¿Qué nos ha llevado a tomar esta repentina decisión, cuando hasta el Viernes pasado aún estábamos publicando artículos? Un único y decisivo motivo: los proyectos y los clientes de la empresa nos exigen toda nuestra energía. Desgraciadamente, por más que me gusta escribir sobre Linux y el Software Libre, no le puedo dedicar ni un ápice más de mi tiempo sin que afecte a la calidad que estamos comprometidos a ofrecer a quien confía en nosotros para resolver sus necesidades TIC.

Así que, con todo el dolor de mi corazón, debo poner fin a esta aventura que ha durado 6 años, que ha recibido miles de visitas mensuales de lectores fieles y que me ha permitido conocer gente estupenda. Los artículos seguirán publicados y a disposición de todos los interesados mientras Activa Sistemas y la Web sigan ahí. ¿Volveremos? Quién sabe, nunca se puede decir nunca…

Gracias a todos. Hasta siempre.

sed es una utilidad de línea de comandos y nos permite con una sintaxis muy sencilla sustituir una cadena de texto por otra, que incluso permite utilizar expresiones regulares para aplicar la sustitución a patrones de cadenas. La operación más básica de sed tendría la siguiente forma:

# sed 's/antigua/nueva/g' fichero_original > fichero_nuevo


Si no queremos crear un fichero nuevo sino cambiar el existente, incluimos el parámetro -i:

# sed -i 's/antigua/nueva/g' fichero_original > fichero_nuevo


Veamos entonces el ejemplo mencionado de tener que sustituir el nombre del sistema por uno nuevo. Para ello, realizaremos una búsqueda en /etc y modificaremos los ficheros que contengan la cadena a cambiar.

# grep -r -H equipo1 /etc | cut -f 1 -d ":" | xargs sed -i 's/equipo1/equipo2/g'


En la línea anterior combinamos varios comandos Linux para prepara la lista de ficheros a procesar y obtener el resultado deseado con sed:

• grep hace una búsqueda recursiva (-r) en el directorio /etc e imprime los nombres de lo ficheros coincidentes (-H).
• cut extrae la primera columna (-f) indicando : como separador de las mismas (-d).
• xargs recibe la lista de ficheros y se le pasa a sed uno a uno (si no sed actuaría sobre toda la lista a la vez, lo cual no puede hacer).
• Finalmente sed realiza la sustitución.

Este truco es también muy útil para los desarrolladores web, por ejemplo para actualizar plantillas o código fuente. Un aviso: hay que asegurarse de que la cadena a sustituir SÓLO aparece en los ficheros que nos interesan, ya que podemos sufrir el efecto secundario de cambiar lo que no deberíamos.

Espero que os sea de utilidad. Hasta el truco de la semana que viene.

Supongamos que tenemos un buen número de imágenes para publicar en nuestra web en un formato que no nos conviene. Basta con que realicemos un bucle sobre la lista de imágenes convirtiendo cada una al formato deseado.
[code]
$ for i in *.jpg
> do
> echo «Convirtiendo $i…»
> convert -quality 75 $i $(basename $i .jpg).png
> done
[/code]

En el ejemplo hemos hecho una conversión desde JPG a PNG con un nivel de compresión concreto (75) para los ficheros de destino. Como se puede apreciar en la línea del comando convert, podemos incluir los parámetros que queramos para modificar el resultado a nuestro gusto. Dichos parámetros los podemos consultar en su manual electrónico (man convert). Además, hemos extraído el nombre base de cada fichero con el comando basename y le hemos añadido el sufijo .png.

La gran ventaja de convert (aparte de su rapidez y versatilidad) es que, al ser una utilidad de línea de comandos, la podemos ejecutar directamente en el servidor web, sin tener que bajarnos las imágenes, procesarlas y subirlas de nuevo.

Por cierto, convert no sólo convierte entre formatos de imagen, sino que también es capaz de realizar numerosas operaciones sobre imágenes: redimensionamiento, recorte, emborronamiento, optimización, rotación, unión, etc. La lista completa de posibilidades se encuentra en su web oficial.

Si no contamos con convert en nuestro sistema, basta con instalar ImageMagick. En Debian lo hacemos como habitualmente:

# apt-get install imagemagick


Hasta el truco de la semana que viene.

Las instrucciones que voy a dar a continuación para instalar son en esta ocasión independientes de la distribución de destino. Como siempre que instalamos un software, hay que ejecutarlas como superusuario.

Empezamos descargándonos el paquete con la versión más actual. Afortunadamente, sus autores lo han nombrado genéricamente maldetect-current.tar.gz, por lo que siempre estaremos seguros de bajarnos la última versión disponible. Por supuesto, la descarga la haremos en /usr/local/src, el directorio estipulado en el estándar para estos menesteres.

# cd /usr/local/src
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
Resolviendo www.rfxn.com (www.rfxn.com)... 129.121.132.46
Conectando con www.rfxn.com (www.rfxn.com)[129.121.132.46]:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
...
# tar xzvf maldetect-current.tar.gz
maldetect-1.4.2/
maldetect-1.4.2/CHANGELOG
maldetect-1.4.2/cron.daily
maldetect-1.4.2/README
maldetect-1.4.2/files/
...


Una vez descargado y descomprimido el paquete, nos cambiamos al directorio que contiene el software y procedemos a instalar.

# cd maldetect-1.4.2
# ./install.sh
Linux Malware Detect v1.4.2
(C) 2002-2013, R-fx Networks (C) 2013, Ryan MacDonald
inotifywait (C) 2007, Rohan McGovern
This program may be freely redistributed under the terms of the GNU GPL

installation completed to /usr/local/maldetect
...
maldet(6698): {sigup} signature set update completed
maldet(6698): {sigup} 11791 signatures (9899 MD5 / 1892 HEX)


Como podremos comprobar, no sólo se ha instalado el analizador sino que además se han actualizado sus bases de datos de firmas de malware. Con esto ya está listo para su uso, que podemos hacer de dos formas, o bien puntualmente o bien como servicio del sistema. En cualquier caso, tendremos que hacerlo como superusuario.

Supongamos que queremos analizar /tmp de forma puntual e interactiva. Invocaremos LMD de la siguiente forma:

# maldet -a /tmp


Si preferimos que sea en segundo plano en vez de interactivamente, lo hacemos así:

# maldet -b /tmp


Y si queremos que LMD se ejecute como servicio del sistema:

# maldet -m /tmp


También podemos indicarle que monitorice los directorios domésticos de los usuarios:

# maldet -m users


Evidentemente, si se reinicia el sistema, tendremos que arrancar LMD de nuevo a mano. Para ello, lo mejor es incluir su invocación en el script local de inicio del sistema, que en Debian es /etc/rc.local.

Si queremos detener el servicio LMD, basta con el siguiente comando:

# maldet -k


Finalmente, podemos consultar los resultados de la monitorización en el fichero /usr/local/maldetect/event_log.

Ah, y no olvidemos actualizar las bases de datos de firmas periódicamente con:

# maldet -u


Como es habitual, este comando lo podemos planificar a nuestra conveniencia mediante cron. Hasta el truco de la semana que viene.

Es cierto que ninguna de estas opciones cubren el 100% de las capacidades de Reader, como las animaciones o los modelos 3D empotrados, pero eran precisamente estas complejidades las que hacían de Reader una herramienta pesada e insegura. Aún así, hay una característica por la que sí echaríamos de menos a Reader: los formularios. Desgraciadamente, en España se realizan muchísimos trámites administrativos a través de plataformas telemáticas basadas, entre otras cosas, en documentos PDF empotrados en el navegador en los que hay que rellenar una serie de campos. Si Adobe abandona a los usuarios de Linux, ¿qué hacemos ahora para tener acceso a estos servicios públicos a los que tenemos derecho?

Afortunadamente, existe una solución basada en software libre sencilla de echar a andar. Consiste en utilizar el plugin MozPlugger para Firefox y combinarlo con Evince, que ofrece un mejor soporte de los formularios PDF que oKular, de forma que los documentos PDF aparezcan empotrados cuando así lo requiera un sitio web. Como es habitual, daré las instrucciones para Debian y derivadas, aunque son fácilmente adaptables a cualquier otra distribución Linux.

Empezamos instalando el software que necesitamos, es decir, MozPlugger y Evince. En el caso de Squeeze, Jessie y posteriores, ambos paquetes se encuentran en los repositorios oficiales:

# apt-get install mozplugger evince
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
...


Sin embargo, en el caso de Wheezy, la actual estable, no contamos con un paquete oficial, así que tendremos que descargarnos la versión para Squeeze de nuestra arquitectura e instalarla a mano, lo cual funciona sin problemas.

# dpkg -i mozplugger_1.14.1-1_amd64.deb
Seleccionando el paquete mozplugger previamente no seleccionado.
(Leyendo la base de datos ...)
Desempaquetando mozplugger (de mozplugger_1.14.1-1_amd64.deb) ...
Configurando mozplugger (1.14.1-1) ...


Una vez instalados los paquetes necesarios, procedemos a configurar mozplugger para que utilice Evince como su lector de PDF por predeterminado, que dependen de la versión de Debian que tengamos instalada.

En Jessie o posteriores editamos el fichero /etc/mozpluggerrc.d/62-documents.conf y buscamos la sección que se refiere a los documentos PDF:
[code]
application/pdf:pdf:PDF file
application/x-pdf:pdf:PDF file
text/pdf:pdf:PDF file
text/x-pdf:pdf:PDF file
ACROREAD()
repeat noisy swallow(Xpdf) fill needs_xembed: xpdf -g +9000+9000 «$file»
repeat noisy swallow(okular) fill needs_xembed: okular «$file»
repeat noisy swallow(epdfview) fill needs_xembed: epdfview «$file»
GV()
repeat noisy swallow(evince) fill needs_xembed: evince «$file»
[/code]

Entonces insertamos en primera posición una nueva línea referente a Evince para que así se convierta en el lector PDF empotrado predeterminado:
[code]
application/pdf:pdf:PDF file
application/x-pdf:pdf:PDF file
text/pdf:pdf:PDF file
text/x-pdf:pdf:PDF file
repeat noisy swallow(evince) fill: evince «$file»
ACROREAD()
repeat noisy swallow(Xpdf) fill needs_xembed: xpdf -g +9000+9000 «$file»
repeat noisy swallow(okular) fill needs_xembed: okular «$file»
repeat noisy swallow(epdfview) fill needs_xembed: epdfview «$file»
GV()
repeat noisy swallow(evince) fill needs_xembed: evince «$file»
[/code]

Finalmente tenemos que ejecutar un script que traslada los cambios realizados al fichero principal de configuración en /etc/mozpluggerrc:

# /usr/sbin/update-mozpluggerrc
Purging current configuration...
Generating mozpluggerrc...
Merging /etc/mozpluggerrc.d/20-header.conf ...
Merging /etc/mozpluggerrc.d/40-global_defs.conf ...
Merging /etc/mozpluggerrc.d/60-video.conf ...
Merging /etc/mozpluggerrc.d/61-audio.conf ...
Merging /etc/mozpluggerrc.d/62-documents.conf ...
Done.


En el caso de Wheezy y Squeeze lo único que hay que hacer es editar directamente el fichero /etc/mozpluggerrc según las instrucciones anteriores.

Ahora iniciamos Firefox (si ya lo teníamos abierto será necesario cerrarlo y abrirlo de nuevo) y configuramos las opciones de visualización de PDF. En el menú de Firefox, elegimos la opción de Preferencias y seleccionamos la sección de Aplicaciones. En el cuadro de búsqueda introducimos la cadena «pdf» y elegimos «mozplugger» en el desplegable. Tras pulsar en el botón «Cerrar», ya tendremos activo Evince como visor PDF empotrado predeterminado. Para hacer pruebas, podemos elegir cualquier documento PDF que incluya formularios.

Cambiando el lector de PDF predeterminado en Firefox

Los usuarios de otros navegadores se habrán dado cuenta que esta solución sólo funciona con Firefox y navegadores compatibles con el API de plugins de Netscape. De hecho, Chrome sustituyó su mecanismo de conexión de plugins hace unas pocas versiones, lo que impide que sus usuarios disfruten no sólo de MozPlugger, sino de otras tecnologías como Java. En este caso, la única solución posible es utilizar Firefox para esos sitios web en los que sea necesario utilizar formularios PDF empotrados.

Para finalizar debo advertir que el soporte de los formularios PDF de Evince no es perfecto y que es muy probable que tarde o temprano nos encontremos con un documento que no podamos rellenar, pero menos da una piedra. Espero que probéis esta receta y que compartáis vuestras impresiones.

bashcheck, que así se llama el script, realiza un serie de comprobaciones en el sistema en el que se ejecuta para analizar si sufre de alguna de las 6 vulnerabilidades publicadas a fecha de este artículo. Veamos cómo instalar el script en nuestros sistemas, mantenerlo actualizado y ejecutarlo periódicamente para que nos informe por email de si alguno es vulnerable o no.

Empezamos con la instalación de bashcheck. Como ya he dicho, el proyecto se encuentra alojado en un repositorio de GitHub, lo que nos podría hacer pensar que la opción más directa para descargar el script sea hacer uso de Git. Pero teniendo en cuenta que sólo vamos a descargar un fichero, que Git no suele venir instalado de serie en las distribuciones Linux más populares y que no es precisamente un software fácil de utilizar sin experiencia previa, creo que es mejor utilizar alguna herramienta más sencilla pero potente que sí esté ya instalada en nuestro Linux y que nos evite el tener que «contaminar» nuestro sistema con la instalación de un software que va a tener un uso tan marginal.

Para estos casos yo prefiero utilizar Wget, el cual permite descargarse un fichero sólo si ha sido actualizado. Sin embargo, GitHub no nos lo va a poner fácil en este sentido, ya que ni nos deja descargarnos un único fichero a nuestra elección sino todo el repositorio completo, ni sirve la información temporal necesaria como para que Wget o cualquier otra herramienta pueda comprobar si efectivamente el fichero disponible es más moderno que el que ya tenemos descargado. Por ello vamos a tener que sortear estos obstáculos a través del siguiente script que he preparado para la ocasión:
{code type=php}
#!/bin/bash
#
# descargar_bashcheck.sh
# Descarga bashcheck desde GitHub e instala si es una nueva version
# 2014 (C) Activa Sistemas
# Este script se distribuye bajo licencia GPL
#
STAMP=$(date +%Y-%m-%d)
echo «Descargando bashcheck…»
wget –quiet https://github.com/hannob/bashcheck/archive/master.zip -O /tmp/bashcheck_$STAMP.zip
unzip -o -q -j /tmp/bashcheck_$STAMP.zip bashcheck-master/bashcheck -d /usr/local/tmp
rm /tmp/bashcheck_$STAMP.zip
diff -q /usr/local/tmp/bashcheck /usr/local/bin/bashcheck 2> /dev/null
if [ $? != 0 ]
then
echo «Actualizando bashcheck…»
mv /usr/local/tmp/bashcheck /usr/local/bin/bashcheck
chmod 755 /usr/local/bin/bashcheck
chown root.root /usr/local/bin/bashcheck
echo «Nuevo bashcheck listo para su uso»
else
echo «No es necesario actualizar bashcheck»
fi
{/code}

Guardamos el código en un fichero que llamaremos descargar_bashcheck.sh, lo almacenamos en /usr/local/bin (donde deben ir las herramientas propias que desarrollemos) y le otorgamos permisos de ejecución:

# chmod 755 /usr/local/bin/descargar_bashcheck.sh


Lo ejecutamos por primera vez para comprobar que todo es correcto y que se descarga la última versión disponible de bashcheck:

# /usr/local/bin/descargar_bashcheck.sh
Descargando bashcheck...
Actualizando bashcheck...
Nuevo bashcheck listo para su uso
# ls -l /usr/local/bin/bashcheck
-rwxr-xr-x 1 root root 2889 oct 13 10:48 /usr/local/bin/bashcheck


El último paso es asegurarnos de que se mantiene actualizado y que se ejecuta diariamente para avisarnos de eventuales vulnerabilidades. Para ello, programamos un par de tareas con cron. Aunque el usuario root cuenta con su propia lista de tareas programadas, personalmente prefiero dar de alta las tareas generales del sistema en el fichero /etc/crontab, en el que insertaremos las siguientes líneas:

# bashcheck
00 07 * * * root /usr/local/bin/descargar_bashcheck.sh
30 07 * * * root /usr/local/bin/bashcheck | mail -s "Resultado analisis bashcheck" alguien@ejemplo.com


Con esto habremos programado la ejecución diaria de ambas tareas a las 7:00 y las 7:30, respectivamente, y enviaremos por email el resultado de bashcheck a la dirección que queremos. Os dejo como ejercicio hacer que bashcheck sólo mande el email si el resultado del test es positivo, es decir, se ha encontrado una vulnerabilidad en el sistema.

Para el que tenga a su cargo un buen número de sistemas y se pregunte cómo copiar descargar_bashcheck.sh y modificar el crontab en cada uno de manera automática y con el menor esfuerzo posible, le diré que la mejor manera es a través de un buen software de gestión automatizada de sistemas, como Chef, Ansible, Salt o, mi favorito, Puppet. Evidentemente, una herramienta así también nos sirve para aplicar parches si bashcheck nos avisa de una nueva vulnerabilidad.

Para terminar, una anécdota: tanto bashcheck como descargar_bashcheck.sh están escritos en BASH ¡Hasta el truco de la semana que viene!