Estas aquíBlogs / Blog de calel

Blog de calel


Stretch se congela el 5 de febrero 2017

Debian 9 "Stretch" pasará a estado congelado el 5 de febrero de 2017. Como ya es costumbre, el equipo encargado de preparar Stretch no anuncia fecha de lanzamiento (cuando pasa a estado estable), pronosticando que será "cuando esté listo".

Habilitando X11 Forwarding

Secure Shell (ssh) permite exportar ventanas desde un servidor remoto, con 'ssh -X servidor.remoto' y 'ssh -Y servidor.remoto', pero en Debian esa opción está por omisión deshabilitada. Al hacer login, el servidor remoto responde,

X11 forwarding request failed on channel 0

Para habilitar X11 Forwarding, edita /etc/ssh/sshd_config en el servidor remoto y agrega,

X11UseLocalhost no

después de,

X11Forwarding yes

y luego reinicia el servidor ssh con,

# /etc/init.d/ssh restart

Prueba exportar una venta, luego de haber ingresado al servidor remoto con 'ssh -X' o 'ssh -Y',

$ xeyes

('xeyes' es parte del paquete x11-apps)

Protegiendo squid proxy con autenticación y túnel SSH

(actualizado para jessie y squid3)

Un proxy web es un caché para almacenar copias de archivos web y así disminuir el consumo de red. Debido a que el proxy actúa como intermediario entre un cliente y los servidores web que se visitan, éste puede ser utilizado para incrementar la seguridad y privacidad del cliente.

Los ejemplos de uso del proxy squid que se han presentado en este blog (ver Usando el proxy squid para bloquear cookies y anuncios comerciales) son para uso local. El proxy se consulta a localhost.

Puede ser ventajoso a veces consultar el proxy en forma remota, por ejemplo, si estamos fuera de casa y necesitamos acceder páginas web sensibles. Para ello debemos permitir que el proxy pueda ser accedido desde Internet. Antes de hacer esto debemos obviamente protegerlo.

Darle a squid autenticación

Como root crea un usuario proxy y dále una clave:

# htpasswd -c /etc/squid3/passwd miproxy
New password:
Re-type new password:
Adding password for user miproxy

Este comando no solo crea el archivo /etc/squid3/passwd, le da al usuario 'miproxy' una clave encriptada.

Edita '/etc/squid3/squid.conf'. En la sección autenticación agrega una etiqueta "auth_param",

auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd

después de todos los ejemplos comentados.

En la sección donde se insertan reglas propias, que comienza con la linea,

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

agrega la regla,

acl AuthUser proxy_auth miproxy
http_access allow AuthUser

La primera línea define AuthUser, la segunda la utiliza para dar acceso mediante el instructivo http_access. Esta regla se puede insertar antes o después de dar acceso a 'localhost' o 'localnet', dependiendo si se desea que todos se autentiquen o sólo aquellos que se conectan desde el exterior. Las reglas se interpretan en forma secuencial; toda regla de acceso que esté antes de 'http_access allow AuthUser' no requerirá autenticación, mientras que toda regla de acceso que esté después requerirá autenticación.

Esconder la IP de procedencia

Si se desea aumentar la privacidad, podemos también esconder la IP del cliente. Esto puede resultar ventajoso cuando sitios utilizan la IP del cliente para ofrecernos servicios locales.

Modifica el instructivo 'forwarded_for' a,

forwarded_for delete

Modifica también 'via'. Por omisión está en 'on'. Modifícala a 'off',

via off

Esto evita que el proxy indique la IP de origen en la cabecera HTML de la redirección.

Visita el sitio http://pgl.yoyo.org/http/browser-headers.php para ver el efecto con o sin esta modificación.

Usando el proxy remoto

Es necesario habilitar el puerto 3128 para conexiones externas en el cortafuegos del servidor (ver Creando un router en Debian). Agrega la regla,

$IPTABLES -A pqtes-tcp-permitidos -p TCP -m state --state NEW --dport 3128 -j ACCEPT

a la cadena 'pqtes-tcp-permitidos'. La autenticación de squid protege el puerto.

En el navegador local modifica la configuración para usar el proxy remoto,

La configuración del proxy en otros navegadores es muy similar.

Al conectarse al proxy remoto este va a pedir ingresar el usuario proxy y la clave,

Conexión usando un túnel SSH

También puede ser ventajoso encriptar la conexión desde el cliente al proxy. Esto se logra haciendo un túnel SSH desde el cliente hacia el servidor del proxy,

$ ssh -N -f -C -L 8080:localhost:3128 usuario@proxy

en donde usuario es un usuario local del servidor proxy (miservidor.decasa.cl según el ejemplo). Este comando de línea crea un túnel SSH en el puerto 8080 del cliente (localhost) hacia el puerto 3128 del servidor proxy. Obviamente, el servidor SSH debe estar corriendo en proxy, ojalá protegido de una manera prudente por el cortafuegos (ver http://man-es.debianchile.org/cortafuego.html).

La configuración del proxy en el cliente necesita ahora indicar el proxy localhost y el puerto 8080,

Debian 8 "Jessie" se libera el 25 de abril de 2015

Fue anunciado hoy que el equipo a cargo de la liberación de la versión 8 de Debian, llamada "Jessie", tiene como meta liberarla el día 25 de abril de 2015. "Jessie" se transformará en la décima versión estable de Debian.

Primera edición del instalador de Debian 8 "jessie"

Fue anunciado que el primer candidato de instalador de Debian 8 "jessie" ha sido hecho público. Las imágenes de instalación se pueden descargar de

http://www.debian.org/devel/debian-installer/

El equipo del instalador de Debian solicita ayuda para probar el nuevo instalador y comunicar al equipo posibles errores y mejoras.

Actualizando el plugin de FlashPlayer en Debian

FlashPlayer y su larga historia de vulnerabilidades severas hace imperativo actualizarlo de forma continua. Debido a que el software es non-free (paquete flashplugin-nonfree), Debian no lo actualiza en el repositorio debian-security de la manera común. El motivo es que el paquete no contiene el software, sino un pequeño script que descarga el plug-in compilado de Macromedia y lo instala en el sistema. (El paquete se actualizaría sólo en el caso que es script se actualizara).

Si la versión instalada es conocidamente vulnerable, Iceweasel lo bloquea. La manera de actualizarlo es corriendo el comando,

# update-flashplugin-nonfree --install

lo que descarga el plug-in compilado actual y lo instala en el sistema.

La actual versión de FlashPlayer sin vulnerabilidades conocidas es 11.2.202.438.

Adaptador WiFi USB 2.0 Realtek 8811AU

El adaptador USB 2.0 Realtek 8811AU 802.11 a/b/g/n/ac es de banda dual 2.4/5 GHz con velocidad máxima de 433 Mbps. El dispositivo de puede descargar de Edimax y soporta el chipset rtl8811au.

El dispositivo se instala en Wheezy con,

# tar -zxvf EW-7822UAC_linux_v4.2.2_7502.20130517.tar.gz
# cd rtl8812AU_8821AU_linux_v4.2.2_7502.20130517/
# make

Mueve el módulo del núcleo a

# mv 8812au.ko /lib/modules/`uname -r`/kernel/drivers/net/wireless

luego

# depmod -a
# modprobe 8812au

Paquetes Debian necesarios para compilar:

# apt-get install linux-headers-`uname -r` make

No es claro que el dispositivo soporte banda dual.

Sorporte de seguridad para "squeeze" extendido hasta febrero 2016

Fue anunciado que el soporte regular de "squeeze" termina el 31 de mayo. Sin embargo, fue decidido que el soporte de seguridad se extenderá hasta febrero de 2016. Esta decisión fue adoptada después que muchas partes expresaran la necesidad de mantener el soporte de seguridad por más tiempo.

"squeeze-lts" (LTS viene de Long Term Support) mantendrá soporte solo para las arquitecturas i386 y amd64. Quien desee soporte de seguridad en otras arquitecturas deberá actualizar a "wheezy".

Esta es la primera vez que Debian extiende el soporte tipo LTS y no será mantenida por el equipo de seguridad sino por un grupo de voluntarios y compañías. Empresas interesadas en contribuir al soporte LTS son invitadas a contactarse con el equipo de seguridad.

Congelamiento de Jessie

Fue anunciado que Jessie será congelada 23:59 UTC el día 5 de noviembre 2014.

Actualización de Iceweasel

Fueron descubiertos varios problemas de seguridad en Iceweasel (la versión de Debian de Firefox). Debido a esto, Iceweasel fue actualizado de la versión 10 a la versión 17 en Wheezy el día domingo 2 de junio. Debian anuncia que de aquí en adelante las actualizaciones de Iceweasel, Icedove y Iceape en la versión estable serán basadas en la versión con soporte extendido (Firefox ESR) [1] en vez de propagar las actualizaciones de seguridad a través de los backports, como ha sido la modalidad hasta la fecha. Cuando la versión actual ESR (17) caduque se cambiará a la próxima versión. Esta modalidad es muy diferente a la práctica general de actualización de Debian estable. Básicamente se integra la versión estable con el backports, pero solo en el caso de Iceweasel, Icedove y Iceape.

[1] http://www.mozilla.org/en-US/firefox/organizations/