Siempre recomiendo entender y comprender nuestro sistema, es la única forma de comenzar a vivir de cerca una perspectiva de seguridad y los métodos para mitigar los posibles problemas que surgen a diario, por eso GNU/Linux es el sistema operativo que a través de su documentación y su comunidad me facilita esa información para aprender.

Volviendo al archivo comencemos a ver su anatomía general y el primer paso es saber sobre sus permisos, dueño y grupo al cuál pertenece

El dueño del archivo es root y pertenece al grupo llamado “shadow” y viendo en profundidad los permisos donde el usuario root puede leer y escribir el archivo y solo puede leer el archivo los usuarios que pertenecen al grupo “shadow”. Cualquier otro usuario que quiera hacer algo no va a contar con los privilegios necesarios para hacerlo

Por ejemplo, con mi usuario “dmaldonado” que no pertenece al grupo “shadow” intento hacer un volcado del contenido del archivo con cat de la siguiente forma:

y como pueden apreciar su respuesta es Permiso denegado.

A todo esto queda entender un punto de muchos, Si yo como usuario sin privilegios no tengo la posibilidad de leer y escribir el archivo, ¿Como es que puedo cambiar mi contraseña? De ese tema nos vamos a encargar más adelante, pero es bueno comenzar a indagar sobre estas cuestiones y curiosidades.

Ahora veamos de adentro el archivo /etc/shadow que al igual que el archivo /etc/passwd los campos se encuentran separados por “:”

El primer campo indica NOMBRE DE USUARIO: es el nombre que identifica al usuario dentro del sistema, debe contener entre 1 y 32 caracteres, compartido entre ambos archivos.

El siguiente campo es la CONTRASEÑA: en esta oportunidad se encuentra encriptada, osea con una secuencia entre 13 y 24 caracteres (a-z, A-Z, 0-9, \ /) dependiendo del algoritmo de encriptación, aquí abrimos un paréntesis para explicar los diferentes algoritmos que pueden encontrar.

Si la cadena comienza con $1$ utiliza el método MD5 para encriptar la contraseña de 22 caracteres.
Si la cadena comienza con $2a$ utiliza el algoritmo Blowfish.
Ahora bien si esta cadena comienza con $5$ utiliza el algoritmo SHA-256 de 43 caracteres.
Y por último si esta cadena comienza con $6$ se encuentra utilizando SHA-512 de 86 caracteres.

Siguiendo con los campos del archivo encontramos ÚLTIMO CAMBIO: este valor identifica la cantidad de días que pasó desde la última vez que la contraseña fue modificada, contado desde el 1 de Enero de 1970.

El siguiente campo se lo conoce como MÍNIMO y especifican los días que deben pasar como mínimo para que el usuario pueda cambiar la contraseña.

En contraposición encontramos el campo MÁXIMO que especifica los días que la contraseña es válida.

El siguiente campo en el archivo se lo conoce como AVISO y su valor indica los días en las que el usuario será avisado o notificado que debe cambiar su contraseña antes que ésta caduque.

Por otro lado encontramos el campo EXPIRACIÓN que indica los días en que se desactiva la cuenta tras expirar la clave.

El penúltimo campo se lo conoce como CADUCIDAD y su valor indica los días a los que se deshabilita la cuenta contando desde el 1 de Enero de 1970

Y por último el siguiente campo se encuentra reservado para realizar otras pruebas, pero que hasta el día de hoy no se lo utiliza.

Bueno de esta forma pudimos ver de cerca la anatomía simple que tiene el archivo /etc/shadow y lo importante que es conocerlo a la hora de modificar algún valor, expirar cuentas, o simplemente seguir una política de contraseña seguras.

Lo primero que les propongo hacer es observar los permisos de éste archivo, y eso lo podemos hacer de la siguiente manera:

Donde el usuario dueño del archivo y el grupo es root, y solo él tiene los permisos necesarios para escribirlo, los demás usuarios y grupos solo podemos ver su contenido.

Y de hecho si tenemos la posibilidad sería interesante poder verlo.

A simple vista podemos ver datos separados por “:” con lo cuál cada separación corresponde a un campo de información y se estructura de la siguiente forma.

En el primer campo encontramos el NOMBRE DE USUARIO: es el nombre que identifica al usurio dentro del sistema, debe contener entre 1 y 32 caracteres.

El siguiente es el campo de la CONTRASEÑA: seguramente notaron que hay una “x” en todas las líneas, eso indica que la contraseña se encuentra encriptada en el archivo /etc/shadow

Si continuamos recorriendo la información, ahora nos encontramos con el ID DEL USUARIO o UID: acá es importante tener presente tres cosas, el uid 0 se encuentra reservado para el usuarios root, del 1 hasta el 999 son cuentas de servicios y predefinidas por el sistema y a partir del 1000 son las cuentas de usuarios que vamos a ir creando.

Así como tenemos el UID, el siguiente campo indica el ID DEL GRUPO o GID: este valor indica el gid principal del grupo al cuál corresponde, existe mucha más información en el archivo /etc/groups

Ahora podemos ver que sigue la INFORMACIÓN DEL USUARIO

Ya estamos llegando al fina y podemos visualizar el DIRECTORIO PERSONAL de cada uno de los usuarios, aquí se debe indicar el PATH absoluto de su directorio.

Y como último campo encontramos el SHELL asignado para poder trabajar, podríamos asignarle o no asignarles shell a los usuarios utilizando /etc/false o /etc/nologin

Si tenemos la posibilidad de acceder como el usuario root dentro de nuestro sistema tenemos los permisos necesarios para editar el archivo y modificarlo con cualquier editor, con lo cuál no es una practica recomendada. Para esa tarea contamos con otros comandos como usermod, chsh y passwd que más adelante vamos a ir revisando.

Me gustaría repasar junto a ustedes cuáles son los nuevos detalles que Kubuntu 11.10 nos trae para todos.

Lo primero y fundamental es la actualización de muchas de sus aplicaciones, entre ellas la última versión estable de KDE 4.7.1, que incorpora un nuevos íconos y wallpaper para el thema Oxigen, mejoras en los widget, mejora en cuanto a detalles visuales, etc.

Hay una sorpresa para todos los usuarios que utilizan Kontact para la organización personal y cotidiana, ahora incorpora una nueva actualización Kontact 4.7 que incluye Kmail 2 y mejoras en Akonadi como su gestor de almacenamiento.

Infaltable la última versión de Amarok 2.4.3 para escuchar buena música de la mano de un buen reproductor.

Hasta aquí simple actualización de herramientas que ya conocemos y utilizamos a diario. Pero Kubuntu 11.10 claro que trae nuevas aplicaciones como es Muon Suite 1.2, que no es nada más y nada menos que un nuevo gestor de actualización, que nos da la posibilidad de instalación y actualización de paquetes .deb y todo el software que incorpora nuestra distribución.

Por otro lado incorpora Low-Fat Setting que es una colección de opciones de configuración que reduce el uso de memoria e incluso acelera el tiempo de carga de KDE

Definitivamente es el momento de comenzar a probarlo, esta nueva actualización de Ubuntu promete suma más usuarios y reducir la cantidad de problemas de incompatibilidad con nuestros dispositivos.

Si estás interesado en aprender todas las bondades y beneficios de este magnífico Sistema Operativo entonces acercate hasta las oficinas de ANTS ubicados en la calle Salta Nº 811 San Salvador de Jujuy – Argentina.

No se necesita conocimientos previos para hacer el cursado, la tutoría va a estar a mi cargo donde le voy a transmitir toda la experiencia lograda a través de estos últimos años y el espíritu esencial del Software Libre.

Además vas a contar con clases personalizadas, material incluido, servidor propio, manuales y DVD de Debian para instalar.

No se olviden, están todos invitados a cursar esta Carrera GNU/Linux para ampliar todos sus conocimientos, última semana de inscripción con cupos limitados. Las clases comienzan el próximo Lunes 15 de Agosto.

En el área de descarga de PenTBox ustedes se puede fijar que además de estar bien separado las versiones a descargar que van desde la 1.0 Beta hasta la 1.5 y por sistema operativo a ejecutar cada archivo se encuentra acompañado de una leyenda que dice MD5 y 32 dígitos hexadecimales .

Está muy bueno que Alberto Ortega como desarrollador se halla percatado de hacer este trabajo para cada uno de los archivos que nos vamos a descargar, entonces la idea de hoy es ver para qué realmente nos puede ser útil tener esta información y comprobar de alguna manera que lo que descargamos no haya sufrido ninguna alteración.

Para comenzar y repasar un poco la Wikipedia nos comenta que en criptografía, MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado.

Además nos dice que para cada archivo existe su correspondiente hash de salida. Con lo cuál es perfecto para comprobar como les comentaba anteriormente que el archivo que nos descargamos no haya sufrido ninguna alteración, como agregar puertas traseras, bug, gusanos, bombas fork, etc.

La idea es muy simple y una vez que tengamos descargado el archivo así como está, en mi caso descargue la versión 1.5 para plataforma GNU/Linux, utilizaremos una aplicación llamada md5sum para realizar la comprobación del archivo.

Vamos hasta una consola de comandos y ejecutamos

Con ese código podemos verificarlo en el sitio y podemos notar que es exactamente el mismo, y ahora podemos sacar una conclusión, “lo que me descargue no ha sufrido ninguna alteración”

Con esto les quiero decir que está bueno adoptar este tipo de buenas prácticas antes de instalar una aplicación, ver una imagen, editar un documento, etc. Vivimos en un mundo donde todo lo conseguimos con 2 click pero lamentablemente no todo está libre de errores y malas intenciones.

Hace ya un tiempo me descargué una colección completa de videos musicales infantiles para mi hija que por cierto le encanta bailar con su música y el mismo se encontraba en un archivo .iso listo para ser grabada en un CD/DVD o directamente montarla en algún directorio y luego reproducirla.

Ya por estas altura podemos encontrar un sin fin de aplicaciones tanto gráficas como para la terminal que nos facilita el montado y desmontado de unidades, para mi y esto es una opinión personal prefiero siempre utilizar la consola de comandos, es allí en donde trabajo hace tiempo y me resulta mucho más cómodo y fácil implementarla.

Para montar sistemas de archivos les presento el comando mount. Es realmente muy práctico tener este comando a mano y saber utilizarlo siempre, para ello también vamos a necesitar conocer el PATH o la ubicación del archivo iso que queremos montar y por último algún directorio destino donde vamos a montar esta imágen. Por cuestiones de prolijidad y un poco de orden yo voy a utilizar el directorio /mnt

Les comento rápidamente dos parámetro del comando mount, con -t o –types podemos definir el sistema de archivo que vamos a montar, tiene soporte para los más populares filesystem para el ejemplo iso9660

El estándar ISO 9660 es una norma publicada inicialmente en 1986 por la ISO, que especifica el formato para el almacenaje de archivos en los soportes de tipo disco compacto. El estándar ISO 9660 define un sistema de archivos para CD-ROM. Su propósito es que tales medios sean legibles por diferentes sistemas operativos, de diferentes proveedores y en diferentes plataformas, por ejemplo, MS-DOS, Microsoft Windows, Mac OS y UNIX.

Por último el argumento -o u –options podemos definir varias opciones, para el ejemplo loop y con ello indicamos que es un dispositivo de bucle que se lee a si mismo.

Ahora para escuchar las risas de mi hija y comenzar a bailar

Y cuando todo terminó y nos preparamos para ver otros videos, ya estamos en condiciones de desmontar esa unidad para utilizarla más adelante, nuevamente de una manera más que fácil.

¿Cuáles son los grandes cambios? Linus asegura que nada, absolutamente nada más que lo que ya estamos acostumbrado en las versiones anteriores, soporte para nuevo hardware, luego de 20 años de desarrollo de Linux su próxima versión será de “3.0” con el nombre de Sneaky Weasel.

Por último desde Github, el repositorio donde se encuentra el código fuente del núcleo, ya es posible acceder a los primeros commit de la nueva rama Linux 3.0-rc1

Enlace | Linus Torvalds

Al principio me llamó la atención que al conectarla a mu notebook no la haya reconocido instantáneamente, por lo cuál comencé a buscar alguna solución para conectarla, configurarla y obviamente comenzar a hacer uso de ella.

Resulta que HP desde hace tiempo se encuentra trabajando con Software Libre y encontré que mi All-in-One tenía soporte oficial de HP gracias a una herramienta llamada HPLIP, s bien HP comenta que es provable que la distribución que estamos utilizando ya se encuentre con la herramienta HPLIP, es bueno descargarla y actualizar la versión con mejor soporte.

Ahora lo único que nos queda es buscar la distribución y la versión que estemos utilizando en GNU/Linux, en mi caso Ubuntu 10.10, y descargarnos la aplicación hplip-3.11.3a.run.

Por último nos queda ejecutar hplip-3.11.3a.run como root para que descarga una serie de dependencias y software, luego un asistente de impresora nos va a guiar para finalizar la instalación.

Así de simple resultó la instalación de mi nueva HP Deskjet 3050 en GNU/Linux, nuevamente un gran problema con una pequeña pero efectiva solución.

Enlace | HPLIP

Este es uno de los proyecto que estoy siguiendo desde hace un tiempo, que si bien no escribí nada en el blog por que por el momento continúo haciendo algunas pruebas e instalaciones.

Es muy probable que mucho de ustedes ya conozcan este proyecto que a lo largo de estos últimos años ha crecido un montón.

eyeOS es un escritorio virtual multiplataforma, libre y gratuito, basado sobre el estilo del escritorio de un sistema operativo. El paquete básico de aplicaciones que vienen por defecto, incluye toda la estructura de un sistema operativo y algunas aplicaciones de tipo suite ofimática como un procesador de textos, un calendario, un gestor de archivos, un mensajero, un navegador, una calculadora y más. El paquete entero está autorizado bajo la licencia libre AGPL. Existe un sitio paralelo que proporciona aplicaciones externas para eyeOS, llamadas eyeApps.

Para las personas que realmente les llama mucho la atención este tipo de aplicación como a mí, les comento que ya se encuentra la versión eyeOS 2.4 “Japan” disponible para comenzar a utilizalo.

Antes de dar de baja pasivamente a varias cuentas de usuarios y eliminarlos del sistema, voy a pasar a desactivarlos y esperar a que estos usuarios me llamen y confirmen que realmente están usando su cuenta.

Todo esto después de un proceso de avisos, reavisos y plazos para confirmar la utilización de sus cuentas de usuario.

Para desactivar las cuentas de usuarios podemos utilizar el comando passwd, el mismo que utilizamos para setear contraseñas, bueno pero ahora desactivando y reanudando el uso de cuentas.

Para eso simplemente debemos ejecutar:

Con lo cuál esto desactiva la cuenta danyx, agregándole el signo “!” en el campo de password encriptado de /etc/shadow

Para reanudar la activación de la cuenta de usuario simplemente debemos ejecutar:

y el usuario danyx nuevamente esta activo para utilizar su cuenta eliminando el sign “!” de /etc/shadow

Realmente muy práctica esta forma de activar y desactivar cuentas antes de darle definitivamente la baja a los usuarios.