Ubuntu 9.04 is comming soon

Ubuntu 9.04 Jaunty ya se puede descargar, instalar o actualizar. Y ahora con nuevo “sabor” Ubuntu Netbook Remix, especialmente diseñada y adaptada para los netbooks como el Dell Mini 9. Yo lo llevo probando desde la Release Candidate 1 en mi Dell Mini 9 y va estupendamente. 25 segundos de tiempo total de arranque con cifrado de disco incluido.

Para actualizar, las magias habituales, desde el gestor gráfico de actualizaciones, vía

update-manager -c

O para ediciones servers sin gráficos,

sudo do-release-upgrade

A divertirse

Y nos olvidamos de los engorrosos pipes con gpg y guarrear nuestros anillos de claves del estilo
[code]gpg –keyserver subkeys.pgp.net –recv-keys 437D05B5
gpg –export –armor 437D05B5 | sudo apt-key add - [/code]

Actualizando a Ubuntu 8.10

Para los impacientes como un yo, la magia de las opciones en el gestor de actualciones,

sudo update-manager -c -d

A disfrutar de la nueva versión de Ubuntu.

Me he cansado de tener que borrar cosas de los discos duros o de estar tostando soportes “canonizados”, así que he empezado a subir de orden de magnitud el almacenamiento de mi querido pepino servidor ubuntero, aun a costa de acabar experimentando la versión digital del Síndrome de Diógenes. Un bonito disco duro de Samsung de 1TB SATA.

Gracias al estupendo sistema de gestión de volúmenes lógicos de Linux LVM, ahora sólo la unidad lógica de datos tiene casi unos bonitos 1.3TB, dejando para el resto del sistema la décima parte, y aún queda espacio en el disco sin asignar.

Ha sido tan fácil como, una vez montado en su bahía, decirle al sistema operativo por línea de comando, y tras crear una partición en el disco nuevo del tipo “8e” (Linux LVM)

[code]sudo umount /dev/mapper/GrupoVolumenes-VolumenLogico
sudo lvm
lvm> pvcreate /dev/sd#Disco#Particion
lvm> vgextend GrupoVolumenes /dev/sd#Disco#Particion
lvm> lvextend -l+100%FREE GrupoVolumenes/VolumenLogico
lvm> exit
sudo e2fsck -f /dev/mapper/GrupoVolumenes-VolumenLogico
sudo resize2fs /dev/mapper/GrupoVolumenes-VolumenLogico
sudo mount -a[/code]

Eso sí, tarda un rato en expandir el sistema de ficheros ext3 por todos los distintos discos duros físicos.

En septiembre a por el segundo disco de un terabyte. Total, para algo quedan cuatro bahías libres y la fuente de alimentación es una Enermax sobredimensionada en su momento y quedan dos puertos más en la placa SATA, sin contar con los antiguos IDE con los viejos discos rebosantes de datos.

Se instala directamente con apt, aptitude, synaptic o con dpkg y descargando el paquete:

[code]sudo apt-get update && sudo apt-get install openssl-blacklist[/code]

Su uso es muy sencillo, bastará con ejecutar el comando openssl-vulnkey. Toma como parámetros de entrada los ficheros con las claves privadas en formato PEM.

[code]sudo openssl-vulnkey /etc/apache2/ssl/apache.test.pem
COMPROMISED: 9c4d589707a08ed65508032b41a999a810173592 /etc/apache2/ssl/apache.test.pem[/code]

Lo que no me queda muy claro es qué pasa cuando tiene una “validez desconocida”…

[code]sudo openssl-vulnkey /etc/apache2/ssl/apache-ssl-key.pem
Key has unknown validity: /etc/apache2/ssl/apache-ssl-key.pem[/code]

Este pequeño comando complementa estupendamente al ssh-vulnkey que verifica en el formato con el que almacena las claves openSSH si alguna de las claves del servidor o los clietnes SSH está comprometida.

Para instalar el paquete en Debian, por ahora se puede descargar directamente desde http://xillion.org/openssl-blacklist/ el paquete y sus firmas digitales para verficarlo.

El Error de openSSL en Debian subsanado dos años después

Menuda que se ha montado con el fallo detectado en el empaquetado del paquete openssl para distribuciones Debian y derivados, como Ubuntu. Al parecer tuvieron a bien comentar una inocente línea de código hace dos años que les daba unos errores molestos en código “no relacionado”, como bien comenta uno de los empaquetadores en el cambio en abril de 2006…

openssl (0.9.8a-9) unstable; urgency=low
[...]
* Don’t add uninitialised data to the random number generator. This stop
valgrind from giving error messages in unrelated code.
(Closes: #363516)

– Kurt Roeckx Thu, 6 Apr 2006 20:34:07 +0200

Esta cosa tan inocente consistía en comentar una llamada a una función de código que al parecer les daba un mensaje de error en alguna otra parte de código “no relacionado.” El caso es que justamente esta llamada es necesaria para que el proceso interno de generación de números aleatorios en la creación de claves asimétricas tipo RSA sea realmente aleatorio.

La línea 271 maldita comentada

La consecuencia de ello es que al no llamarse a esta función, la generación supuestamente pseudo-aleatoria de claves acaba siendo más predecible que el resultado de la selección española de fútbol en los mundiales y por tanto casi todas las parejas de claves públicas y privadas generadas por esta versión de openssl se pueden obtener por fuerza bruta. De hecho, desde debian.org se puede descargar un programa en perl, dowkd.pl.gz, de menos de 10 megas que contiene la lista de todas las claves que se han podido generar en estos dos años por este error y resulta trivial y rapidísimo buscar las claves de tu servidor SSH o del certificado del Apache. Para llorar un rato largo.

Por ahora, la lista de componentes, servicios y aplicaciones afectadas por este fallo es la siguiente,

• openssh, tanto usuarios como servidores
• OpenVPN
• DNSSEC
• material para claves para X.509
• encfs
• Tor
• postfix, exim4, sendmail y otras MTAs con SSL/TLS
• cyrus imapd
• courier imap/pop3
• dovecot con soporte imaps/pops
• apache2 (ssl certs)
• dropbear
• cfengine
• puppet
• xrdp
• tinc
• Certificados vsftpd SSL para FTPS
• Certificados proftpd SSL/TLS para FTPS
• DomainKeys (DK) y DKIM

Seguramente seguirá creciendo.

De la lista anterior, tenemos un servidor web, Apache, varios servidores de correo, tanto las MTAs que hablan SMTP como los servidores de acceso a los buzones de correo, servidores de ficheros TFP, protocolos de actualización de DNS y hasta el servicio tor de proxies anónimos de navegación.

A mi lo que me preocupa no es que los servidores de acceso remoto SSH se vean afectados, tanto en temas de posibles ataques de Man in the Middle o suplantación de partes. Lo que puede ser delicado es el asunto de los certificados digitales generados para servicios web o idenficar usuarios que se hayan creado a partir de openssl. Ya sean autofirmados o simplemente se haya creado una solicitud de certificado para ser firmada por una PKI externa, las parejas de claves van a estar comprometidas y puede desembocar esto en una oleada de revocaciones de certificados.

Por suerte tiro de EJBCA para jugar a las PKIs y no parece que Java o BouncyCastle hayan caído en la misma tentación simplificadora. Tan sólo se han visto afectados los servicios de openSSH y aparentemente los sensores y agentes del IDS Prelude la generación de las claves RSA la hacen a partir de /dev/random y están salvados.

Para la gente de Debian les ha supuesto de entrada deshabilitar el acceso por SSH y tirar todas las contraseñas de los usuarios actuales. A ver cuántos certificados digitales de servidores web caen por el camino, son revocados y renovados y sobre todo, a ver si se hace rápidamente.

Más de un administrador se lo debe de estar pasando en grande…

Hoy me han llegado los distintos CDs de Ubuntu Hardy Heron 8.04 LTS a casa. Pedido especial para repartir por el trabajo y gentes varias. A evangelizar que se ha dicho…

Pedidos el 20 de abril, salieron de Canonical el 22 del mismo mes y hoy han llegado por correo ordinario en su sobre acolchado. Todos los CDs por supuesto y como siempre, gratuitos. A ver si otros hacen lo mismo…

Las versiones en formato ISO las descargué ya en su momento de los servidores de Ubuntu y sus réplicas, pero los CDs son vistosos para repartir a cualquiera que quiera conocer otro sistema operativo totalmente gratuito. Las live de la versión Desktop dan gusto, cogen todo el hardware de los últimos portátiles que he probado por el trabajo y se instala en un momento, y contar con las versiones Server para montar en dos minutos un servidor de ficheros, otro web o uno de correo es sencillamente una maravilla.

Lo dicho, a repartir CDs y con pegatinas de regalo incluidas.

Esto es justo lo que le pasa a mi servidor SSH, cuyos registros de acceso fallidos están rebosando de intentos:

[code]
Apr 23 02:20:52 teroknor sshd[31336]: Invalid user noah from 217.126.56.236
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
Apr 23 02:20:54 teroknor sshd[31336]: Failed password for invalid user noah from 217.126.56.236 port 17228 ssh2
Apr 23 02:20:56 teroknor sshd[31339]: Invalid user joseph from 217.126.56.236
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
[/code]

Una solución muy fácil de instalar en el equipo es un sistema de prevención de intrusión o HIPS basado en analizar periódicamente los registros de acceso con dos programas: denyhosts y fail2ban.

Estos dos programas buscan registros de fallos reiterativos de acceso y en caso de detectar demasiados errores de accesos desde una misma IP, automáticamente la bloquean.

Para sistemas con apt y sus poderes de supervaca, coro es el caso de mi Ubuntu 8.04, bastará con conjurarla con un:

[code]
sudo apt-get install denyhosts fail2ban
[/code]

Los instaladores traen una configuración por defecto que funciona sin problema con el servicio open-SSH que trae Ubuntu.

Fail2ban

En el caso de fail2ban se pueden añadir patrones de búsqueda personalizados para cada registro de actividad gracias a su configuración basada en los ficheros de filtros que se encuentran en /etc/fail2ban/filter.d/. Las acciones de bloqueo temporal de los atacantes se basan en insertar reglas en las iptables, el cortafuegos nativo de los sistemas linux.

Para verificar el correcto funcionamiento de las reglas se puede ejecutar el comando fail2ban-regex:

[code]fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf[/code]

Su ejecución devolverá algo parecido a lo siguiente:

[code]Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/auth.log

Results
=======

Failregex
|- Regular expressions:
| [1] (?:error: PAM: )?Authentication failure for .* from \s*$
| [2] Failed [-/\w]+ for .* from (?: port \d*)?(?: ssh\d*)?\s*$
| [3] ROOT LOGIN REFUSED.* FROM \s*$
| [4] [iI](?:llegal|nvalid) user .* from \s*$
| [5] User .+ from not allowed because not listed in AllowUsers\s*$
| [6] User .+ from not allowed because none of user's groups are listed in AllowGroups\s*$
|
`- Number of matches:
[1] 0 match(es)
[2] 1338 match(es)
[3] 0 match(es)
[4] 932 match(es)
[5] 0 match(es)
[6] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
[2]
60.28.167.66 (Mon Apr 21 16:04:29 2008)
200.41.1.220 (Mon Apr 21 20:24:09 2008)
200.41.1.220 (Mon Apr 21 20:24:17 2008)
[...]
217.126.56.236 (Wed Apr 23 02:21:24 2008)
217.126.56.236 (Wed Apr 23 02:21:27 2008)
217.126.56.236 (Wed Apr 23 02:21:31 2008)
217.126.56.236 (Wed Apr 23 02:21:34 2008)
[5]
[6]

Date template hits:
2270 hit(s): Month Day Hour:Minute:Second
0 hit(s): Weekday Month Day Hour:Minute:Second Year
0 hit(s): Weekday Month Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-Month-Year Hour:Minute:Second[.Millisecond]
0 hit(s): TAI64N
0 hit(s): Epoch

Success, the total number of match is 2270
[/code]

Cuando se está ejecutando en segundo plano podemos ver el registro de actividad que va dejando en /var/log/fail2ban.log. Por defecto las reglas de rechazo de una determinada duran diez minutos, tiempo más que suficiente para que los molestos zombies desistan.

Más información en su sitio web oficial.

DenyHosts

DenyHosts es un HIPS exclusivo para SSH y se basa por un lado en el análisis de los registros de acceso del servidor SSH y por otro de listas de IPs conocidas que se descargan y sincronizan desde el servidor principal de DenyHosts. Cuenta con más de 27000 sincronizaciones y es un bastante eficiente para protegerse de máquinas que ya se conocen como atacantes, frente a fail2ban, que realiza únicamente análisis de los registros.

El funcionamiento de DenyHosts se basa en ir añadiendo o eliminando direcciones IP al fichero /etc/hosts.deny que luego el servicio de SSH tiene en cuenta a la hora de rechazar intentos de conexión.

La configuración por defecto del paquete de las distribuciones de Debian/Ubuntu dejan en el fichero /etc/denyhosts.conf la configuración de este demonio. Si queremos que se sincronice con el servidor de DenyHosts de forma periódica, es necesario descomentar una línea del fichero de configuración por defecto, SYNC_SERVER=… y si además queremos que cada vez que actúe se registre en los registros del sistema, deberemos poner SYSLOG_REPORT a Yes.

[code]SYSLOG_REPORT=YES
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911[/code]

Si observamos los registros de actividad del sistema, veremos cosas como esta:

[code]theefrit@teroknor:~$ cat /var/log/syslog | grep deny
May 1 14:21:56 teroknor denyhosts: Added the following hosts to /etc/hosts.deny - 203.212.65.20 (unknown)[/code]

En el fichero de registro de actividad específico de DenyHosts, /var/log/denyhosts, podemos ver con detalle toda su actividad de sincronización remota.

Más información en la página del programa.

Entrando en detalle, si intentamos un

sudo vmware-config.pl

Vamos a ver a la hora de compilar los módulos del núcleo algo como:

[code]None of the pre-built vmmon modules for VMware Server is suitable for your
running kernel. Do you want this program to try to build the vmmon module for
your system (you need to have a C compiler installed on your system)? [yes]
Using compiler "/usr/bin/gcc". Use environment variable CC to override.

What is the location of the directory of C header files that match your running
kernel? [/lib/modules/2.6.24-16-generic/build/include]

Extracting the sources of the vmmon module.

Building the vmmon module.

Using 2.6.x kernel build system.
make: se ingresa al directorio `/tmp/vmware-config0/vmmon-only'
make -C /lib/modules/2.6.24-16-generic/build/include/.. SUBDIRS=$PWD SRCROOT=$PWD/. modules
make[1]: se ingresa al directorio `/usr/src/linux-headers-2.6.24-16-generic'
CC [M] /tmp/vmware-config0/vmmon-only/linux/driver.o
In file included from /tmp/vmware-config0/vmmon-only/./include/vmware.h:25,
from /tmp/vmware-config0/vmmon-only/linux/driver.c:48:
/tmp/vmware-config0/vmmon-only/./include/vm_basic_types.h:159: error: redefinición de la definición de tipo ‘uintptr_t’
include/linux/types.h:40: error: la declaración previa de ‘uintptr_t’ estaba aquí
En el fichero incluído de /tmp/vmware-config0/vmmon-only/linux/driver.h:20,
de /tmp/vmware-config0/vmmon-only/linux/driver.c:49:
/tmp/vmware-config0/vmmon-only/./include/compat_wait.h:37:5: aviso: "VMW_HAVE_EPOLL" no está definido
/tmp/vmware-config0/vmmon-only/./include/compat_wait.h:43:5: aviso: "VMW_HAVE_EPOLL" no está definido
In file included from /tmp/vmware-config0/vmmon-only/linux/driver.h:20,
from /tmp/vmware-config0/vmmon-only/linux/driver.c:49:
/tmp/vmware-config0/vmmon-only/./include/compat_wait.h:60: error: tipos en conflicto para ‘poll_initwait’
include/linux/poll.h:65: error: la declaración previa de ‘poll_initwait’ estaba aquí
/tmp/vmware-config0/vmmon-only/linux/driver.c:147: aviso: inicialización desde un tipo de puntero incompatible
/tmp/vmware-config0/vmmon-only/linux/driver.c:151: aviso: inicialización desde un tipo de puntero incompatible
/tmp/vmware-config0/vmmon-only/linux/driver.c: En la función ‘LinuxDriver_Ioctl’:
/tmp/vmware-config0/vmmon-only/linux/driver.c:1659: error: ‘struct mm_struct’ no tiene un miembro llamado ‘dumpable’
make[2]: *** [/tmp/vmware-config0/vmmon-only/linux/driver.o] Error 1
make[1]: *** [_module_/tmp/vmware-config0/vmmon-only] Error 2
make[1]: se sale del directorio `/usr/src/linux-headers-2.6.24-16-generic'
make: *** [vmmon.ko] Error 2
make: se sale del directorio `/tmp/vmware-config0/vmmon-only'
Unable to build the vmmon module.

For more information on how to troubleshoot module-related problems, please
visit our Web site at "http://www.vmware.com/download/modules/modules.html" and
"http://www.vmware.com/support/reference/linux/prebuilt_modules_linux.html".

Execution aborted.[/code]

Para resolver el problema lo que hay que usar es la utilidad vmware-any-any-update.

[code]
cd /tmp
wget http://uruz.org/files/vmware-any-any-update-116.tgz
tar -xvzf vmware-any-any-update116.tgz
cd vmware-any-any-update116
sudo ./runme.pl[/code]

Una vez compilados todos los módulos y reiniciado el servidor de VMWare la cosa no ha terminado del todo. Si se ejecuta la consola del servidor mediante el comando vmware recibiremos por consola cosas como las siguientes:

[code]/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib32/libcairo.so.2)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib32/libstdc++.so.6)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib32/libcairo.so.2)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib32/libstdc++.so.6)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_3.4' not found (required by /usr/lib32/libcairo.so.2)
/usr/lib/vmware/bin/vmware: /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1: version `GCC_4.2.0' not found (required by /usr/lib32/libstdc++.so.6)[/code]

Y la ejecución se parará. Es lo que tiene los binarios compilados a fuego. Lo mejor que se puede hacer es enlazar simbólicamente las libgcc del equipo en el directorio donde vmware espera encontrarlas (/usr/lib/vmware/lib/):

[code]sudo ln -sf /lib/libgcc_s.so.1 /usr/lib/vmware/lib/libgcc_s.so.1/libgcc_s.so.1
sudo ln -sf /usr/lib/libpng12.so.0 /usr/lib/vmware/lib/libpng12.so.0/libpng12.so.0[/code]

Una vez hechos estos enlaces simbólicos debería funcionar la consola del servidor VMware y podemos acceder a las máquinas virtuales que tengamos en el sistema.

En los núcleos de 64 bits con el paquete ia32-libs desactualizado puede además haber más problemas con las bibliotecas gráficas del gtk para 32 bits. Para resolver el problema falta hacer unos cuantos enlaces simbólicos a las bibliotecas de 32 bits que vmware echa en falta o bien actualizar el paquete a la 2.2ubuntu10, que es lo más recomendable. En launchpad informan de que ya no hace falta hacer lo siguiente:

[code]sudo ln -s /usr/lib32 /usr/l32
sudo sed -i -e 's/usr\/lib/usr\/l32/g' /usr/lib32/gtk-2.0/2.10.0/loader-files.d/libgtk2.0-0.loaders
sudo sed -i -e 's/usr\/lib/usr\/l32/g' /usr/lib32/libgdk_pixbuf-2.0.so.0.1200.9[/code]

Y efectivamente en el equipo recién actualizado a a 8.04 sin pasar por las versiones de prueba ni candidatas este último paso no hay que hacerlo.

Obtenido directamente desde los foros de Ubuntu.

Como siempre, cargado de novedades jugosas así como incontables mejoras que siguen estabilizando más y más la distribución. De un vistazo a las release notes de las versiones de prueba nos permiten comprobar que la esperada versión 7.3 del servidor gráfico Xorg, las “Xs”, ya están funcionando con configuración automágica junto con la versión 2.22 de Gnome.

Desde que lanzaran las primeras alphas me instalé una versión de escritorio de 64 bits en una máquina virtual basada en VMWare y he de decir que es impresionante el esfuerzo que siguen haciendo la gente de Canonical por hacer la vida más fácil a todos los que queremos alejarnos de los sistemas operativos propietarios. Las nuevas interfaces de configuración de privilegios y de “escalado” de privilegios para realizar operaciones administrativas son un ejemplo más.

Para mejorar la seguridad, Uncomplicated Firewall o ufw, cortafuegos preinstalado. Para los no iniciados en los cortafuegos yo personalmente prefiero firestarter, pero ya el hecho de traer instalado y activado un cortafuegos es de agradecer.

Una cosa que mencionan en las notas de la versión es el nuevo Evolution, que incorpora entre otras cosas, soporte nativo de Google Calendar. Otra maravilla, yo que uso basante este invento de Google. Viva el gran hermano googleniano. Si usas el anillo de claves de gnome para guardar contraseñas de la Wifi de casa o de los compartidos de Windows de la red y claves PGP/GPG, seahorse viene de serie e incorpora además la gestión de los anillos de gnome, eliminando la aplicación anterior. Ahora todos los anillos claves se gestionan desde un único sitio con seahorse.

Sobre el navegador, nos van a tener directamente en “beta” hasta que para junio saque la Mozilla Foundation la versión 3.0 de Firefox. No es la primera vez que pasa, con la actual rama, la 2.0 ya estuvimos así. Yo ya llevo usando los binarios de Firefox 3 beta desde la tercera versión, y ahora con la quinta versión de Firefox 3 beta estoy alucinando. El consumo de memoria bajo, responde rapidísimamente, más soporte en manejo de conexiones cifradas, soporte para SSL EV, etc. Lo malo es la pérdida de muchos plugins que uso habitualmente hasta que se actualicen a Firefox 3.

Jugando a Java en la máquina virtual, Ubuntu 8.04 instala sin problemas las versiones libres de la máquina virtual y hasta los plugins necesarios para Firefox para tener applets hasta en las versiones de 64 bits. Lo mismo ocurre con flash. Desde la 7.10 para 64 bits ya funciona bien el plugin de Adobe nativo para 32 bits para linux. Y todo se hace directamente cuando entras en una página que requiera flash o java para funcionar.

PulseAudio pasa a estar preinstalado en el sistema. Nuevo servidor de audio capaz de combinar sin sudar mucho distintas fuentes de distintas aplicaciones. A ver si ya nos evitamos los jaleos de “recursos ocupados” al intentar acceder a las tarjetas de sonido y sobre todo, desde mi punto de vista, si combinado con las últimas blueZ permiten hacer funcionar bien los cascos Bluetooth con perfiles a2dp de distribución de audio de alta calidad. Hasta ahora van de miedo, pero sólo una aplicación a la vez, y sólo si se les puede configurar el dispositivo de salida de ALSA a usar.

Para los impacientes como yo, ya saben, a invocar la magia:

sudo update-manager -d -c

Y para los que quieran esperar hasta mañana,

sudo update-manager -c

Si lo que queremos es actualizar de distribución una variante Server de Ubuntu, sin servidor gráfico y demás, tenemos la opción de la línea de comandos:

sudo apt-get install update-manager-core

sudo do-release-upgrade