Canvis en la configuració d’accés remot

divendres, 24/01/2014 (18:48)

D’un temps ençà hem vist que han augmentant els intents d’intrusió al servidor de Caliu a través de servei d’accés remot (ssh). Tot i que en general canviar el port d’un servei no evita que els experts el trobin, sembla que la majoria d’intents venen de robots o persones amb pocs coneixements o poc interès per buscar en altres ports. Així doncs, hem decidit moure el servei a un port diferent i de moment hem deixat de rebre atacs.

Aquelles persones que tingueu accés al servidor només heu d’utilitzar un número de port diferent: multipliqueu el número de port per defecte per 100 i sumeu-hi l’arrel quadrada de 100. Podeu utilitzar l’opció corresponent de l’ordre ssh o indicar el port per al servidor de Caliu al vostre fitxer de configuració.

Si necessiteu ajuda podeu adreçar-vos als masovers a caliu punt cat.

Aturada programada del servidor de Caliu

divendres, 02/08/2013 (01:52)

Com cada any per aquestes dates, el servidor de Caliu s’aturarà unes hores per tal de procedir a fer la revisió anual de la instal·lació elèctrica de la sala de servidors on està ubicat.

Més concretament, enguany l’aturada serà el dia 8 d’agost de 7:00 a 18h (aprox.), i afectarà tots els serveis allotjats al servidor de Caliu (web, ftp, wikis i blocs hostatjats, etc.)

Us preguem que disculpeu les molèsties que això us pugui ocasionar.

Política de miralls de Caliu

dimecres, 17/07/2013 (20:50)

Fa uns mesos vam decidir publicar la política dels miralls de Caliu ja que de tant en tant rebem propostes per afegir nous miralls al servidor i no teníem enlloc escrits els criteris en què ens basem per determinar si podem acceptar la proposta.

Doncs bé, a la passada reunió tècnica del dissabte 6 de juliol ens hi vam posar i ja ho teniu a la pàgina dels miralls.

Intervenció per actualització de hardware

dijous, 29/11/2012 (23:13)
El hardware que fa funcionar els serveis de Caliu necessita una
renovació i la rebrà durant aquest cap de setmana. Començant
divendres 30-11-2012 a partir de les 11:00am i fins dissabte 1-12-2012 a
les 11:00pm, els serveis de Caliu resten aturats per manteniment.

Serveis afectats:

 * Plana web de Caliu
 * Wiki de Caliu
 * Planeta Caliu
 * Blogs allotjats a http://\*.caliu.cat
 * Miralls de repositoris
No està previst que afecti:

 * Comptes de correu de Caliu.
 * Comptes de Jabber de Caliu.
 * Plana de l'estat dels serveis

Podeu consultar futures informacions sobre l'estat dels serveis o canvis
en la finestra de treball a la plana web de l'estat dels serveis.

Per dubtes i suggeriments, escriviu a: masovers_a_caliu.cat

Suprimim l’accés per ftp als miralls de caliu

diumenge, 16/09/2012 (16:29)

Tancarem definitivament el servei d’ftp actualment disponible a ftp://ftp.caliu.cat. No tenim la data definitiva però serà d’aquí una setmana o més tard.

Creiem que el protocol ftp va quedant obsolet i que hi ha pocs usuaris que no puguin passar a accedir per http els miralls de programari lliure. També ens ajudarà a simplificar la migració a un nou servidor.

Si algú encara l’està fent servir hauríeu de reconfigurar tant aviat com sigui possible per tal d’evitar interrupcions. Per exemple si teniu al /etc/apt/sources.list una url com ara ftp://ftp.caliu.cat la podeu canviar per http://ftp.caliu.cat.

I si algú té algun impediment per fer-ho o sap d’alguna raó per a mantenir el servei FTP, ens pot mirar de convèncer enviant un correu a la llista.

221 Goodbye.

Actualització (6 octubre): Hem tancat definitivament el servidor FTP.

Resultat de l’enquesta de popularitat local de Debian

dimarts , 31/07/2012 (13:52)

Aquests són els resultats de les 15 respostes diferents obtingudes via llista i comentaris del blog, un cop filtrades les repeticions i les respostes buides:

  • 14 vots: amd64, i386
  • 3 vots: arm, armel
  • 1 vot: armhf, kfreebsd-amd64, kfreebsd-i386, mipsel
  • cap vot: alpha, hppa, hurd-i386, ia64, m68k, mips, powerpc, s390, s390x, sh, sparc

Amb aquesta informació podem prendre la decisió de quines arquitectures no cal sincronitzar al mirall de Caliu. Moltes gràcies per la vostra participació.

Aturada del servidor de Caliu

dimarts , 24/07/2012 (16:43)

Com cada any per aquestes dates, el servidor de Caliu s’aturarà unes hores per tal de procedir a fer la revisió anual de la instal·lació elèctrica de la sala de servidors on està ubicat.

Més concretament, enguany l’aturada serà el dia 9 d’agost de 7:00 a 18h (aprox.), i afectarà tots els serveis allotjats al servidor de Caliu (web, ftp, wikis i blocs hostatjats, etc.)

Us preguem que disculpeu les molèsties que això us pugui ocasionar.

L’enganyifa del Treacherous Computing

dijous, 28/06/2012 (18:47)
Genbeta parla de la solució d’Ubuntu de cara al Secure Boot i es comentava a la llista de correu de Caliu que semblava que es veia la llum al  final del túnel.

Segur que no és la locomotora ?

 

En aquest enllaç diu que encara està pactant amb els OEM i no sap com acabarà.  En alguna altra banda, he llegit que Ubuntu proposava un carregador d’arrencada signat per Ubuntu que carregui programari sense signar o alguna cosa així.

El Matt Garret de RedHat ja explicava el problema i no he llegit res sobre Ubuntu que em faci entendre una solució.

Les solucions són forats, perquè el trusted computing i el programari lliure sempre han sigut mútuament contradictoris. Per permetre que l’usuari pugui executar el seu propi codi (o sia el codi que tria, no només el que escriu, per exemple baixar-se el controlador d’un perifèric USB nou i instal·lar-lo, o compilar-lo i instal·lar-lo) has de permetre executar codi que qui té la clau autoritzada no sap què fa, i per tant el mateix mecanisme serveix per arrencar programari maliciós (o beneficiós però que se salti les restriccions sobre continguts que vol imposar qui controla les claus, que encara emprenyerà més els qui controlen el muntatge). Per tant, qualsevol clau que permeti arrencar programari en general no controlat per l’amo de la clau serà revocada (el signador serà considerat poc fiable, sigui Ubuntu, Microsoft o Acme).

El secure boot és trusted/treacherous computing i la idea fonamental és que en cada moment hi ha un conjunt finit de programari autoritzat i qualsevol altra cosa és perillosa i no s’ha d’executar, o si de cas s’ha d’executar sense que pugui accedir a res important. Quantes claus hi ha, els mecanismes que ho permeten, o els equilibris que puguis o no fer per desactivar-ho no canvien la hipòtesi fonamental del món tancat.  Que hi hagi un conjunt finit de programari fiable és una mentida que no ho seria tant si el conjunt fos molt petit i tot fos programari lliure.  Que tota la resta sigui perjudicial és clarament fals. Que aquestes mentides siguin prou creibles per sacrificar no sé quantes coses per confiar-hi depen bàsicament de què l’usuari tingui coneixements i temps suficients (es poden mutualitzar en comunitats fins un cert punt) i de que sigui realment l’usuari qui decideix en què confia.

Viure en societat és una qüestió de confiança. Quan la gent té por, deixa de confiar. Amb això evites atacs, però també evites ajudes. I quan algú et promet que si confies només amb ell t’evitarà tots els atacs, ja saps quina societat vol. Ubuntu intenta que per comptes de confiar en un mesies puguis triar entre dos o tres, però això no resol gaire res. Tampoc és que Ubuntu, ni RedHat puguin fer res per resoldre el problema de fons. S’ho miren de trampejar com poden.

Mentre el secure boot es pugui deshabilitar, o es puguin instal·lar claus pròpies de l’usuari i eliminar les que vinguin de fàbrica, el problema es limitarà a la incomoditat d’instal·lar programari lliure respecte (algun) privatiu. Per ara. El següent pas està clar que consisteix en evitar que vegis vídeos o audio o llibres amb programari sense signar. I el següent, evitar que votis (si encara hi ha eleccions) si no tens l’ordinador telecontrolat.

Estic molt agraït als desenvolupadors de GRUB2 per un codi útil i una llicència sàvia.

Linus Torvalds assegura que els hackers trencaran el Secure Boot
En un article de Muy Seguridad es diu que Torvalds pensa que els hackers trencaran el secure boot. Interpreto que vol dir que faran alguna cosa per poder arrencar sistemes operatius no signats.
En canvi, enllaça amb un altre article que bàsicament diu que encara que no es pugui arrencar programari sense signar, el programari signat (o les claus que el signen) serà prou vulnerable com per a que la seguretat no sigui gran cosa. Si ho he entès bé, estic bastant d’acord amb el Torvalds, al món del PC hi intervé massa gent i la gent som massa cutres com per garantir la seguretat. I en general se’ns en fot. Obtenim més avantatges de la versatilitat de sistemes insegurs que el que obtindríem de molta seguretat. És qüestió de no refiar-se’n massa dels sistemes que fem servir. Per això, el Trusted Computingva en direcció contrària al que cal: l’inconvenient és que els usuaris cedeixen control dels seus ordinadors a tercers desconeguts i el suposat avantatge és una seguretat que no serà mai prou efectiva.Però hi ha qui sembla simplement esperar que vingui algú i se salti la següent mesura de trusted computing. Jo no ho veig viable. D’una banda, no sempre serà possible. La criptografia serveix d’alguna cosa i no sempre es fa malament. Però de l’altra, com més birgueries has de fer per poder fer el que vols, més gent hi ha que s’aconforma amb fer el que els diguin. Encara que només sigui per por a perdre garanties o similars. I el retard entre que surt una mesura i algú la trenca també va en contra de la població. El pitjor però és que comprar aparells amb aquesta mena de restriccions legitima el model que imposa el control centralitzat de la informàtica.  I acaben fent lleis que prohibeixen tenir ordinadors que facin el que tu vols (perquè això és de friquis automarginats que només ho deuen voler per piratejar els pobres ninotets de felpa de Disney, o per distribuir pornografia infantil o plànols d’armament nuclear de bricolatge).Per molt que no estigui d’acord amb el Garret amb el millor que pot fer una distribució entre l’espasa i la paret, crec que té bastant de raó quan diu que el secure boot tindrà errors (com els que els d’Invisible Things Labs van trobant a Intel), es corregiran i al cap d’algunes interacions ja no tindrà errors (i estarem fotuts).És més probable que funcioni el que fa que només es pugui arrencar cert programari que el que fa que aquest cert programari sigui segur. És més fàcil aconseguir prou qualitat en un codi petit que només evita execució d’altre codi que en un codi gran que fa coses útils. Per tant, tindrem les restriccions sense la seguretat, és clar.

Fins ara, em mig consolava pensant que quedava AMD, encara que els processadors dels últims 5 anys d’Intel tinguin vPro (per garantir el control remot des d’Intel, Israel, EUA o qui sigui, o en algun cas, i sempre a través d’algun dels anteriors, des dels serveis d’informàtica de l’empresa propietària de l’ordinador). Però res, sembla ser que l’any vinent AMD  començarà a incloure als processadors una CPU ARM incrustada que només servirà per a qüestions de seguretat (suposo que servirà per comprovar les signatures del codi que arrenqui el processador x86 potent) i cap al 2014 compta que tots en portin.

ARM també permet aquesta mena de coses com ha quedat clar en mòbils.

O sia que ja només sembla quedar Loongson, que no és una opció molt popular, potent ni fàcil d’aconseguir…

Popularitat local d’arquitectures a Debian

dijous, 21/06/2012 (17:32)

En els darrers anys, Debian ha anat eliminant algunes arquitectures del seu arxiu però n’ha afegit moltes d’altres també. Debian ja disposa d’informació de popularitat de les arquitectures però no sabem si podem extrapolar-la a la nostra comunitat.

Per mirar de donar un bon servei als miralls de Debian ens estem plantejant si cal tenir una còpia de totes les arquitectures, més les imatges ISO corresponents en CD i DVD, que tot plegat ocupa un munt d’espai i tràfic de xarxa si realment la comunitat local no ho necessita. Així doncs, us proposem una petita enquesta per tenir un mapa més clar de la popularitat de les arquitectures i poder preparar amb més cura el servei dels miralls.

Aquestes són les arquitectures que suporta Debian a dia d’avui:

alpha, amd64, arm, armel, armhf, hppa, hurd-i386, i386, ia64, kfreebsd-amd64, kfreebsd-i386, m68k, mipsel, mips, powerpc, s390, s390x, sh, sparc

Si us plau, feu comentaris indicant quines d’aquestes arquitectures utilitzeu habitualment (podeu indicar-ne més d’una) o responeu al fil que obrirem sobre aquest tema a la llista caliu-info.

Actualització: podeu veure quina és la vostra arquitectura amb l’ordre:

dpkg-architecture -qDEB_HOST_ARCH

Servidor de nou en funcionament

dimarts , 27/03/2012 (18:13)

Us informem que, una vegada reparats els desperfectes en els sistemes de fitxers, el servidor de Caliu torna a estar en funcionament al 100%. Feia dies que ja funcionava parcialment, però l’hem hagut d’anar aturant per fer actuacions puntuals. Aquestes aturades potser han provocat més d’un maldecap a algú, cosa que lamentem.

En principi no s’ha d’haver perdut informació, però si trobeu a faltar algun fitxer feu-nos-ho saber.

Us agraïm la vostra comprensió i paciència.

Cordialment,

L’equip d’administradors del servidor de Caliu.