DVD L inux Mint lleva encabezando el “Top 100” (DistroWatch) desde hace ya algunos meses, siendo la primera distro comunitaria, no apoyada por ninguna empresa en particular, que consigue mantenerse consistentemente en este puesto en mucho tiempo. A pesar de basarse en Ubuntu, Linux Mint está siguiendo su propio camino en muchos aspectos. Por ejemplo, deci- diendo no implementar Unity, sino una versión muy modificada de Gnome3, con un aspecto muy similar a Gnome2. Esta decisión se basa en el hecho de que los desarrolladores consideran que se facilita la transición de un concepto de escritorio a otro. También trae de serie otro escritorio llamado MATE (en honor da la tradicional bebida uruguaya), que es un fork para seguir desarrollando Gnome2. Por la cara B traemos OpenSUSE 12.1, una de las distros tradicionalmente gran- des que incluye muy interesantes nove- dades. Por citar dos, y aparte de los nue- vos escritorios KDE 4.7 y Gnome 3.2, OpenSUSE es la primera en implementar gestión de color para estos escritorios, una tecnología habitual en plataformas Mac y que unifica el aspecto de color en todos los dispositivos. También viene con Snapper, una tecnología basada en el nuevo sistema de ficheros Btrfs que per- mite ver y volver a versiones de archivos anteriores sin tener que implementar aplicaciones específicas para esa tarea. ■ LINUX MINT “LISA” Y OPENSUSE 12.1 Este DVD es de dos caras, aunque funciona igual que un DVD conven- cional, es decir, el lector siempre lee la cara que está hacia abajo. Para evi- tar confusiones, la etiqueta de cada distro está en la cara opuesta a la de sus datos. Por tanto, para empezar a usar LinuxMint 12, la etiqueta con la palabra “LinuxMint” tiene que estar hacia arriba, y viceversa para usar OpenSUSE. DVD de Dos Caras ¿DVD DEFECTUOSO? Si crees que tu DVD está en mal estado, escríbenos a [email protected] para diagnosticarlo o para que te enviemos uno nuevo. 3 Número 78 WWW.LINUX - MAGAZINE.ES [1] Sitio de LinuxMint: http://linuxmint. com/ [2] OpenSUSE en Castellano: http:// www.opensuse.org/es/ RECURSOS Este DVD contiene dos caras, con LinuxMint 12 por un lado y OpenSUSE 12.1 por el otro. LinuxMint viene en versión “Live” y de instalación, por lo que puede ser arran- cada y probada sin instalar nada en el disco duro. OpenSUSE sólo viene en versión de instalación. Para empezar a usar tu Linux, inserta el DVD en el reproductor y rearranca el ordenador. Si no aparece el menú del DVD, tienes que ajustar la BIOS para arrancar desde el disco. Para hacerlo, normalmente has de pulsar una tecla durante las primeras fases del arran- que del ordenador (habitualmente F2 o Supr), buscar el menú que permite cambiar la secuencia de arranque de dispositivos y colocar el lector de DVDs en el primer lugar de la secuencia. Pos- teriormente se guardan los cambios y se sale de la herramienta de configuración para que se reinicie el arranque. Como cada BIOS es dife- rente, recomendamos consultar la documentación del fabricante para realizar esta operación. Arranque
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
DVD
Linux Mint lleva encabezando el
“Top 100” (DistroWatch) desde
hace ya algunos meses, siendo la
primera distro comunitaria, no apoyada
por ninguna empresa en particular, que
consigue mantenerse consistentemente
en este puesto en mucho tiempo.
A pesar de basarse en Ubuntu, Linux
Mint está siguiendo su propio camino en
muchos aspectos. Por ejemplo, deci-
diendo no implementar Unity, sino una
versión muy modificada de Gnome3,
con un aspecto muy similar a Gnome2.
Esta decisión se basa en el hecho de que
los desarrolladores consideran que se
facilita la transición de un concepto de
escritorio a otro. También trae de serie
otro escritorio llamado MATE (en honor
da la tradicional bebida uruguaya), que
es un fork para seguir desarrollando
Gnome2.
Por la cara B traemos OpenSUSE 12.1,
una de las distros tradicionalmente gran-
des que incluye muy interesantes nove-
dades. Por citar dos, y aparte de los nue-
vos escritorios KDE 4.7 y Gnome 3.2,
OpenSUSE es la primera en implementar
gestión de color para estos escritorios,
una tecnología habitual en plataformas
Mac y que unifica el aspecto de color en
todos los dispositivos. También viene
con Snapper, una tecnología basada en el
nuevo sistema de ficheros Btrfs que per-
mite ver y volver a versiones de archivos
anteriores sin tener que implementar
aplicaciones específicas para esa tarea. �
LINUX MINT “LISA”
Y OPENSUSE 12.1Este DVD es de dos caras, aunque
funciona igual que un DVD conven-
cional, es decir, el lector siempre lee
la cara que está hacia abajo. Para evi-
tar confusiones, la etiqueta de cada
distro está en la cara opuesta a la de
sus datos. Por tanto, para empezar a
usar LinuxMint 12, la etiqueta con la
palabra “LinuxMint” tiene que estar
hacia arriba, y viceversa para usar
OpenSUSE.
DVD de Dos Caras
¿DVD DEFECTUOSO?
Si crees que tu DVD está en mal estado, escríbenos a
Instalación de los Nodos deCómputoUna vez tengamos toda la infraestruc-
tura en su lugar, estaremos listos para
empezar a instalar los nodos de compu-
tación. Los pasos exactos pueden variar
dependiendo de la configuración que
tengamos, pero la clave está en ser
metódicos y en minimizar el tiempo
dedicado a cada nodo.
Nótese que el nodo “cabeza”/ identifi-
cación, que tiene como nombre host
fiji, puede instalarse de forma manual o
automática de la misma manera que los
nodos de cómputo, con el caso adicio-
nal de configurar eth1 como interfaz
hacia la red pública. Un ejemplo del
procedimiento de instalación de un
nodo de cómputo podría incluir los
siguiente pasos:
1. Enchufamos el KVM y pulsamos el
botón de encendido.
2. F12 para arranque por PXE.
3. Ctrl + S para conseguir la direc-
ción Ethernet
MAC del sis-
tema.
4. Ctrl + E para conseguir la dirección
Ethernet MAC del BMC.
5. Establecemos los parámetros LAN:
Fuente de Direcciones IP IPv4:
DHCP.
6. Establecemos la configuración de
usuario LAN: pulsamos enter y con-
firmamos la password.
7. Pulsamos Esc; almacenamos los
cambios y salimos.
8. Añadimos la dirección MAC al
fichero /etc/dhcpd.conf de fijistor, y
luego escribimos service dhcpd res-
tart.
9. Pulsar enter en el menú de instala-
ción PXE del nodo de cómputo para
el cluster Fiji.
10. Esperar la comprobación de depen-
dencias de paquetes.
11. Pasar al siguiente nodo.
Quizás deseemos usar una herramienta
de gestión como IPMI para controlar el
DRAC/ BMC, y poder encender y apagar
remotamente los nodos bloqueados:
# yum -y install OpenIPMI-tools
# ipmitool -H 192.168.1.2XX U
El fichero completo de Kickstart para
el arranque de un nodo de cómputo,
/kickstart/ks.cfg, puede ser descargado
desde la web de Linux Magazine[10].
Recomiendo editar este fichero de
configuración Kickstart para principian-
tes y comprobarlo continuamente insta-
lando el primer nodo de cómputo. Pode-
mos editarlo una y otra vez, haciendo
pequeños ajustes en cada paso, y luego
reinstalar completamente el primer nodo
hasta que quede una instalación per-
fecta. Una vez tengamos el primer nodo
correctamente, procederemos a encender
el resto de los nodos del cluster.
No hay que olvidar generar y reem-
plazar el lugar reservado para la contra-
seña con la nuestra propia. Las contra-
señas cifradas en formato MD5 comien-
zan por $1$:
$ grub-md5-crypt
Password:
Retype password:
$1$d6oPa/$iUemCR50qSyvGSVTX9NrX1
Con el nodo de administración instalado
y el fichero de configuración de Kickstart
establecido y listo para la acción, el
siguiente paso es instalar y configurar
PORTADA • Montando un Cluster
20 Número 78 W W W . L I N U X - M A G A Z I N E . E S
01 #!/bin/sh
02 for I in ̀ grep -v “\#” /etc/machines.list`; do
03 echo -n “$I “ ; ssh $I “$@”
04 done
Listado 14: /root/ bin/ ssh_loop.sh
01 rsync -a fiji:/etc/passwd /root/etc/02 rsync -a fiji:/etc/shadow /root/etc/03 rsync -a fiji:/etc/group /root/etc/04 rsync -a /root/etc/passwd /root/etc/shadow
/root/etc/group /etc/05 rsync -a /root/etc/passwd /root/etc/shadow
/root/etc/group /kickstart/fiji/etc/06 for NODE in ̀ cat /etc/machines.list | grep -v “^#”`;
Instalación de KohaLo primero que tenemos que hacer es
crear un usuario y un grupo para Koha.
Debemos asegurarnos de configurar la
contraseña de Koha. Los comandos que
necesitamos son useradd nombreusuario,
passwd nombreusuario, groupadd nom-
bregrupo. Para mayor comodidad, pode-
mos configurar el mismo nombre para el
usuario y el nombre del grupo.
Para iniciar la instalación ejecutamos
Makefile.PL. El script de instalación
genera una gran cantidad de líneas. Cada
parámetro se explica en el script de insta-
lación, por lo que este procedimiento debe
llevar sólo unos minutos.
Después de configurar las opciones de
parámetros, el script de instalación genera
una lista de los parámetros configurados,
así como las instrucciones sobre cómo se
pueden modificar. A continuación ejecuta-
mos make, make test y make install. Si
hemos introducido las opciones de
configuración correctas, debemos obser-
var un mensaje diciendo que se instalaron
los archivos de Koha.
dice [XML:: SAX::PurePerl] a [XML::
LibXML:: SAX:: Parser] y guardar. Para
verificar, volvemos a ejecutar sax_par-
ser_print.pl. Deberíamos obtener un men-
saje con “buen aspecto”, como el que se
muestra en el Listado 5.
Instalación de Módulos PerlUna vez hemos terminado con el analiza-
dor de XML, es necesario instalar unos
cuantos módulos Perl. Para descubrir qué
módulos son necesarios ejecutamos perl
Makefile.PL.
En este punto, esperaba recibir algún
tipo de mensaje de instalación, pero no
fue así. En su lugar apareció un aviso del
instalador diciendo Can’t locate
ZOOM.pm in @INC (@INC contains.
Una investigación posterior en Make-
file.PL mostró que me faltaba el paquete
perl-Net-Z3950-ZOOM. Este paquete no
se encuentra en los repositorios estándar
de openSUSE (los que se añaden cuando
el sistema se instala por primera vez). Lo
más fácil es buscar el paquete [5],
perl_net-Z3050. Ahora seguimos el pro-
cedimiento descrito en el cuadro “Insta-
lación de Servicio con 1-Click” para ins-
talarlo. Esto agrega el repositorio
devel:languages:perl [6] a la lista de
repositorios.
PRÁCTICO • Koha
30 Número 78 W W W . L I N U X - M A G A Z I N E . E S
01 mysql -u root -p02 Enter password:03 Welcome to the MySQL monitor. Commands end with ; or \g.04 Your MySQL connection id is 5305 Server version: 5.1.53-log SUSE MySQL RPM06 07 Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved.08 This software comes with ABSOLUTELY NO WARRANTY. This is free software, and you are
welcome to modify and redistribute it under the GPL v2 license09 10 Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement.11 12 mysql> create database ̀ koha` default character set utf8 collate utf8_unicode_ci;13 Query OK, 1 row affected (0.00 sec)14 15 mysql> grant all on koha.* to ‘kohaadmin’@’localhost’ identified by ‘kohapassword’;16 Query OK, 0 rows affected (0.00 sec)17 18 mysql> flush privileges;19 Query OK, 0 rows affected (0.00 sec)20 21 mysql> quit22 Bye
Listado 3: Creación y Configuración Usuario MySQL01 Koha wants something like:
02 XML::LibXML::SAX::Parser=HASH
(0x81fe220)
03 You have:
04 XML::SAX::PurePerl=HASH(0x9a2bd0)
05 Looks bad, check INSTALL.* documen-
tation.
Listado 4: ConfiguraciónErrónea Analizador SAX
01 misc/sax_parser_print.pl02 Koha wants something like:03 XML::LibXML::SAX::Parser=HASH
(0x81fe220)04 You have:05 XML::LibXML::SAX::Parser=HASH
net-tmpl/prog/el-GR -s /home/koha/koha-3.02.00/misc/translator/po/el-GR-i-staff-t-prog-v-3002000.po04 Charset in/out: UTF-8 at ./tmpl_process3.pl line 267.05 Copying /usr/share/koha/intranet/htdocs/intranet-tmpl/prog/en/columns.def...06 The install seems to be successful.
Listado 6: Instalar un Nuevo Idioma
Para utilizar los procesos por lotes de la
línea de comandos de Koha, establecemos
las variables de entorno:
export KOHA_CONF=U
/etc/koha/koha-conf.xml
export PERL5LIB=U
/usr/share/koha/lib
Para otras tareas posteriores a la instalación,
por favor consulte el archivo README.
Tal y como se indica en las notas poste-
riores a la instalación, tendremos que esta-
blecer las variables de entorno. Para ello
sólo hay que crear /etc/bash.bashrc.local y
añadir:
export KOHA_CONF=U
/etc/koha/koha-conf.xml
export PERL5LIB=U
/usr/share/koha/lib
Ahora, para activar las variables, salimos
y volvemos a loguearnos en la shell.
Configurar ApacheDebido a que es una aplicación web, ten-
dremos que crear una máquina virtual. En
openSUSE, los archivos de la máquina vir-
tual se configuran en el directorio /etc/
apache2/ vhost.d. Cualquier archivo con la
extensión .conf es leído y se considera un
archivo de configuración del host virtual.
Además, el instalador de Koha ya ha cre-
ado un archivo de configuración con todas
las directrices necesarias en /etc/ koha/
koha-httpd.conf. Lo único que queda es
crear un enlace simbólico que apunte a
ese archivo en el directorio del host virtual
de Apache. Podemos hacerlo tecleando:
ln -s /etc/koha/koha-httpd.confU
/etc/apache2/vhosts.d/koha.conf
Además, tenemos que habilitar los módu-
los rewrite y env con el comando:
a2enmod rewrite
a2enmod env
Luego debemos editar /etc/ koha/ koha-
httpd.conf y añadir lo siguiente al final del
archivo para permitir la exploración de
koha:
<Directory /usr/share/koha>
Order allow,deny
Koha • PRÁCTICO
31Número 78W W W . L I N U X - M A G A Z I N E . E S
Tabla 1: Paquetes Perl y sus Nombres en openSUSEPaquete Perl Paquete openSUSE 11.3 Paquete Perl Paquete openSUSE 11.3
La línea 21 refiere al número predefinido de etiquetas por
página, y la línea 26 calcula el número necesario de páginas
del documento de etiquetas mediante la factorización del
tamaño de la base de datos de direcciones. La función ceil()
del módulo POSIX redondea hasta el siguiente número
entero en caso de fracciones. El número $addtl_pages (pági-
nas adicionales) es entonces uno menos debido a que el
documento de plantilla creado por el usuario ya dispone de
la primera página.
Todas las filas de la tabla en la página de prueba se ali-
nean en la matriz @rows después de la primera consulta de
XPath en la línea 42, y por cada página adicional a crear, el
bucle for de las líneas 47 a 52 itera en estas entradas de fila
– duplicándolas con replicateElement() – y utiliza el pará-
metro “body” para indicar a la función que añada duplica-
dos al final del cuerpo del documento. Las líneas de nueva
creación son copias exactas de las líneas de la primera
página, es decir, todavía contienen los datos de prueba o
están vacíos.
La segunda consulta XPath en la línea 56 recupera todos
los elementos de la tabla (tres por línea, incluyendo todos
los elementos de las páginas de nueva creación) del docu-
mento y los almacena en la matriz @labels. El bucle for de
la línea 65 pasa entonces a través de ellos y les asigna el
estilo “P1”. El volcado de la Figura 6 muestra que esto
aplica el tipo de letra Bitstream Vera Sans al texto. La
Figura 4: El usuario escribe los textos de muestra en los campos
de texto del documento OpenOffice.
Figura 5: Una llamada a unzip revela los archivos XML conteni-
dos en el documento de OpenOffice.
sólo se habían
hecho en la memo-
ria volátil hasta
ahora, en el disco.
Cuando el usuario
abre el archivo en
OpenOffice (hemos
probado esto con la
versión 3.2), el
documento se
parece al de la
Figura 8. Lo único
que necesitamos
hacer ahora es
insertar una página
con etiquetas adhe-
sivas en la impre-
sora y seleccionar
Imprimir en Open -
Office Writer. Para
evitar el desperdi-
cio de etiquetas,
tiene sentido impri-
mir una página de
prueba en una hoja
normal de papel y
contrastarla a la
luz con la hoja de
etiquetas para com-
probar la alineación. Para saber si la hoja
de etiquetas tiene que estar boca arriba o
boca abajo en la impresora a la hora de
imprimir las etiquetas, y al mismo tiempo
descubrir la dirección en la que la impre-
sora carga el papel, ponemos una marca
de lápiz en una esquina antes de impri-
mir el archivo. A continuación miramos
la posición de la marca en el resultado
final, y hacemos las complejas transfor-
maciones geométricas en la cabeza para
lograr el objetivo con éxito.
Para instalar los scripts necesitamos los
módulos OpenOffice::OODoc,
Sysadm::Install y Text::CSV_XS. Este
último es una versión opti-
mizada en velocidad del
veterano Text::CSV. Una
shell de CPAN se encar-
gará de la instalación de
estos módulos en caso de
no estar disponibles en su
distribución. Seguida-
mente abrimos la aplica-
ción OpenOffice Writer y
seleccionamos el formato
de etiqueta que necesita-
mos en el cuadro de diá-
logo Etiquetas. Es necesa-
rio modificar el valor esta-
blecido de 30 etiquetas por línea, en la
línea 21 del Listado 2, para que coincida
con su formato de etiqueta.
Si algo sale mal, es una buena idea
analizar el archivo ODF con oo-dumper y
ajustar cualquier desviación del formato
creando las consultas XPath correspon-
dientes.
Después de llenar un par de campos de
prueba, guardamos los resultados como
template.odt. El script label-writer debe-
ría analizar entonces el archivo de direc-
ciones address-book.csv codificado en
UTF-8 y crear la salida read.odt, que
entonces enviamos a la impresora.
Toda una variedad de otras aplicacio-
nes vienen a la mente con este script: eti-
quetar cables en los centros de datos o
codificar los equipos para la gestión de
activos. O, podríamos calarnos la visera
de contable, arremangarnos, y colocar
una etiqueta a todos los libros de nuestra
colección, de manera que sepamos a qué
estante pertenecen, una vez hayamos ter-
minado de leerlos [5]. �
siguiente llamada a setText() recoge el
siguiente registro del archivo de direccio-
nes y guarda la cadena de texto corres-
pondiente en el elemento de la tabla que
se está procesando.
El bucle incrementa de forma continua
la variable índice$addr_idx a la matriz de
direcciones, empezando desde cero, y se
pone a cero de nuevo cuando llega al
final de la base de datos de direcciones
para reiniciar con la primera dirección.
Inserción CorrectaEl método save() guarda a continuación
los cambios en el archivo ready.odt, que
DESARROLLO • Perl: Etiquetas OpenOffice
46 Número 78 W W W . L I N U X - M A G A Z I N E . E S
[1] Listados de este artículo: http://
www. linux-magazine. es/ Magazine/
Downloads/ 78
[2] “Una sencilla manera de hacer eti-
quetas en OpenOffice Writer” por
Solveig Haugland, http://
openoffice. blogs. com/ openoffice/
2007/ 06/ a-simple-way-to. html
[3] “Perl: XML Parsers” por Michael
Schilli, Linux Magazine Internacio-
nal, Septiembre 2005, http:// www.
linux-magazine. com/ Issues/ 2005/
58/ SPOILED-FOR-CHOICE
[4] “The Perl OpenDocument Connec-
tor”, por Jean-Marie Gouarn, The
Perl Review, http:// www.
theperlreview. com/ SamplePages/
ThePerlReview-v3i1. p18. pdf
[5] “Perl: OpenOffice Access” por
Michael Schilli, Linux Magazine
Internacional, Noviembre 2004,
pag. 72.
RECURSOS
Figura 6: El método _dump() muestra cómo se anida el documento
XML.
Figura 9: Las etiquetas ya impresas.
Figura 7: Datos de direcciones en formato CSV.
Figura 8: Después de ejecutar el script, el archivo ready.odt de
OpenOffice contiene todas las direcciones insertadas.
47Número 78W W W . L I N U X - M A G A Z I N E . E S
La mayoría de los administradores se
habrán dado cuenta de que los días
de ifconfig están contados; después
de todo, el comando ip es mucho más
potente – y nos ahorra pulsaciones de
teclado. Soy consciente de ello también,
pero sigo usando la vieja herramienta. Lo
mismo me sucede cuando se trata de mi
antigua amiga nslookup. La heredera al
trono, dig, es una herramienta de diagnós-
tico para los problemas de los servidores de
nombre. A pesar de ello, la utilidad dig [1]
aún compite con su antecesora.
Sin embargo, debido a la fuerza de los
hechos, las cosas están comenzando a cam-
biar: la extensión más compleja de protocolo
de la historia del DNS (Domain Name
System) se encuentra actualmente en pleno
cambio. Me refiero a DNSSEC.
[1] Páginas man de dig: http:// linux. die.
net/ man/ 1/ dig
[2] DNSSEC: http:// www. dnssec. net/
[3] ldns: http:// www. nlnetlabs. nl/
projects/ ldns
RECURSOS
EL AUTOR
CavandoEl día a día del Administrador de Sistemas: dig
DNSKEY. Si deseamos obtener la clave
pública de la zona raíz y escribirla en el
fichero root.key, hay que teclear el siguiente
comando:
dig DNSKEY . +dnssec >U
./root.key
Armado con esta información, puedo trazar
la cadena completa de confianza hasta la
zona raíz usando la herramienta drill, del
paquete ldns-utils [3]. En el siguiente ejem-
plo se muestra el funcionamiento con una
web sueca:
drill -D -S -k ./root.keyU
www.dnssec.se
La Figura 1 presenta la cadena de confianza
en un gráfico realizado con caracteres ASCII.
Mi conclusión es que a veces hace falta que
nos presionen desde fuera para dejar los vie-
jos hábitos. nslookup, descansa en paz. �
Muchos administradores confían en herramientas Linux cuyo destino se encuentra ya
sellado, pero las fuerzas externas pueden ayudarlos a abandonar los viejos hábitos.
POR CHARLY KÜHNAST
Aleksandr Kurganov, 123RF
La Columna de Charly • ADMINISTRACIÓN
Estas extensiones de seguridad permiten
el firmado de la información de las zonas y
podrían ayudar a acabar con las suplantacio-
nes de DNS. DNSSEC [2] crea una cadena
de confianza que comienza en la zona raíz y
se extiende por los dominios genéricos
(.com, .net, etc) y de países (.fr, .de, etc), y
continúa hacia abajo por la estructura jerár-
quica del DNS.
La zona raíz, que viene representada por
un punto (.) en la nomenclatura DNS, aña-
dió las firmas necesarias a mediados de
2010. En el momento de escribir este arti-
culo, la zona .es aún no se ha unido y no
hay nigún indicativo de cuando la hará.CavandoDe modo que si quiero averiguar si un domi-
nio específico está firmado, nslookup no
podrá ayudarme, ya que no soporta
DNSSEC. Pero dig sí,
así que que podemos
introducir:
dig NS ns1.nic.fr
+dnssec
La salida devuelve la
dirección IP correspon-
diente, también mues-
tra los nuevos registros
RRSIG, que contienen
los datos de la firma,
gracias a +dnssec. Las
claves públicas para la
validación se encuen-
tran almacenadas
directamente en la
zona. Para ello hace
falta un registro
Figura 1: Charly usa Drill para ver si la cadena de confianza del DNS
sueco ha perdido algún eslabón.
Charly Kühnast es Gerente de Sistemas Unix en el centro de datos de Moers, Alemania,
cerca del conocido Rhin. Entre sus labores se incluye la seguridad del cortafuegos, la
disponibilidad y el cuidado de la DMZ (zona desmilitarizada). Divide su tiempo libre entre
el calor, la humedad y oriente, donde se divierte cocinando, visitando acuarios y aprendi-
endo japonés respectivamente.
ADMINISTRACIÓN • Inseguridades: Hackeando JTAG
48 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Antes de nada me gustaría compar-
tir una apreciación personal: los
Linux embebidos, por norma
general, me preocupan bastante. La mayo-
ría de los sistemas Linux embebidos no se
preocupan demasiado por la seguridad.
Sus creadores suelen encargarse más de
que funcionen y no tanto de que sean
seguros. Para empeorar las cosas, muchos
fabricantes tienden a abandonar sus pro-
ductos, dejando al cliente sin actualizacio-
nes de seguridad, especialmente con los
dispositivos de clientes domésticos.
¿Por Qué es tanImportante?En el pasado, los dispositivos embebidos
no suponían un problema de seguridad,
porque rara vez se conectaban a una red.
La única manera de hacer algún chanchu-
llo con ellos era físicamente. Pero ahora
todo está en red: la impresora, el escáner,
el termostato y casi cualquier cosa que
lleve un procesador, o sea, casi todo. Si un
atacante consigue acceso a uno de estos
dispositivos, podría realizar ataques man-
in-the-middle contra cualesquiera otros
dispositivos conectados a la misma red.
Ejemplo de SeguridadEmbebidaHay un ejemplo que destaca sobre los
demás a la hora de demostrar por qué los
dispositivos embebidos suponen una gran
amenaza: las contraseñas predetermina-
das. La Default Password List [1] es una
lista de contraseñas predeterminadas,
actualizada por última vez a finales de
2010, que contiene casi 1300 contraseñas,
la mayoría de ellas para dispositivos de
hardware (Figura 1). Empresas como
3COM, HP, IBM o Cisco aparecen muchas
veces en la lista. Pero continuamente sur-
gen nuevos riesgos. Por ejemplo, hay una
serie de escáneres con capacidad de cone-
xión a la red que por lo visto tienen un
fallo que permite activarlos de manera
remota, dejando que un intruso remoto
vea lo que se está escaneando.
¿Qué hacemos entonces? No queremos
comprar un router inalámbrico o un móvil
y que el fabricante deje de mantenerlo, o
lo haga a los 6 ó 12 meses. ¿O qué pasa si
compramos una consola (por ejemplo una
PlayStation) y la queremos usar para otra
cosa que no sea jugar? Bueno, lo que se va
a explicar en este artículo es cómo cargar
firmware personalizado en estos aparatos.
Cargando FirmwarePersonalizadoMuchos aparatos permiten la carga de
actualizaciones, lo que viene a significar
que podemos instalar en ellos firmware
personalizado. Normalmente, si hay un
firmware alternativo para ellos de soft-
ware libre, éste suele estar mejor sopor-
tado, durante más tiempo e incluir más
funcionalidades. El ejemplo perfecto son
los routers inalámbricos domésticos, que
suelen venir capados pero que podemos
convertir en servidores de VPN, ser-
vidores web, o incluso servidores
SIP simplemente cargándoles
un firmware personalizado.
Ya hemos hablado sobre
este tema en un artículo
anterior [2]. En menos de
15 minutos, podemos
convertir un viejo rou-
ter inalámbrico en
algo que nos pueda
servir fielmente
durante unos pocos
años más.
Pero no todos los fabricantes nos lo van
a poner tan fácil. Quizá sean los teléfonos
móviles los peores en este aspecto. Los
fabricantes de teléfonos móviles no quie-
ren ni que nos acerquemos al firmware,
eso a pesar de que los suelen mantener
sólo durante unos meses o un año a lo
más. Hay marcas, como Sony, que están
convencidas de que el cliente no tiene nin-
gún derecho a hacer lo que quiera con el
hardware que ha comprado. La PlaySta-
tion soportaba Linux inicialmente cuando
salió al mercado en el 2000, y siguió
soportándolo durante casi una década. Sin
embargo, en 2010 Sony decidió dejar de
dar soporte para Linux en la PlayStation, e
incluso se esforzó bastante para que nadie
lo pudiese usar. Entonces, ¿qué pasa si
queremos convertir nuestros sistemas
PlayStation en máquinas de cálculo, como
hicieron las Fuerzas Aéreas de EEUU? [3]
JailbreakingLos fabricantes bloquean cada vez más
sus dispositivos –
en efecto,
metiendo al
usuario en
una jaula –
con
importan-
tes restric-
ciones
acerca de
lo que pue-
den hacer o
dejar de
hacer. El
¡Sé el dueño de tus cosas!
Jailbreaking¿De quién es este aparato? El hecho de que hayamos comprado una
cosa no nos legitima para mirar en su interior. Pero en Internet hay
muchísimos recursos para los jailbreakers. POR KURT SEIFRIED
arte del “Jailbreaking” consiste en liberar
un dispositivo para eliminar dichas res-
tricciones impuestas por su software.
Nota importante: la legalidad del jail -
breaking varía considerablemente en fun-
ción del país en que se resida y del dispo-
sitivo de que se trate. Por ejemplo, en los
EEUU, la oficina de copyright americana,
la U.S. Copyright Office, dictaminó que el
jailbreaking no está prohibido sobre telé-
fonos móviles. Sin embargo, también en
los EEUU, según nuestras fuentes, sí que
sigue estando prohibido hacer jailbreaking
en una consola. Su argumento es que el
jailbreaking sobre las consolas promueve
la violación de los derechos de copyright
sobre el software.
Supongamos que el jailbreaking es legal
en nuestro país, y que tenemos suerte y
encontramos un método por software para
acceder al aparato. Lo bueno es que la
mayoría de los fabricantes son pésimos en
cuanto a seguridad. El jailbreaking por
software suele aprovechar problemas
como buffer overflows al cargar partidas
guardadas, cifrados débiles en la firmas de
actualizaciones o problemas de renderiza-
ción de PDFs. Algunos grupos de software
para jailbreaking generan software muy
profesional y fácil de usar que permite
tomar el control del dispositivo – especial-
mente de iPhones y, cada vez más, teléfo-
nos con Android.
Pero, ¿y si el fabricante ha bloqueado el
dispositivo de manera que no se pueda
hacer jailbreaking? ¿Qué opciones tene-
mos?
JTAG al RescateJTAG (Joint Test Action Group)
existe como consecuencia directa
de la proliferación de los disposi-
tivos embebidos. Básicamente,
lo que JTAG hace es definir un
método de prueba para placas
de circuito impresas (o sea,
todo lo que use electrici-
dad, desde una tostadora
a un router). Es posible
incidir sobre unas
instrucciones con-
cretas (para depu-
rar un fallo persis-
tente, por ejemplo),
introducir puntos
de ruptura o, con
suerte, cargar firmware
en el dispositivo. Hay varios
dispositivos que, a pesar de esforzarse por
impedir que se les
haga jailbreaking por
software, tienen
implementaciones
JTAG vulnerables
que permiten la
carga de firmware
personalizado.
El arte del JTAG
hacking, sin
embargo, no es apto
para neófitos. Se
necesitan ciertos
conocimientos sobre
hardware. Aunque
ya han pasado los
días en que la gente
se tenía que hacer su
propio hardware con lectura de JTAG,
actualmente se pueden adquirir dispositi-
vos hardware USB que permiten comuni-
carse con los sistemas que incorporen
puertos JTAG. Lo bueno de JTAG es que,
con suerte, aunque no consigamos cargar
firmware personalizado, aún podremos
lograr acceder al bus principal para modi-
ficar la memoria del sistema en ejecu-
ción. De este modo se puede controlar el
comportamiento del aparato e incluso
modificar los sistemas de seguridad que
impiden al usuario cargar firmware per-
sonalizado. Para saber más sobre JTAG
hacking pueden visitar el blog “HACK A
DAY” [4]. Para saber cuáles son los pins
JTAG de un dispositivo concreto, se
puede consultar el buscador del sitio
JTAG Finder [5].
ConclusiónCreo firmemente en el principio de pri-
mera venta, es decir, si compras algo, ya
es tuyo. Si quiero usar mi PlayStation 3
como tope para la puerta, convertirla en
una máquina Linux, o pintarla de rosa y
llamarla arte moderno, nadie tiene por
qué decirme lo contrario. Le pido al lector
que cuando vaya a comprar el siguiente
aparato se asegure de que está comprando
algo que verdaderamente poseerá y podrá
controlar. �
Inseguridades: Hackeando JTAG • ADMINISTRACIÓN
49Número 78W W W . L I N U X - M A G A Z I N E . E S
Figura 1: La lista de contraseñas predeterminadas contiene las con-
traseñas de más de 1300 dispositivos.
RECURSOS
[1] Default Password List: http:// www.
phenoelit-us. org/ dpl/ dpl. html
[2] Inseguridades: Punto de Acceso,
Linux Magazine – Edición en Caste-
llano, número 70, pág. 10.
[3] Air Force Playstation Supercompu-
ter: http:// www. informationweek.
com/ news/ government/
enterprise-architecture/ 221900487
[4] HACK A DAY: http:// hackaday. com/
tag/ jtag/
[5] JTAG Finder: http:// www. c3a. de/ wiki/
index. php/ JTAG_Finder
Todos estos problemas que surgen a lahora de intentar acceder a uno de estosaparatos reafirman la necesidad de laexistencia de la GPLv3. Cada vez sonmás los dispositivos embebidos que lle-van Linux en su interior, lo cual es estu-pendo, porque podemos coger sucódigo fuente y personalizarlo a nuestrogusto, ¿verdad? Pues no. Muchos fabri-cantes de hardware evitan la GPLusando como estratagema los DRM(Digital Rights Management), impi-diendo que los usuarios carguen soft-ware en sus propios dispositivos. Paraempeorar las cosas, la US DMCA (Digi-tal Millennium copyright act) prohíbesaltarse estas medidas DRM mediante
las imposición de multas y penas de cár-cel.
La licencia GPLv3 en su sección 3 solu-ciona este problema permitiendo crearsoftware DRM bajo licencia GPLv3 perocon la condición de que el desarrolladorrenuncie a todos los derechos que pro-híban circunvenir el DRM (dicho de otromodo, no se puede imponer la DMCA).En un primer momento puede parecermuy estricto, pero recordemos que vir-tualmente todo lo que está protegidopor DRM también lo está por copyrighto por patentes; el DRM no es más queun intento de aplicar una imposicióntecnológica en un problema social.
Sobre la Licencia GPLv3
ADMINISTRACIÓN • Monitorización ARP
50 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Equipos de desarrollo de todo el
mundo trabajan duro para que el
software de nuestros sistemas
esté siempre lo más actualizado posible.
Además, los cortafuegos impiden que los
atacantes accedan a nuestros sistemas y
redes desde Internet. ¿Pero qué pasa si el
ataque se produce desde dentro de la red
local?
Uno de los requisitos de casi cualquier
red local es la asignación de direcciones
IP. Con el fin de comunicarse con la red
de una manera funcional (que no sea,
por ejemplo, recolectar datos desde una
conexión inalámbrica), los potenciales
intrusos deben asignarse primero una
dirección IP dentro de la red. Esto es
común tanto a redes cableadas como a
inalámbricas. Dicha IP podría ser una
dirección libre o incluso una que ya esté
siendo usada por otro dispositivo.
Si el atacante se asigna una IP en uso,
suele ser porque planea hacer algún tipo
de espionaje o una redirección de servi-
cios. Bajo ciertas circunstancias, podría
tratar de hacer creer al resto de equipos
que él es alguna máquina de la red.
Dicho de otro modo, el atacante clona la
dirección MAC que en teoría es única
para cada tarjeta de red y que siempre es
la misma. Aquellos ataques en los que el
intruso se asocia una dirección IP exis-
tente con el fin de filtrar y suplantar las
comunicaciones se denomina común-
mente MITM o Man-In-The-Middle, por-
que el atacante se sitúa entre las máqui-
nas que intervienen en la comunicación
a espiar. Redirigir un servicio puede ser
tan sencillo como alterar una entrada de
dirección MAC en una máquina para
hacerle creer que
su servidor de
nombres es otro;
cuando la máquina
engañada quiera
acceder al sitio web
de su entidad ban-
caria, resolverá su
dirección IP
usando un servidor
de nombres mali-
cioso y acabará,
por tanto, visitando un sitio falso y pro-
porcionando sus datos personales al ata-
cante.
Lo ideal sería que no sólo supiéramos
cuándo ha cambiado la dirección MAC
asociada a una dirección IP, sino además
saber cuándo se ha asignado una nueva
IP.
En este artículo presentamos varias
herramientas útiles con las que,
mediante el uso del protocolo ARP
(Address Resolution Protocol), podremos
conocer los cambios producidos sobre
las asignaciones de la red local.
ArpwatchArpwatch es una herramienta sencilla
que vigila las direcciones IP de la red y
analiza cambios sospechosos. ARP cons-
truye una tabla que contiene las corres-
pondencias entre los dispositivos de la
red y las direcciones IP que usan, pre-
An
dre
a D
an
ti, 123R
f.co
m
Utilizamos herramientas de monitorización de ARP para buscar intrusos ennuestra red local
Estrecha VigilanciaSeguramente tenga el lector un cortafuegos, pero ¿qué pasa si el
intruso actúa desde dentro? Estas herramientas de monitorización de
ARPs son capaces de detectar el más mínimo cambio y alertarnos de un
posible ataque local. POR CHRIS BINNIE
Figura 1: El log de Arpwatch proporciona detalles simples sobre cada
evento.
guntando a cada dispositivo de la red “¿Quién usa tal direc-
ción IP?” hasta que alguno responda “Yo tengo esa direc-
ción IP”. Su simplicidad hace que sea fácil de depurar, pero
también propenso a abusos, como por ejemplo los ataques
MITM mencionados anteriormente.
Arpwatch monitoriza las respuestas ARP en busca de
cambios y envía un email al administrador en caso de que
ocurra algo sospechoso. Además de proporcionar una
forma sencilla de auditar el número de direcciones IP en
uso en una red, es un sistema de detección temprana que
se puede configurar para que escuche en varias interfaces a
la vez (tanto de cable como inalámbricas).
Cabe aclarar que en algunas redes se utiliza el falsea-
miento de ARP para redirigir legítimamente el tráfico con
algún propósito concreto. Imaginemos por ejemplo un
cibercafé en el que, hasta que el sitio nos da paso, se redi-
rige a todo el mundo a una página con la política de uso o
las condiciones del local.
Mediante el seguimiento de los dispositivos de la red con
un archivo de logs por interfaz, donde guarda la información
relativa a cuándo y qué dirección IP se asignó a cada direc-
ción MAC, Arpwatch hace fácilmente accesible una informa-
ción que de otro modo pasaría prácticamente desapercibida.
Los logs de Arpwatch guardan las direcciones MAC, las
direcciones IP asociadas, las marcas de tiempo de las últi-
mas actividades, los nombres de dispositivo (alias o nom-
bres DNS), y las interfaces desde las que se observó dicha
actividad. En la Figura 1 se muestran en detalle los logs
generados por Arpwatch.
Las notificaciones que Arpwatch envía por email pueden
alertar al usuario casi al instante. Los informes están bastante
limpios y se podrían, por tanto, formatear como mensajes
SMS (mensajes de texto) si fuese necesario. En la Figura 2 se
puede apreciar la brevedad de dichos emails de notificación.
El primer segmento de una dirección MAC se suele
corresponder (aunque no siempre) con la identificación del
fabricante o el distribuidor de la tarjeta de red, que se pue-
den consultar fácilmente mediante bases de datos en línea.
También existe una asignación formal de estos identifica-
dores en la IEEE [1], pero no es tan práctico. A través de
esta tabla se facilita la identificación de los dispositivos
desconocidos, minimizando el número de falsas alarmas.
Una vez sepa la dirección MAC del atacante y posible-
mente si se trata de un portátil o smartphone, se pueden
utilizar pistas de los datos del proveedor (siempre y cuando
no hayan sido alterados) para trazar la actividas del dispo-
sitivo en la LAN. Incluso si cambia de dirección MAC, al
menos se nos alertará de este hecho.
ArpingLa herramienta más típica a la hora de comprobar direccio-
nes ARP duplicadas en la red local es Arping. Al igual que
Ping, que envía peticiones y queda a la espera de que se
Figura 2: Los hechos: notificación de Arpwatch por correo elec-
trónico.
preguntarse si
existe alguna otra
herramienta capaz
de ofrecer un
método más sofisti-
cado y automati-
zado para combatir
este tipo de ata-
ques localizados.
La herramienta se llama ArpON, que sig-
nifica Arp handler InspectiON.
Mientras que Arpwatch sólo informa
de los problemas detectados, relegando
al usuario las acciones a llevar a cabo,
ArpON ha sido diseñado para automati-
zar la resolución de los problemas
siguiendo una serie de políticas predefi-
nidas. En el sitio web de ArpON [2] se
pueden conocer todos los detalles del
paquete, incluidos varios diagramas,
muy útiles para los principiantes.
Además de sus capacidades de moni-
torización básica de ARP, ArpON cuenta
con más munición en su arsenal. Por
ejemplo, en las sesiones de ArpON tam-
bién se pueden detectar automática-
mente y resolver interceptaciones de
sesiones o el secuestro de conversacio-
nes web o de correo electrónico.
ArpON mantiene la pizarra siempre
bien limpia, creando una caché fresca de
entradas ARP desde el principio, elimi-
nando así la posibilidad de corromper la
caché de ARP con información falsa o
engañosa (a este tipo de ataque se le
conoce como envenenamiento de la
caché ARP). A diferencia de otras herra-
mientas de monitorización de ARP,
ArpON impide activamente que se actua-
licen nuevas entradas sin una entrada de
confianza en su caché, ignorando esen-
cialmente todo lo demás y evitando así el
ataque incluso antes de que comience.
Hay tres niveles de despliegue de
ArpON. El despliegue de un nodo de
monitorización en un dispositivo puede
proporcionar protección unidireccional,
mientras que un demonio instalado
puede tomar la caché de ARP y contras-
tar los cambios con efectividad. Para una
protección bidireccional hacen falta al
menos dos nodos de monitorización,
posibilitando la interceptación de tráfico
entre ambos nodos, de manera que se
pueda descifrar el tráfico del ataque y
reaccionar en consonancia. Para que
pueda funcionar en modo de protección
distribuida se debe instalar ArpON en
todos los dispositivos de la red. Cabe
aclarar que en este caso quedarán des-
protegidos todos los dispositivos que no
estén ejecutando ArpON, por lo que este
modo de funcionamiento probablemente
sólo sea adecuado para pequeñas redes
de dispositivos homogéneos, como por
ejemplo una pequeña red (o subred) de
un clúster o de servidores de correo.
ArpON cuenta con un diseño no-inva-
sivo, tratando de no alterar el protocolo
ARP, que fue creado teniendo en mente
unas redes de datos muy antiguas y que
se podría mejorar para lidiar con los ata-
ques de hoy en día. Independientemente
de los problemas inherentes a ARP, éste
cuenta con un rendimiento muy alto
debido a su simplicidad, rendimiento
que no se ve alterado tampoco por
ArpON. ArpON es útil también en redes
gestionadas por DHCP, donde los dispo-
sitivos obtienen una dirección IP cada
vez que acceden a la red.
También existe la posibilidad de des-
habilitar partes de ArpON para crear un
laboratorio de pruebas propio con el que
realizar ejercicios interesantes.
ConclusiónArpON está actualmente disponible para
Linux, Mac OS X, FreeBSD, NetBSD y
OpenBSD, pero aún no ha sido portado a
Windows. Existen herramientas pareci-
das para Windows y otros sistemas ope-
rativos. Para Windows, hay un producto
llamado WinARP Watch. Para Linux,
Unix y BSD – también está Arpalert.
Cada una de estas alternativas varía en
cuanto a funcionalidades. Aunque Arp-
watch es excelente, ninguna otra herra-
mienta llega al nivel de sofisticación de
ArpON.
Conjugadas con los conocimientos de
un administrador experimentado, las
herramientas de monitorización de ARP
suponen un medio potentísimo, incluso
con la función de bloqueo automático
de ataques deshabilitada. Estas herra-
mientas, con el nivel de detalle de sus
informes, ofrecen una capa adicional de
seguridad y protección tanto para redes
domésticas como para redes industria-
les. �
produzca una respuesta, Arping envía
sus peticiones a la red local (o dominio
de difusión). Algunas implementaciones
de Arping, además de simplemente pre-
guntar por la dirección MAC de una
dirección IP determinada, pregunta tam-
bién a la inversa, es decir, qué dirección
IP tiene una dirección MAC dada.
Esa funcionalidad extra que posee Arp
de comprobar a la inversa es de vital
importancia en ciertos escenarios de ata-
que. En el siguiente ejemplo se le pide a
Arping que busque duplicidades relati-
vas a una dirección IP:
arping -d 97.98.99.100 -I eth1
Combinada con las alertas emitidas por
Arpwatch, para informarnos de los cam-
bios ocurridos en la red, esta herra-
mienta nos dice si hay dispositivos que
comparten una misma dirección IP (que
pueden derivar en fallos de conexión o
en intentos de ataques MITM). El
comando anterior envía cuatro peticio-
nes a través de la interfaz de red eth1,
preguntando “¿Quién tiene esta direc-
ción IP?” y queda a la espera de respues-
tas. En la Figura 3 se muestran cuatro
respuestas idénticas que indican que
sólo hay una única dirección MAC aso-
ciada a esa dirección IP y que, por tanto,
no hay duplicidades en la red.
ArpONAhora que ya sabemos cómo detectar
ataques ARP y recibir informes, cabe
ADMINISTRACIÓN • Monitorización ARP
52 Número 78 W W W . L I N U X - M A G A Z I N E . E S
RECURSOS
[1] Relación entre direcciones MAC y
fabricantes: http:// standards. ieee.
org/ develop/ regauth/ oui/ oui. txt
[2] ArpON: http:// arpon. sourceforge. net
Rendimiento de ArpON
ArpON ha sido diseñado con el obje-
tivo de ser eficiente, de ahí que no sea
demasiado opulento en lo que a fun-
cionalidades se refiere. Existe una
herramienta alternativa, llamada S-Arp
(ARP Seguro), que añade una capa de
cifrado para proporcionar una mayor
seguridad, pero que ralentiza el proto-
colo ARP al incrementar las necesida-
des de procesamiento e inyectar datos
extra en el flujo de datos.
Figura 3: Si las respuestas son idénticas, no hay duplicidades en la
red.
lar, la situación podría ser totalmente
diferente para finales de año, ya que
para esas fechas se estima que no
quede ninguna disponible. Este es el
caso actual de la región asiática
(APNIC), donde las direcciones IPv4
sólo la suministran los proveedores
por un coste elevado hasta que se ago-
ten completamente las reservas – algo
que ocurrirá pronto. En este caso, las
empresas no tendrán otra alternativa
que utilizar direcciones IPv6. Actual-
mente no es una solución muy buena,
ya que sólo un porcentaje muy bajo de
los usuarios que poseen acceso IPv6
pueden acceder a las ofertas de las
empresas.
2.- Una empresa trabaja con clientes y
socios en Asia. En muchos casos, la
empresa asiática dispondrá desde hace
tiempo de una solución dual-NAT.
Durante muchos años, algunos provee-
dores de la región asiática han asig-
nado sólo direcciones IP privadas a sus
clientes y han enmascarado estas
direcciones. Por otro lado, estos clien-
tes usan routers que convierten las
direcciones IP privadas usadas inter-
namente, lo que a menudo causa pro-
blemas. Las VPN y VoIP, en particular,
son las causantes de la mayoría de los
problemas de los administradores.
Con IPv6, los clientes poseen direccio-
nes globales para cada sistema, con lo
que se garantiza una conectividad sin
complicaciones. Pero para acceder a los
servicios de las empresas, los ordenado-
res deben poseer una pila dual. Los siste-
Pila Dual IPv4/IPv6 • ADMINISTRACIÓN
53Número 78W W W . L I N U X - M A G A Z I N E . E S
Muchos administrado-
res no tendrán que
enfrentarse al pro-
blema del cambio a IPv6
durante los próximos dos
años, ya que disponen de sufi-
cientes direcciones IPv4 como
para garantizar el acceso de
sus redes a Internet 4, gracias
a la traducción de direccio-
nes de red. El acceso a
Internet 6 no es obligatorio
para estos administradores,
pues de momento no proporciona
ningún servicio crítico imprescin-
dible para sus negocios.
Sin embargo, este no es el caso de la
mayoría de administradores y redes. En
algunos casos de uso sería conveniente
que los administradores se familiariza-
sen con IPv6, pero a pesar de esto, debe-
ría tenerse claro que una migración com-
pleta de IPv4 a IPv6 va a ser improbable
que se produzca en los próximos diez
años.
Dicho esto, puede suceder que algu-
nos servicios nuevos sólo se encuentren
disponibles en Internet 6 en un par de
años, y si los administradores quieren
usarlos, no tendrán más alternativa que
migrar sus redes a IPv6. ¿Por qué moti-
vos vamos a querer pasarnos a IPv6?
1.- Su empresa desea ofrecer más servi-
cios en Internet y necesita direcciones
IPv4 adicionales para ello. La solicitud
de nuevas direcciones no ha sido hasta
ahora ningún problema, pero para
RIPE (Redes IP Europeas) en particu-
WD
esig
ns, 1
23R
F.co
m
HILANDOFINO Durante más de 10 años, los expertos han estado pronosticando el cam-
bio inevitable a IPv6. NAT y CIDR han mantenido a flote a IPv4 desde
entonces, pero todo esto va a cambiar en muy breve. ¿Qué vamos a
hacer entonces? POR RALF SPENNEBERG
Pila dual IPv4/ IPv6: Teoría y práctica
iface ipv6tunnel inet6 v4tunnel
endpoint <Dirección_IPv4_U
del_Intermediario>
local <Dirección_IPv4_local>
address <Dirección_IPv6_local>
netmask 64
mtu 1480
gateway <Dirección_IPv6_U
del_Intermediario>
ttl 255
Estas líneas permiten el acceso del sis-
tema a Internet por medio del túnel. Si el
intermediario del túnel enruta un prefijo
IPv6 por el túnel, el administrador podrá
utilizar un servicio de aviso de router o
DHCPv6 en sus redes.
Por otro lado, pueden asignarse direc-
ciones IPv6 estáticas. Como los equipos
tienen actualmente conectividad IPv4 y
IPv6, la solución se conoce como pila
dual.
¿DS-Lite o NAT64?A pesar de la escasez de direcciones IPv4,
los métodos DS-Lite (Dual Stack Lite, Pila
Dual Lite en español) y NAT64 necesitan
que el cliente pueda acceder a Internet 4.
En ambos casos, el proveedor asigna una
dirección IPv6 global para el router y un
prefijo para los sistemas que se encuen-
tren ocultos detrás de su cliente. Gracias a
esta dirección IPv6 global, tanto el router
como los otros sistemas pueden hacer uso
de IPv6 para comunicarse con los servido-
res. Los dos métodos difieren respecto a la
manera de configuración de los sistemas
del cliente. En el caso de DS-Lite (Figura
1), el proveedor además tiene que asig-
narle una dirección IPv4 privada al router
del cliente.
El propio router usa DHCP para distri-
buir direcciones IPv4 privadas en el sis-
tema interno. Ahora el sistema posee
una dirección IPv6 global y una direc-
ción IPv4 privada, cada una con puertas
de enlace por defecto que apuntan al
router. Cuando un usuario accede a un
sitio web, el sistema realiza primero la
resolución de nombres. Si la respuesta
contiene una dirección IPv6, el equipo
utilizará su dirección IPv6 global para
acceder al servidor. Si la respuesta DNS
contiene tanto una dirección IPv4 como
una dirección IPv6, los sistemas operati-
vos actuales prefieren IPv6, y de nuevo
utilizará este acceso para acceder al ser-
vidor. DS-Lite sólo entra en juego en el
caso de que el servidor sólo disponga de
una dirección IPv4. El cliente envía un
paquete IPv4 con su dirección privada de
origen, que inicialmente se encuentra
enmascarada por el router que usa su
propia dirección privada de origen.
Luego el router la encapsula en un
paquete IPv6 y utiliza IPv6 para enviarla
a un sistema especial en el proveedor
que extrae el paquete IPv4 y utiliza
NAT64 para convertirla en una dirección
IPv4 global. Para ello, el proveedor tiene
que suministrar componentes CGN
(Carrier Grade NAT).
Algunos se refieren a este sistema
como AFTR (Address Family Transition
mas que anteriormente sólo poseían
acceso por medio de IPv4 también deben
tener asignadas ahora direcciones IPv6.
SimplicidadPuede que los
administrado-
res se estén
preguntando así
mismos la forma
de conseguir
direcciones
IPv6. Nor-
malmente
habrá
que solici-
tarlas a los mis-
mos proveedores
de direcciones IPv4.
Sin embargo,
actual-
mente
sólo
hay
unos
cuantos
que ofre-
cen
acceso
IPv6 de
forma nativa. Por
ahora, se resuelve por
medio de túneles: usando IPv4
para crear un túnel a un intermediario de
túnel IPv6, que permite el acceso a Inter-
net 6 por medio del túnel. También ofre-
cen direcciones IPv6 (normalmente en la
forma de un prefijo /48) y las enruta por
medio del túnel. SixXs [1] y Hurricane
Electric [2] proporcionan este servicio a
los clientes profesionales.
De momento, tras el proceso de regis-
tro, ellos le proporcionarán un túnel y
algunas direcciones IPv6 de forma gra-
tuita. Luego, introducen estas direccio-
nes en sus servidores whois, permi-
tiendo que las direcciones asignadas
puedan ser fácilmente encontradas por
terceros. La soluciones utilizadas para
configurar los túneles pueden diferir
dependiendo de los extremos de las mis-
mas, ya que los clientes pueden tener
direcciones IPv4 estáticas globales, diná-
micas o privadas enmascaradas.
En el primero de estos casos, lo único
que hay que hacer en Debian es crear un
dispositivo de túnel adicional con la
siguiente entrada en el fichero /etc/net-
work/interfaces:
ADMINISTRACIÓN • Pila Dual IPv4/IPv6
54 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Figura 1: En DS-Lite, el proveedor ahorra las direcciones IPv4 por medio del uso de NAT, tra-
duciendo direcciones IPv4 privadas a direcciones IPv4 globales (NAT44).
Router). Un administrador en el lado del
proveedor puede implementar AFTR
usando Linux y el paquete de software
AFTR del Internet Software Consortium
[3]. Como el router del lado del cliente
ya no posee una dirección IPv4 global,
no podrá utilizar servicios como
DynDNS o el plegado de puertos; ahora
funciona con IPv6, pero de una forma
muy superior.
En el caso de la segunda variante,
NAT64, el proveedor usa una solución
diferente para proporcionarle a sus clien-
tes el acceso a Internet 4. Al cliente sólo
se le asignan direcciones IPv6 globales
tanto para su router como para los siste-
mas que posea tras el router. Lo impor-
tante es que estos sistemas sólo utilicen
el servidor DNS de su proveedor para la
resolución de nombres de tres formas:
• La resolución de nombres sólo propor-
ciona una dirección IPv6: los clientes
usan su dirección IPv6 global para
acceder a los servidores.
• La resolución de nombres devuelve
tanto una dirección IPv4 como una
IPv6: el cliente preferirá la dirección
IPv6 y la usará para acceder al servi-
dor.
• La resolución de nombres sólo
devuelve una dirección IPv4: en este
caso interviene el servidor DNS del
proveedor, crea una dirección IPv6 adi-
cional y la añade a la respuesta.
Para ello, el servidor añade la representa-
ción hexadecimal de la dirección IPv4 a
un prefijo IPv6 definido. El administra-
dor del servidor DNS puede utilizar el
prefijo reservado 64:FF9B::/96 o un
rango libre de su propia reserva de direc-
ciones IPv6. El cliente recibirá tanto la
dirección IPv4 como la IPv6 en la res-
puesta del DNS, y preferirá la dirección
IPv6. El cliente enviará los paquetes
correspondientes a la puerta de enlace
por defecto del proveedor, donde el rou-
ter identificará la dirección IPv6 adicio-
nal creada anteriormente evaluando el
prefijo.
El sistema extraerá la dirección IPv4
incluida y realizará tanto NAT como la
traducción de IPv6 a IPv4. Los desarro-
lladores se refieren a este método como
NAT64 (Figura 2), y a la puerta de enlace
de la capa de aplicación DNS como
DNS64. Existen varias implementaciones
de esto en Linux. Por ejemplo, la última
versión de BIND ya soporta su uso como
servidor DNS64. El componente NAT64
puede ser manejado tanto por la aplica-
ción del espacio del usuario Tayga [4]
como por el componente Ecdysis [5] del
kernel.
Uno de los problemas del uso de
NAT64 es el incremento popular del uso
de DNSSEC, que detecta la modificación
y por ello la falsificación de las respues-
tas DNS e ignora dichas respuestas.
NAT-PTEl RFC 2766 definió NAT-PT (NAT/ proto-
col translator) en el 2000; al contrario
que NAT64, también soporta NAT64, que
hace posible no sólo para los sistemas
IPv6 el acceso arbitrario a servidores
IPv4, sino que permite a los sistemas
IPv4 acceder de forma arbitraria a los
servidores IPv6. Como IPv4 puede
incluirse fácilmente en direcciones IPv6
modificadas, NAT64 es mucho más sim-
ple de implementar, aunque el proceso
inverso es mucho más complicado.
El espacio de direcciones IPv4 no
posee la capacidad necesaria como para
incluir direcciones IPv6 dentro de direc-
ciones IPv4 modificadas, impidiendo que
DNS64 y NAT64 funcionen de forma
independiente el uno del otro, ya que
necesitan del intercambio de informa-
ción constante. Aunque existen algunas
implementaciones operativas, el RFC
2766 NAT-PT fue modificado en 2007 por
razones históricas debido a numerosos
problemas (RFC 4966).
Para un sis-
tema IPv4, no
hay ninguna
solución disponi-
ble para acceder a
los sistemas que
sólo posean IPv6. Un
proxy con pila dual puede
proporcionar una solución: Los clientes
usarían IPv4 para contactar con el
proxy y acceder a los sistemas IPv6. Sin
embargo, esta técnica sólo soporta los
protocolos que permiten el uso de puer-
tas de enlace de la capa de aplicación,
incluyendo DNS, SMTP, HTTP o
HTTPS.
El FuturoComo sólo un pequeño porcentaje de los
routers DSL actuales soportan IPv6, los
proveedores tendrán que reemplazar los
dispositivos terminales de los clientes
antes de hacer el paso a IPv6 – un pro-
ceso caro por el que los clientes no están
dispuestos a pagar. Por este motivo, los
proveedores retrasarán esta sustitución
tanto como les sea posible, lo que conlle-
vará a que muchos ISP querrán evitar la
sobrecarga de administración de la oferta
adicional de sus servicios por medio de
IPv6. A pesar del éxito del Día IPv6 en
junio, en el que numerosos proveedores
ofrecieron de forma adicional sus servi-
cios por medio de IPv6 por un día,
muchos de los participantes importantes
tales como Facebook, Google y YouTube
actualmente han cesado sus servicios
basados en la pila dual.
ConclusionesMientras que los principales proveedores
rehúsen promocionar el acceso por
medio de IPv6, IPv6 no será del interés
de los consumidores. Hasta este cambio,
los proveedores de DSL probablemente
comenzarán a suministrar a sus clientes
direcciones IPv4 privadas de forma simi-
lar a lo que ha estado sucediendo en
Asia. �
Pila Dual IPv4/IPv6 • ADMINISTRACIÓN
55Número 78W W W . L I N U X - M A G A Z I N E . E S
RECURSOS
[1] SixXS: http:// www. sixxs. net
[2] Hurricane Electric: http:// www. he. net
[3] AFTR: http:// www. isc. org/ software/
aftr
[4] Tayga: www. litech. org/ tayga/
[5] Ecdysis http:// ecdysis. viagenie. ca/Figura 2: En NAT64, el proveedor modifica una dirección IPv6 para enmascarar el acceso a
IPv4.
ADMINISTRACIÓN • Arranque Seguro
56 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Una firma digital no es suficiente
para garantizar la integridad de
un sistema informático com-
pleto. Para tener un entorno realmente
seguro debemos poder confiar tanto en
el hardware como en los archivos de
configuración y el software, incluyendo
aplicaciones, drivers y el propio sistema
operativo. ¿Qué componentes intervie-
nen en semejante proceso de verifica-
ción, y cómo podemos conseguir una
cadena de confianza completa e infran-
queable que aúne todos los componen-
tes?
La necesidad de proveer un anclaje
seguro (o raíz) para esta cadena de con-
fianza hizo que varias empresas de infor-
mática, incluidas AMD, Intel, HP, IBM y
Microsoft fundasen la TCG (Trusted
Computing Group, [1]) en 2003, que
actualmente cuenta con más de 100
miembros. Aunque la TCG se ha diversi-
ficado a lo largo del tiempo dando lugar
a varias especificaciones de seguridad
adicionales, parte de su objetivo original
era definir lo que hoy se conoce como
TPM (Trusted Platform Module): un chip
independiente para el procesamiento
criptográfico ubicado en la máquina,
capaz de gestionar procesos de verifica-
ción de firmas y de anclar una cadena de
confianza que garantice la integridad y
no manipulación de la totalidad de los
elementos del sistema.
El TPM, que se estandarizó con la
especificación ISO/ IEC 11889, incluye
algoritmos criptográficos, un generador
de números aleatorios por hardware y
varios mecanismos para la manipulación
segura de claves y certificados digitales
(Ver el cuadro titulado “Confianza”).
Durante los últimos años, el TPM se ha
convertido en un elemento común en las
placas más completas. En teoría, los
componentes incluidos en el TPM pro-
porcionan las siguientes funciones:
• una identidad de plataforma única
• memoria de claves segura
• sellado de datos
• funciones criptográficas
• evaluación de la integridad del sistema
Microsoft era uno de los miembros origi-
nales del TCG, y los sistemas Windows
Vista y posteriores ofrecen soporte para
TPM en forma de autenticación previa al
arranque y cifrado de disco Bitlocker. El
proyecto Trusted Grub [2] proporciona
un parche para el cargador de arranque
Grub con el que dota a Linux de soporte
para TPM.
Cómo Funciona el ArranqueSeguroEl arranque seguro comienza cuando se
enciende el equipo y se ejecuta el código
de la BIOS. El primer paso consiste en
una inicialización básica del hardware y,
en particular, del chip TPM.
Con el fin de garantizar que la funcio-
nalidad del TPM se encuentra disponible
Cómo proteger el hardware con IMA y arranque seguro
CADENA DECONFIANZA
Las placas base más completas a veces incorporan chips de computación de confianza, aunque los usuarios y
sistemas operativos rara vez los emplean. El kernel Linux ha conseguido dominar esta tecnología, y ahora los
usuarios de Linux pueden disfrutar de una cadena de confianza completa con TrustedGRUB.
IntegrityMeasurementArchitectureIMA es parte oficial
del kernel Linux
desde la versión
2.6.30 de éste, aun-
que por norma gene-
ral no viene habilitado, por lo que puede
ser necesario recompilarlo con las
siguientes opciones:
• CONFIG_IMA=Y
• CONFIG_IMA_MEASURE_PCR_ INDEX
=10
• CONFIG_IMA_AUDIT=Y
• CONFIG_IMA_LSM_RULES=Y
También hace falta una opción de arran-
que opcional para el kernel, ima_tcb=1.
En el Listado 1 se muestra un extracto de
la configuración de Grub con IMA habili-
tado y una comprobación de archivo de
Grub.
IMA utiliza los hooks LSM (Linux
Security Module) del kernel, los mismos
en los que se basan SE Linux y las exten-
siones MAC (Mandatory Access Control).
Un programador puede registrar funcio-
nes internas del kernel mediante estos
hooks; se suelen utilizar para funciones
relacionadas con la seguridad o para lla-
madas al sistema. El kernel inicia las
funciones IMA para, por ejemplo, los
hooks que ejecuta el kernel antes de car-
gar archivos ejecutables. Esto se cumple
con llamadas al sistema como mmap(),
execve() o sys_init_module().
El código de IMA siempre se ejecuta
por tanto antes de que cargue el sistema
o se ejecute cualquier módulo del kernel,
librería, archivo binario o script. El
código calcula la suma checksum del
archivo en cuestión de la misma manera
que lo hace el proceso de arranque pre-
vio. Los resultados no siempre se alma-
cenan en el chip TPM, sino que sólo van
a parar allí en los casos de archivos pre-
vios y validados o cuyo checksum se ha
visto alterado.
Un mecanismo de caché garantiza que
todo este proceso no acabe derivando en
Arranque Seguro • ADMINISTRACIÓN
57Número 78W W W . L I N U X - M A G A Z I N E . E S
Figura 1: La cadena de confianza comienza al encender el PC e idealmente continúa hasta que
arranca el sistema operativo. En Linux se consigue con la ayuda de Trusted Grub.
Los PCRs (Platform Configuration Regis-ters) juegan un importante papel en lacomprobación de la integridad llevada acabo en un arranque seguro. Los PCRsson juegos de 16 registros con un anchode datos de 20 bytes, que es justamenteel tamaño de los resultados de los ha -shes criptográficos (SHA-1). Los PCRs seinicializan a 0 cuando la máquina se rei-nicia o resetea. De ese modo, es imposi-ble establecerlos con valores predeter-minados.La única posibilidad a la hora de modifi-car los registros es llamando a la fun-ción TPM_Extend. Esta función se definecomo TPM_Extend[n] := SHA-1(PCR[n] ||
D). Una porción de datos de longitudarbitraria D se enlaza al número n delvalor actual del registro PCR, para sercomputado usando la función criptográ-fica de hasheado SHA-1. El hash de 20bytes resultante se guarda en el registroPCR n. Debido a las características de lafunción de hasheado, es virtualmenteimposible usar este mecanismo paraguardar un valor específico en un PCRde manera intencionada. El arranqueseguro hace uso de ello para almacenarlos valores calculados D en un PCR en elmomento del arranque, impidiendo asísu manipulación.
59Número 78W W W . L I N U X - M A G A Z I N E . E S
Figura 2: El protocolo de testimonio remoto (Remote Attestation)
permite verificar la integridad gracias a un sistema remoto. Por des-
gracia, aún no existe ninguna implementación usable.
Figura 3: Una forma de implementar el arranque seguro es usando una smartcard como instancia de verificación junto con un cifrado completo
de los discos duros.
Las smartcards han sido diseñadas paraejecutar operaciones criptográficas,generar números aleatorios y almace-nar de forma segura datos y claves.Actúan como parte desafiante, asumenel papel de protocolo de testimonioremoto (Remote Attestation) y verificanlas sumas. En semejante escenario noes posible iniciar ninguna aplicaciónsegura en el PC hasta que no se haya lle-vado a cabo la comprobación de la inte-gridad del sistema. El truco está enalmacenar la aplicación en el PC en uncontenedor cifrado y la clave en lasmartcard. La smartcard no proporcio-nará la clave hasta que el PC haya verifi-cado satisfactoriamente la integridaddel sistema.
Si el cargador reside en el interior delcontenedor, necesitará hacer uso delprotocolo de testimonio remoto, acce-der a la smartcard y montar el contene-dor cifrado (Figura 4). El cargadorarranca en el Paso 1; inicializa la smart-card y controla el diálogo con el usuario.El usuario ha de autenticarse ante lasmartcard para poder habilitarla (2). Elcargador ejecuta entonces el protocolode testimonio remoto contra la smart-card (3). Tras verificar satisfactoriamentela integridad, proporciona la clave parael montaje del contenedor cifrado (4). Elcargador puede montar entonces elcontenedor (5) e iniciar la aplicación enél contenida (6).
Versión con Smartcard y Cifrado Completo
Claro está que este método tampoco
está exento de problemas: la gestión
mediante Smartcard y stick USB no es
viable con grupos de usuarios de mayor
tamaño; de hecho, una arquitectura de
tal complejidad está más bien orientada
a sistemas dedicados con necesidades de
máxima seguridad y para los que está
justificado el esfuerzo de administración
que supone.
WindowsLas versiones más modernas de Windows
(a partir de Windows Vista) soportan el
chip TPM en forma de autenticación pre-
via al arranque y cifrado de disco duro
mediante Bitlocker [5]. El software veri-
fica la integridad del sistema en las fases
más tempranas del arranque, de manera
similar a como lo hace TrustedGRUB.
Sin embargo, en ese momento se
rompe la cadena de confianza; el kernel
no continúa con las medidas de integri-
dad del chip TPM. La filosofía para la
protección de la integridad varía en este
punto: Bitlocker hace uso de TPM para
garantizar la detección de vulneraciones
de la integridad sólo hasta el momento
en que el kernel arranca. Al mismo
tiempo, Bitlocker garantiza la confiden-
cialidad de los datos del disco mediante
el uso de cifrado completo. De ese modo,
los administradores de los sistemas de
Microsoft pueden prevenir potenciales
ataques consistentes en modificar archi-
vos específicos offline. Estas medidas
están complementadas por funciones
como la firma de drivers, protección ante
parches o control de cuentas de usuario.
Tras una valoración detallada de la
seguridad de Windows Vista se concluye
que, a pesar de que Microsoft ha mejo-
rado sustancialmente la seguridad de
Windows en comparación con sus pro-
ductos anteriores, aún no ofrece ningún
concepto dominante en el sentido de
TCG, o al menos no de un modo ya pre-
parado.
Microsoft ha podido identificar este
error y parece estar trabajando en ello.
En la Build Conference de Septiembre de
2011, los desarrolladores presentaron el
nuevo método de “Arranque Seguro” en
Windows 8 – basado en la UEFI (Unified
Extensible Firmware Interface, [6]) –
para soportar solamente cargadores de
arranque firmados para proteger así el
sistema operativo como el Chrome OS de
Google. Sin embargo, los chips UEFI no
están muy extendidos entre el hardware
de PC.
ConclusiónLa integridad de las aplicaciones se
puede garantizar en Linux mediante una
combinación de CRTM, TrustedGRUB e
IMA, consiguiendo un arranque seguro
perfecto. Esta solución permite al admi-
nistrador detectar cualquier modifica-
ción realizada sobre aplicaciones sensi-
bles, como por ejemplo las dedicadas a
la creación de firmas digitales.
La usabilidad del sistema en entornos
productivos depende de un proceso de
verificación confiable. Por desgracia, aún
no existe ninguna implementación usa-
ble del protocolo de testimonio remoto
(Remote Attestation). En comparación
con Windows, IMA definitivamente
implementa mucho mejor el concepto de
arranque seguro. �
datos; si los valores son idénticos, los
archivos del sistema objetivo están
intactos, (6).
Alternativamente, se puede usar una
smartcard como entidad de confianza
para implementar el protocolo de testi-
monio remoto. La arquitectura propuesta
en el cuadro “Versión con Smartcard y
Cifrado Completo” contempla una auten-
ticación de doble factor para el usuario y
cifrado completo para el disco duro, ade-
más del arranque seguro para garantizar
la integridad y confiabilidad del conjunto
de los datos.
Pero una vez más, hay una serie de obs-
táculos que dificultan la puesta en pro-
ducción de esta solución. Por ejemplo, la
smartcard no puede guardar todas las
sumas debido a la limitación de sus recur-
sos, y el protocolo tardará algún tiempo.
Debido a que el kernel Linux ya cuenta
con mecanismos similares para el cifrado
de discos, como Dm-crypt, Device map-
per y la Crypto API, se puede concebir
una arquitectura aún más compleja y
exhaustiva. La Figura 3 muestra un bos-
quejo de la extensión para el procedi-
miento descrito anteriormente.
En esta configuración, el disco duro no
contiene datos cifrados aparte de los
datos de gestión de las particiones. El sis-
tema usa CRTM y TrustedGRUB para
arrancar (pasos 1 a 4) desde un medio
USB. Aquellos administradores que bus-
quen un método elegante pueden usar un
stick USB con lector de smartcard inte-
grado y llevar consigo todas las credencia-
les de acceso en el stick. La ramdisk ini-
cial contiene el código necesario para
usar la smartcard, autenticar al usuario e
incluso lanzar una comprobación de la
identidad y, en caso de que ésta tenga
éxito, leer la clave desde la smartcard
para el cifrado transparente del disco duro
(pasos 5 a 8). La máquina podrá entonces
montar el sistema de archivos raíz y con-
tinuar con el proceso de arranque (pasos
9 a 11). Una vez hecho todo esto, tienen
lugar los pasos para iniciar la aplicación
de alta seguridad (pasos 12 a 16).
ADMINISTRACIÓN • Arranque Seguro
60 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Figura 4: Secuencia del protocolo de testimonio usando una smartcard para proteger la aplicación.
75Número 78W W W . L I N U X - M A G A Z I N E . E S
4. ¿Errores de lectura del disco de instala-ción? Aunque me dijo que ha probadovarias veces con distros diferentes, sudispositivo de CD-ROM podría estardañado, de manera que no puede leerlos datos correctamente después deestar funcionando durante un rato. Aveces incluso se puede oír cómo lacabeza lectora se mueve de un lado aotro para intentar localizar un sector. Enese caso, puede intentar repetir la insta-lación desde un lector de CD (o DVD)por USB. Si la máquina no permite elarranque desde USB, puede probar acopiar de nuevo el medio de instalación,poner ambas copias en cada medio ysacar la primera del dispositivo internoen cuanto se carguen el kernel y la ram-disk inicial. El pequeño sistema de laramdisk debería ser capaz de encontrarel dispositivo USB externo y continuar lainstalación desde él.
5. ¿No se puede montar el sistema dearchivos raíz? Si la instalación finalizacorrectamente pero el sistema fallainmediatamente después del primerarranque, lo más frecuente es que sedeba a un mensaje que dice “cannotmount root file system”. Suele ocurrircuando el instalador no es capaz de aña-dir todos los módulos para activar elcontrolador del disco duro. Es un fallodel instalador que tiene difícil solución.Quizá tenga que compilar su propio ker-nel para que contenga el módulo nece-sario y añadirlo al sistema instaladoarrancando en modo rescate desde elCD de instalación, para luego iniciar unaterminal chroot en el sistema previa-mente instalado.
6. ¿Error en un driver de hardware? Unavez más, si la instalación finalizó correc-tamente y el sistema falla incluso antesde intentar acceder al sistema de archi-
repentino o un simple número por panta-lla. ;-)
Pido disculpas si las típicas sospechassuenan algo primitivas, pero me aventu-raré …1. ¿Falta de memoria? Si el proceso de ins-
talación necesita más memoria física dela que la máquina dispone, especial-mente si no se ha creado aún ningunapartición swap, el kernel va matandoprogramas de manera más o menos ale-atoria (probablemente el instalador) ymuestra un mensaje del tipo “no moreprocesses in this runlevel”.
2. ¿RAM defectuosa? Suele provocar reini-cios repentinos de la máquina o corrom-per los datos que se leen o escriben encualquier medio. En el mejor de loscasos, el kernel muestra diferentes men-sajes de error indicando que la longitudde los datos en la memoria no es laesperada. Lo más probable es que NOreciba nunca un mensaje que diga “laRAM es defectuosa”, a menos que elchipset de la máquina incorpore algúnmecanismo de detección y correcciónde errores de memoria.
3. ¿Problemas con el disco o el controla-dor? Si falla la lectura de algún archivoen un punto crítico del proceso de insta-lación, como por ejemplo para la activa-ción de módulos del kernel modules(drivers) para algún hardware, o a lahora de desempaquetar la ramdisk delsistema base o alguna librería, lo másprobable es que el sistema se detenga yel kernel informe de que no se puedemontar el (nuevo) sistema de archivos oque falló init. Puede deberse a un discodefectuoso, a un controlador de discocon el DMA en mal estado, o simple-mente a un cable defectuoso o un con-tacto en el conector en el caso de unamáquina más antigua.
El Kernel de Fedora FallaMe gusta el aspecto de Fedora y heintentado instalar varias versiones,
desde la Fed 10 a la Fed 14, pero siempre,después de instalar, me muestra un men-saje de error del kernel unos segundosantes de iniciar el sistema operativo. Unavez, con una versión de Fedora, me mos-tró el mensaje durante la propia instala-ción, y el proceso se detuvo. Curioso perofrustrante a la vez, ¿sabe usted por qué mefalla tanto Fedora? John Bennetto
Hubiera estado bien disponer delmensaje de error que menciona. El
motivo es porque es más sencillo encon-trar el problema con él que con un reinicio
COMUNIDAD · Konsultorio
76 Número 78 W W W . L I N U X - M A G A Z I N E . E S
vos raíz, o DESPUÉS de montar el sis-tema de archivos raíz (en ese caso apa-rece algo como “init verstion xxx star-ting …”), entonces el problema es queun driver de hardware que NO era nece-sario durante la instalación pero quearranca en el sistema instalado, comopor ejemplo un driver gráfico, podríahaber fallado. Dependiendo de la causadel fallo (aquí resulta de gran ayuda elmensaje de error concreto), se puedeintentar deshabilitar el driver defec-tuoso editando las opciones de arranquedesde el cargador de arranque (en elcaso de GRUB, se hace presionando latecla e de “edit” y añadiendo las opcio-nes a la línea de KERNEL). Las más típi-cas son
linux acpi=off noapic U
nolapic nomodeset nodma
pero una vez localizado el driver queprovoca el problema, se debe quitar elresto, porque de lo contrario se puedeacabar con un disco duro insufrible-mente lento (nodma) o con componen-tes de hardware que no funcionan (porcausa de acpi=off, que se puede reem-
plazar por la menos invasivaacpi=noirq).
7. De verdad que me hubiera gustadosaber lo que decía ese mensaje de errordel kernel … ;-)
Gráficos BorrososLos gráficos se ven borrososcuando trato de ejecutar el Live CD
que venía con la Especial Linux Shell 1
[Knoppix 6.7]. No estoy muy familiarizadocon Linux y pensé que me podrías ayudaro darme alguna indicación.
Gracias por tu tiempo. Jared.Lo cierto es que algunas tarjetasgráficas están mejor soportadas
que otras. Debido a la falta de un estándarcomún, los fabricantes suelen añadir “fun-ciones especiales” que mejoran las esta-dísticas de sus tarjetas, pero a cambio, lashacen incompatibles con versiones ante-riores de las mismas. El subsistema gráficode Linux está compuesto por una parte decomponentes del kernel para los driversde hardware y una parte en espacio deusuario para los drivers de software (Tabla1) que soporta la mayoría (pero pocasveces todas) las funciones de un chipsetdado.
Depende totalmente del modelo de tar-jeta gráfica y de cómo de bien funcionecon los drivers, con aceleración y sin ella(framebuffer, VESA). Una estimación apro-ximada es: si la tarjeta es mucho másnueva que el kernel y que los drivers deXorg en uso, probablemente no esté biensoportada aún y no funcionen bien algu-nas funcionalidades como el 3D, la resolu-ción de la pantalla no se maneje correcta-mente, o la pantalla parpadee al no esta-blecerse correctamente las frecuencias delmonitor.
Con el fin de no tener que tirar la toalla yesperar a una nueva versión de kernel o deXorg, se suelen utilizar algunos trucos quepermiten usar estas tarjetas, aunque seacon unos gráficos lentos o de baja calidad.
Una característica específica de Knoppixes que deshabilita la extensión “Compo-site”, la cual se encarga de manejar lastransparencias y que, aunque atractivavisualmente, consume muchos recursos ysólo es útil para efectos ajenos al trabajodiario productivo. Esta extensión se puededeshabilitar con los códigos
knoppix no3d
o
knoppix nocomposite
Si con ello no bastara, puede probar con elmodo VESA sin aceleración:
knoppix xmodule=vesa
Y si tampoco fuese suficiente, puede inten-tarlo con los modos VESA framebuffer deresolución fija,
fb800x600
o
fb1024x768
o
fb1280x1024
esta vez sin el knoppix delante.Cabe aclarar que en el modo VESA fra-
mebuffer, sólo están soportadas algunasresoluciones, entre las que no se encuentrael modo “widescreen”. Lo mejor de todo esque estos pequeños trucos funcionan concasi todas las tarjetas, incluso con aquellas
failed in buffer_read(fd): files list for package `xinput’: Input/
output error
02
03 E: Sub-process /usr/ bin/ dpkg returned an error code (2)
04
05 dpkg: warning: files list file for package `xinput’ missing, assuming
package has no files currently installed
06
07 dpkg: warning: files list file for package `xbk-data’ missing,
assuming package has no files currently installed
08
09 […logs truncated, you can probably delete most of the above, too…]
Listado 1: Errores xinput y xkb-data
Tarjeta Módulo del kernel Módulo de Xorg
Intel i915 intel
ATI/ AMD radeon radeon or ati
NVidia nouveau (libre), nvidia (priva-
tivo)
Nouveau (libre) o nvidia
(priva tivo), nv (libre pero
actualmente sin desarrollo)
Drivers Accelerated acelera-
dos (varios)
cirrusfb, neofb, … fbdev (framebuffer sólo) o cir-
rus, neomagic, … (con acele -
ración)
Genérico Modo VESA
(interno en el kernel)
vesa
Konsultorio • COMUNIDAD
77Número 78W W W . L I N U X - M A G A Z I N E . E S
que no están soportadas en absoluto porlos módulos que disponen de aceleracióngráfica.
Problemas Arrancandodesde Pendrive USB
Hola Klaus: tengo una UbuntuLucid 10.04 LTS en un pendrive
USB. El kernel que usa es un linux-image-2.6.32-26-generic. La lista completa de ker-nels es linux-generic, linux-image-2.6.32-24-generic, linux-image-2.6.32-25-generic,linux-image-2.6.32-26-generic y linux-image-2.6.32-30-generic. He estado arran-cando el sistema desde USB en unos portá-tiles Dell D420 y Lenovo X201s.
Lo que ahora quiero hacer es actualizarmi sistema para que use la última versiónde kernel con el fin de aligerar/ aliviar elsistema, pero, por algún motivo, el sistemano funciona correctamente. Mis atajos deteclado no funcionan en absoluto (el escri-torio o las ventanas no pueden rotar). Heprobado a hacer
apt-get update
apt-get upgrade
apt-get dist-upgrade
y me he encontrado con un problema condos paquetes, xinput y xkb-data. Al tratarde reinstalarlos, recibo algunos mensajesde error (Listado 1), y también cuandointento eliminarlos. Al intentar actualizarel sistema me dice:
Squashfs error: Unable to U
read page, block,U
Unable to read fragment U
cache entry
La información sobre el espacio de discoutilizado se puede ver en los listados ane-xos. También he adjuntado logs de lossiguientes archivos:
$ ls -l /var/log
/var/log/syslog
/var/log/messages
/var/log/daemon.log
kernel_boot.txt
Agradecería enormemente tu ayuda. Gib-son
La parte más significativa de esoslogs es el extracto que se muestra
en el Listado 2.Significa que la parte comprimida de
sólo lectura (SquashFS) del sistema de
archivos Live estáincompleta. Puede serporque no se copióbien la primera vez,porque se haya rees-crito después acciden-talmente, o porque eldispositivo USB tengaproblemas de lectura(en ese caso DEBE-RÍAN aparecer erroresen el log del kernel enforma de “block readerrors”, pero no se veninguno).
Los errores de lecturadesde el sistema dearchivos original pueden derivar en erro-res de todo tipo. Para la instalación de nue-vos paquetes hay que leer antes variosarchivos de la base de datos de informa-ción de paquetes de Debian/ Ubuntu, demanera que se conozcan los metadatospara su posterior almacenamiento. Estepaso siempre falla en sus intentos poractualizar ciertas partes del servidor deXorg; no tiene que ver con los paquetesque está intentando instalar, sino que ocu-rrirá cada vez que el sistema intente leerdesde el sistema de archivos SquashFSroto.
La única solución que se me ocurre esreemplazar el archivo SquashFS defec-tuoso con el sistema parado, por ejemplodesde un sistema distinto, y verificar lasuma checksum del archivo antes deintentar reiniciarlo.
Seguridad de mi Servidor¡Hola Klaus! Estoy tratando de ins-talar y configurar un servidor. La
idea es que haga de servidor de archivos ypuede que de cliente de BitTorrent. Estabapensando en montar un Ubuntu Server yusar FTP para acceder a los archivos.
Sin embargo, mi principal preocupaciónes cómo mantenerlo seguro. En estemomento no estoy seguro de si hacer quesea accesible desde Internet o sólo desde
mi red local. ¿Qué pasos debería llevar acabo para que sea lo más seguro posibleen ambos casos, tanto en el sistema en sícomo en la pasarela de acceso a la red?
En lo que respecta al cliente de BitTo-rrent, ¿hay alguna forma de restringir lostorrents que se ejecutan por tracker? Noquiero acabar compartiendo nada sospe-choso. Y otra pregunta, ¿crees que esmejor usar alguna otra distro más especí-fica para esto? ¡Gracias! Ashwin
Excepto para el acceso público desólo lectura, no es recomendable
usar FTP para servir archivos, principal-mente porque las contraseñas viajan sincifrar. Al menos para las subidas y todoslos accesos personales, yo recomendaríaalgún servicio cifrado como SSH, SSHFS oHTTPS con autenticación.
Para estar seguro de que no hay ningúnservicio accesible desde el exterior, apartede los que elija, puede usar las reglas deiptables que se muestran en el Listado 3,suponiendo que sea eth0 la interfaz de redexterna.
La primera regla crea un nuevo destinoDESDEINTERNET, a la que se pasa cadavez que un paquete llega a través de eth0
(segunda regla). La tercera regla permite lavuelta de todo el tráfico generado en lasconexiones que ha iniciado el propio servi-dor, de manera que las descargas hechas
01 May 16 22:54:37 ubuntu kernel: [ 1515.600386]
SQUASHFS error: squashfs_read_data failed to read
block 0x190bfa
02 May 16 22:54:37 ubuntu kernel: [ 1515.600389]
SQUASHFS error: Unable to read fragment cache
entry [190bfa]
03 May 16 22:57:41 ubuntu kernel: [ 1700.384133]
SQUASHFS error: zlib_inflate error, data probably
corrupt
04 May 16 22:57:41 ubuntu kernel: [ 1700.384139]
SQUASHFS error: squashfs_read_data failed to read
block 0x190bfa
05 ...
Listado 2: Extracto de la Salida desyslog.txt
01 iptables -N DESDEINTERNET
02 iptables -I INPUT -i eth0 -j DESDEINTERNET
03 iptables -A DESDEINTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
04 iptables -A DESDEINTERNET -p tcp -m multiport --dports
21,22,443,6881:6889 -j ACCEPT
05 iptables -A DESDEINTERNET -p icmp --icmp-type echo-request -j ACCEPT
06 iptables -A DESDEINTERNET -j REJECT
Listado 3: Reglas de iptables
algo en la máquina en comparación conotras distros Live:1. sudo funciona, así sin más2. Knoppix detecta todos los discos y
añade las entradas a /etc/fstab.Supongo que son cosas muy simples,
¡pero son tan útiles! Gracias una vez más ymis mejores deseos para el futuro. Salu-dos, Jeremy
PS: ¿Qué tal una versión DVD de 64 bits?Gracias por sus amables comenta-rios. Knoppix no es más que una
Debian preconfigurada. Desde que decidíque no era buena idea distribuirla con con-traseñas preestablecidas, no hay ningunacontraseña predefinida. Las únicas formasde hacerse root es con una terminalabierta en la que ya se sea root (consola detexto), o usando sudo sin contraseña.
El script que se encarga de poblar/etc/fstab se escribió cuando aún no exis-tían HAL ni udev. Ahora el script(rebuildfstab) lo ejecuta directamenteudev durante la detección de particionespara que los sistemas de archivos se pue-dan montar fácilmente usando las entra-das del archivo /etc/fstab, sin tener quellamar a HAL o udisks, ni tener que ejecu-tar el gestor de archivos con permisos deroot.
En cuanto al DVD en versión de 64 bits:por desgracia, no puedo mantener las ver-siones de 32 y 64 bits en paralelo, peroahora que junto al kernel de 32 bits seincluye en Knoppix también el de 64 bits,quizá sea más fácil crear derivados con unentorno de 64 bits puro usando Debian-amd64 como base y copiando los scriptsde arranque y las configuraciones deKnoppix.
Disco DuroQuerido Klaus: Gracias por deleitar-nos con tu talento. Aparte de 12.2
Slackware, Fedora 14 y Ubuntu 11.04 (ade-más de Kubuntu 10.10 durante algúntiempo) como sistemas operativos, mislíos también han tenido que ver con el car-gador de arranque GRUB 2. Al reiniciarcon el botón hardware de la máquina,tengo que esperar hasta que expire algúncontador, esperar a que la BIOS termine dereconocer el disco duro o reiniciar por soft-ware inmediatamente conCtrl+Alt+Supr. Muchas veces el LED deldisco duro continúa encendido y puedoesperar sentado. Conseguí arreglarlo porun tiempo con update-grub, pero final-mente pude instalar el antiguo GRUB (gra-
cias a la ayuda de Linux Magazine); des-pués de un tiempo, volvió a ocurrir.
La última vez, apagué el sistema rápida-mente y fsck reparó el sistema de archivosext3 dañado. ¿Qué está ocurriendo? Unavez se me apagó el sistema automática-mente sin previo aviso ¡y se reinició al pul-sar una tecla al azar! ¡La prueba de algúnbot zombi! Además, otra vez, ejecutandotop, me pareció ver un “rtkit-daemon”.¿Podrías explicarme todo esto?
La esencia de GNU/ Linux es la libertad.¿Cómo puedo evitar las trampas que con-vierten a mi sistema en un esclavo? Ya hehecho dd /dev/zero sobre mis discos durosde 200GB, pero los retardos en el arranquevuelven una y otra vez. Suelo usar Firefox,que ya es lo bastante popular como paraconvertirse en una pieza codiciada. ¿Ayu-daría eliminar mi partición DOSe? ¿Debe-ría hacer dd /dev/zero sobre todos mispendrives USB? Ya empiezo a desconfiarincluso de dd.
De un usuario de Linux abrumado, Wil-fred
En lo que respecta al “rtkit-dae-mon”, he de prevenirte de que NO
significa “rootkit daemon”, como parecescreer; “rt” significa “real-time (schedu-ler)”. Es una herramienta de ayuda paradotar al kernel de una extensión paratiempo real [1].
Francamente, desconozco la razón porla cual la máquina se reinicia repentina-mente o se modifica el cargador de arran-que por arte de magia, pero tiene pintamás bien de un problema de hardware, uncable defectuoso o problemas de RAM. Enel caso de problemas de software/ kernel,suelen aparecer mensajes de error del ker-nel indicando que se produjo un fallo odando algún “panic”. El sobrecalenta-miento de la CPU o de otras partes delchipset por culpa de algún ventiladorestropeado también podrían ser la causadel problema. Otra posibilidad es que lafuente de alimentación esté fallando y pro-voque oscilaciones en el nivel de potencia,lo que podría dar lugar a cuelgues o reini-cios de los discos duros y de otros periféri-cos. Son errores difíciles de encontrar si noes experimentando con las distintas partesdel hardware para ver cuándo se produceel problema. �
desde el servidor, las consultas DNS, etcé-tera, funcionen. La cuarta regla abre lospuertos 21 (FTP), 22 (SSH), 443 (HTTPS) y6881 a 6889 (torrent) para que los clientesde Internet puedan acceder a los serviciosofrecidos por el servidor. Si su intención esusar el cliente de torrent en modo sólo-cliente, probablemente quiera eliminar elrango 6881:6889 para que los intentos dedescarga provenientes de los clientesesclavos sean bloqueados mientras usteddescarga. La quinta regla le permite com-probar desde el exterior si el servidor estáactivo o no. Y la última regla impide cual-quier otra conexión entrante con un men-saje ICMP connection refused. Si le preocu-pan los ataques de tipo flood, puede usarDROP en lugar de REJECT, que hace que elservidor parezca “muerto” y no conteste aningún intento de conexión excepto aaquellos dirigidos a los puertos permiti-dos.
Si tanto el servidor como el proveedorsoportan IPv6, deberá aplicar estas mis-mas reglas con ip6tables o, alternativa-mente, deshabilitar IPv6 para que nadie sesalte las reglas aplicadas a IPv4 utilizandoIPv6 para llegar hasta el servidor.
Si quiere ofrecer HTTP sin cifrar paraproporcionar acceso anónimo a los archi-vos, deberá abrir también el puerto 80.
Además de todo esto, puede que quierapermitir conexiones FTP pasivas, para locual tendrá que cargar el módulo de kernelip_conntrack_ftp con objeto de que lasconexiones FTP entrantes puedan accedera puertos aleatorios para establecer lacomunicación de datos. Esto por supuestoes un riesgo de seguridad potencial, por loque mi recomendación es la de no usarFTP en absoluto y que todas las descargasse hagan a través de HTTP(S):.
Knoppix es una PasadaHola Klaus, sólo quiero agradecertetodo el trabajo hecho con Knoppix
y hacerte saber lo mucho que lo aprecio.Un par de cosas. Hace unos años, me lopasé genial y aprendí un montón sobreLinux creando mi propia distro Livebasada en Knoppix (llamada JNX). Dehecho, ¡pasé más tiempo y me divertí máspersonalizándola que usándola! Knoppixcambió mi vida.
Hoy me he cargado mi máquina Linuxprincipal y Knoppix 6.5 me ha salvado lavida (una vez más). Hay un par de cosasque quizá te parezcan triviales, pero quefacilitan mucho todo a la hora de arreglar
COMUNIDAD · Konsultorio
78 Número 78 W W W . L I N U X - M A G A Z I N E . E S
[1] rtkit: http:// packages. ubuntu. com/
lucid/ rtkit
RECURSOS
COMUNIDAD · Blogs: Para Mamá
80 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Mi madre, la célebre mitad del
equipo “Mamá y Papá (TM)”,
murió el 7 de marzo del 2011.
He escrito y hablado muchas veces
sobre mi madre y mi padre y de su tradi-
cional incapacidad para hacer frente a la
tecnología orientada a los dispositivos,
lo cual es tremendamente irónico al ser
su hijo más joven adicto de toda la vida
a cualquier cosa técnica.
Hace cuarenta años, si trabajabas con
un ordenador, lo normal es que tuvieras
un título universitario en ciencias de la
computación (o en lo que se convirtió
ciencias de la computación), tal vez un
máster o incluso un doctorado. Si no
podías entender lo que estaba mal con
tu programa o el sistema, podías pregun-
tar a la persona sentada en el cubículo
de al lado, que tenía un nivel similar al
tuyo. Con el tiempo compartido comen-
zaron a aumentar el número de mainfra-
mes, pero aún así, sólo personas forma-
das instalaban el software, configuraban
la red y realizaban las copias de seguri-
dad. En esencia, se hacían cargo de “la
máquina” por ti. El equipo de soporte
con el que se trabajaba en esos días tam-
bién era atendido por titulados en cien-
cias de la computación.
Luego, hacia 1977, tanto Bill Gates
como Steve Jobs pusieron mainframes
en las mesas de todos, y se esperaba que
cada uno fuera capaz de cuidarlo por si
mismo. Es cierto que a los mainframes
se les llamaba “ordenadores personales”
y que los sistemas operativos eran sim-
ples en comparación con los de las
monstruosas unidades centrales de la
época, pero todavía se necesitaba insta-
lar el software, hacer copias de seguri-
dad y configurar las redes. Pasó el
tiempo y la tecnología se hizo más com-
pleja y el equipo de soporte que necesi-
taba el usuario final “Mamá y Papá” se
trasladó más y más lejos, hasta que
finalmente la persona a la que llamabas
se encontraba en un país extranjero.
Ya no podías ir tan fácilmente con el
problema a alguien y sentarte a averi-
guar qué estaba mal. En vez de eso, a
menudo primero se te preguntaba si
estabas sosteniendo el ratón correcta-
mente o si acababas de reiniciar el sis-
tema. La “ayuda” se volvía más centrali-
zada en nombre de la “eficiencia” (y
rentabilidad) para las personas y las
empresas que la prestan.
La mayoría de las grandes empresas
tenían sus propios equipos de soporte,
pero las pequeñas y los particulares no.
En la mayoría de los países, las peque-
ñas y medianas empresas constituyen
una gran parte del producto interior
bruto (incluso más con el agregado agrí-
cola), y no suelen tener la ayuda profe-
sional que necesitan. Conozco a un
ingeniero eléctrico que dirige su propia
empresa y que normalmente pasa al
menos tres horas por semana cuidando
de tres de sus ordenadores. Por
supuesto, el software que utiliza es
sofisticado, pero él preferiría pasar esas
tres horas semanales dirigiendo su nego-
cio. A partir de este ejemplo, suponga-
mos que cada usuario final de un orde-
nador de sobremesa gasta 15 minutos al
día, a un coste de cinco dólares,
haciendo lo que podría considerarse
“tareas no esenciales” para el negocio.
Esto significa que los (aproximada-
mente) 125 mil millones de ordenadores
de sobremesa malgastan 6.250 millones
de dólares al día. Si se estima que 300
“trabajadores del conocimiento” pierden
15 minutos al día, es como si nueve per-
sonas nunca se presentaran a trabajar.
Muchos creen que la computación en
nube soluciona este problema. La gente
que utiliza software “en la nube” tendrá
a otras personas que le arreglen las apli-
caciones, elimine los virus, haga las
copias y demás, pero incluso si el sis-
tema funcionase perfectamente, el soft-
ware que están utilizando esas personas
no está hecho a la medida de sus necesi-
dades. Tendrán que cambiar la forma en
la que trabajan para amoldarse al soft-
ware, y esto creará ineficiencia en sus
negocios.
Vivimos en un mundo cada vez más
diverso. Dar soporte a los 5 (o incluso
50) idiomas principales del mundo no es
suficiente y ¿cómo van a poder influir
las pequeñas comunidades de varios
cientos de personas en empresas que tie-
nen que satisfacer las necesidades de
miles de millones? He oído muchas
veces a representantes de las grandes
compañias declarar que implementar
cierta característica o realizar un cambio
en su software no era “lo mejor para los
intereses de su negocio”, haciendo caso
omiso de lo que es mejor para los intere-
ses de sus clientes. Como el software era
de código cerrado, los clientes no
podían tomar sus propias decisiones
empresariales sobre la manera de usar el
software existente o cambiarlo para
satisfacerlas mejor.
Necesitamos parar la producción
masiva del software como producto,
cambiarlo por la venta de un servicio y
volver a introducir el concepto de la
venta de desarrollo de software, en el
que se adapta el software como un servi-
cio, para satisfacer las necesidades del
usuario final. De esta manera, el control
del software podrá por fin volver a
manos del cliente. �
PARA MAMÁUn cambio de vida hace que maddog revisite el soporte para sus usua-
rios finales tipo “Mamá y Papá” y pondere un modelo de negocio dife-
82 Número 78 W W W . L I N U X - M A G A Z I N E . E S
Ya puedes seguir el día a díade lo que sucede en elmundo de GNU/ Linuxconectando con las noticiasdiarias en nuestro Facebook:
http:// www. facebook. com/ linuxmagazine.
y Twitter:
http:// twitter. com/ linux_spain
También puedes recibir noti-cias de lo que te espera enlos si guientes números deLinux Maga zine, así comoofertas, regalos y novedadessubscribiéndote a nuestroboletín en http:// www. linux-magazine. es/ Readers/ Newsletter.
Las más recientes tecnologías webvienen cargadas con nuevas her-ramientas, nuevas técnicas, nuevosdispositivos y nuevos modelos denegocios... Parece un buen momentopara repasar el mundo cambiante dela administración y desarrollo web. Elmes que viene veremos algunas de lasherramientas más importantes uti-lizadas en la actividad para la creacióny administración de la última ge - neración de sitios web