament (fent-hi clic amb el botó dret, marcant l’opció “Marca per a eliminar completament” i aplicant els canvis).

Un cop desinstal·lats aquests paquets (si no els teníem instal·lats ja és correcte), des del mateix Synaptic instal·lem aquests paquets: “libccid”, “libopenct1”, “pinentry-gtk2” “pcscd” i “pcsc-tools”. Si el nostre entorn gràfic és KDE en comptes de Gnome, hem d’instal·lar el paquet “pinentry-qt” en comptes del “pinentry-gtk2”.

Un cop instal·lats aquests paquets previs, ens hem de baixar els paquets propis del DNIe. Els trobarem a la secció de descàrregues per a GNU/Linux del portal oficial del DNIe. Des de l’enllaç que us he passat, heu d’escollir la vostra arquitectura (32 bits o 64 bits). Aquí veureu que hi ha versions per a Fedora, Debian i tres versions d’Ubuntu. Encara no hi ha paquets per a Ubuntu Karmic, però els de Jaunty funcionen correctament. En el meu cas, m’he baixat els paquets per a Ubuntu Jaunty de 32 bits. Anem al directori on hàgim descarregat el fitxer (que tindrà l’extensió “.deb.tar”), i hi fem clic amb el botó dret del ratolí, seleccionant l’opció “Extreu aquí”. Això ens crearà un subdirectori, on hi haurà tres fitxers amb extensió .deb. Seran els corresponents als paquets”libopensc2″, “opensc” i “opensc-dnie”. Instal·lem el paquet “libopensc2” fent doble clic sobre el seu fitxer corresponent i, en la finestra que s’obri, premem el botó “Instal·la”. Després, fem el mateix per als fitxers dels paquets “opensc” i “opensc-dnie”, en aquest ordre.

Un cop ja tenim instal·lats aquests paquets, hem d’indicar al sistema que no intenti actualitzar els dos que ja hem dit que estan en els repositoris oficials. Tornem a obrir el Synaptic. Cerquem per nom de paquet “opensc”. Marquem els paquets “opensc” i “libopensc2”, i anem a l’opció de menú “Paquet>bloca la versió”. Ara acabarem de carregar els últims paquets oficials. Des del mateix Synaptic, instal·lem els paquet “mozilla-opensc”, l’últim que ens faltava.

Ara, executem el programa que trobarem a “Aplicacions>Oficina>Registrar Mòdul DNIe PKCS #11”. Això obrirà una finestra informativa amb el Firefox. Quan tanquem el Firefox i el tornem a obrir (???) s’obrirà una finestra a través de la qual podrem carregar diversos certificats digitals. Els marquem tots.

Un cop acceptats, anem al menú del Firefox “Edita>Preferències”. A la finestra de preferències, anem a “Avançat>Xifratge>Dispositius de seguretat”. Fem clic al botó “Carrega”, i indiquem el fitxer “/usr/lib/opensc-pkcs11.so”. Amb això ja hauria de funcionar.

Per a comprovar si us funciona, podeu anar a la pàgina oficial de verificació del DNIe i, a la part inferior dreta, hi trobarem un enllaç per a poder fer la comprovació. Si tot va bé, ja heu de poder utilitzar el DNIe en qualsevol operació que l’accepti.

Iptables és un potent mètode tallafocs per a GNU/Linux. De fet, és més que per a Linux; simplement, és, ja que forma part intrínseca del nucli 2.6. Bàsicament, és una utilitat de l’espai de l’usuari que, per mitjà d’ordres que generalment s’executen seqüencialment en un o diversos scripts del bash, ens permet crear un mur IP infranquejable i usar eines d’enrutament. Era anomenat ipchains per a nuclis iguals o anteriors a la sèrie 2.4. Les ordres d’iptables són sovint creades per frontends com ara el Shorewall, que l’únic que fan és embellir la interfície per a crear l’script que s’executarà. Com sempre dic: si afrontem els problemes des de la base segur que en sortirem molt més satisfets.

Hi ha bastanta literatura sobre el tema encarada a configuracions complexes, com és el cas de passarel·les per a subxarxes DMZ o tallafocs per a topologies de xarxa complicades. Jo em limitaré a explicar com crear un tallafocs d’interfície única (inalàmbrica en aquest exemple concret) per a l’usuari mig i que està pensat per a permetre les connexions de client típiques i denegar tota la resta, aquelles que podrien esdevenir insegures si serveis que no controlem hi escolten.

Vet aquí l’script:

#!/bin/sh
# TALLAFOCS SENZILL EN IPTABLES
#
echo "Executant allafocs en iptables"
#
echo "Esborrant normativa"
#
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#
echo "Establint politica de denegacio per defecte"
#
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#
echo "Establint normativa general"
#
UNIVERS="0.0.0.0/0"
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
iptables -A INPUT -i wlan0 -s $UNIVERS -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# FTP (Passiu, comanda passive via prompt)
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p tcp -m tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
#
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p udp --dport 25 -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p tcp --dport 443 -j ACCEPT
#
iptables -A OUTPUT -o wlan0 -d $UNIVERS -p icmp --icmp-type echo-request -j ACCEPT

En primer lloc, diem a iptables que esborri qualsevol regla preexistent. La opció -P defineix la política per defecte del tallafocs: per a les cadenes INPUT i OUTPUT (connexions d’entrada i sortida respectivament) es denega tot. Es defineix una variable amb l’adreça IP comodí (0.0.0.0/0), que vol dir tothom.

Les comandes -A afegeixen (APPEND) regles seqüencialment al tallafocs. Les comandes -A van afegint les excepcions que permetem partint del fet que ho hem denegat TOT en un principi. També podriem haver-ho acceptat tot per defecte i, en acabat, anar restringint el necessari, però és menys segur.

Per començar, permetem a la interfície (-i) loopback entrar i sortir (permetem parlar amb nosaltres mateixos, vaja), i ho fem saltant (-j) a l’estat ACCEPT per les cadenes INPUT i OUTPUT.

Aleshores, per a la interfície inalàmbrica (aquí, wlan0) permetem totes les connexions entrants de qualsevol origen (-i wlan0, -s $UNIVERS) que derivin d’una connexió sortint preexistent. És a dir, que tota connexió que no haguem començat nosaltres no té entrada. Ho fem amb –state, i força aquí sockets establerts (ESTABLISHED) i/o relacionats (RELATED).

Finalment, diem a quins ports de destí pot connectar-se la nostra màquina. Cadena OUTPUT, qualsevol destinació (-d $UNIVERS), connexió nova (–state NEW, […]), ja que aquesta sí que la creem nosaltres, i, el més important, el protocol de transport (UDP o TCP) i el port del servei a destinació. Així, permetem connexions als ports de destí (–dport) associats als serveis FTP (passiu), SSH, SMTP, DNS, HTTP i HTTPS. També permetem l’ICMP, protocol de missatges de control, pel cas del ping sortint.

Per a acabar, salveu l’script i dieu a l’ordinador que l’executi en l’engegada, després de la configuració de la xarxa inalàmbrica, al final del segon runlevel, amb un enllaç simbòlic:

cd /etc/rc2.d
ln -s /cami/a/script.sh S95tallafocs.sh

Si no teniu gaires coneixements en el funcionament d’Internet, el que he explicat és infumable, ho sé. He tractat de simplificar-ho. Comenteu si us interessa.

Si voleu anar més enllà en els la definició de tallafocs podeu mirar aquest tutorial, que està molt bé.