Tal y como se encuentra kubuntu-es, que parece que no levanta cabeza con el tema del hosting (*suspiro*), voy a dar la noticia en mi blog, porque hay novedades que considero interesantes:

• Nuevo administrador de controladores restrictivos. ¿Que qué es esto? Bueno, primero explicaré un poquito la cosa. Muchas empresas, al tener que investigar sobre Sistemas Operativos de código cerrado el cómo funcionarán sus dispositivos, gastan una buena cantidad de pasta en programadores y licencias de uso. Para cuando el producto funciona lo suficientemente bien como para sacarlo al mercado, la inversión ha sido tal y los acuerdos con dichos creadores de sistema tan súmamente restrictivos, que los fabricantes se encuentran o bien sin efectivos, o bien imposibilitados por contrato, o bien porque en realidad se la suda completamente. Para esto último, desgraciadamente, no hay solución. Para el primero y el segundo, una posibilidad (que afortunadamente se acepta más) es liberar el código y que "los frikis de linux" se curren un controlador. Y luego la que hace por ejemplo nvidia, que es proporcionar drivers para el sistema, aunque cerrados. Para esto último es para lo que sirve este administrador de controladres restrictivos. Dado que la licencia de libre distribución de Ubuntu choca con la "no-libre" distribución de algunos controladores (como el ejemplo de nvidia), se utiliza este gestor para que el usuario pueda descargarlos e instalarlos cómodamente y sin necesidad de usar la malquerida consola (no sé yo qué tirria le tiene la gente, cuando no hay nada más rápido y efectivo).


• Se instala la biblioteca QT 4.3.1, con código optimizado para máquinas nuevas


• Edubuntu, la distribución dedicada a la educación, también estará disponible con KDE como escritorio


• Actualización de 7.04 (Feisty) a 7.10 (Gusty) a través de adept. ¡Adiós otra vez a la consola! Si tienes instalado feisty, ejecuta (Alt+F2) kdesu "adept_manager --version-upgrade". Si ya tienes instalado gutsy y quieres actualizar, ejecuta (Alt+F2)kdesu "adept_manager --dist-upgrade-devel"


• KMail ya viene instalado con herramientas GPG activadas. GPG es un conjunto de encriptación/desencriptación de datos que permite que el correo electrónico lo tenga que leer su destinatario y nadie más


• ¡¡ KDE 4 beta 1 !! Paquetes disponibles e integrados en el sistema de lo que será el futuro KDE 4. No hay actualmente muchas aplicaciones que funcionen sobre él, dado su estado beta y que estamos hablando de una "major release", que es como decir pasarse de NT a 2000 (no, no digo de XP a Vista porque eso es pasarse, pero con la máquina).


• OpenOffice 2.3, la suite ofimática libre más famosa y usada. Aún se encuentra en estado de desarrollo, pero los chicos de ubuntu han creado binarios para que podamos ir saboreando las nuevas características de esta completa suite.

Si a esto le juntamos la novedad de un front-end (programa visual, con ventanitas y botoncitos) para gdebi, el instalador de paquetes ".deb" de manera local (apt lo hace de manera remota), tendremos una distribución más orientada al usuario final, menos dependiente de la consola, consistente y que separa el código libre y el cerrado. Kubuntu va por buen camino, pero ojalá no tuviera que ceñirse al "Release Plan" de Ubuntu. Me gustaría ver una Gutsy con un definitivo KDE 4, aunque tuviera que esperar a finales de octubre / primeros de noviembre para ello. Bueno, eso y que son 10 desarrolladores a tiempo parcial (menos John Riddell, que es a tiempo completo) frente al < exageración > ejército < /exageración > que tiene montado ubuntu. Capturas de pantalla, anuncio y fuente original: https://wiki.kubuntu.org/GutsyGibbon/Tribe4/Kubuntu

Los usuarios de PCs que siguen noticias de linux saben que se aproxima un cambio evolutivo en el sistema de escritorio KDE. En su versión 4.0, este entorno proporcionará una mayor coherencia entre sus componentes visuales (Plasma), auditivos (Phonon/decibel) y de control de hardware (Solid), de manera que tendremos que preocuparnos menos de configuraciones y más de hacer un entorno a nuestro gusto y medida. Entre los cambios visuales que traerá consigo se encuentra el juego de iconos Oxygen, de alta calidad y que han seguido un estudio de usabilidad para hacernos más fácil saber qué tipo de archivo estamos tratando según su icono asociado. Pero, ¿tenemos que esperar a KDE 4? ¡Pues no! No necesariamente, vaya. Con un par de arreglos podemos tener los iconos de oxygen listos para el uso y deleite cotidiano en nuestro actual KDE. Vamos por partes:

1. Ten instalado el paquete subversion. No es necesario realmente, pero si te gusta ir viendo los cambios y añadidos que van implementando los iconos, es muy recomendable.


2. Instala también el paquete kde-icons-nuovext. Luego entenderás por qué.


3. Copia la carpeta /usr/share/icons/hicolor a tu carpeta $HOME/.kde/share/icons/ . Todos los conjuntos iconos tienen una propiedad (se ve en el index.theme de la carpeta del conjunto) que hacen que hereden del conjunto hicolor. Así que, tratándose de versiones SVN (ergo, incompletas) de iconos, vamos a dar antes un poco de coherencia al conjunto


4. Ahora, copia el contenido de /usr/share/icons/crsytalsvg a $HOME/.kde/share/icons/hicolor, esto es, cp -R /usr/share/icons/crystalsvg/* $HOME/.kde/share/icons/hicolor/. Esto sobreescribirá los antiguos iconos hicolor por crystal, bastante más vistosos.


5. Ahora viene nuovext. Realiza el mismo paso anterior, esto es, cp -R /usr/share/icons/nuovext/* $HOME/.kde/share/icons/hicolor/. Los iconos nuovext se parecen mucho más a los futuros oxygen que los de crystal.


6. Copia únicamente el archivo /usr/share/icons/hicolor/index.theme en la carpeta $HOME/.kde/share/icons/hicolor


7. Explico estos cuatro pasos anteriores como capas de una imagen: Primero establecemos la base o "fondo" a partir del estándar, hicolor. No obstante, esta base está bastante obsoleta y la actualizamos con crystal, que sería la primera capa. Esto nos daría realmente el mismo resultado que tener el juego de iconos crystal por defecto, dada la herencia que antes he mencionado con hicolor. Pero como crystal difiere del objetivo final, añadimos una capa más (nuovext) que tiene un mayor parecido. Visualmente ya estaría, pero para que oxygen crea que este conjunto de iconos es el hicolor (del cual heredará todos los iconos que él no tenga), tenemos que hacérselo creer, y es por eso que copiamos el archivo index.theme


8. Sólo queda descargar el archivo oxygen.tar.bz2 (¡¡CUIDADO!! SON 82MB DE DESCARGA) y descomprimirlo en $HOME/.kde/share/icons mediante tar -xjvf oxygen.tar.bz2. Esto ya SI es el conjunto oxygen del futuro KDE 4.


9. Bien, doy por sentado que sabeis cambiar el conjunto de iconos. Yo lo hago desde kcontrol porque no me convence ksystemsettings, pero tanto con uno como con otro resulta bastante fácil.

Listo, ya teneis el futuro oxygen para vuestro disfrute personal. Ahora, si queréis que se reflejen los cambios que van haciendo a los iconos, abrís una consola, entrais en $HOME/.kde/share/icons/oxygen y tecleais svn update, que actualizará los iconos a la última versión del SVN.

Vale. Has pensado, tras constantes comidas de cabeza de tus amigos frikis, que linux es lo que necesitas para que "nadie te robe los archivos" ni se te ponga "malito" el ordenador a causa de los virus "que son mú malos". Te han hablado maravillas y que Linux puede parecerse (visualmente) a Windows todo lo que tú quieras, y que hay programas análogos a todos los que en él tienes para que no tengas excusas. Bien. Ahora me toca a mí. No me queda más remedio que darte un par de avisos acerca de lo que linux NO puede hacer hoy por hoy:

• Cuando compras un juego (y eso es culpa del fabricante), aunque ponga PC-CDROM, puede NO funcionar con linux. ¿Por qué? Porque donde dice "PC" debería decir "Win". Así de mal. Y debería haber etiquetas según el sistema. Por ejemplo: logo de windows + CDROM; pingüino + CDROM; Manzanita mordida + CDROM. Así queda muy, pero muy claro, para qué plataforma está soportado ese juego. ¿O es que no hacen lo mismo con Xbox-360 y PS2 (por poner un ejemplo)?


• El software específico de tu empresa puede NO funcionar. Si eres programador de centralitas, o quieres el Contapús Sibarita Gañán, tal vez necesites un equipo con la plataforma para la que fue creado.


• Si no sabes escribir como $DIOS manda, no quiero que uses linux. Muchos de la comunidad no queremos que uses linux. Vuélvete al sueño de Matrix y déjanos tranquilos.


• Deja de pensar en descargarte un "setup.exe". Esto es un sistema DIS-TIN-TO. Los basados en debian usarán una herramienta; los basados en Red Hat, otra. Pero no (repito-NO) hay un setup.exe .

Y ahora que te he devuelto a la realidad, y si sigues pensando que quieres linux, te recomiendo algo de hardware:

• Que esté basado en 64bits. ¿Por qué? Porque los 32 tienden a su extinción. AMD64, Core2Duo... el que tú quieras, pero 64 bits. La velocidad es indistinta, siempre que cumplan ese requisito.


• Tarjeta nVidia, hasta que AMD/ATI cumpla y proporcione drivers de calidad. No te puedes imaginar la cantidad de comentarios en los foros acerca de los problemas de instalación de los drivers de ATI.


• 1 GB de RAM. Así te lo suelto. Sí, linux puede ir con menos, pero para hacerlo parecido a Windows/MacOSX vas a necesitar algo más que intenciones.


• Dedicar 10 GB de tu disco duro al sistema. El resto, todo lo grande que tú quieras. Es más, si puedes, un disco lo más pequeño del mercado y otro todo lo grandote que puedas. Uno, sistema operativo. El otro, tu morralla. Ya sé que Windows se instala en menos de 2 GB, pero no te viene con Ófis ni cortafuegos (no, no considero cortafuegos a la porquería del SP2) ni antivirus ni editor de fotos ni... ¡ah! ¡que sí que te viene! pues eso es porque el que te ha vendido el equipo está haciendo una instalación ILEGAL de software

Esta lista está sujeta a modificación y/o crítica constructiva, toda ayuda es naturalmente bienvenida.

Traducción libre de http://kevin.hatfieldfamilysite.com/?p=147:

1. En tu cortafuegos (tienes uno, ¿verdad?) confirma que el puerto MySQL para entrantes es el 3306 y ciérralo. Si este puerto se queda abierto se expone tanto a un abuso de servicio y una amenaza de seguridad ya que no sólo los hackers pueden irrumpir en MySQL, sino que cualquier usuario puede almacenar su base SQL en tu servidor y acceder desde cualquier equipo, y así (ab)usar los recursos de tu servidor.

2. Chequea los permisos de /tmp. Deberían estar en chmod 1777

3. Chequea el propietario de /tmp. Debería pertenecer a root:root

4. Chequea /etc/cron.daily/logrotate. Debido a un bug en logrotate, si se monta /tmp con la opción noexec, necesitas que logrotate use un directorio temporal diferente. Si no lo haces, este syslog puede no reiniciarse correctamente y escribirá sobre archivos antiguos/incorrectos.

5. Chequea los permisos de /var/tmp. Debería estar en chmod 1777

6. Chequea el propietario de /var/tmp. Debería pertenecer a root:root

7. Chequea que /var/tmp está montado como sistema de archivos. No debería estar enlazado (ln -s) a /tmp o montado como un sistema de archivos.

8. Chequea que /var/tmp está montado con noexec,nosuid. Normalmente no tiene estas opciones, con lo que deberías considerar agregar un punto de montaje en /etc/fstab con esas opciones.

9. Chequea los permisos de /usr/tmp. Deberia estar en chmod 1777

10. Chequea el propietario de /usr/tmp. Deberia pertenecer a root:root

11. Chequea que /usr/tmp está montado como sistema de archivos o es un enlace simbólico (ln -s) de /tmp.

12. Chequea /etc/resolv.conf . No deberías especificar como nombre de servidor (nameserver) a 127.0.0.1 o a localhost. Usa la IP principal de los servidores en su lugar. Chequea 12b. Chequea /etc/named.conf por las restricciones de recursividad . Si tienes un servidor DNS local ejecutándose pero no tienes restricciones de recursividad establecidas, es un riesgo de seguridad y de rendimiento tan buenos como ataques DDoS contra tu sistema, con lo que deberías establecerlo sólo para las direcciones IP locales.

13. Chequea el runlevel del servidor. Para un entorno seguro deberías ejecutar el servidor sólo a nivel 3. Puedes solucinarlo editando /etc/inittab y cambiando la linea de "initdefault" a como sigue: id:3:initdefault y luego reiniciar el servidor.

14. Chequea el cron del usuario "nobody". Tienes un registro de nobody que deberías chequear si no ha sido creado por un exploit.

15. Chequea el soporte del Sistema Operativo. Asegírante que tu versión aún tiene soporte del fabricante y que las actualizaciones aún siguen disponibles.

16. Chequea si SSHv1 está desactivado. Deberías, editando /etc/ssh/sshd:config y configurando: Protocol 2 (eliminando la almohadilla del principio de linea y editando donde pone "1.1")

17. Chequea si SSH está en un puerto no-estándar. Mover SSH a un puerto no-estándar evita escaneos básicos de puertos SSH. Edita /etc/ssh/sshd_config y configura Port nnnn, donde nnnn es un puerto a tu elección. ¡No olvides abrir el puerto en el cortafuegos antes!

18. Chequea en SSH "PasswordAuthentication". Para la seguridad definitiva de SSH, puedes considerar desactivar esta opción y permitir acceso sólo usando "PubKeyAuthentication".

19. Chequea que el puerto 23 de telnet no está en uso. Cierra este puerto en tu cortafuegos. Telnet es un protocolo inseguro y deberías desactivar el servicio telnet si está ejecutándose.

20. Chequea los límites de recursos de la shell. Deberías activarlos para prevenir que los usuarios de shell consuman recursos de servidor (exploits de DoS, mayormente). Si estás usando cPanel/WHM activa "Shell Fork Bomb Protection".

21. Desactiva todas las instancias de IRC - BitchX, bnc, eggdrop, sniffers genéricos, servicios guardianes, ircd, psyBNC, ptlink. Si estás usando WHM puedes hacerlo en "Background Process Killer".

22. Chequea el modulo mod_security en apache. Debería estar instalado.

23. Chequea el modulo mod_evasive en apache- Deberías instalarlo desde el código fuente para evitar ataques DoS contra apache. Cuidado porque este módulo se carga la funcionalidad de FrontPage.

24. Chequea el valor RLimitCPU de apache. Deberías establecer un valor para evitar scripts que consuman recursos de servidor (exploits de DoS).

25. Igualmente para el valor RLimitMEM.

26. Chequea el valor de enable_dl en php. Deberías modificar /usr/local/lib/php.ini y configurar enable_dl = off. Esto previene a los usuarios de ejecutar modulos php que afecten a cualquiera en el servidor. Nota que si se usan librerías dinámicas, como ioncube, deberás cargarlas directamente en php.ini

27. Chequea el valor de disable_functions en php. Deberías modificar /usr/local/lib/php.ini y desactivar las funciones más comúnmente atacadas. Por ejemplo:disable_functions = show_resource, system, shell_exec, passthru, exec, phpinfo, popen, proc_open. Algunos scripts de clientes web pueden fallar con algunas de estas funciones desactivadas, así que tendrás que quitarlas de esta lista.

28. Chequea phpsuexec. Para reducir el riesgo de que hackers accedan a todos los sitios del servidor desde un script web, deberías activar phpsuexec cuando construyes apache/php. Nota que hay efectos laterales cuando se activa phpsuexec en un servidor y debes tenerlos en cuenta antes de activarlos.

Poco nos dura la estabilidad en Kubuntu-ES. Primero hemos pasado el host de albianlinux a Canonical, y ya he tenido problemas: como el de AL era MySQL 4.0, no había manera de guardar la codificación de las filas ni las tablas, con el consecuente fallo de acentos. Afortunadamente, he podido retocar el archivo de texto y volver a mandarlo vía PHPmyadmin para que todo esté como tiene que estar. Y ahora, a falta de no tener aún el dominio kubuntu-es.org asociado correctamente, tenemos el cierre de la página. Espero que rouzic no tarde demasiado, mayormente por los que vienen detrás. No entiendo muy bien por qué la política/manía que tiene de separar las secciones en distintos drupal, yo lo veo más problema que ayuda a la hora de gestionar la base de datos, pero ya se verá. En fin, supongo que pienso esto porque la página es ya como mi niña pequeña y quiero lo mejor para ella.

Bueeeeno, afortunadamente han arreglado cositas. Ya vuelvo a tener mldonkey (bieeeeen), y ya funciona el arranque gráfico (más "bieeeeen"). Parece estable. Por lo menos tengo los paquetes actualizados (su dolor de cabeza costó) y ya no me tengo que preocupar hasta pasados 6 meses. Aunque bueno, ahora que el SATA es el único disco duro, me espero fijo-fijo a que Feisty Fawn sea estable. Espero... xD