Ubuntu 9.04 is comming soon

Ubuntu 9.04 Jaunty ya se puede descargar, instalar o actualizar. Y ahora con nuevo “sabor” Ubuntu Netbook Remix, especialmente diseñada y adaptada para los netbooks como el Dell Mini 9. Yo lo llevo probando desde la Release Candidate 1 en mi Dell Mini 9 y va estupendamente. 25 segundos de tiempo total de arranque con cifrado de disco incluido.

Para actualizar, las magias habituales, desde el gestor gráfico de actualizaciones, vía

update-manager -c

O para ediciones servers sin gráficos,

sudo do-release-upgrade

A divertirse

Y nos olvidamos de los engorrosos pipes con gpg y guarrear nuestros anillos de claves del estilo
[code]gpg –keyserver subkeys.pgp.net –recv-keys 437D05B5
gpg –export –armor 437D05B5 | sudo apt-key add - [/code]

Actualizando a Ubuntu 8.10

Para los impacientes como un yo, la magia de las opciones en el gestor de actualciones,

sudo update-manager -c -d

A disfrutar de la nueva versión de Ubuntu.

Esto es justo lo que le pasa a mi servidor SSH, cuyos registros de acceso fallidos están rebosando de intentos:

[code]
Apr 23 02:20:52 teroknor sshd[31336]: Invalid user noah from 217.126.56.236
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
Apr 23 02:20:54 teroknor sshd[31336]: Failed password for invalid user noah from 217.126.56.236 port 17228 ssh2
Apr 23 02:20:56 teroknor sshd[31339]: Invalid user joseph from 217.126.56.236
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
[/code]

Una solución muy fácil de instalar en el equipo es un sistema de prevención de intrusión o HIPS basado en analizar periódicamente los registros de acceso con dos programas: denyhosts y fail2ban.

Estos dos programas buscan registros de fallos reiterativos de acceso y en caso de detectar demasiados errores de accesos desde una misma IP, automáticamente la bloquean.

Para sistemas con apt y sus poderes de supervaca, coro es el caso de mi Ubuntu 8.04, bastará con conjurarla con un:

[code]
sudo apt-get install denyhosts fail2ban
[/code]

Los instaladores traen una configuración por defecto que funciona sin problema con el servicio open-SSH que trae Ubuntu.

Fail2ban

En el caso de fail2ban se pueden añadir patrones de búsqueda personalizados para cada registro de actividad gracias a su configuración basada en los ficheros de filtros que se encuentran en /etc/fail2ban/filter.d/. Las acciones de bloqueo temporal de los atacantes se basan en insertar reglas en las iptables, el cortafuegos nativo de los sistemas linux.

Para verificar el correcto funcionamiento de las reglas se puede ejecutar el comando fail2ban-regex:

[code]fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf[/code]

Su ejecución devolverá algo parecido a lo siguiente:

[code]Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log

Results
=======

Failregex
|- Regular expressions:
| [1] (?:error: PAM: )?Authentication failure for .* from \s*$
| [2] Failed [-/\w]+ for .* from (?: port \d*)?(?: ssh\d*)?\s*$
| [3] ROOT LOGIN REFUSED.* FROM \s*$
| [4] [iI](?:llegal|nvalid) user .* from \s*$
| [5] User .+ from not allowed because not listed in AllowUsers\s*$
| [6] User .+ from not allowed because none of user's groups are listed in AllowGroups\s*$
|
`- Number of matches:
[1] 0 match(es)
[2] 1338 match(es)
[3] 0 match(es)
[4] 932 match(es)
[5] 0 match(es)
[6] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
[2]
60.28.167.66 (Mon Apr 21 16:04:29 2008)
200.41.1.220 (Mon Apr 21 20:24:09 2008)
200.41.1.220 (Mon Apr 21 20:24:17 2008)
[...]
217.126.56.236 (Wed Apr 23 02:21:24 2008)
217.126.56.236 (Wed Apr 23 02:21:27 2008)
217.126.56.236 (Wed Apr 23 02:21:31 2008)
217.126.56.236 (Wed Apr 23 02:21:34 2008)
[5]
[6]

Date template hits:
2270 hit(s): Month Day Hour:Minute:Second
0 hit(s): Weekday Month Day Hour:Minute:Second Year
0 hit(s): Weekday Month Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-Month-Year Hour:Minute:Second[.Millisecond]
0 hit(s): TAI64N
0 hit(s): Epoch

Success, the total number of match is 2270
[/code]

Cuando se está ejecutando en segundo plano podemos ver el registro de actividad que va dejando en /var/log/fail2ban.log. Por defecto las reglas de rechazo de una determinada duran diez minutos, tiempo más que suficiente para que los molestos zombies desistan.

Más información en su sitio web oficial.

DenyHosts

DenyHosts es un HIPS exclusivo para SSH y se basa por un lado en el análisis de los registros de acceso del servidor SSH y por otro de listas de IPs conocidas que se descargan y sincronizan desde el servidor principal de DenyHosts. Cuenta con más de 27000 sincronizaciones y es un bastante eficiente para protegerse de máquinas que ya se conocen como atacantes, frente a fail2ban, que realiza únicamente análisis de los registros.

El funcionamiento de DenyHosts se basa en ir añadiendo o eliminando direcciones IP al fichero /etc/hosts.deny que luego el servicio de SSH tiene en cuenta a la hora de rechazar intentos de conexión.

La configuración por defecto del paquete de las distribuciones de Debian/Ubuntu dejan en el fichero /etc/denyhosts.conf la configuración de este demonio. Si queremos que se sincronice con el servidor de DenyHosts de forma periódica, es necesario descomentar una línea del fichero de configuración por defecto, SYNC_SERVER=… y si además queremos que cada vez que actúe se registre en los registros del sistema, deberemos poner SYSLOG_REPORT a Yes.

[code]SYSLOG_REPORT=YES
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911[/code]

Si observamos los registros de actividad del sistema, veremos cosas como esta:

[code]theefrit@teroknor:~$ cat /var/log/syslog | grep deny
May 1 14:21:56 teroknor denyhosts: Added the following hosts to /etc/hosts.deny - 203.212.65.20 (unknown)[/code]

En el fichero de registro de actividad específico de DenyHosts, /var/log/denyhosts, podemos ver con detalle toda su actividad de sincronización remota.

Más información en la página del programa.

Entrando en detalle, si intentamos un

sudo vmware-config.pl

Vamos a ver a la hora de compilar los módulos del núcleo algo como:

[code]None of the pre-built vmmon modules for VMware Server is suitable for your
running kernel. Do you want this program to try to build the vmmon module for
your system (you need to have a C compiler installed on your system)? [yes]
Using compiler "/usr/bin/gcc". Use environment variable CC to override.

What is the location of the directory of C header files that match your running
kernel? [/lib/modules/2.6.24-16-generic/build/include]

Extracting the sources of the vmmon module.

Building the vmmon module.

Using 2.6.x kernel build system.
make: se ingresa al directorio `/tmp/vmware-config0/vmmon-only'
make -C /lib/modules/2.6.24-16-generic/build/include/.. SUBDIRS=$PWD SRCROOT=$PWD/. modules
make[1]: se ingresa al directorio `/usr/src/linux-headers-2.6.24-16-generic'
CC [M] /tmp/vmware-config0/vmmon-only/linux/driver.o
In file included from /tmp/vmware-config0/vmmon-only/./include/vmware.h:25,
from /tmp/vmware-config0/vmmon-only/linux/driver.c:48:
/tmp/vmware-config0/vmmon-only/./include/vm_basic_types.h:159: error: redefinición de la definición de tipo ‘uintptr_t’
include/linux/types.h:40: error: la declaración previa de ‘uintptr_t’ estaba aquí
En el fichero incluído de /tmp/vmware-config0/vmmon-only/linux/driver.h:20,
de /tmp/vmware-config0/vmmon-only/linux/driver.c:49:
/tmp/vmware-config0/vmmon-only/./include/compat_wait.h:37:5: aviso: "VMW_HAVE_EPOLL" no está definido
/tmp/vmware-config0/vmmon-only/./include/compat_wait.h:43:5: aviso: "VMW_HAVE_EPOLL" no está definido
In file included from /tmp/vmware-config0/vmmon-only/linux/driver.h:20,
from /tmp/vmware-config0/vmmon-only/linux/driver.c:49:
/tmp/vmware-config0/vmmon-only/./include/compat_wait.h:60: error: tipos en conflicto para ‘poll_initwait’
include/linux/poll.h:65: error: la declaración previa de ‘poll_initwait’ estaba aquí
/tmp/vmware-config0/vmmon-only/linux/driver.c:147: aviso: inicialización desde un tipo de puntero incompatible
/tmp/vmware-config0/vmmon-only/linux/driver.c:151: aviso: inicialización desde un tipo de puntero incompatible
/tmp/vmware-config0/vmmon-only/linux/driver.c: En la función ‘LinuxDriver_Ioctl’:
/tmp/vmware-config0/vmmon-only/linux/driver.c:1659: error: ‘struct mm_struct’ no tiene un miembro llamado ‘dumpable’
make[2]: *** [/tmp/vmware-config0/vmmon-only/linux/driver.o] Error 1
make[1]: *** [_module_/tmp/vmware-config0/vmmon-only] Error 2
make[1]: se sale del directorio `/usr/src/linux-headers-2.6.24-16-generic'
make: *** [vmmon.ko] Error 2
make: se sale del directorio `/tmp/vmware-config0/vmmon-only'
Unable to build the vmmon module.

For more information on how to troubleshoot module-related problems, please
visit our Web site at "http://www.vmware.com/download/modules/modules.html" and
"http://www.vmware.com/support/reference/linux/prebuilt_modules_linux.html".

Execution aborted.[/code]

Para resolver el problema lo que hay que usar es la utilidad vmware-any-any-update.

[code]
cd /tmp
wget http://uruz.org/files/vmware-any-any-update-116.tgz
tar -xvzf vmware-any-any-update116.tgz
cd vmware-any-any-update116
sudo ./runme.pl[/code]

Una vez compilados todos los módulos y reiniciado el servidor de VMWare la cosa no ha terminado del todo. Si se ejecuta la consola del servidor mediante el comando vmware recibiremos por consola cosas como las siguientes:

[code]/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib32/libcairo.so.2)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib32/libstdc++.so.6)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib32/libcairo.so.2)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib32/libstdc++.so.6)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib32/libcairo.so.2)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib32/libstdc++.so.6)[/code]

Y la ejecución se parará. Es lo que tiene los binarios compilados a fuego. Lo mejor que se puede hacer es enlazar simbólicamente las libgcc del equipo en el directorio donde vmware espera encontrarlas (/usr/lib/vmware/lib/):

[code]sudo ln -sf /lib/libgcc_s.so.1 /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1
sudo ln -sf /usr/lib/libpng12.so.0 /usr/lib/vmware/lib/libpng12.so.0/libpng12.so.0[/code]

Una vez hechos estos enlaces simbólicos debería funcionar la consola del servidor VMware y podemos acceder a las máquinas virtuales que tengamos en el sistema.

En los núcleos de 64 bits con el paquete ia32-libs desactualizado puede además haber más problemas con las bibliotecas gráficas del gtk para 32 bits. Para resolver el problema falta hacer unos cuantos enlaces simbólicos a las bibliotecas de 32 bits que vmware echa en falta o bien actualizar el paquete a la 2.2ubuntu10, que es lo más recomendable. En launchpad informan de que ya no hace falta hacer lo siguiente:

[code]sudo ln -s /usr/lib32 /usr/l32
sudo sed -i -e 's/usr\/lib/usr\/l32/g' /usr/lib32/gtk-2.0/2.10.0/loader-files.d/libgtk2.0-0.loaders
sudo sed -i -e 's/usr\/lib/usr\/l32/g' /usr/lib32/libgdk_pixbuf-2.0.so.0.1200.9[/code]

Y efectivamente en el equipo recién actualizado a a 8.04 sin pasar por las versiones de prueba ni candidatas este último paso no hay que hacerlo.

Obtenido directamente desde los foros de Ubuntu.

Como siempre, cargado de novedades jugosas así como incontables mejoras que siguen estabilizando más y más la distribución. De un vistazo a las release notes de las versiones de prueba nos permiten comprobar que la esperada versión 7.3 del servidor gráfico Xorg, las “Xs”, ya están funcionando con configuración automágica junto con la versión 2.22 de Gnome.

Desde que lanzaran las primeras alphas me instalé una versión de escritorio de 64 bits en una máquina virtual basada en VMWare y he de decir que es impresionante el esfuerzo que siguen haciendo la gente de Canonical por hacer la vida más fácil a todos los que queremos alejarnos de los sistemas operativos propietarios. Las nuevas interfaces de configuración de privilegios y de “escalado” de privilegios para realizar operaciones administrativas son un ejemplo más.

Para mejorar la seguridad, Uncomplicated Firewall o ufw, cortafuegos preinstalado. Para los no iniciados en los cortafuegos yo personalmente prefiero firestarter, pero ya el hecho de traer instalado y activado un cortafuegos es de agradecer.

Una cosa que mencionan en las notas de la versión es el nuevo Evolution, que incorpora entre otras cosas, soporte nativo de Google Calendar. Otra maravilla, yo que uso basante este invento de Google. Viva el gran hermano googleniano. Si usas el anillo de claves de gnome para guardar contraseñas de la Wifi de casa o de los compartidos de Windows de la red y claves PGP/GPG, seahorse viene de serie e incorpora además la gestión de los anillos de gnome, eliminando la aplicación anterior. Ahora todos los anillos claves se gestionan desde un único sitio con seahorse.

Sobre el navegador, nos van a tener directamente en “beta” hasta que para junio saque la Mozilla Foundation la versión 3.0 de Firefox. No es la primera vez que pasa, con la actual rama, la 2.0 ya estuvimos así. Yo ya llevo usando los binarios de Firefox 3 beta desde la tercera versión, y ahora con la quinta versión de Firefox 3 beta estoy alucinando. El consumo de memoria bajo, responde rapidísimamente, más soporte en manejo de conexiones cifradas, soporte para SSL EV, etc. Lo malo es la pérdida de muchos plugins que uso habitualmente hasta que se actualicen a Firefox 3.

Jugando a Java en la máquina virtual, Ubuntu 8.04 instala sin problemas las versiones libres de la máquina virtual y hasta los plugins necesarios para Firefox para tener applets hasta en las versiones de 64 bits. Lo mismo ocurre con flash. Desde la 7.10 para 64 bits ya funciona bien el plugin de Adobe nativo para 32 bits para linux. Y todo se hace directamente cuando entras en una página que requiera flash o java para funcionar.

PulseAudio pasa a estar preinstalado en el sistema. Nuevo servidor de audio capaz de combinar sin sudar mucho distintas fuentes de distintas aplicaciones. A ver si ya nos evitamos los jaleos de “recursos ocupados” al intentar acceder a las tarjetas de sonido y sobre todo, desde mi punto de vista, si combinado con las últimas blueZ permiten hacer funcionar bien los cascos Bluetooth con perfiles a2dp de distribución de audio de alta calidad. Hasta ahora van de miedo, pero sólo una aplicación a la vez, y sólo si se les puede configurar el dispositivo de salida de ALSA a usar.

Para los impacientes como yo, ya saben, a invocar la magia:

sudo update-manager -d -c

Y para los que quieran esperar hasta mañana,

sudo update-manager -c

Si lo que queremos es actualizar de distribución una variante Server de Ubuntu, sin servidor gráfico y demás, tenemos la opción de la línea de comandos:

sudo apt-get install update-manager-core

sudo do-release-upgrade

Adoro Ubuntu. Fue la única distribución que se instaló bien en mi pequeño portátil hace ya dos años y dos meses y desde entonces ha ido pasando de dist-upgrade en dist-upgrade hasta llegar hoy a la 7.10, Gutsy Gibbon.

La distribución es sencillamente impresionante. He estado instalando de cero la Release Candidate que sacaron la semana pasada en máquinas virtuales para probarla y en algún portátil del trabajo y he de decir que si en la versión anterior, Feisty Fawn, ya apuntaban buenas maneras, la gente de Canonical ha hecho un excelente trabajo con esta versión que puede descargarse a partir de ya.

Para la actualización en los equipos con Feisty Fawn yo he optado por el gestor de actualizaciones directamente bajando paquetes de internet con el comando mágico

sudo update-manager -c

Si bien es cierto que lo he hecho añadiendo la opción -d para que se bajara la distribución “beta”, que ayer estaba más que cerrada y sólo espero actualizar algún que otro paquete en el día de hoy.

Para las nuevas instalaciones a partir del DVD de la Release Candidate, para darle más emoción a la cosa, yo recomiendo ejecutar el modo Live y si nos gusta, instalar Ubuntu en modo texto si tenemos algo de experiencia con el manejo de particiones. Si no nos apetece complicarnos la vida, la instalación gráfica va perfecta, e incluso se pueden activar los efectos de escritorio de compiz en modo live.

Retomando las opciones de la versión texto del instalador, me quedo con el particionador de disco, que permite montar de golpe el sistema en una partición cifrada y con gestor de volúmenes lógicos, idóneo para portátiles que viajan mucho y no queremos preocuparnos de que en caso de pérdida los datos del disco duro acaben en malas manos.

Como nota negativa, es una lástima que no les haya dado tiempo a integrar las X en su versión 7.3 y nos quedemos con las 7.2, pero su nuevo gestor de pantallas y configuración de la tarjeta gráfica trata de compensar no estar a la ultimísima versión. Esa tocará para abril del año que viene.

Los detalles y novedades más importantes, como siempre, en la wiki de Ubuntu. Merece la pena perder un rato mirando las cosas que trae… resulta agradable cómo se van integrando características y funciones que ya existían en distribuciones linux pero que no se activaban por defecto en las instalaciones comunes y te tocaba ir trasteando para activar cosas como el cifrado de discos, la búsqueda integrada de documentos o el impresionante entorno de compiz y sus plugins fusion.

Por último y como detalle curioso, con el nuevo gestor de impresoras de Gnome se tardó menos en configurar, conectarse e imprimir en una impresora conectada directamente a la red que en Windows Xp y con el software original del fabricante.

Get Ubuntu!

A estas horas la web de Ubuntu está muy lenta por la cantidad de gente que anda accediendo para descargarse esta distro. Sin embargo a estas horas todavía no han actualizado los enlaces de descarga y mantienen los de la anterior 6.06. Supongo que esta gente estará aún durmiendo. La decadente y corrupta Europa y la floreciente Asia parece que no pueden aguantar y andan que no pueden esperar mucho más.

Las novedades de Feisty Faw ya han sido muy comentadas por la red. De todas ellas yo me quedo con el gran esfuerzo por facilitar las cosas a los usuarios finales no expertos. Con la 7.04 tienen mucho más fácil cosas que en otras distros por tradición han sido talones de aquiles de Linux para que usuarios no expertos se acerquen a las familias Linux.

A destacar el soporte de drivers propietarios y de descarga automática de codecs multimedia. Yo personalmente tiro de mplayer o vlc. Totem no me termina de convencer, quizás porque me gusta tener muchas opciones a mano, pero es loable el esfuerzo realizado por tratar de enfocar la distribución a facilitar la vida del usuario final y no tener que andar bajando codecs ni packs. Básicamente esto se resolvía hasta la fecha tirando de apt o synaptic para instalar unos cuantos paquetes. Ahora es más fácil todavía.

Otra cosa estupenda es la inclusión del nuevo administrador de red. Yo era lo primero que hacía en las dos versiones anteriores, sobre todo en el portátil para gestionar mejor las redes inalámbricas y las redes privadas virtuales. Quitar el icono de la red e instalar el Gnome Network Manager.

Finalmente, otra de las cosas más comentadas es la introducción de una versión “preeliminar tecnológica” del escritorio 3D usando compiz y las “x” con el soporte de aceleración gráfica AIGLX. Nuevamente yo llevo jugando a beryl desde hace tiempo y puedo decir que no sólo son animaciones, las posibilidades de personalización de comandos y comportamientos hacer la vida realmente fácil y lo que es más importante: se integra en el escritorio y no hace falta instalar programas adicionales para, por ejemplo, capturar teclas y ejecutar acciones.

Para los impacientes que tengan ya una Ubuntu instalada, pueden actualizar como hiciera yo hace unas semanas atrás usando directamente el update manager. La mayoría de los repositorios y réplicas ya tienen los paquetes de la 7.04 aunque no tengan aún las ISOs de los CDs y DVDs finales. Como siempre,

[code]sudo update-manager -c[/code]

El “-c” es para forzar a que compruebe si hay nueva distribución disponible. Más detalles en la página de la wiki de ayuda de actualización. La lista completa de sitios de descarga se puede obtener desde el sitio de descargas de ubuntu. En breve me imagino que irán replicándose las imágenes de los CDs y DVDs. Sitios que por lo general van muy bien desde España son el SunSite de RedIRIS o el servidor de la gente de Delegación de Teleco de la Santa Casa.

• http://cdimage.ubuntu.com/releases/
• http://sunsite.rediris.es/mirror/ubuntu-releases/
• ftp://ftp.dateleco.es/ubuntu-releases/

• Group Plugin, para agrupar ventanas y poder minimizarlas, cerrarlas o moverlas todas ellas a la vez, muy útil para saltar dentro de uno de los escritorios de un bloque a otro.
• 3D World Plugin, en la captura de más abajo una muestra: mantiene efectos 3D de las ventanas al mover el cubo.
• Input Enabled Zoom
• Annotate Plugin, traído directamente desde Compiz
• Clone Output Plugin, también traído desde su hermano mayor, Compiz

En esta captura, todas las ventanas de la cara del cubo de la izquierda están más o menos metidas según su orden de visibilidad y en la frontal, el vídeo está por delante del terminal, dando la sensación de profundidad y complementando el efecto 3D del cubo. Un cucada, oiga usted. Traen soporte para múltiples monitores con cubos independientes, transparencias del cubo, así como muchos fallos corregidos.

Un excelente trabajo y para la 0.1.3.1 ya empezarán a soportar Ubuntu 7.04, Feisty Fawn.