Vacaciones

 Mar, 24/07/2012 - 14:18     Sandor

Me voy de vacaciones

 

¡Me voy de vacaciones!
 

Solo yo, el Camino, y 580 kilometros por delante.

¿Llegaré o me quedaré a vivir debajo de una higuera? :-)

En cualquier caso, estaré desconectado de la red, desde

el viernes 24-07 hasta aproximadamente el 20-08.

¡Prometo volver con las pilas cargadas!

Categoria: 
Etiquetas: 

Asegurar servidor SSH

 Lun, 14/05/2012 - 18:18     Sandor

Aquí van algunos consejos para proteger el acceso remoto a un servidor linux, corriendo Secure Shell (SSH).

CONFIGURAR CORRECTAMENTE EL SERVIDOR SSH

  • NOTA: el archivo de configuración, al menos en Debian, se encuentra situado en /etc/ssh/sshd_config
  • Protocol 2
    La versión 1 del protocolo tiene algunas vulnerabilidades conocidas, así que quitamos su soporte, obligando a acceder utilizando únicamente la versión 2 del protocolo.
  • ListenAddress ip
    Comprueba que el servidor escuche únicamente la interfaz de red que quieras realmente (puede que sólo te interese acceder a tu pequeño servidor casero desde tu propia red local, y tengas activado por defecto la escucha en todas las IPs, incluida la pública).
  • PermitRootLogin No
    Es indispensable que el usuario root no pueda acceder via SSH. Siempre podremos escalar privilegios, una vez hayamos accedido al servidor, a través de su o sudo, pero es importante que el usuario root no pueda acceder directamente desde el servidor SSH.
  • Listen num-puerto
    Cambiando el puerto de escucha por defecto pondremos otra piedra en el camino de aquellos que pretendan entrar remotamente en nuestro sistema. Hay formas de deducir qué programa está escuchando un puerto, pero al menos se lo pondremos un poquito más dificil a aquellos que hacen uso de scripts automatizados.
  • PermitEmptyPasswords No
    Ya que estamos intentando aumentar la seguridad de acceso a nuestro sistema, parece lógico prohibir las contraseñas vacías, ¿no? :-)
  • AllowUsers usuario1 usuario2 ...
    Si como yo, administras una pequeña red local, probablemente solo quieras dar acceso SSH a uno o dos usuarios, así que ¿por qué no limitar el acceso al servidor solamente a esos usuarios?
  • AllowGroups grupo1 grupo2 ...
    Si por el contrario hay más usuarios que acceden via SSH, tal vez sería interesante filtrar el acceso al servidor SSH, permitiendo solamente aquellos usuarios que pertenezcan a un determinado grupo.
  • PasswordAuthentication Yes
    Mediante esta directiva configuramos si permitimos la autenticación mediante clave al servidor SSH. El acceso tradicional al servidor se realiza mediante usuario y clave, aunque si prohibimos este acceso mediante usuario/clave (PasswordAuthentication No), aumentaremos la seguridad, dejando el acceso solamente a través de pares de claves públicas y privadas (si has usado alguna vez un programa de cifrado tipo GPG o similar ya sabrás a qué me refiero).
  • Hay otras directivas que incrementan la seguridad, como LoginGraceTime, MaxAuthTries, MaxStartups y algunas otras, aunque considero que estas de aquí arriba son las más importantes. Como siempre un simple man sshd_config te te permitirá profundizar más en las directivas de configuración.

AUTENTICACION SSH BASADA EN PARES DE CLAVES

  • Para deshabilitar el acceso con usuario/clave, y habilitar el acceso con pares de claves, necesitaremos comprobar que el servidor SSH (recuerda: /etc/ssh/sshd_config) está configurado correctamente:
# Desactivamos la autenticación via usuario/clave:
PasswordAuthentication No
# Activamos la autenticación con pares de claves:
PubkeyAuthentication yes
# Definimos el archivo donde irán las claves de acceso autorizadas.
# Como mi partición home está cifrada, defino que las claves se almacenen,
# de manera centralizada, dentro de /etc/ssh. Hay más información al respecto
# (importante el tema de los permisos en las carpetas) en la siguiente URL:
# https://help.ubuntu.com/community/SSH/OpenSSH/Keys
AuthorizedKeysFile /etc/ssh/%u/authorized_keys
# Activamos la atenticación RSA
RSAAuthentication yes
  • Una vez configurada la parte del servidor correctamente, lo que haremos será crear, en nuestra máquina cliente (desde la que accedemos al servidor) una clave pública que copiaremos luego al servidor. El par de claves (pública y privada) las podremos generar mediante el comando ssh-keygen -t rsa (si estamos bajo GNU/Linux), o usando el programa puttygen.exe del cliente PuTTY (si estamos en un entorno MS Windows). Para este ejemplo, suponemos que hemos llamado a la clave pública ssh-publico.key y a la clave privada ssh-privada.key.ppk.
  • Para subir la clave pública a nuestro servidor SSH, haremos uso de la utilidad scp (pscp si usamos PuTTY):
scp ssh-publico-key usuario@nuestroservidor:/etc/ssh/usuario
  • Reiniciamos el servidor sshd y voilà, ya podemos acceder usando el par de claves RSA.

Teneis más información sobre este último tema en los siguiente enlaces:

Etiquetas: 

Partir y juntar archivos grandes en GNU/Linux

 Lun, 16/01/2012 - 11:10     Sandor

Hoy me ha surgido, en el servidor de la oficina, la necesidad de partir un archivo de 20 Gb en partes más pequeñas. Buscando un poco por ahí, he visto que existe la utilidad split, que hace precisamente eso:

split -btamaño miarchivogrande prefijodelosarchivospequeños

Para juntar los archivos pequeños y volver a crear el archivo grande, la nunca bien valorada :) utilidad cat nos servirá a la perfección:

cat prefijodelosarchivospequeños* > minuevoarchivogrande

 

Etiquetas: 

Mi agenda 2012

 Vie, 30/12/2011 - 13:17     Sandor

Ya os comenté hace algún tiempo cómo me las ingeniaba para organizar esta mente dispersa que tengo, siempre en mil proyectos. El caso es que es un sistema que a mí me funciona, y este nuevo año he vuelto a preparar mi agenda para el 2012. Me la imprimo en la oficina, en formato A5, modo duplex (doble cara). La verdad es que me queda resultona y me sale baratito, que también es importante :-)

Mi agenda 2012

Os dejo aquí el documento, en formato OpenDocument, para que si os apetece imprimais también vuestra agenda del 2012. Por supuesto, las sugerencias son siempre bienvenidas: AGENDA 2012 (formato A5, modo duplex)

Y como esta es mi última entrada del año, solo me queda desearos que paseis un buen fin de año. ¡Nos leemos ya en el 2012!

 

Categoria: 

Modificando el firmware del O2Media MR6000

 Mar, 27/12/2011 - 20:04     Sandor

O2Media MR6000

 

Según os comenté el otro día, estoy intentando mejorar, dentro de mis posibilidades, el firmware para el O2Media MR6000. Para trastear con él, aquí os cuento las herramientas que he utilizado.

El archivo install.img del firmware es en realidad un archivo comprimido en formato tar. Por lo que si le cambiamos la extensión y lo descomprimimos con un sencilo tar xvf install.tar tendremos acceso al contenido. La última actualización a día de hoy, descargada de la web de O2Media, mostraría esto:

-rw-r--r-- 1 root root  143300 dic  8  2010 arial.ttf
-rw-r--r-- 1 root root 1773344 dic  8  2010 audio_firmware.install.bin
-rwxr-xr-x 1 root root    1816 dic  8  2010 configuration.xml
-rwxr-xr-x 1 root root   43400 dic  8  2010 flash_erase
-rwxr--r-- 1 root root 2199940 dic  8  2010 install_a
-rwxr-xr-x 1 root root  163948 dic  8  2010 mkfs.jffs2
-rwxr-xr-x 1 root root   56792 dic  8  2010 mkyaffs2image
-rwxr-xr-x 1 root root   61580 dic  8  2010 nandwrite
drwxr-xr-x 3 root root    4096 dic 27 18:57 package2
    -rwxr--r-- 1 root root  1873552 dic  8  2010 bluecore.audio
    -rwxr--r-- 1 root root 51265536 dic  8  2010 squashfs1.img
    -rw-r--r-- 1 root root     5379 dic  8  2010 usr.local.etc.tar.bz2
    -rwxr-xr-x 1 root root  2324208 dic  8  2010 video_firmware.bin
    -rwxr-xr-x 1 root root  4206726 dic  8  2010 vmlinux.develop.avhdd.mars.nand.bin
-rwxr-xr-x 1 root root 1623760 dic  8  2010 video_firmware.install.bin

Por cierto, he identado los archivos que aparecen dentro del directorio package2. El archivo squashfs1.img, dentro de la carpeta package2, contiene la imagen de la carpeta root del sistema. Para descomprimirla, copiamos squashfs1.img a una carpeta aparte y descomprimimos con:

unsquashfs  squashfs1.img

Esto nos creará una carpeta llamada squashfs-root con el contenido descomprimido. Después de trastear con el contenido, podremos volver a crear la imagen con un sencillo:

mksquashfs * ../squashfs1.img

El archivo usr.local.etc.tar.bz2 se puede descomprimir con un sencillo:

tar jxvf usr.local.etc.tar.bz2

Según leo en esta entrada de todopvr: el directorio /usr/local es el único directorio del firmware que se monta como lectura/escritura y por tanto que se puede tocar por el usuario con conocimientos de linux y telnet. Suele estar en ese directorio el fichero de canales, los ficheros de bases de datos para las programaciones y también en un directorio "IMS" todo lo que tiene que ver con internet, como las emisoras de radio, o las páginas de meteorología, RSS o vídeos y precisamente por estar ahí se pueden "modificar" y crear ficheros rss/html para acceder a distintos servicios de internet, por ejemplo a cosas distintas de Youtube.

Si alquien quiere trastear y no quiere andar compilando los archivos para comprimir/descomprimir, podeis descargar los archivos de este enlace: yaffs-utils-linux.tgz

Por ahora solo he dado este primer paso. Los siguientes serán trastear con los scripts IMS, a ver si puedo meter los del firmware de Bluetimes (en el que funciona Youtube y la radio online), dentro del de la última actualización de O2Media.

Seguiremos informando... ;)

Categoria: 

Forzando la instalacion de un firmware en el O2Media MR6000

 Sáb, 24/12/2011 - 10:32     Sandor

O2Media MR6000

Hace unas semanas he comprado en PcComponentes el reproductor multimedia O2Media MR6000. Para las características que tiene está bien de precio, aunque a mi entender es un aparato solo para geeks, ya que de lo que dice que hace, a lo que realmente hace, va un trecho.

El caso es que llevo trasteando algunos días, instalando en el aparato diferentes firmwares. Y claro, de tanto trastear algún día tenía que pasar que me equivocara y el aparato se quedara colgado al meterle un firmware que no estaba destinado a él :-)

Por un momento ya pensaba que tenía un bonito pisapapeles, pero rebuscando en la red he dado con el foro MPCClub, y he descubierto que hay un sistema para forzar la actualización del firmware aún cuando no tienes acceso al menú del aparato.

Consiste en:

  • Apagar el aparato del interruptor de atrás.
  • Introducir un pendrive, formateado en FAT32, con el firmware que quieras instalar en el directorio raiz.
  • Presionar la tecla de arranque (la del propio aparato, no la del mando a distancia).
  • Teniéndola presionada, encender el aparato.

Con esto el aparato se actualizará y nuestro cacharro habrá vuelto a la vida.

Categoria: 

Envio de correos con phplist, a través de SSL SMTP

 Jue, 22/12/2011 - 23:51     Sandor

Un pequeño truco para poder enviar correos desde phplist, a través de servidores SMTP con SSL (los de Amazon SES o GMail, por ejemplo). El problema es que phplist utiliza una versión antigua de phpmailer, por lo que si queremos usar servidores con SSL, hay que tocar un poco los siguientes archivos:

Define o edita (si ya existen) las siguientes directivas en config/config.php :

define("PHPMAILER",1);
define("PHPMAILERHOST",'smtp.tudominio.com');
$phpmailer_smtpuser = 'USUARIO';
$phpmailer_smtppassword = 'CLAVE';
$phpmailer_smtpsecure = 'ssl';
$phpmailer_smtpport = 465;

Abre admin/class.phplistmailer.php y encuentra :

$this->Password = $GLOBALS['phpmailer_smtppassword'];

y escribe debajo a continuación : 

$this->SMTPSecure = $GLOBALS['phpmailer_smtpsecure'];
$this->Port = $GLOBALS['phpmailer_smtpport'];

Ahora abre admin/phpmailer/class.smtp.php y encuentra :

$this->smtp_conn = fsockopen($host,

Y sustituye

$host,

por

$host='ssl://smtp.tudominio.com',

Con esto ya deberías poder enviar correos a traves de tu servidor SMTP SSL favorito ;)

Fuente: http://glycogen.net/2011/06/07/phplist-smtp-w-ssl/

 

Consumir menos, vivir mejor

 Mié, 21/12/2011 - 09:40     Sandor
Consumir menos, vivir mejor, Lodeiro, Toni , Tafalla, p.500, (2008)

Vivir con menos no sólo es necesario para contruir un mundo más solidario y sostenible, también puede ser una manera de hacer nuestro día a día más relajado y satisfactorio, más gozoso y saludable.

En esta aventura que supone bajar el ritmo nos toca nadar “a contracorriente”, y nos encontramos a menudo solas e incomprendidas, a veces hasta saboteadas. Otras veces nos falta información, tiempo, dinero… No siempre es fácil hacer las cosas como nos gustaría…

Novedades y bloqueo de usuarios

 Mié, 23/11/2011 - 16:58     Sandor

Aprovechando el nuevo cambio de look del blog, he decidido quitar la opción de registro, ya que básicamente solo servía para que los spammers intentaran enviar sus mensajes basura. Por ello, he procecido a bloquear a los antiguos usuarios de PlanetaInopia. Si eres de los veteranos y has recibido un correo informándote de ello, no te preocupes, no tiene ninguna importancia. Seguireis pudiendo comentar las entradas aún sin ser usuarios del blog, rellenando los campos del formulario y el CAPCHA correspondiente.

Espero que os guste el nuevo aspecto del blog. Todavía quedan tonterías por diseñar, pero el trabajo duro ya está hecho. A partir de ahora me centraré en mejorar la usabilidad del sitio y añadir/renovar el contenido. Por ejemplo, las fotos del proyecto de restauración de la vespa no se encuentran disponibles ya que apuntan a mi antigua cuenta de Flickr (tengo que cambiarlas por los nuevos enlaces a Picasa). También, en la biblioteca, subiré los documentos a mi cuenta de Amazon S3 para que, si lo deseais, os los podais bajar desde la red directamente, sin andar con torrents ni clientes p2p.

Espero que os guste esta nueva etapa de PlanetaInopia.

Categoria: 

Modificación de espejo RAM de Ikea

 Lun, 03/10/2011 - 09:30     Sandor

Si en la entrada de la semana pasada os comentaba acerca de la cajonera para mi mini-despacho casero, hoy os voy a hablar de la modificación del baratísimo espejo RAM de IKEA. La idea es más o menos la misma que me llevó a la modificación de la cajonera: tener disimulado mi espacio de trabajo cuando no esté trabajando en casa.

Para empezar, lijé con cuidado y barnicé el marco del espejo con el mismo barniz con el que tengo la mesa y la cajonera, para que no desentonara. Después, pegué dos capas de corcho, una encima de otra, sobre la parte trasera del espejo. El motivo de poner las dos capas es que con una sola el pincho de las chinchetas no entra del todo y pensé que corría el riesgo de dañar la trasera del espejo. Por si te lo preguntas, el corcho lo compré en Leroy Merlin, se vende por rollos y creo recordar que no era excesivamente caro.

El soporte del espejo también lo cambié. Tenía por casa uno de esos cables de acero que sirven para poner cortinillas con pinzas. La verdad es que no se muy bien de donde salió, puede que sea de IKEA o de algún centro de bricolaje, a saber (tanto acumularlo todo es lo que tiene :-D). El caso es que lo aproveché para crear un soporte para el espejo, que me permitiera una facilidad de uso a la hora de soltar el espejo para darle la vuelta. Por supuesto, cualquier otro sistema (la típica hembrilla centrada, por ejemplo), puede servir para colgar el espejo. Lo importante es que nos deje cuando más espacio de la parte trasera libre mejor, a fin de poder poner papeles o lo que queramos.

Más o menos estos que os cuento son los pasos que realicé, y este es el resultado final:

01 - Hack del espejo RAM de IKEA
02 - Hack del espejo RAM de IKEA
03 - Hack del espejo RAM de IKEA
04 - Hack del espejo RAM de IKEA
05 - Hack del espejo RAM de IKEA

Me hubiera gustado publicar una última foto con todos mis trastos recogidos, la mesa sin agenda, ordenador, ni papeles por el medio, pero me temo que últimamente el trabajo se me acumula y solo suelo ver el corcho, lleno de papeles, con todas mis tareas por hacer :-)

 

Categoria: 

Páginas

Sobre PlanetaInopia

Sandor Inopia nació en Bilbao, un lunes cualquiera, justo 1904 años después de que Nerón se suicidara, diciendo ¡Qué artista muere conmigo!, y 192 años después de que Volta descubriera la pila eléctrica. Mientras celebraba su quinto cumpleaños, Elvis daba su último concierto, y celebrando los siete, Muhammad Ali se retiraba del boxeo.

Sobre PlanetaInoipa, blog personal de Sandor Inopia (Sandor Saiz Ortuondo)

Yo no tengo la ambición de Nerón, la inteligencia de Volta, la voz de Elvis, o la fuerza de Alí, pero a veces me gusta escribir y darme a conocer a los demás. Por eso este blog, que espero te guste.

Comentarios recientes