Actualizando OpenBSD

Si no os acordáis, llevo unos meses queriendo terminar algo que empecé, el cortafuegos con OpenBSD. Para quien venga de Linux como yo, que he usado solamente 2 distribuciones las cuales son SuSE y Gentoo. SuSE tiene YaST, exactamente YOU (YaST Online Update) por el cual te podías bajar actualizaciones de seguridad y algunos fixes. Si querías nuevas versiones, o instalabas una SuSE más nueva, la cual traía software más reciente, o como hace Rastreador, que ha ido metiendo versiones nuevas sobre, si no recuerdo mal, SuSE 9.1.

Hace unos meses, cuando vi el proyecto OpenSuSE, decidí probar Gentoo. Aquí tienes 2 ramas, la estable y la inestable. Yo uso la estable y tengo paquetes de la inestable, como por ejemplo en KDE, interfaces gráficas, etc… También cabe destacar los GLSA (Gentoo Linux Security Advisories), que simplemente, si hay una versión vulnerable la actualiza a una superior. Es lo único que no me gusta del todo si la usase como servidor, ya que estoy acostumbrado a Debian Sarge y su política de actualizaciones.

Y a lo que iba, OpenBSD. OpenBSD no distribuye ISO de sus CD”’’s, así que tendremos que hacerla nosotros mismos. Una vez instalada tenemos una OpenBSD 3.8-RELEASE, que es la que tiene los CD”’’s. Pero eso no es una rama, no se actualiza, se liberó y punto. Éste es el momento en el que tenemos que elegir que rama escoger, si la -STABLE o la -CURRENT. Si queremos un sistema en producción, claramente actualizaremos a -STABLE.

Los fallos de seguridad del sistema base los tenéis aquí y los de paquetes de la rama STABLE aquí.

Como veis hay 3 fallos de seguridad. Hoy he encontrado la forma más cómoda (en mi opinión) de actualizar el sistema base.

Actualizamos las fuentes del sistema al patch brach OPENBSD_3_8:

*default host=rt.fm
*default base=/var
*default prefix=/usr
*default release=cvs
*default delete compress

OpenBSD-src tag=OPENBSD_3_8

Eso lo guardamos en, por ejemplo, ~/supfile.

Ahora montamos el CD y extraemos el paquete src.tar.gz a /usr/src y sys.tar.gz a /usr/src/sys. Una vez descomprimido ejecutaremos:

cvsup -g -L 2 ~/supfile

Nota: La ooción “-L 2″ es el nivel de debug del proceso.

Cuando termine tendremos un /usr/src actualizado.

Aún no hemos actualizado a STABLE, así que con todo ya preparado seguimos la guía. Compilamos nuevo kernel, lo cambiamos, reiniciamos con el nuevo y luego recompilamos binarios.

Nota: A la hora de compilar es imprescindible tener instalado el paquete misc.tgz que viene en el CD. Si no es así, lo descomprimís en el raíz.

Ahora tenemos la OpenBSD 3.8-STABLE. Revisamos que los paquetes estén en su última versión disponible y lo ponemos a funcionar de lo que nos dé la gana, supongamos que de cortafuegos.

Pero claro, no existe nada perfecto, y como hace unos días, un bug en la función scp de SSH. Ahora nos planteamos como actualizar…

Yo he optado por la segunda opción:

wget patch
less 005_ssh.patch

(salida)
Apply by doing:
cd /usr/src
patch -p0 > 005_ssh.patch

And then rebuild and install ssh:
cd usr.bin/ssh
make obj
make
make install

Pues esas son las instrucciones, bien claras.

La primera opción hubiese sido una muñonada, recompilar todo el sistema a lo tonto, para que por ejemplo luego casque algo. De este modo lo único que tenemos que hacer es estar pendientes de los fallos de seguridad que aparecen, parchear el código fuente y fijarnos a qué afecta la vulnerabilidad, si a algún binario del sistema base o solo al kernel, y compilar.

Una vez recompilado en nuestro ejemplo SSH, mataremos sshd y volveremos a ejecutarlo. Si estamos en remoto lo más probable es que perdamos la conexión con el host. Se me ocurre una idea, que es programar un trabajo que se ejecute en 2 minutos, por ejemplo.

Otra cosa que me he pasado por alto es que Apache y Bien9, por ejemplo, forman parte del sistema base, es decir, si sale una vulnerabilidad tendremos que recompilarlo como hicimos ahora con ssh. Las versiones que trae OpenBSD son viejas, pero eso no es malo si cumple con tus necesidades, ya que al ser más viejas están más auditadas (Recordad que el sistema base es auditado, pero los paquetes es cosa del desarrollador no del equipo de OpenBSD). ¿Qué quiero decir con esto? Que mejor usar en lo posible lo que el sistema base nos brinda, si no es posible, los paquetes, y sino, los ports. También podemos recurrir al código fuente oficial del software en cuestión, pero bueno.

Si usáis ports, al igual que lo demás, tendréis que actualizarlos, para ello basta con añadir la linea:

OpenBSD-ports tag=OPENBSD_3_8

Entonces creamos el directorio /usr/ports (Porque no estoy seguro de si lo crea) y actualizamos.

Todo este código fuente y post ocupa espacio, así que una buena idea sería volcarlo mediante NFS en otra máquina con más capacidad de almacenamiento.

Con esto doy por concluido, cuando tenga un rato lo pondré en mi web.

Agur

Escrito por Gura 28.Feb.06 *BSD, Gentoo, OpenBSD, Sistemas, SuSE Leer más Comentarios (2)

Liberada Gentoo 2006.0

Me duele postear para algo tan corto, pero creo que es relevante el hecho de que salga una nueva release de Gentoo, la 2006.0. Para más detalles podéis leer el anuncio oficial en castellano.

A mí por el momento aún me queda probar Gentoo Hardened. Quien sabe, quizá para las jornadas del año que viene tuviese el suficiente dominio sobre ello como para dar una charla :) .

Agur

Escrito por Gura 28.Feb.06 Clases o cursos Leer más Comentarios (2)

Centros de supercomputación de España

Ayer de noche mientras buscaba fotos de algún DSLAM llegué a algunas webs como ésta donde había infinidad de fotos de todo tipo. Mientras se lo comentaba a Trazi, él me habló del CESGA-Centro de Supercomputación de Galicia. La verdad que estas cosas me llaman siempre mucho la atención, soy muy rebuscado.

En la web de Cesga, si pincháis en el lado izquierdo, abajo, en “Visita virtual” podréis “ver” sus instalaciones en una animación flash. Digo “ver” porque lo único que se puede observar es una foto de la máquina y sus características técnicas.

Compaq HPC 320
Cluster de 8 servidores SMP (Quad) con 32 procesadores Alpha EV68 a 1 Ghz en total. Potencia de 64 GigaFlops, 5 GB de memoria y 2 TB (TeraByte de almacenamiento los cuales corren por encima Tru64.

Beowulf
Otro cluster, de 17 rocesadores, de los cuales, 16 son PIII a 1 Ghz y el otro un PIII a 1.13 GHz. Dieciséis (16) GigaFlops de potencia, con 8 GB de memoria y 768 GB de almacenamiento. Corre una Redhat 7.2 (¿Ya podían actualizarla no? Eso lleva Kernel 2.2… espero que la hayan actualizado a mano, porque ya no se le da soporte)

CrossGrid Node
Veinte (20) procesadores PIII a 1.13 GHz cada uno, consiguiendo en total 22.6 GigaFlops. Dispone de 5.1 GB de memoria y 180 GB de disco duro distribuidos en 10 discos (Corre RedHat 7.3)

SVG
Dispone de 54 procesadores PIII desde 550 Mhz a 1 GHz. De 512 a 1 GB de memoria y de 9 a 40 GB de almacenamiento por nodo (Sobre 1 TB ). Corre RedHat 7.2.

CheapTB
Éste cuenta con 5 procesadores de los cuales, 4 son PIV a 2 GHz y el otro es un PIII a 1.2 Ghz. Potencia de 8 TeraFlops, 2.5 GB de memoria y 5.63 TB de almacenamiento. Esta máquina también funciona bajo RedHat 7.2

HP Integrity RX5670
Cuatro (4) procesadores Itanium2 de 1.4 GHz cada uno, 4 Gb de memoria y 148 GB de almacenamiento. Funciona bajo HP-UX 11i v2

HP StorageWorks Enterprise Virtual
Array de 112 discos FC (RAID 5, Desconexión en caliente) consiguiendo un total de 16 TB de almacenamiento.

Sun Microsystems HPC 4500
No tengo muy claro lo que es, pero dice que un procesador de memoria compartida. Dispone de 12 procesadores UltraSparc-II a 400 Mhz, consiguiendo 9.6 GigaFlops de procesamiento. Cuatro (4) GB de memoria y 36 GB de almacenamiento. Corre Solaris 2.6.

Sun Enterprise 3500
Éste cuenta con 4 procesadores UltraSparc-II a 400 Mhz, consiguiendo un pico de 3.2 GigaFlops. Está equipado con 1.7 Gb de memoria y un RAID 1 con 2 discos de 18 GB. También corre Solaris 2.6.

HP Cluster SUperdome
Éste último dispone de 128 procesadores Itanium2 a 1.5 Ghz, consiguiendo 768 GigaFlops de potencia. Cuenta con 384 GB de memoria y almacenamiento de 7 TB. Corre HP-UX.

En ese momento me acordé del Marenostrum, ese cluster alojado en el BSC - Centro de Supercomputación de Barcelona. Es realmente impresionante la de pasta que se puede llegar a gastar. Podéis ver el vídeo de la presentación:

Buscando por internet he encontrado
un artículo en la web de IBM donde dice que de los 4564 procesadores 3564 serán de IBM con tecnología POWER y como sistema operativo, Linux.

Ya veis… yo quiero uno xD. Por el momento me conformaré con montar un cluster basándome en las 9 máquinas que tengo… y si quiero algo diferente a x86 me tendré que comprar un Sparc en ebay.

Agur

Escrito por Gura 27.Feb.06 GNU/Linux, Redes, Sistemas, Unix, lost+found Leer más Comentarios (0)

Historia de los sistemas BSD

Mientras ojeaba Mononeurona me puse a leer un artículo muy interesante acerca de la historia de los sistemas BSD.

En 1969 la empresa AT&T encargo a Ken Thompson y Dennis Ritchie reducir el sistema operativo MULTICS para portarlo a los equipos más pequeños que la NASA utilizaba en sus misiones espaciales. A finales de ese año presentaron un sistema al que llamaron UNICS (UNiplexed Information and Computing Service) un ”emasculated Multics”. Nadie sabe en que momento UNICS paso a ser Unix, pero según cuenta la layenda urbana, una secretaria no supo como escribir lo que le dictaban y escribió Unix y el nombre así se quedo.
El profesor Bob Fabry de la universidad de California en Berkely fue uno de los primeros interesados en conocer Unix y pidió una copia a la Universidad de Purdue, donde Thompson y Ritchie trabajaban. Sin embargo el mainframe de Berkeley poseía unos controladores de disco duales que Thompson no había previsto y trabajando junto con el departamento de matemáticas de Berkeley agregaron el soporte que faltaba. Esto fue el inicio de un intenso periodo de colaboración entre Berkeley y Bell Labs (subsidiaria de AT&T) al grado que Thompson tomó un año sabático en California para seguir desarrollando a Unix. Bajo su guía varios profesores y estudiantes de Berkeley realizaron cientos de mejoras y extensiones al kernel de Unix.
La segunda versión de Unix apareció en 1972. Por esas mismas fechas Ritchie reescribió el lenguaje B, creando a C. La sexta edición de Unix se libera en 1975, junto al nuevo Bourne Shell. En 1977 el estudiante graduado Bill Joy colocó todas las mejoras hechas en Berkeley y lo llamó “Berkeley Software Distribution.” Al poco tiempo Joy había enviado más de treinta copias de BSD a varias universidades. Las copias incluían al nuevo editor que Joy había creado: vi. Sin embargo, las características de las terminales variaban mucho y Joy decido escribir un pequeño intérprete que dibujaba la pantalla según sus características y así nació termcap. En 1979 se lanzó la séptima edicion de Unix y la tercera de BSD: 3BSD.
Por esos tiempos, el ejército estadunidense estaba preocupado por la escasa interoperatibilidad entre las plataformas que conformaban sus sistemas a través del país. Se pensó diseñar un hardware específico pero luego de pensarlo otra vez decidieron unir sus equipos a nivel de software, Unix fue el elegido para ello debido a su portabiliad. Los encargados del proyecto se pusieron en contacto con Berkeley para fondear el proyecto. En 1981 se lanzó la versión 4BSD con más de 400 envíos a todo el mundo. En 1982 Joy anunciá que deja Berkeley para incorporarse al equipo de Sun Microsystems y comienza a desarrollar Solaris, un sabor de Unix basado en BSD.
En 1985 los investigadores de la universidad Carnegie-Mellon comienzan a desarrollar su propio Kernel, conocido como Mach Kernel, el cual tomó librerias, código e ideas de BSD, si bien desarrollo e introdujo conceptos propios en su implementación de Unix. Posteriormente el Mach kernel sería usado para los sistemas de la empresa NeXT, la cual, a su vez, fue comprada por Apple Computers en 1996. El Mach Kernel es la base del Mac OSX actual y existe un versión que puede descargarse gratuitamente (claro, sin el ambiente gráfico) llamado OpenDarwin.
En 1984 apareción 4.2BSD, con la cual se estrenaba el protocolo TCP/IP desarollado por la gente de Berkeley. Está versión de BSD fue quizás su mayor éxito vendiéndose miles de licencias, al grado de que las empresas comenzaron a migrar de Unix SysV al nuevo BSD pues poseía muchas facilidades de red y el nuevo sistema de archivos Berkeley Fast filesystem. Varias empresas comenzaron a acercarse a Berkeley para distribuir BSD por su cuenta.
Esto provoco una demanda de AT&T que tardo varios años en resolverse. Según Berkeley, el acuerdo de cooperación contemplababa el acceso al código fuente pero AT&T argumentaba que eso violaba sus derechos de autor pues en el código había secciones que le pertenecían. Todos los involucrados en el desarrolo de BSD tuvieron que testificar en el juicio y eso retrasaba el trabajo. Un grupo de desarolladores hicieron mejoras al kernel y lanzaron el primer NetBSD en 1993, poco tiempo después otro grupo lanzó FreeBSD. Por fin, en enero de 1994 el juez que llevaba el caso entregó una pequeña lista de archivos que debian reemplazarse de BSD y con ello la cuestión legal fue zanjada.
Theo de Raat, un talentoso y problemático desarrollador de NetBSD, tuvo problemas con otros miembros del equipo y por ello decidió comenzar su propio proyecto: OpenBSD. Este sistema operativo, se concentra en la portabilidad, el cumplimiento de normas y regulaciones, corrección, seguridad proactiva y criptografía integrada.

Agur

Escrito por Gura 24.Feb.06 *BSD, FreeBSD, NetBSD, OpenBSD, Sistemas Leer más Comentarios (2)

Charla en el Ateneo Obrero de Gijón y 2 chiquitines más

De la charla se ocuparon Wikier y Berrueta. Fue una charla de iniciación al software libre, como muchas otras que han dado. Podéis ojear vía web las presentaciones de Wikier y Berrueta.

Me fue a recoger Rastal junto con chipi y otro chaval y me trajo de vuelta a Oviedo (Gracias ;).

Hoy en cambio no comí en casa, sino que comí en casa de unos amigos de Gijón. A cosa de las 6 y media me acerqué a casa de chipi donde recogí principalmente 2 máquinas nuevas, una de ellas creo que a 233 MHz y otra a 133 MHz, las cuales eran lo más jugoso del paquete. Si!! Ya tengo 9 máquinas xDDDD

Por otro lado, comenté hoy con David de montar una VPN entre su casa y la mía, pero eso tiene un inconveniente cuando somos más de 2, pues todo el trafico pasa por el servidor VPN. La idea era encapsular algo como NFS, pero he pensado en por ejemplo, un HUB de Direct Connect (Inglés), lo cual no necesitaría tanto ancho de banda. Aún así los datos no viajan encriptados, algo tendré que urgar. Compartir medios multimedia es legal, pero bajo una capa TLS estaría mucho mejor.

Hay más. Ahora que he buscado la definición de Direct Connect en castellano y no me gustó mucho así que decidí a mejorar el artículo actual.

Ahora voy a revisar una cosa del blog y a dormir.

Agur

PD: IZOTZ si lees esto ponte en contacto conmigo bien sea mediante correo, IRC o un comentario a éste mensaje.

Escrito por Gura 22.Feb.06 GNU/Linux, Hardware Leer más Comentarios (1)

No puedo evitar escribirlo

Me iba para la cama y me dió por revisar el log del b2evo a ver si había más SPAM. Entonces notifiqué una nueva dirección y vi el blog de IZOTZ desde el cual llegué a UserLinux y leí un post donde aparecía un quote de Mitsurugi. Se crea, o me parece a mí, un circulo alrededor de mi blog xD.

Sin más, hasta mañana.

Escrito por Gura 20.Feb.06 lost+found Leer más Comentarios (4)

Bolazos, SPAM Referer y demás

Yeah! El Sábado brutal en el paintall, aunque las agujetas aún me duren hoy y mañana seguro que también. Os recomiendo ir, sin duda hacer ejercicio y pasarlo de puta madre… eso si, sin tramposos ¬¬. Los juegos son diversos y en 2 grupos excepto el último que son grupos de 3. Los organizadores se portaron muy bien y además no se come tan mal. Un bocadillo de embutido (Chorizo y queso) acompañado con coca-cola o kas naranja/limón, yogur, café con leche, incluso chocolatinas. Luego a seguir. Si eres muy burro gastas muchas bolas, de todos modos yo gasté solo 15 € en bolas, que son 5 cargadores de 50 bolas mas las 100 que vienen cuando pagas los 22 €. Si sois más de 10 la comida sale gratis, además a las 6 y algo cuando terminas te puedes quedar a techo a comer donde la casa. Espero volver, mientras, para los que les interese, Asturpaintball, que por cierto en Marzo hay un campeonato. Acabamos jodidísimos, y pancima salimos de noche el Sábado para rematar las agujetas.

Respecto al SPAM, es que estoy hasta los cojones del SPAM REFERER. Desde mi blog lo combato con los propios filtros de b2evolution y el mod_rewrite pero aún así se cuela alguno. Hoy me han llamado la atención 2 en especial:

diana GUIÓN teknologia PUNTO com [xerka ALGARROBA diana-tek PUNTO com]

Tal cual lo leeis, está claro que es un puto botijo. Lo más vergonzoso es la empresa que se publicita, que además no es como la mayoría a las que estoy acostumbrado, osea, sexo, pedofilia, sexo homosexual y demás

Otro interesante es este blog: vegascocks PUNTO com
Al entrar intenta descargar un WMF, si el navegador corriese bajo Windows sin parchear, estaríamos infectados.

Tengo pendiente el convertir el blog a UTF-8, aunque no tengo tiempo y cuando lo tengo, no hay gana :s.

Venga, agur

PD: Gracias PerroVerd por avisarme de los links ;)

Escrito por Gura 20.Feb.06 Servidor, lost+found Leer más Comentarios (2)

Esta semana pasó volando

Bueno, no hay mucho que contar… VPN en Windows y hoy un examen de T-SQL que aparentemente me salió bien. La semana que viene tendremos el de implementación de sistemas, será pequeño, no creo que tenga ningún problema.

Hoy leí en Barrapunto que aparecía el primer troyano para MacOS X. Yo por mi parte pienso que “¡Y una mierda!”. Bueno, por definición no deja de ser un troyano, vale, pero no puede dañar nada fuera del $HOME del usuario (Con los permisos adecuados, claro) por la política de usuarios que tiene de por sí. Como sabréis todo esto lo digo por sentido común, porque no tengo ningún MacOS X.

Mañana vamos al paintball. Seremos 15 y otro grupo que meten con nosotros, osea, mínimo 21. Hoy ha llovido así que no se como estará mañana, de todos modos va a ser brutal. Ya os contaré a la de volver (Domingo o el Lunes).

Bueno, hasta pasao xD

Escrito por Gura 17.Feb.06 Clases o cursos, Seresco Leer más Comentarios (0)

¿Para cuando… una distro Asturiana?

Si, habrá que hacerse una basándose en una Debian, que está de moda. No digo que Debian sea una mala distro, quiero mostrar mi inconformidad con tanta distro comunitaria, desperdicionado los recursos. El ejemplo más claro son la distro Vasca, EusLinux y una catalana que hay. Peor no digo esto porque tenga algo en contra suya, sino que, ya que tienen un propio idioma, el vasco y el catalán respectivamente, en vez de hacer su propia distro cambiando 4 cosas y traduciendo programas… podían invertir su tiempo y dinero en traducir Gnome, por ejemplo, si era el que tenían pensado usar, y usar Debian a pelo, o Ubuntu…
Alguna razón tendrán mucha comunidades para hacer esto… peor yo de verdad que no la veo.

Por otro lado tenemos a Google que tiene pensado dar correo Gmail con el dominio que tu quieras. A la gente que tiene un MTA en casa se les planteará quizá la duda de si usar GMail con su dominio (el servicio que ofrecen, no una redirección) o seguir con su MTA. Yo de hecho aún no me lo he montado, pero me lo haré en casa.

Y por último, os recomiendo unas charlas interesantes, algunas más que otras, donde destaca principalmente:
Presente y Futuro de las Tecnologías de B. Ancha de Octavio Alfageme (Euskaltel)

A mi es la que más me ha gustado, tanto por el nivel como por la temática. Una pena que mi blog no lo lea mucha gente y llegue a un número reducido de personas. Las charlas podéis bajarlas de la web de conferencias de Euskadi Digital en la Euskal Encounter 13. Por cierto, si nos es posible, éste año a por la 14. GO! GO! GO!!

Agur

Escrito por Gura 12.Feb.06 GNU/Linux, Redes, lost+found Leer más Comentarios (1)

Klamav, una interface para Clamav

Me acordé y vine a postearlo…
El ClamAV quieren integrarlo en KDE. El proyecto se llama Klamav.

Un vídeo para ver como es
En la web de KDE hablan algo de ello. No recuerdo el link, pero decían algo como:

¿Aunque tu máquina Linux es difícil que sea afectada por la mayoría de los virus… permitirás que los sistemas de tus amigos y familiares sean infectados?

Escrito por Gura 11.Feb.06 Clases o cursos Leer más Comentarios (2)

« Entradas más antiguas



Todo el contenido de este blog se ha publicado bajo una Licencia Creative Commons.