Una mañana cualquiera en el banco

 Jue, 24/07/2014 - 14:31     Sandor

Banqueros

Hoy he comprado un chisme por internet. El que me lo vendía tenía la cuenta en el BBVA, así que he ido a hacer el ingreso allí, por ventanilla, ya que todavía no cobran comisiones como en la Caixa.

Entro y, de las dos cajeras, una sale a tomar algo. Ambas superan los cincuenta de largo, están cansadas, y tienen cara de pocos amigos. Supongo que serán victimas del mobbing bancario, y estarán esperando una próxima prejubilación en condiciones ventajosas. Resistir es vencer, dicen, aunque de motivación, cero. La que queda apenas da abasto para atender la cola de clientes, y poco a poco, la cola va creciendo.

Hay una mesa junto a mí, estan tramitando algún producto a una mujer inmigrante. La acompaña su madre (supongo que para avalar) y su hijo, de unos 12 o 13 años. Oigo frases entrecortadas: "veinte euros de estudio", "veinte de formalización" y "treinta trimestrales de comisión de riesgo". La mujer asiente, no se si comprendiendo o resignándose, y de seguido se lo intenta hacer comprender a su madre. La madre hace que entiende, suspira y sin decir nada, deja que los demás sigan hablando.

La cola sigue avanzando lentamente. Yo hago lo que llamo yoga mental, una especie de resistencia personal para que nada de esa mierda me afecte, para no transmitir mi impaciencia y mi asco por lo que estoy viendo a los demás. Al cabo de un par de minutos vuelvo a mirar a la mesa. El niño está sentado junto a su madre, en el lugar de su abuela, que se ha ido a trabajar. Ahora el tono cambia. El niño lleva una camiseta del FC Barcelona. El comercial le saca la tablet esa que tienen para firmar contratos. Como todavía el niño no tiene firma, se siente un poco perdido. El comercial le dice "firma como firmaría Messi", "¿o prefieres a Neimar?". Si fuera un dibujo animado le empezarían a asomar los cuernos y explotar una risa sardónica, pero es un decente empleado de banca, y solo se ve una sonrisa amable, y un dedo que señala: firma, firma, firma...

Noto los juegos de la palabrería, del tahúr, del vendemotos, del bancario quemado y presionado.  La hija suspira aliviada, solo quiere acabar, no quiere problemas: necesita dinero. El futuro ya vendrá, ya se hará por hacer...

Menos mal que todavía quedan alternativas como el solidario de Botín...

Emilio Botin disfrazado de solidario

Categoria: 
Etiquetas: 

Matutano Grindcore Snacks

 Lun, 02/06/2014 - 23:59     Sandor

A través de Khristo Puto tuve noticias del grupo Matutano, grindcore del brutote made in Bilbao. Según su info son: Kañita braba de bilbo con toques anarcocomunistas y antifas, el aperitivo mas apetecible para cualquier hora del dia. Sin pasar por alto gloriosos deportistas como sandy casar, kutxillos y como no los limakos, la coja, etc... Mierda para giraus, vamos. (liricas en varios idiomas). Me mandaron su logo para que les hiciera unas chapas, y aquí está el resultado:

Chapas Matutano Grindcore Snacks

Chapas Matutano Grindcore Snacks

Y un par de videos que he encontrado por ahí de ellos:

 

Puedes conocer más de Matutano en:

Categoria: 

Organizando mi biblioteca digital

 Lun, 14/04/2014 - 19:50     Sandor

Biblioteca

Siempre he tenido un poco de síndrome de Diógenes, aunque con la edad, he logrado trasladarlo al mundo virtual (un piso de 45 metros y poseer una tablet y un ebook también ha ayudado a el cambio, lo reconozco) :-)

El caso es que, además de los miles de mp3 y los cientos de videos, se me han ido acumulando miles de libros, recortes de periódico escaneados (no era broma lo del síndrome), manuales, catálogos, etc, en los más diversos formatos. Al principio solía organizarlos por carpetas temáticas, por ejemplo: Informática, Literatura, Viajes, etc. pero repasando los apuntes de un curso en la U.N.E.D. que hice sobre biblioteconomía, decidí que la manera más lógica de organizarlo todo era partir de la C.D.U (Clasificación Decimal Universal), pero no la versión completa, ni siquiera la abreviada, si no una que encontré en esta página de una sección de Bibliotecas Escolares perteneciente al Ministerio de Educación. Por supuesto, optar por una u otra versión solo depende del ánimo que tengas a clasificarlo todo en el tema específico del que se trate, y de la cantidad de información a clasificar. Pero como os cuento, a mi me vale con esta clasificación simplificada, pensada para bibliotecas escolares. Son 18 páginas de materias, estructuradas jerárquicamente en forma de árbol, que va desde lo general a lo específico. Las materias comienzan con un número, seguido del nombre. Así por ejemplo, nos encontramos con:

9. Geografía. Biografía. Historia.
902 Arqueología.
903 Prehistoria. Restos prehistóricos.
904 Restos culturales de tiempos históricos.
908 Descripción geográfico-histórica de un territorio, una localidad.
91 Geografía general. Historia de la geografía.
910 Geografía como ciencia. Cuestiones generales. Viajes.
910.4 Viajes de descubrimientos. Expediciones.
911.2 Geografía física.
911.3 Geografía humana, social y cultural.
912 Mapas. Atlas geográficos. Globos terráqueos.
913 Geografía del mundo antiguo. Geografía regional en general.
914 Geografía de Europa.
914.60 Geografía de España.
914.601.1 Geografía de Galicia.
914.601.2 Geografía del Principado de Asturias.
914.601.3 Geografía de Cantabria.
914.601.5 Geografía del País Vasco.

¿Entendeis el concepto, no? Básicamente este sistema nos ofrece un método contrastado de clasificación de la información, un método ampliamente usado en bibliotecas de todo el mundo. Así que si les sirve a los profesionales de la documentación, digo yo que también me podrá servir a mí :-)

Como os cuento, lo que hago es ir creando, a medida que voy necesitando, carpetas con el nombre de la materia (número incluido). Al principio creo el nivel general, por ejemplo:

51 Matemáticas
52 Astronomía. Astrofísica. Investigación espacial. Geodesia
53 Física
54 Química
55 Geología y ciencias afines. Geología regional
56 Paleontología. Fósiles
57 Ciencias biológicas en general
61 Medicina
63 Agricultura

Y voy metiendo cada archivo en su categoría general. Cuando veo que la carpeta 51 Matemáticas (por ejemplo), tiene unos cuantos cientos de archivos, me planteo crear subdivisiones dentro de ella:

511 Aritmética. Teoría de los números.
512 Álgebra.
514 Geometría.
517 Análisis matemático.
...

Y cuando tengo un rato (y ganas), muevo los archivos de la carpeta 51 Matemáticas dentro de la sub-temática que le corresponda.

A veces, como no soy un profesional del tema, me falta acierto para clasificar adecuadamente un archivo, y dudo entre ponerlo en una categoría u otra. ¡No hay problema! Como tengo la biblioteca en un servidor que corre GNU/Linux (concretamente Debian), simplemente tengo que hacer un enlace simbólico del archivo a la otra categoría y me aparece en ambas.

Esto que os cuento digamos que sería un primer paso para organizar una biblioteca digital de una manera medianamente ágil. Pensé en instalar Koha, Eprints o algún software similar, pero me pareció un poco matar moscas a cañonazos.

Lo que sí que me parece interesante, y que más pronto que tarde intentaré implementar en el servidor, es instalar un buscador (probablemente Xapian), que me indexe todos los archivos de la biblioteca y me ofrezca un interfaz de búsqueda para poder encontrar archivos en base a su contenido. Entre sus características, Xapian permite indexar documentos HTML, PHP, PDF, PostScript, OpenOffice/StarOffice, OpenDocument, Microsoft Word/Excel/Powerpoint/Works, Word Perfect, Abiword, RTF, DVI, CSV, SVG, paquetes RPM, DEB y texto plano. Además, es posible extender su capacidad de indexación a otros formatos, mediante llamadas a terceros programas.

En definitiva, que si quisiera encontrar un documento, tendría dos caminos para encontrarlo. El primero sería ubicarme en la carpeta del tema que trate, y el segundo, sería hacer uso del buscador de Xapian, y buscar algún término relacionado.

Por supuesto, este sistema puede complicarse todo lo que queramos, desde usar la versión completa de la C.D.U, hasta dejarnos las pestañas frente al ordenador rellenando los metadatos de los PDF, ePub, MP3 (id3 tags) y similares, usando las utilidades correspondientes. Personalmente opino que este sistema que os cuento ofrece un buen equilibrio y, aunque al principio nos pide invertir unas cuantas horas en clasificar los archivos, no requiere mucho esfuerzo, es flexible, y crece a medida de nuestras necesidades, pudiéndose complicar todo lo que nuestras ganas o el tiempo disponible nos permitan.

Por cierto, ¡se me olvidaba! No penseis que este sistema solo es para documentos de texto. La C.D.U también está pensada para clasificar material digital como música, películas, etc (¿hace cuando tiempo que no te pasas por la biblioteca municipal? ;-)):

75 Pintura.
76 Artes gráficas. Grabados.
77 Fotografía.
78 Música. Géneros musicales. Métodos y estudios de Música para los distintos instrumentos.
79 Diversiones. Juegos. Deportes. Espectáculos públicos.
791.4 Cine.
792 Teatro. Teoría y técnica teatral.

En fin, como veis no os mentía cuando os decía que este sistema es muy versátil. No deja de ser la típica clasificación por carpetas, combinada con un búscador de archivos, pero a mí me parece una solución muy válida para tener organizada mi archivo personal.

¿Y vosotros, como haceis para organizar este cada vez mayor caudal de información que os llega a través del ordenador?

Fuente de la primera imagen : lahojadelabiblioteca.blogspot.com.es

Cincinnati's cavernous old main library

Recuerdos hechos pedazos

 Jue, 13/02/2014 - 18:19     Sandor

Recuerdos hechos pedazos

El otro día hice una de esas cosas de las que, sospecho, probablemente me vaya a arrepentir en el futuro. Resulta que me han prestado durante unos días un escáner Fujitsu ScanSnap iX500, un increible aparato que digitaliza a todo meter casi cualquier documento que le metas: postales, fotos, papeles de diferentes gramajes, pequeños recortes... en fin, ya os haceis una idea.

El caso es que andaba por casa un archivador en donde había estado guardando cartas personales, postales, fotos, post-it, etc, ¡de los últimos 28 años! Sí, como lo leeis, 28 años de pequeñas historias epistolares, notas íntimas, cartas adolescentes... todo un tesoro de intimidades y recuerdos, que en plena época de WhatsApp, SMSs y emails, casi nadie guarda ya.

El archivador siempre andaba por ahí, incordiando, estorbando. Apenas lo abría ya, pero cuando lo hacía, un relajante olor a papel añejo me traía recuerdos del pasado. Era extraña esa sensación de ir pasando, con los dedos, papeles de diferentes años, gramajes y texturas. Recordaba cuando uno, de chaval, iba a la papelería del barrio a escojer ese papel gordote, a ser posible con alguna marca de agua, para plasmar unos torpes párrafos de desamor, o unas pretendidamente desenfadadas líneas a los colegas en la distancia, que leyéndolas con el paso del tiempo dan un poco de tristeza y vergüenza ajena, por lo mal que los adolescentes podemos llegar a expresar los sentimientos por nuestros amigos.

También pasaron por la digitalizadora de recuerdos muchas pequeñas notas de mis últimas novias. Pequeños reproches que un día me podía encontrar pegados en la nevera, o pequeños toques de atención, como un "Acuérdate de mí" de alguien a quien no presté la suficiente atención, o largas epístolas intentando arreglar lo que ya, normalmente por torpeza mía, no tenía arreglo. También notas del día a día, "Compra fruta. Te quiero", o un "Venga, tranquilo, ya verás como hoy todo te va a ir bien".

Me pregunto si alguien que no me conociera previamente, y leyera juntos y ordenados todos esos recuerdos, se podría hacer una idea de la persona que soy: sospecho que sí. Pero ya da igual. Todos esos recuerdos, 28 años de amor y amistad plasmados en mil y un papeles, han sido convertidos convenientemente en una serie de archivos PDF, y guardados celosamente, como me gusta hacerlo desde hace ya años, en un disco duro cifrado.

Supongo que todo comenzó con la fiebre del MP3, que me hizo vender los vinilos, y (hace poco), desechar todos los CDs con música grabada que tenía por casa. Luego, con las cámaras digitales y mi primer escanner (un CanoScan Lide 30) me volqué a digitalizar todo mi album de fotos y a archivar las nuevas digitalmente (aunque de cuando en cuando sigo imprimiendo alguna). Luego me compré un ebook, y a pesar de que todavía tengo algunos cientos de libros físicos en casa, me he propuesto que en cuanto tenga la correspondiente versión digital, me desharé del formato físico (lo que me recuerda que os tengo que contar como he organizado mi biblioteca digital).

Y así con todo. La música que me hace vibrar, los libros que han moldeado esta pequeña mente, las fotos de toda una vida, y ahora, 28 años de pequeñas confidencias e intimidades, todo cifrado convenientemente, archivado, clasificado... oculto.

Hará algo así como dos semanas, ví la película Así somos (People like us). El argumento parte con la muerte del padre de una familia, el conocido productor de música Jerry Harper. Muchas de las escenas de la película transcurren en el ático de la casa familiar, el lugar íntimo de Jerry en donde se relajaba, escuchaba música, se drogaba, y guardaba miles de recuerdos. En ese lugar íntimo, su hijo, que había perdido hace años el trato con sus padres trata, a través de los objetos de su padre, intentar comprenderle un poco mejor.

Y eso me dió que pensar.

Y pensé que si algún día muero, sólo hablaría de mí este pequeño blog (hasta que lo cerraran por falta de pago), y solo habitaría en los recuerdos de la gente que conocí. Nadie volvería a escuchar mi música, a leer mis libros, a ver mis fotos. Y me sentí un poco como Roy Batty en Blade Runner, en aquella memorable escena en donde "Todos esos momentos se perderán en el tiempo como lágrimas en la lluvia". Y si alguien quisiera escarbar en mi recuerdo, profundizar en quien fuí, se toparía con una pequeña caja metálica, fria y distante, llena de promesas imposibles de descifrar.

Categoria: 

Reduciendo (liteando) la ROM de una tablet LEOTEC L-PAD Nova II (LETAB 1012)

 Lun, 27/01/2014 - 18:30     Sandor

Me han regalado estas pasadas navidades una tablet Android, marca Leotec, modelo L-PAD Nova II. El chisme no está mal, aunque no es ninguna maravilla. De todos modos, el uso que yo le doy es para leer PDFs, acceder al correo, a mi lector de noticias RSS, calendario, agenda... en fin, cosas que no requieren mucha máquina, por lo que esta tablet me ha venido genial.

De todos modos, la ROM que trae de fábrica viene con un montón de programas que a mi no me sirven absolutamente para nada, así que decidí lo que en el mundillo se llama litearla, es decir, coger la ROM del fabricante y quitarle todos los programas que no sean totalmente indispensables. No soy un experto en el mundo Android, por lo que la ROM que os dejo la ofrezco SIN NINGÚN TIPO DE GARANTÍA. NO PUEDO ASEGURAR QUE FUNCIONE EN TU MODELO EN CONCRETO, por lo que si no tienes unos mínimos conocimientos de instalación de ROMs, copias de seguridad y demás, por favor, NO INSTALES ESTA ROM.

Una vez hecha esta descarga de responsabilidad, os transcribo a continuación los cambios que le he ido haciendo a la ROM:

CHANGELOG:

v0.1

  • Sustituyo recovery.img por el recovery genérico RK30GENERIC_CWM.zip

v0.2  

  • Quito como aplicaciones del sistema

    • -rw-r--r-- 1 root root  1175571 nov 23  2012 1MobileMarket1.apk
    • -rw-r--r-- 1 root root  2087292 dic  4  2012 AcrobatReader.apk
    • -rw-r--r-- 1 root root   246103 nov 23  2012 angrybirds1.apk
    • -rw-r--r-- 1 root root   878028 mar 13  2013 Calculator.apk
    • -rw-r--r-- 1 root root 19858355 mar 13  2013 Chrome.apk
    • -rw-r--r-- 1 root root   207684 mar 13  2013 ChromeBookmarksSyncAdapter.apk
    • -rw-r--r-- 1 root root   610915 mar 13  2013 DeskClock.apk
    • -rw-r--r-- 1 root root  5032033 oct 17  2012 DocumentsToGo3.002.883.apk
    • -rw-r--r-- 1 root root  4136634 dic  5  2012 Mypaperplane2.apk
    • -rw-r--r-- 1 root root   246103 nov 23  2012 shootapple.apk
    • -rw-r--r-- 1 root root  2570279 nov 23  2012 skyper.apk
    • -rw-r--r-- 1 root root  4840157 mar 13  2013 VideoEditor.apk
    • -rw-r--r-- 1 root root    98147 dic  4  2012 youtube.apk
    • -rw-r--r-- 1 root root  5313085 nov 23  2012 ZombieDash.apk

v0.3

  • Rooteo la imagen
  • Pongo otro fondo del escritorio
  • Quito leotec como página de inicio de los navegadores
  • Elimino:

    • Aldiko (bookreaderaldiko.nm)
    • Lifev2 browser (com.access_company.android.nflifebrowser.lite-1.nm)
    • Piano perfect (PerfectPiano_v4.3.nm)
    • Google maps navigation
    • Messenger (messenger.apk)
    • Google maps (Maps.apk)
    • Latittude
    • Google talk
    • Google
    • Gmail
    • RkVideoPlayer.apk
    • ChromeBookmarksSyncAdapter.apk
    • RkExplorer.apk
    • Street.apk
    • Mypaperplane2.apk
    • RKUpdateService.apk

v0.4

  • Elimino Talk, Calendario, Cámara, Descargas, Galería, Gmail, Google (Now), Grabadora de sonidos, Musica, Navegador, ES Visor de imagenes
  • Elimino:

    • Blackhole -> /system/app/Galaxy4.apk
    • Bubbles -> /system/app/NoiseField.apk
    • Fondos de pantalla animados -> /system/app/LiveWallpapers.apk
    • Fondos de pantalla de humo magico -> /system/app/MagicSmokeWallpaper.apk
    • Fondos de pantalla de visualizacion musical -> /system/app/VisualizacionWallpapers.apk
    • Galeria -> /system/app/Gallery2.apk
    • Gmail -> /system/app/Gmail.apk
    • Google Talk -> /system/app/Talk.apk
    • Grabadora de sonidos -> /system/app/Soundrecorder.apk
    • MediaFloat -> /system/app/MediaFloat.apk
    • MusikFX -> /system/app/MusicFX.apk
    • Musica -> /system/app/Music.apk
    • Navegador -> /system/app/Browser.apk
    • PhaseBeam -> /system/app/PhaseBeam.apk
    • Sound Search -> /system/app/GoogleEars.apk
    • Busqueda de Google -> /system/app/Velvet.apk
    • Calendario -> /system/app/Calendar.apk
    • Almacenamiento en el calendario -> /system/app/CalendarProvider.apk
    • Wallpaper HoloSpiral -> /system/app/HoloSpiralWallpaper.apk
    • Descargas -> /system/app/DownloadProviderUi.apk
    • Picasa Uploader -> /system/app/MediaUploader.apk
    • Selector de fondo de pantalla animado -> /system/app/com.android.wallpaper.livepicker
    • Servicios de Exchange -> /system/app/Exchange2.apk
  • Elimino widgets: Calendario, Etiquetas de gmail, Galeria de fotos, Gmail, Lista de reproduccion, Marcador, Marcadores, Mi musica, Musica, Recomendaciones, Sound search

v0.5   

  • Quito idiomas extras en /system/tts/lang_pico/ y dejo solo idioma español.

Como veis, he dejado la ROM bastante pelada :-) Yo particularmente voy a instalar QuickPic (visor de imágenes y videos), K-9 Mail (lector de correo), F-Droid (market de aplicaciones libres), AdAway (para quitar esos molestos anuncios) y algunos otros programas más que utilizo habitualmente, pero de entrada, instalando esta ROM, tendreis un sistema muy pelado y que consume pocos recursos.

Puede que se me haya olvidado escribir algún cambio que otro, pero vamos, lo importante creo que está ya explicado. He subido la ROM y un par de archivos más a mi Dropbox, por si a alguien con este mismo modelo le puede venir bien.

Enlaces:

Por supuesto, si utilizas esta ROM, te quedaría agradecido si comentas en este mismo post tus impresiones ;-)

Los 100 años de Eulogio

 Mar, 21/01/2014 - 00:00     Sandor

Tal día como hoy, mi aitite Eulogio cumpliría 100 años. Desgraciadamente nos dejó hace ya tiempo, pero me gustaría dejar aquí un pequeño recuerdo de él. Trabajador incansable, al frente del bar Bolivar, se pasó la vida (junto a Nico, mi amama) alegrando los momentos de las gentes de Deusto, nuestro barrio de toda la vida.

Mi aitite, al frente del Bar Bolibar (Deusto)

Sigo recordándole trasegando vino por las mañanas, llenando botellas desde una garrafa de cristal y mimbre, ayudado por una goma; o jugando, ya por la tarde, la partida con la cuadrilla de siempre. Reservado, tranquilo y trabajador, así vivió y quiso morir, si bien en su funeral, recuerdo, la iglesia de San Pedro se quedó pequeña para tantos y tantos parroquianos que le estimaban. Y es que al final de nada sirve el dinero o el poder, si no tenemos gente alrededor que nos quiera y nos aprecie. Y en eso mi aitite era una persona realmente rica.

Yo, de niño, con mis aitites

Categoria: 
Etiquetas: 

SSL - Certificado firmado por nuestra propia entidad certificadora

 Mar, 15/10/2013 - 11:34     Sandor

Recientemente nos ha caducado el certificado que corría el servidor Apache de la intranet oficina, lo cual me ha obligado a repasar la documentación para volver a generar unos nuevos certificados (como es algo que no suelo hacer habitualmente, ya había olvidado como hacerlo). El caso es que me he vuelto loco repasando mis enlaces antiguos, así que me he animado a crear una nueva entrada en el blog, que me sirva de ayuda en el futuro (y espero que a vosotros). Hasta ahora tirábamos con un certificado autofirmado, pero después de encontrar esta utilísima guia del blog Tecnología, Sistemas, Seguridad y Ethical Hacking, me he decidido a crear un nuevo certificado creando antes una entidad certificadora propia. Como ha salido todo bien :-), aquí dejo las instrucciones para guiarme en el futuro, gran parte de ellas copiadas directamente de la guia anteriormente comentada, que a su vez, por lo que cuenta el autor, ha sido extraida en gran parte del sitio web www.linuxito.com.ar.

Cómo crear un certificado para Apache, firmado por nuestra propia entidad certificadora, y con arranque automático (sin petición de contraseña al reiniciar el servicio)

Paso 1. Crear la estructura de directorios donde crearemos los certificados

Los certificados que crearemos sólo servirán para uso personal ya que no son firmados por una autoridad de confianza como Verising, como un mecanismo de proveer una forma segura de comunicarse con tus servicios, para que las contraseñas o cualquier dato no viaje plano por la red.
De más está decir que necesitamos OpenSSL instalado en el ordenador que utilizaremos para administrar los certificados o crear las solicitudes de certificado. Yo particularmente trabajo con Debian (stable), por lo que los comandos reproducidos serán los necesarios en la versión que utilizo. No obstante, las indicaciones aquí descritas deberían ser válidas en cualquier distribución Linux.

Para comenzar debemos crear la estructura de directorios donde se almacenará toda la información relativa a nuestra PKI (Public Key Infraestructure):

# mkdir –m 0755 /CA
# mkdir –m 0755 /CA/private
# mkdir –m 0755 /CA/certs
# mkdir –m 0755 /CA/newcerts
# mkdir -m 0755 /CA/crl
  • "CA" será el directorio de trabajo de la Autoridad Certificadora.
  • "certs" será el directorio donde se ubicarán los certificados.
  • "newcerts" es el directorio donde OpenSSL pone los certificados creados en formato PEM (sin encriptar) y en la forma [n° de serie].pem (por ejemplo: 15.pem).
  • "crl" es el directorio donde se coloca la lista de revocación de certificados.
  • "private" es el directorio donde se colocan las claves privadas (este directorio debe tener permisos extremadamente restrictivos, para que sólo sean leídos por root).

Las extensiones de archivos que se generarán en estos directorios serán las siguientes:

  • KEY: Claves privadas (deben tener permisos restrictivos).
  • CSR: Pedido de certificado (estos pedidos serán firmados por la CA para convertirse en certificados, luego pueden ser eliminados).
  • CRT: Certificado (puede ser distribuido públicamente).
  • PEM: Archivos que contienen tanto el certificado como la clave privada (deben tener permisos restrictivos).
  • CRL: Lista de revocación de certificados (puede ser públicamente distribuida).

Para la configuración inicial de OpenSSL, copiamos el archivo de configuración por defecto de OpenSSL (openssl.cnf) al directorio /CA. En Debian se encuentra en el directorio /etc/ssl/openssl.cnf:

# cp /etc/ssl/openssl.cnf /CA
# chmod 0600 /CA/openssl.cnf

Luego creamos dos archivos que funcionan como bases de datos para OpenSSL:

# touch /CA/index.txt
# echo '01' > /CA/serial

Debido a que utilizamos un directorio personalizado para nuestros certificados, se necesitan algunas modificaciones en el archivo /CA/openssl.cnf, así que lo abrimos con nuestro editor de texto preferido (ojo, siempre como root) y nos debe quedar así:

[ CA_default ]
dir = /CA # Directorio donde se guarda todo <== CAMBIAR ESTA LINEA
certs = $dir/certs # Directorio donde se guardan certificados emitidos
crl_dir = $dir/crl # Directorio donde se guardan crl enviados
database = $dir/index.txt # Archivo índice de la base de datos
#unique_subject = no # Setear en 'no' para permitir que se creen diferentes certificados con el mismo 'subject'
new_certs_dir = $dir/newcerts # Directorio donde se guardan nuevos certificados
certificate = $dir/ca.crt # Certificado de la CA <== CAMBIAR ESTA LINEA
serial = $dir/serial # Número de serie actual
#crlnumber = $dir/crlnumber # El número de crl actual debe comentarse para dejar una CRL V1
crl = $dir/crl.pem # La CRL actual
private_key = $dir/private/ca.key # La clave privada <== CAMBIAR ESTA LINEA
RANDFILE = $dir/private/.rand # Número aleatorio privado
x509_extensions = usr_cert # Extensiones a agregar al certificado

Se puede personalizar aún más para definir políticas para la creación y firmado de los certificados, o definir extensiones deseadas para nuevos certificados.
Los certificados que vamos a crear con esta configuración, son certificados de propósito general y su uso no se restringe sólo a autenticación de servidores. Debe notarse que las claves privadas no serán protegidas por una passphrase, para que cuando los servicios se reinicien no soliciten el ingreso de passphrases. Esto implica que se debe restringir cuidadosamente el acceso de lectura sobre las claves privadas, para que sólo el usuario root, o el usuario privilegiado utilizado por los servicios, pueda leer estos archivos.

¡Ya tenemos nuesta base para comenzar a crear nuestros certificados!

Paso 2. Crear nuestra propia Entidad Certificadora (CA)

Después de terminar la configuración inicial, podemos crear un certificado auto-firmado que será utilizado como el certificado de nuestra CA. Este será utilizado para firmar las solicitudes de certificados:

# cd /CA
# openssl req -config openssl.cnf -new -x509 -extensions v3_ca -days 3650 -keyout private/CA_nombre.key -out certs/CA_nombre.crt
Generating a 1024 bit RSA private key
................++++++
...............++++++
writing new private key to 'private/CA_nombre.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:Tu provincia
Locality Name (eg, city) []:Tu ciudad
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Nombre de empresa, proyecto o lo que sea
Organizational Unit Name (eg, section) []:Nombre de departamento o lo que se te ocurra
Common Name (eg, YOUR name) []:Tu nombre
Email Address []:Tu dirección de correo electrónico

Se crearán dos archivos: certs/CA_nombre.crt, certificado de la CA públicamente disponible y con lectura para todo el mundo; private/CA_nombre.key, clave privada del certificado de la CA. A pesar de que está protegida por una contraseña se debe restringir el acceso:

# chmod 0400 /CA/private/CA_nombre.key

Paso 3. Creación del pedido del certificado

Para proceder con la creación de un certificado para un servidor, lo primero que hacemos es generar el pedido de certificado:

#cd /CA
#openssl req -config openssl.cnf -new -nodes -keyout private/apachessl.key -out apachessl.csr -days 3650
Generating a 1024 bit RSA private key
.......................++++++
.....++++++
writing new private key to 'private/apachessl.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]: Tu provincia
Locality Name (eg, city) []: Tu ciudad
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Nombre de empresa, proyecto o lo que sea
Organizational Unit Name (eg, section) []: Nombre de departamento o lo que se te ocurra
Common Name (eg, YOUR name) []: El nombre de tu dominio
Email Address []: Tu dirección de correo electrónico
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • La opción "nodes" es necesaria para que la clave privada no sea protegida con una passphrase. Si el certificado no se va a utilizarar para la autenticación de servidores, no se debería incluir en la opción anterior.
  • El "Common Name" (CN) es la información que identifica de forma única al servicio, por lo que debemos asegurarnos de escribirlo correctamente.
  • Personalmente, recomiendo rellenar todos los campos que nos pidan, ya que si los dejamos vacios, se nos rellenarán con los datos por defecto, y en ocasiones pueden inducirnos a pensar que hay algún error en ellos.

Al finalizar se crean dos archivos:

  • apachessl.csr: El pedido de certificado.
  • private/apachessl.key: La clave privada, que no ha sido protegida con una passphrase.

Como anteriormente, se deben crear permisos restrictivos sobre la clave privada, por ejemplo:

# chown root.root /CA/private/apachessl.key
# chmod 0400 /CA/private/apachessl.key

O (por ejemplo si el certificado es para un servidor Apache):

# chown root.apache /CA/private/apachessl.key
# chmod 0440 /CA/private/apachessl.key

Paso 4. Firma del pedido de certificado para generar el certificado para el servidor

A continuación firmamos el pedido de certificado para generar el certificado para el servidor:

# cd /CA
# openssl ca -config openssl.cnf -cert certs/CA_nombre.crt -policy policy_anything -out certs/apachessl.crt -infiles apachessl.csr
Using configuration from openssl.cnf
Enter pass phrase for /CA/private/CA_nombre.key:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Oct 16 07:36:10 2013 GMT
            Not After : Oct 14 07:36:10 2023 GMT
        Subject:
            countryName               = ES
            stateOrProvinceName       = Tu provincia
            localityName              = Tu ciudad
            organizationName          = Nombre de empresa, proyecto o lo que sea
            organizationalUnitName    = Nombre de departamento o lo que se te ocurra
            commonName                = El nombre de tu dominio
            emailAddress              = Tu dirección de correo electrónico
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                B5:9D:90:13:57:C7:3E:4B:5F:1A:41:B7:AA:A4:A2:DB:11:DB:03:F4
            X509v3 Authority Key Identifier:
                keyid:48:09:37:10:7E:A1:3E:42:17:4D:18:44:B6:13:FE:B9:AF:CD:CD:6F

Certificate is to be certified until Oct 14 07:36:10 2023 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
  • La opción "-policy policy_anything" indica que no se requiere que los campos "Country", "State" o "City" coincidan con los de la CA.

Al finalizar se crean dos nuevos archivos:

  • certs/apachessl.crt: Certificado del servidor, que puede hacerse públicamente disponible.
  • newcerts/01.pem: El mismo certificado pero con el número de serie como nombre de archivo, no es necesario.

En este momento podemos eliminar el pedido de certificado, el cual no necesitaremos más (apachessl.csr):

# rm –f /CA/apachessl.csr

Paso 5. Creación de un archivo pkcs12 para instalar en navegadores

Como penúltimo paso, nos queda generar un archivo pkcs12, listo para ser cargado en los navegadores que necesitemos que tengan acceso a nuestro sitio.

# openssl pkcs12 -export -in certs/apachessl.crt -inkey private/apachessl.key -certfile certs/CA_nombre.crt -out apachessl_pck12.p12
Enter Export Password:
Verifying - Enter Export Password:

Paso 6. Copiando nuestros certificados a sus directorios destino

¡Recapitulemos! Con todos estos pasos, hemos generado un certificado autofirmado de Entidad Certificadora, un certificado para servidor firmado por esa Entidad Certificadora, y un archivo pkcs12 para instalar en navegadores. ¿Qué hacemos ahora?

En el servidor:

  • CA_nombre.crt y CA_nombre.key : estos dos archivos forman el certificado correspondiente a nuestra Entidad Certificadora (CA). En mi servidor Debian, hay que copiar el certificado público (extensión .crt) a /etc/ssl/certs y la clave privada (extensión .key) a /etc/ssl/private.
  • apachessl.crt y apachessl.key: estos dos archivos forman el certificado correspondiente al servidor, firmado por nuestra Entidad Certificadora. Como antes, debemos de copiar el certificado público (extensión .crt) a /etc/ssl/certs y la clave privada (extensión .key) a /etc/ssl/private.

Después tendríamos que configurar el servidor web para que usase esos certificados. En apache (el que yo uso), sería algo similar a esto:

SSLEngine on
SSLCACertificateFile '/etc/ssl/certs/CA_minombre.crt'
SSLCertificateFile '/etc/ssl/certs/apachessl.crt'
SSLCertificateKeyFile '/etc/ssl/private/apachessl.key'
SSLVerifyClient require
SSLVerifyDepth 10
# --- opciones varias (mirar en http://httpd.apache.org/docs/2.2/mod/mod_ssl$
SSLProtocol -all +SSLv3
SSLCipherSuite SSLv3:+HIGH:+MEDIUM

En cada navegador que querais que tenga acceso a vuestro sitio web:

  • Primeramente tendremos que importar el certificado de nuestra Entidad Certificadora. Por ejemplo, para hacerlo en Firefox hay que ir a Herramientas -> Opciones -> Avanzado -> Certificados -> Ver certificados -> Importar y una vez allí importar el archivo CA_nombre.crt que (recuerda) contiene la clave pública de nuestra Entidad Certificadora.
  • Acto seguido, tenemos que importar también el certificado pkcs12 que contiene el certificado de nuestro servidor (en el ejemplo que os he puesto: apachessl_pck12.p12)

Paso 7. Otras operaciones con los certificados generados

Si queremos consultar nuestro certificado, podremos consultarlo con el siguiente comando:

# openssl x509 –subject –issuer –enddate –noout –in /CA/certs/apachessl.crt

O el siguiente:

# openssl x509 –in certs/apachessl.crt –noout -text

Y verificar que el certificado sea válido para autenticación de servidores con el siguiente:

# openssl verify –purpose sslserver –Cafile /CA/certs/CA_nombre.crt /CA/certs/apachessl.crt

Algunos servidores o aplicaciones requieren que el certificado y la clave privada existan en el mismo archivo, esto se puede lograr con el comando:

# cat certs/apachessl.crt private/apachessl.key > private/apache-ssl-cert-key.pem

Entonces se debería restringir el acceso al archivo .pem resultante y borrar apachessl.crt y apachessl.key si no son necesarios.

# chown root.root private/apache-ssl-cert-key.pem
# chmod 0400 private/apache-ssl-cert-key.pem
# rm –f certs/apachessl.crt
# rm –f private/apachessl.key

Si deseamos que un certificado deje de ser válido debemos revocarlo. Esto se puede hacer con el comando:

# openssl ca –config openssl.cnf –revoke certs/apachessl.crt

Hecho lo anterior, ahora debemos generar una nueva CRL (Certificate Revokation List):

# openssl ca –config openssl.cnf –gencrl –out crl/CA_nombre.crl

El certificado de nuestra CA y nuestra lista de revocación (CRL) deben ser distribuidos a aquellos que confíen en nuestra CA para que puedan importarlos en el software cliente (web browser, clientes ftp, clientes de email, etc). Además la CRL debe ser pública. Si queréis mas información sobre el estándar de Infraestructura de Clave Pública, quizás os interese visitar el siguiente enlace: Wikipedia: Infraestructura de clave pública.


En fín, hasta aquí esta pequeña guía que espero os venga bien para, por ejemplo, acceder a vuestras intranets caseras desde cualquier sitio. Las posibilidad son amplias: podeis llevar en un pendrive un Firefox portable con los certificados instalados y ejecutarlo en cualquier PC seguro; podeis instalar en vuestra tablet o móvil android (es lo que yo uso, supongo que en otros sistemas también), los certificados y acceder también desde ellos. Incluso (es lo que yo tengo pensado hacer próximamente), podeis instalar en vuestra intranet algún servidor CalDav y CardDav, para así gestionar vosotros mismos vuestros calendarios y contactos, y compartirlos centralizadamente con los ordenadores de vuestra red local, al igual que con los móviles y las tablets a los que instalemos el certificado.

Si quereis más información, aquí se ha hablado un poco más sobre este tema:

Redirección https a http via .htaccess

 Mié, 17/07/2013 - 20:23     Sandor

A veces uno quiere redireccionar las peticiones a https://dominioa http://dominio. Para hacerlo, nada mejor que poner este .htaccess en el directorio destinado a los archivos que se servirán via https (en Configbox, mi actual proveedor, es la carpeta /httpsdocs):

RewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule (.*) http://%{HTTP_HOST}%{REQUEST_URI}
Etiquetas: 

Bilbao Mini Maker Faire

 Dom, 14/07/2013 - 00:00     Sandor

Hoy me he pasado por la feria Bilbao Mini Maker Faire, cuya primera edición se ha celebrado este fin de semana. Para cualquier mente curiosa, la cita era ineludible: montajes con arduino, impresoras 3D (se me han puesto los dientes largos), frikadas varias, algo de horticultura alternativa... muy, muy interesante, la verdad.

Feria Maker Bilbao
Feria Maker Bilbao
Feria Maker Bilbao
Feria Maker Bilbao
Feria Maker Bilbao
Feria Maker Bilbao
Feria Maker Bilbao
Feria Maker Bilbao

 

URL: http://makerfairebilbao.com

Twitter: @MakerFaireBio

Conferencia del Dr. Alberto Martí Bosch

 Mar, 02/07/2013 - 20:14     Sandor

Me da mucho reparo escribir esta entrada en PlanetaInopia, por varias razones. La primera es que recientemente he tenido (y desgraciadamente tengo ahora mismo cerca), personas padeciendo cáncer. La segunda razón es que lo considero un tema lo suficientemente grave como para, guiado simplemente por sensaciones (no tengo formación médica ni científica de ningún tipo), lanzarme así por así a publicar informaciones que circulan en la red sobre el tema. Considero que ante todo hay que respetar a quien sufre la enfermedad, y nada está más lejos de mi intención que el que puedan sentirse de alguna manera ofendidas. Creo que si yo tuviera cáncer me fastidiaría que me viniera alguien pontificando algún remedio extravagante para tratar mi enfermedad.

Pero por otro lado, los que me conoceis sabeis que me llevo informando desde hace tiempo sobre eso que llaman llevar una vida sana. Todavía estoy buscando mi mix particular de hábitos, ejercicios y demás que cuadren con mi forma de ser. No es fácil cambiar (de eso se mucho, tengo muy poca fuerza de voluntad y la costumbre siempre ata demasiado) :-) Por ahora me voy haciendo una idea general de cosas que pretendo integrar en mi vida, cosas como la meditación, el veganismo, tener un huerto o el yoga, por ejemplo. No se si seré capaz de integrarlas todas en el Sandor futuro que pretendo ser, pero creo que vivir es aprender y cambiar, y estoy dispuesto a intentarlo.

En fin, a lo que iba. Hace un par de meses encontré por la red una conferencia del doctor Alberto Martí Bosch, y como me ha parecido muy interesante, me gustaría compartirla con vosotros. Personalmente descreo de la homeopatia y las flores de bach, por ejemplo, pero aun así, os recomiendo que veais la conferencia, muy didáctica:

He intentado encontrar por la red algo de información sobre este doctor, y entre otras cosas he encontrado que estuvo implicado en el asunto del BIO-BAC (noticia en El Pais, del 31-10-2002), así como este pequeño hilo en el foro de la Asociación Española Contra el Cáncer.

Lo mejor, como siempre en estos casos, es que veais el video (dura una hora aproximadamente) para haceros una opinión personal sobre el tema. A mí me parece que muchas cosas de las que dice son bastante lógicas y, de alguna manera, aún sin tener formación médica de ningún tipo, me transmiten verdad. Por eso me he atrevido a compartirla con vosotros, por si de alguna manera resuena también en vosotros.

 

Categoria: 

Páginas

Sobre PlanetaInopia

Sandor Inopia nació en Bilbao, un lunes cualquiera, justo 1904 años después de que Nerón se suicidara, diciendo ¡Qué artista muere conmigo!, y 192 años después de que Volta descubriera la pila eléctrica. Mientras celebraba su quinto cumpleaños, Elvis daba su último concierto, y celebrando los siete, Muhammad Ali se retiraba del boxeo.

Sobre PlanetaInoipa, blog personal de Sandor Inopia (Sandor Saiz Ortuondo)

Yo no tengo la ambición de Nerón, la inteligencia de Volta, la voz de Elvis, o la fuerza de Alí, pero a veces me gusta escribir y darme a conocer a los demás. Por eso este blog, que espero te guste.

Aquí se habla de

Comentarios recientes