Privacidad y protección?

Debido a diversas razones, en mi trabajo uso un segundo perfil de firefox. Este perfil lo ejecuto con otro usuario diferente al mio habitual.

Pensé en compartir esto por una razon muy simple, revisando algunos tipos de vulnerabilidades de nuestros navegadores, a cualquiera le puede entrar un poco de miedo por que alguien consiga mediante “algún mecanismo” acceso a nuestros ficheros mientras estamos conectados.

De ahí lo bueno de un segundo usuario involucrado, un usuario sin privilegios en linux y sin passwod… pocas cosas puede hacer, por lo tanto este tipo de vulnerabilidades en esa parte dejan de tener importancia, aunque no por ello dejan de ser peligrosas (escalada de privilegios y tal).

Para mí el único punto débil es el punto fuerte, que no tienes tus ficheros accesibles y si necesitas hacer un “upload” desde ese firefox tendrás que traspasar el fichero desde tu usuario al “sin privilegios”, es un poco en gorroso, pero… merece la pena?
Arrancarlo es fácil:

xhost +LOCAL:
sudo su -c firefox sinprivilegios
Soporte de USB en Virtualbox

Para todos los que usamos el estupendo VirtualBox es casi imprescindible usar los usb’s de la máquina “Host”.
Me he encontrado que en ubuntu no basta con añadir nuestro usuario al grupo “vboxusers” como viene siendo habitual, sino que hay que dar permisos sobre /proc/usb para poder usar los dispositivos conectados al pc.
En mi caso he hecho 2 modificaciones, una sobre el fichero /etc/fstab
Y es añadir:

none /proc/bus/usb usbfs devgid=VBOXUSERS_GID,devmode=664 0 0

Para saber el “VBOXUSERS_GID” podemos usar la siguiente orden:

grep vboxusers /etc/group | awk -F\: '{print $3}'

Si esto no es suficiente, añadir las siguientes líneas al script de inicio /etc/init.d/vboxdrv :

if ! chmod g+rw $DEVICE 2>/dev/null; then
rmmod vboxnetadp 2>/dev/null
rmmod vboxnetflt 2>/dev/null
rmmod vboxdrv 2>/dev/null
failure "Cannot change permissions for $GROUPNAME to device $DEVICE"
fi

Todo esto por debajo del comentario:

# ensure permissions

Aproximadamente en la linea 194.

Por supuesto todo esto hay que hacerlo como root y hay que reiniciar el sistema (únicamente para el tema de /proc).

Filtro para adblockplus

Feliz año nuevo!!
Subo mi filtro de adblockplus para todos aquellos que lo uséis (y los que no, qué esperáis).
Para mí es la extensión indispensable para firefox y navegar sin ella es infumable.

Enlace (botón derecho… guardar como)

En la propia página de adblockplus:

Tenéis un fantástico video de como instalarlo (para los novatos en el tema) y seguramente hasta una demo de como utilizarlo para bloquear cosas.

We are using MySQL, help save it [UPDATED]

Well… CE has decided and as everyone suppose they had considered that this is not a monopolistic movement (i doubt that), the terms of Oracle involving MySQL are ridiculous. Time will give us the answer, i hope all keep running fine for MySQL and opensource community.
—-
We’re using MySQL for free, don’t let ORACLE to buy sun and give them the opportunity of “steal” our money with privative licenses:
http://monty-says.blogspot.com/2009/12/help-saving-mysql.html
Support Michael “Monty” Widenius to save it.

Oracle está a punto de comprar Sun, pero antes tiene que pasar por la comisión Europea antimonopolio. Oracle está haciendo toda la presión posible para que la EC (comisión europea) acepte esto, cosa que a cualquier usuario de software libre debería parecerle una aberración, más teniendo en cuenta lo que NO ha prometido Oracle:

  1. Mantener Mysql como proyecto opensource
  2. Participar en la comunidad
  3. Aplicar los parches subministardos por la comunidad de manera activa.
  4. Discriminar los parches que puedan hacer a MySQL mucho más competitiva frente a Oracle
  5. Seguir trabajando en MySQL para ofrecer una alternativa a Oracle.

Como digo esto es lo que Oracle NO ha prometido y que seguramente ignorará ante la “pequeña” amenaza que se supone es MySQL.
En la página de Monty tenéis unas plantillas para enviar a la CE, que deberíais enviar, a ver si evitamos este movimiento monopolista.

Actualizado: Blacklist de ips mediante apache

Hola,
He estado modificando el filtro de ip’s y os pongo el código de un pequeño script para generar un fichero legible por apache que simplemente basta con hacer un include del mismo:

#!/bin/bash
REMOTE_BLACKLIST="http://www.ciberterminal.net/blog/blacklist.list"
BLACKLIST_BANNER="http://www.yourdomain.com/banned_ip.html"
build_apache_list()
{
   local APACHE_BLACKLIST="/etc/httpd/conf.d/blacklist.conf"
   local TMPFILE="/tmp/blacklist.tmp"
   wget "$REMOTE_BLACKLIST" --output-document=$TMPFILE
   echo 'Rewritecond %{REQUEST_URI}     !^/blog/banned_ip.html$' > $APACHE_BLACKLIST
   for i in $(cat $TMPFILE)
   do
      echo "RewriteCond %{REMOTE_ADDR}     $i [OR]" >> $APACHE_BLACKLIST
   done
   echo "RewriteCond %{REMOTE_ADDR}     1.1.1.1" >> $APACHE_BLACKLIST
   echo 'RewriteRule ^(.*)$     $BLACKLIST_BANNER [R,L]' >> $APACHE_BLACKLIST
}
build_apache_list


Esto genera un fichero que se ha de incluir en la configuración de vuestros vhosts mediante:

Include /etc/httpd/conf.d/blacklist.conf

Logicamente, hay que generar un bonito html que la gente vea y en el dudoso caso que sus intenciones no fuesen hostiles… podríais desbanear.

Howto: Postfix

He publicado otro howto, en este caso de postfix.
He de decir que ahora me explico por qué la gente usa sistemas como "zimbra" que es un "all-in-one", solo te tienes que descargar la suite, instalar y configurar un par de cosas, el resto va casi todo solo (otra cosa es que después funcione como tú quieres)…
Mi conclusión es que no es para nada trivial el funcionamiento de un sistema de correo "decente", es decir, multiusuario-multidominio, con unas interfaces "amistosas" y que realmente, funcione…
La verdad es que mi intención no es la de hacer un relay de correo y no entro en temas de tunning del servidor, solo en la instalación básica que ya tiene suficiente chicha, la verdad.
Espero que si alguien se encuentra en alguna encrucijada, este howto le ayude, por que yo la verdad me he tenido que empapar de unos cuantos…