Fedora 21: Postinstall

Un par de días con la leve ansiedad de tener instalado las mejorías casi inperceptibles de Fedora 21. Un poco de tiempo libre en el trabajo basta para respaldar la info que resultó de dos meses de trabajo y proceder a instalar Fedora. Esta vez dándole una oportunidad a KDE, luego de haber leído por ahí que resulta ser Fedora una de las tres distros más rápidas con KDE, luego de Chakra Linux. Y efectivamente así parece ser.

El clásico update antes que nada.

$ sudo yum update

Uups… la costumbre después de estar utilizando derivados de Debian. No sabía que sudo ya venía configurado en Fedora 21… Pero bueno.

$ su -
# yum install yum-plugin-fastestmirror
# yum update

# yum remove calligra*

Quise darle un intento a Calligra, pero hay cosas que no andan bien para quien ya se volvió un usuario frecuente de las suites de office.

# yum install libreoffice

Y por supuesto, usuario de impresoras.

# yum install hpijs hplip cups
# hp-setup -i

# yum install firefox thunderbird

Luego de un reinicio, constatamos que todo anda bien y proseguí…

$ su -c 'yum localinstall --nogpgcheck http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm http://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm'

yum update

Luego de eso yum me pregunta que si deseo proseguir con la instalación de paquetes complementarios como códecs de audio/video que se encuentran en rpmfusion… yes.

# yum install firefox thunderbird

Ahora solo resta configurar el proxy en Firefox, el correo institucional y su respectivo chat.

Voilà!

Metiéndole seguridad a OpenSSH

Mi preferencia por descargar vía torrent y una que otra vulnerabilidad “social” de mi proveedor de Internet han hecho de un tiempo acá bastante común los intentos desde fuera por acceder a mi terminal. ¿Quiénes? ¿Cuándo? ¿Cómo? No importa, lo importante es que aprendamos a no creernos invulnerables e intocables sólo porque usamos GNU/Linux.

OpenSSH (o Secure Shell) se ha convertido en el estándar en acceso remoto, reemplazando así, a telnet como protocolo, esto porque la conexión es cifrada y las contraseñas no son enviadas en texto plano para que todo mundo las vea.

De cualquier manera, la configuración por defecto de SSH no es perfecta, y cuando se corre un servidor SSH existen algunos pasos sencillos que pueden darle robustez a la configuración. Créeme que sí.

Usa contraseñas/nombres de usuarios más fuertes

Una de las primeras cosas a notarse es que si tenés SSH corriendo y expuesto al mundo exterior lo más probable es que recibas registros de intentos por parte de lamers y hackers de adivinar tu usuario o contraseña. Típicamente un hacker hará un scan para el puerto 22 (el puerto por defecto en el que SSH “escucha”) queriendo encontrar máquinas con SSH corriendo, y luego intentará un ataque de fuerza bruta contra esto. Con fuertes contraseñas en su lugar es posible que cualquier ataque sea registrado y puesto en advertencia antes de que cualquiera logre un ingreso exitoso.

Por suerte ya usás contraseñas fuertes, pero si no, entonces prueba a escoger contraseñas que contengan:

  • Mínimo de 8 caracteres
  • Mezcla de minúsculas y mayúsculas
  • Mezclas de letras y números
  • Caracteres no alfanuméricos (p.e. caracteres tales como ! ” £ $ % ^, etc)

Si absolutamente no se puede prevenir a los usuarios de escoger contraseñas débiles, entonces considera generarlas de manera aleatoria o nombres de usuario difíciles de adivinar para tus cuentas de usuario. Si los chicos malos no pueden adivinar el usuario es más difícil que logren la contraseña por fuerza bruta. Sin embargo, esto es seguridad a travéz de oscuridad, y es mejor tener en cuenta que la información se puede escapar en el envío de correos electrónicos, por ejemplo.

Desactiva Ingresos de Root

Los ajustes del servidor SSH están alojados en /etc/ssh/sshd_config. Para desactivar los ingresos de root asegúrate de corregir la siguiente entrada:

# Prevent root logins:

PermitRootLogin no

y reinicia el servicio sshd:

service sshd restart

Si necesitas ingresos de root es preferible ingresar como usuario normal y luego usar su.

Limita los ingresos de usuarios

Los ingresos de SSH pueden ser limitados a ciertos usuarios que necesitan acceso remoto. Si tu máquina tiene muchas cuentas de usuarios en el sistema, entonces es preferible limitar el acceso remoto a las cuentas de usuarios que realmente lo necesitan, limitando de esta forma el impacto de un casual usuario que tenga una contraseña débil. Agrega usuarios separados por espacio en /etc/ssh/sshd_config. Por ejemplo:

AllowUsers alice bob

y reinicia el servicio sshd.

Desactiva el Protocol 1

SSH tiene dos protocolos que puede usar, protocolo 1 y protocolo 2. El más antiguo es el protocolo 1, es menos seguro y debería ser desactivado, a menos que específicamente lo requieras. Corrige como a continuación en el archivo /etc/ssh/sshd_config:

# Protocol 2,1
Protocol 2

y reinicia el servicio sshd.

Usa puertos no estándar

Por defecto SSH “escucha” conexiones entrantes en el puerto 22. Como ya habíamos dicho, para que el hacker determine si SSH corre en tu máquina, este intentará un scan en el puerto citado. Un método efectivo es correr SSH en un puerto no estándar. Cualquier puerto sin usarse servirá, aunque uno por encima del 1024 es preferible. Mucha gente escoge el 2222 como alternativa, a como normalmente se escoge el 8080 para el puerto HTTP. Por esta razón es probable que no sea la mejor respuesta, ya que cualquier hacker estaría haciendo scan al 2222 como buena medida. Es mejor escoger algún puerto aleatoriamentem, que sea alto y que no esté siendo usado por servicios conocidos. Para hacer el cambio, agrega la linea siguiente a tu archivo en /etc/ssh/sshd_config:

# Run ssh on a non-standard port:
Port 2345  #Change me

y reinicia el servicio sshd. No olvides de hacer cualquier cambio necesario en tu enrutador y cualquier regla en el firewall.

Para mayores detalles acerca de SELinux y las reglas del firewall, visita la página que me fue de utilidad.

Compartir conexión desde Fedora

Recientemente cambié de proveedor del servicio de Internet. La conexión decente en Nicaragua es un mito. Conozco alguna gente que tiene algún negocio y usan hasta dos o tres proveedores a la vez para poder resolver sus necesidades satisfactoriamente. Bueno, dejemos el ranting por ahora.

Sucede que tengo ahora un módem USB para conectarme a Internet, y pues por el momento hace un trabajo decente. He estado necesitando la conexión WiFi por diversas razones y no había tenido tiempo para sentarme y resolver eso compartiendo una conexión desde mi computadora de escritorio. Pensaba yo que necesitaba algo de guía para eso, pero no, las guías que seguí para compartir conexión fueron un completo fracaso, además de ser viejas y caducas maneras de compartir una conexión con GNU/Linux.

Así que, luego de descartar eso, simplemente borré las conexiones que había creado con NetworkManager. Conecté el cable de red de mi enrutador al puerto ethernet de mi computadora y esperé que Fedora hiciera el resto del trabajo de manera automática. Tampoco funcionó. Pero, un momento…

Me fui a la Terminal y abrí de nuevo:

$ nm-connection-editor

uno

Edité la configuración que automáticamente se había creado, esto en la pestaña de configuración general, quité el check en donde dice “conecta automáticamente cuando esté disponible”, y luego en la pestaña de los ajustes de IPv4, en el método de conexión que dice “compartido con otras computadoras”.

dos

tres

Guardé y listo. Fedora se encargó previamente de asignar un IP a esa conexión; asimismo, mi enrutador recibió esa conexión y la puso disponible en sus puertos. Resuelto el problema de falta de WiFi.

Obviamente la conexión que transmite mi enrutador sólo está disponible cuando la computadora de escritorio esté en funcionamiento.

TeXlive en Fedora 18

De un release a otro muchas cosas cambian. No deja de suceder con \TeXLive en Fedora 18, y en mi intento por habilitar un entorno mínimo de \TeXLive, me doy cuenta que mi método de instalación anterior no funciona o no me proporciona lo que necesito. Así que buscando una solución a esto (al parecer \TeXLive ahora cuenta con su “propia” nomenclatura de paquetes en Fedora 18), logré encontrar una. Como de costumbre, sin más explicación, en F18, instalamos \TeXLive así:

# yum install texstudio texlive-collection-latex texlive-collection-latexextra texlive-collection-science texlive-collection-latexrecommended texlive-collection-genericextra texlive-collection-genericrecommended texlive-collection-fontsrecommended tex-pst-optexp texlive-epstopdf-bin

Nótese que el primer paquete es texstudio, que es el editor que yo uso. Podés instalar en su defecto, kile o texmaker.

Fedora 18

Siempre es grato descargar una nueva versión de Fedora y seguir manteniendo una buena impresión de esta distribución GNU/Linux que para nadie es secreto sigue siendo mi preferida a través del tiempo. Porque no lo niego, he usado otras distros en diferentes momentos, pero ninguna me brinda la experiencia que Fedora.

Ojalá tuviera el tiempo y la disposición para seguir contribuyendo como lo hacía antes a este proyecto. Me perdí hoy la fiesta de lanzamiento local que normalmente se hace con el esfuerzo de quienes son parte de Fedora Nicaragua, eso por cosas del trabajo. Y es que siempre me he sentido cómodo en esta comunidad porque hasta hoy mantiene, si no sus contribuidores, gente que la usa, la disfruta, la difunde, y como yo, dispuesta a aportar cuando nos es posible.

Impaciente esperé dos días para poder instalarla durante la descarga via torrent. No supe en el momento qué sucedía con la .ISO, pero logré copiarla a la USB con dd, luego de que intentara dos veces, dos veces en una USB de 4GB (sin atreverme a fijarme en el tamaño) y sin darme cuenta que nunca iba a caber. Al fin la puse en una USB de 8GB y voilà… después del chequeo de integridad empezó a darme las opciones de instalación. Como de costumbre, mantengo mi /home, particiones sin LVM, /root aparte. Instalado exitosamente.

Luego de pelear con uno de los repos de RPMfusión (problema de las llaves GPG) terminé de instalar lo básico y me dispuse a dar seed de la .ISO… Fedora sigue siendo Fedora.

———-

It’s always grateful to download a brand new version of Fedora and keep besides a good impression from this GNU/Linux distro, which is no secret it’s my preferred all through the time. I can’t deny, I have used other distros in different moments, but no other gives me the experience Fedora does.

I wished I had the time and availability to keep contributing as I used to do before to this project. I missed today the local release party that it’s usually celebrated with the effort of whom are part of Fedora Nicaragua; that happened because of my job. For I have always felt comfortable being part of this community, because so far it keeps, if not its contributors, people who uses it, enjoys it, and spreads it, and as I do, people wanting to bring to the project when it is possible.

Impatient I waited to install it during it was downloading via torrent. I didn’t know by the time what was going on with my ISO file, but I got to copy it with dd to a USB memory, after two tries, two tries to a 4GB USB memory (without noticing in the size of the ISO) and with no notice it was not going to fit there. At last I put it in a 8GB USB memory and voilà… after checking integrity it started to ask options to install. As usual, I kept my /home, no LVM partitions, /root apart. Successfully installed.

After a fighting a while with a certain RPMfusion’s repo (GPG keys issue,) I got to install basics and started to seed what I just downloaded. Fedora keeps being Fedora.

logbook

Español:

Nunca pensé que iría tan lejos con Fedora GNU/Linux. Estoy celebrando en estos días como usuario de Linux/fedora. Cinco años ya. Cinco años de Independencia y Libertad. Creo que fue Fedora 7 (Moonshine) mi primera instalación estable de Linux… (intenté con Ubuntu y Xubuntu antes, sin suerte). Y, por supuesto, fue con Gnome de escritorio. Recuerdo haber buscado documentación en la red (la que venía en la instalación no ayudó mucho), y recuerdo los sudos y yums que otros usuarios de Fedora me recomendaban tipear en la famosa Terminal. Estaba completamente despistado, hasta que empecé a leer documentación para montar mis particiones en NTFS y poder escuchar mis mp3s.

Encontré al grupo local de usuarios Linux y dos años después estaba contribuyendo en el grupo de Traducciones de Fedora Project, traduciendo del Inglés al Español, aunque siempre he usado Fedora en Inglés.

De Fedora 6/7 a Fedora 15 (Lovelock) he aprendido muchas cosas, mis capacidades técnicas han incrementado, GNU/Linux ha evolucionado mucho, y me siento realmente agradecido de haberme topado con este pedazo de software que realmente ha cambiado la manera en que miraba este mundo. Y claro, mi hijo tiene que ver mucho con eso también.

Creo que la parte más importante de todo esto es lo que ya mencioné arriba, el cambio que GNU/Linux introdujo en mi vida y la manera en que aprendí a ver este mundo.

English:

I never thought I would go so far with Fedora GNU/Linux. I’m on celebration these days as a fedorian/linux user. Five years now. Five yeas of independence and freedom. Guess it was Fedora 7 (Moonshine) my first stable installation of Linux… (I tried Ubuntu and Xubuntu before, with no luck). And of course, it was with Gnome as desktop. I remember looking for documentation  on the net (the one built-in didn’t help that much), and remember the sudos and yums other Fedora users advised me to type in the famous Terminal. I was completely out of idea, until I started reading documentation for mounting my NTFS partitions, for being able to listen to my mp3s.

I met the local users group, and two years later, I was contributing to Fedora Project in the Translation project, translating from English to Spanish, though I have always used Fedora in English.

From Fedora 6/7 to 15 (Lovelock) I have learned a lot of things, my technical skills have increased, GNU/Linux has evolved quite a lot, and I feel really grateful having met this pedazo de software that really has changed the way I used to see this world. And, of course, my son has a lot to do with this, too.

Guess the most important part of all this is that I already mentioned above, the change GNU/Linux introduced in my life and the way I learned to see this world.

FLISOL 2010 Managua

After some inconveniences that appeared in my way that morning (and previous night, also), I got to take a bus to attend FLISOL at American College, hoping not arriving late. Most people from staff where already there getting to work and preparing the whole place. We started on time at 9 o’clock with the Installation Area, Registration, Conferences and Talks, and our friends from Frets On Fire Nica, who arranged a demonstration area.

I was in Installation area, representing Fedora Nicaragua amongst friends from local Grupo de Usuarios GNU/Linux. Guillermo Morales and Walter Vargas were giving us a hand again, and we got to install 4 machines with Fedora 12, from a total of 14 machines with GNU/Linux installed. A total of 95 people attended this event according to Registration data, but not all of them were registered, so I guess around 200 people visited us in the whole day.

Here some more pictures, thanks to leogg and peperoni.

Software Freedom Day… Here we go.