Durante el último año y medio me ha estado rondando la cabeza la idea de tener más espacio de almacenamiento disponible en canelo, el servidor de casa pero quería hacerlo de una forma diferente a como hasta entonces, cuando añadía nuevos discos duros externos por USB. Además de generar calor, me estaba empezando a quedar sin espacio en la CajComm (la Caja de Comunicaciones) y sólo tenía un puerto USB disponible.

Teras a cholón

He escrito sobre mi nueva cabina de discos (no es un NAS, es sólo el espacio sin la lógica) en otro sitio y quería dejarlo por aquí. Aclarar que el término cabina de discos suena mucho más grande y épico de lo que en realidad es, una carcasa con cuatro bahías :).

Y aquí es donde entra wine y salva el día porque se instala fácil y rápido y funciona perfectamente. Eso sí, hay un ligero problema con las fuentes del instalador y se ve regular pero, el botón de Instalar es el situado a la izquierda de los dos :).

Instalando la aplicación

La instalación en debian bookworm se lleva a cabo de esta forma:

# actualizamos listas de paquetes e instalamos wine
sudo apt update
sudo apt full-upgrade -y
sudo apt install -y wine64

# configuramos wine
# ¡Importante! Elije Windows 10 como sistema operativo
winecfg

# instalamos la aplicación de reMarkable, previamente descargada de https://remarkable.com
cd descargas
wine reMarkable-3.5.2.753-win32.exe

# podemos ejecutarla con este comando...
wine '~/.wine/drive_c/Program Files (x86)/reMarkable/reMarkable.exe'

# o creando un lanzador que invocar desde kupfer o el menú de aplicaciones
echo "[Desktop Entry]
Name=remarkable2
Exec=wine '~/.wine/drive_c/Program Files (x86)/reMarkable/reMarkable.exe'
Terminal=false
X-MultipleArgs=false
Type=Application
StartupNotify=true" | tee ~/.local/share/applications/remarkable2.desktop
sudo update-desktop-database

Como comentaba, la tipografía es muy mejorable pero por lo demás, la aplicación funciona exactamente igual que si estuvieses en un Windows 10.

¡Viva el wine!

La opción en «retoques»:

Y luego, ya lo verías activo en la barra de volumen:

Espero que como a mi, te pueda servir en algún momento puntual reproduciendo contenido multimedia sin unos altavoces externos a mano, o cuando sacas el portátil de casa.

Si lo que queréis es actualizar «ya», aquí tenéis un procedimiento correcto aunque siempre recomendamos leer con detalle lo que dice Debian.

Debian 12 «bookworm» lanzado

10 de junio de 2023

Después de 1 año, 9 meses y 28 días de desarrollo, el proyecto Debian se enorgullece en presentar su nueva versión estable 12 (nombre en clave «bookworm»).

«bookworm» será soportado durante los próximos 5 años gracias al trabajo conjunto del equipo de seguridad de Debian y el equipo de soporte a largo plazo de Debian.

Siguiendo la Resolución General de 2022 sobre firmware no libre, hemos introducido un nuevo área de archivo que permite separar el firmware no libre de los demás paquetes no libres:

non-free-firmware (firmware no libre)

La mayoría de los paquetes de firmware no libre se han movido de no-free a non-free-firmware. Esta separación permite construir una variedad de imágenes de instalación oficiales.

Debian 12 «bookworm» viene con varios entornos de escritorio, tales como:

Gnome 43,
KDE Plasma 5.27,
LXDE 11,
LXQt 1.2.0,
MATE 1.26,
Xfce 4.18

Esta versión contiene más de 11.089 paquetes nuevos, con un total de 64.419 paquetes, mientras que se han eliminado más de 6.296 paquetes considerados «obsoletos». Se han actualizado 43.254 paquetes en esta versión. El uso total de disco para «bookworm» es de 365.016.420 kB (365 GB), y está compuesto por 1.341.564.204 líneas de código.

«bookworm» tiene más páginas de manual traducidas que nunca, gracias a nuestros traductores que han hecho las páginas de manual disponibles en varios idiomas como: checo, danés, griego, finlandés, indonesio, macedonio, noruego (bokmål), ruso, serbio, sueco, ucraniano y vietnamita. Todas las páginas de manual de systemd ahora están completamente disponibles en alemán.

El Debian Med Blend introduce un nuevo paquete: shiny-server, que simplifica las aplicaciones web científicas usando R. Hemos seguido nuestros esfuerzos de proporcionar soporte de Integración Continua para los paquetes del equipo de Debian Med. Instala los metapaquetes en la versión 3.8.x para Debian bookworm.

El Debian Astro Blend sigue ofreciendo una solución integral para astrónomos profesionales, entusiastas y aficionados, con actualizaciones en casi todas las versiones de los paquetes de software en la combinación. astap y planetary-system-stacker ayudan con la superposición de imágenes y la resolución astrométrica. openvlbi, el correlador de código abierto, ahora está incluido.

Se ha reintroducido el soporte para Secure Boot en ARM64: los usuarios de hardware ARM64 compatible con UEFI pueden arrancar con el modo Secure Boot habilitado para aprovechar al máximo esta función de seguridad.

Debian 12 «bookworm» incluye numerosos paquetes de software actualizados (más del 67% de todos los paquetes de la versión anterior), como:

Apache 2.4.57
BIND DNS Server 9.18
Cryptsetup 2.6
Dovecot MTA 2.3.19
Emacs 28.2
Exim (servidor de correo electrónico predeterminado) 4.96
GIMP 2.10.34
GNU Compiler Collection 12.2
GnuPG 2.2.40
Inkscape 1.2.2
The GNU C Library 2.36
lighthttpd 1.4.69
LibreOffice 7.4
Linux kernel 6.1 series
LLVM/Clang toolchain 13.0.1, 14.0 (por defecto) y 15.0.6
MariaDB 10.11
Nginx 1.22
OpenJDK 17
OpenLDAP 2.5.13
OpenSSH 9.2p1
Perl 5.36
PHP 8.2
Postfix MTA 3.7
PostgreSQL 15
Python 3, 3.11.2
Rustc 1.63
Samba 4.17
systemd 252
Vim 9.0

Con esta amplia selección de paquetes y su tradicional soporte para diversas arquitecturas, Debian una vez más cumple su objetivo de ser «El sistema operativo universal». Es adecuado para muchos casos de uso diferentes: desde sistemas de escritorio hasta netbooks; desde servidores de desarrollo hasta sistemas de clúster; y para servidores de bases de datos, web y almacenamiento. Al mismo tiempo, esfuerzos adicionales de aseguramiento de calidad, como pruebas de instalación y actualización automáticas para todos los paquetes en el archivo de Debian, garantizan que «bookworm» cumpla con las altas expectativas que los usuarios tienen de una versión estable de Debian.

Se admiten oficialmente un total de nueve arquitecturas para «bookworm»:

PC de 32 bits (i386) y PC de 64 bits (amd64),
ARM de 64 bits (arm64),
ARM EABI (armel),
ARMv7 (EABI con punto flotante, armhf),
MIPS de orden pequeño (mipsel),
MIPS de 64 bits de orden pequeño (mips64el),
PowerPC de 64 bits de orden pequeño (ppc64el),
IBM System z (s390x)

El PC de 32 bits (i386) ya no es compatible con ningún procesador i586; el requisito mínimo de procesador ahora es i686. Si tu máquina no es compatible con este requisito, se recomienda que te quedes con bullseye durante el resto de su ciclo de soporte.

El equipo de Debian Cloud publica «bookworm» para varios servicios de computación en la nube:

Amazon EC2 (amd64 y arm64),
Microsoft Azure (amd64),
OpenStack (genérico) (amd64, arm64, ppc64el),
GenericCloud (arm64, amd64),
NoCloud (amd64, arm64, ppc64el)

Actualización julio 2023: Ya hay repos externos.

Los pasos:

-1º) wget -O- -q https://www.virtualbox.org/download/oracle_vbox_2016.asc | sudo gpg –dearmour -o /usr/share/keyrings/oracle_vbox_2016.gpg

2º) echo «deb [arch=amd64 signed-by=/usr/share/keyrings/oracle_vbox_2016.gpg] http://download.virtualbox.org/virtualbox/debian bookworm contrib» | sudo tee /etc/apt/sources.list.d/virtualbox.list

3º) sudo apt update

4º) sudo apt install virtualbox-7.0

Actualización junio de 2023, Debian 12 ya está en «Stable» pero hay problemas temporales empaquetando el Software:

Debian 12 «Bookworm»

There are no packages, as of may 2023, for Debian Bookworm in the repositories. VirtualBox packages will arrive in Debian fasttrack after Debian 12 becomes the new stable release. In addition Oracle is waiting for the official release of Debian 12, before releasing a VirtualBox package: https://www.virtualbox.org/ticket/21524

Cómo instalar VirtualBox en Debian 12 Estable BookWorm

En el sitio de VirtualBox tenéis enlaces a todas las descargas, en este caso, seleccionáis «all distributions» https://www.virtualbox.org/wiki/Linux_Downloads

Estos son los 3 comandos para hacerlo:

wget https://download.virtualbox.org/virtualbox/7.0.8/VirtualBox-7.0.8-156879-Linux_amd64.run
chmod u+x VirtualBox-7.0.8-156879-Linux_amd64.run
sh VirtualBox-7.0.8-156879-Linux_amd64.run

### Info obsoleta de cuando Bookworm estaba en Testing

Debido que no es una instalación «al uso» y que tiene cierta complejidad si no sabes los pasos, unido a que en tu buscador de cabecera puede que no encuentres mucha información, nos hacemos eco del tutorial de instalación de VirtualBox en Debian testing «BookWorm» que han preparado los amigos de Slimbook.

En concreto, la autora es nuestra amiga Mar Lerín del equipo «dev». En lo personal (Dabo, aunque sé que es compartido por Diego) he de agradecer toda la ayuda que me han prestado para hacer funcionar correctamente Debian en el modelo executive de 16 » (mi equipo actual) que viene con una NVIDIA RTX 3050 Ti y necesita algún parámetro del Kernel así como otros ajustes para funcionar correctamente.

Como dato «curioso», deciros que estoy usando KDE Plasma tras años con GNOME y estoy absolutamente encantado (para mi es una vuelta a los orígenes;).

Acceso al tutorial de instalación de VirtualBox en Debian Testing BookWorm (ya no está el tutorial, quitamos el enlace)

### Info obsoleta de cuando Bookworm estaba en Testing

Tal y como podéis leer en el post de los vídeos:

Estos son los vídeos de la jornada «Herramientas libres contra la censura informativa» de Pica Pica HackLab, que se celebró el sábado 23 de abril de 2022 de forma telemática usando un servidor propio con el sistema de conferencia libre BigBlueButton.

Todos los vídeos se publican bajo la licencia Creative Commons Atribución – Compartir Igual 4.0 Internacional (CC BY-SA 4.0).

(Actualizado 14/09/2023, compatible 100 % con Debian 12)

Hoy quería recomendaros una aplicación que para mi se ha hecho imprescindible para mi. Hablo de OpenSnitch, un Firewall de aplicaciones para sistemas GNU/Linux que está basado en Little Snitch y escrito en Python. Una vez instalado, podréis tener un control total sobre todo lo que se conecta a La Red en vuestras máquinas.

A modo de «disclaimer», es necesario apuntar que es un Software en constante desarrollo y que por lo tanto, no es todo lo estable que llegará a ser más adelante, pero en mi caso, que lo he ido usando desde la versión 1.0.1 y viendo cómo evolucionaba, no veo ningún problema para que lo uséis en vuestras estaciones de trabajo.

Cómo instalar OpenSnitch en Debian 12

Aquí tenéis toda la información necesaria para instalarlo (también para otras distros de GNU/Linux), pero básicamente si descargáis el daemon y GUI en su última versión desde la página de descargas (en este momento la 1.6.3), se instalaría con este comando:

sudo dpkg -i opensnitch*.deb python3-opensnitch-ui*.deb; sudo apt -f install

Recordad que hay que descargar en Daemon y el cliente por separado y luego instalar

El método

sudo dpkg -i opensnitch*.deb python3-opensnitch-ui*.deb; sudo apt -f install

Os instalará varias dependencias y librerías necesarias para su funcionamiento.

Su uso es muy sencillo e intuitivo, cuando una aplicación quiere conectarse a Internet, os saldrá un «Pop Up»  para permitir su acceso o no (por defecto el valor es denegar)

En este ejemplo he usado la opcion «hasta reiniciar» para Signal en su versión de escritorio.Por defecto, la opción que usa es «Denegar» aunque eso se puede cambiar en sus ajustes.

El «Visor de eventos» ha ido mejorando y cada vez está más depurado, pudiendo ver todas las acciones y reglas que se están ejecutando en OpenSnitch.

También permite crear reglas personalizadas con un buen número de opciones.

En definitiva, OpenSnitch es una interesante opción para poder controlar en tiempo real el comportamiento de cada aplicación que quiere conectarse a Internet. Espero que lo veáis de utilidad y por la parte que me toca, seguiré al tanto de su desarrollo probando futuras releases ;).

Situación y de dónde vino el problema: Yo usaba Debian Testing desde 2019 y esta impresora en mis Debian desde hace unos 5 años y sin ningún problema. Tuve que reinstalar (o más bien necesité volver a «stable» y lo que en teoría era algo fácil (así lo recordaba) se complicó más de lo normal.

Vaya por delante mi agradecimiento a mi compañero Diego (en este hilo de TT hemos comentando sobre el tema además de hacer algunas risas;).

En teoría, mi modelo estaba soportado según OpenPrinting y supuestamente, vía cups a través del navegador en http://localhost:631/printers/ se añadía y listo, pero….no (se puede ver aquí).

Del mismo, modo, si ibas a añadirla vía «cups-browser» no aparecía mi modelo y da un «salto» de la 2250 a la 24000.

Usé varios .deb del fabricante en el sitio oficial de la L2340DW, cómo veis debajo en la imagen, todos los links han sido tanto visitados como descargados ;D.

Igualmente lo intenté según me aconsejó Diego con buen criterio (y por su experiencia habiendo administrado 10.000 impresoras, ahí es nada), usando el fichero PPD vía «cups browser» extrayéndolo del .deb…. Nada, seguía dando fallos con las dos versiones del driver aunque conseguí ver impresa una página de prueba. Sobre los errores: (es solo un ejemplo)

E [08/Feb/2021:13:36:21 +0100] Brother_HL-L2340D_series: Archivo \"/usr/lib/cups/filter/brother_lpdwrapper_HLL2340D\" no disponible: No such file or directory
E [08/Feb/2021:13:36:21 +0100] [Job 22] Unable to start filter "brother_lpdwrapper_HLL2340D" - Success.
E [08/Feb/2021:13:36:21 +0100] [Job 22] Stopping job because the scheduler could not execute a filter.
W [08/Feb/2021:13:41:01 +0100] CreateProfile failed: org.freedesktop.ColorManager.AlreadyExists:profile id \'HL-L2340D-Gray..\' already exists
E [08/Feb/2021:13:41:15 +0100] [Client 787] Returning IPP client-error-document-format-not-supported for Print-Job (ipp://localhost:631/printers/HL-L2340D) from localhost.

También por cierto llegué a intentarlo con los «lpr» que aunque está superado por Cups, fue en plan «a ver si funciona y paso página».

La solución: instalando la Brother HL-L2340DW en Debian 10 Buster (estable) :

Fue tan «fácil» (cuando ya lo sabes claro;) como descargar el instalador desde la página de Brother, (Driver install tool) descomprimirlo, darle permisos con un chmod u+x y ejecutarlo:

Os dejo con los pasos de la instalación (unos 3 minutos)

root@debian-woki:/home/dabo/Descargas/printer# ./driver-install
Input model name ->HL-L2340DW

You are going to install following packages.
hll2340dlpr-3.2.0-1.i386.deb
hll2340dcupswrapper-3.2.0-1.i386.deb
OK? [y/N] ->y

=========================================
Brother License Agreement

Do you agree? [Y/n] ->y

wget -T 10 -nd --no-cache http://www.brother.com/pub/bsc/linux/packages/hll2340dlpr-3.2.0-1.i386.deb
--2021-02-08 15:34:50-- http://www.brother.com/pub/bsc/linux/packages/hll2340dlpr-3.2.0-1.i386.deb
Resolviendo www.brother.com (www.brother.com)… 23.214.126.190
Conectando con www.brother.com (www.brother.com)[23.214.126.190]:80… conectado.
Petición HTTP enviada, esperando respuesta… 200 OK
Longitud: 35572 (35K) [application/x-troff-man]
Grabando a: “hll2340dlpr-3.2.0-1.i386.deb”

hll2340dlpr-3.2.0-1.i386.d 100%[=======================================>] 34,74K --.-KB/s en 0,02s

2021-02-08 15:34:50 (1,77 MB/s) - “hll2340dlpr-3.2.0-1.i386.deb” guardado [35572/35572]

=========================================
GPL License Agreement

Do you agree? [Y/n] ->y

wget -T 10 -nd --no-cache http://www.brother.com/pub/bsc/linux/packages/hll2340dcupswrapper-3.2.0-1.i386.deb
--2021-02-08 15:34:53-- http://www.brother.com/pub/bsc/linux/packages/hll2340dcupswrapper-3.2.0-1.i386.deb
Resolviendo www.brother.com (www.brother.com)… 23.214.126.190
Conectando con www.brother.com (www.brother.com)[23.214.126.190]:80… conectado.
Petición HTTP enviada, esperando respuesta… 200 OK
Longitud: 18990 (19K) [application/x-troff-man]
Grabando a: “hll2340dcupswrapper-3.2.0-1.i386.deb”

hll2340dcupswrapper-3.2.0- 100%[=======================================>] 18,54K --.-KB/s en 0,001s

2021-02-08 15:34:53 (16,7 MB/s) - “hll2340dcupswrapper-3.2.0-1.i386.deb” guardado [18990/18990]

Se «quejaba» como veréis debajo de la falta del mítico ia32-libs (por cierto, tenéis que habilitar el soporte para i386 con un:

dpkg --add-architecture i386
apt-get update

El paquete ia32-libs no está disponible, pero algún otro paquete hace referencia
a él. Esto puede significar que el paquete falta, está obsoleto o sólo se
encuentra disponible desde alguna otra fuente
Sin embargo, los siguientes paquetes lo reemplazan:
lib32z1

Se instalarán los siguientes paquetes adicionales:
lib32gcc1 libc6-i386
Se instalarán los siguientes paquetes NUEVOS:
lib32gcc1 lib32stdc++6 libc6-i386

Y para acabar:

Configurando libc6-i386 (2.28-10) …
Configurando lib32gcc1 (1:8.3.0-6) …
Configurando lib32stdc++6 (8.3.0-6) …
Procesando disparadores para libc-bin (2.28-10) …
dpkg -x hll2340dlpr-3.2.0-1.i386.deb /
dpkg -x hll2340dcupswrapper-3.2.0-1.i386.deb /
dpkg-deb: construyendo el paquete hll2340dlpr' enhll2340dlpr-3.2.0-1a.i386.deb'.
dpkg -b ./brother_driver_packdir hll2340dlpr-3.2.0-1a.i386.deb
dpkg-deb: construyendo el paquete hll2340dcupswrapper' enhll2340dcupswrapper-3.2.0-1a.i386.deb'.
dpkg -b ./brother_driver_packdir hll2340dcupswrapper-3.2.0-1a.i386.deb
dpkg -i --force-all hll2340dlpr-3.2.0-1a.i386.deb
Seleccionando el paquete hll2340dlpr:i386 previamente no seleccionado.
(Leyendo la base de datos … 243505 ficheros o directorios instalados actualmente.)
Preparando para desempaquetar hll2340dlpr-3.2.0-1a.i386.deb …
Desempaquetando hll2340dlpr:i386 (3.2.0-1) …
Configurando hll2340dlpr:i386 (3.2.0-1) …
dpkg -i --force-all hll2340dcupswrapper-3.2.0-1a.i386.deb
Seleccionando el paquete hll2340dcupswrapper:i386 previamente no seleccionado.
(Leyendo la base de datos … 243524 ficheros o directorios instalados actualmente.)
Preparando para desempaquetar hll2340dcupswrapper-3.2.0-1a.i386.deb …
Desempaquetando hll2340dcupswrapper:i386 (3.2.0-1) …
Configurando hll2340dcupswrapper:i386 (3.2.0-1) …
lpadmin -p HLL2340D -E -v usb://Brother/HL-L2340D%20series?serial=E73870G7N865242 -P /usr/share/ppd/brother/brother-HLL2340D-cups-en.ppd

Test Print? [y/N] ->y

wait 5s.
lpr -P HLL2340D /usr/share/cups/data/testprint
Hit Enter/Return key.

Y eso es todo, en menos de 3 minutos estaba la impresora funcionando. En http://localhost:631/admin/ puedes cambiar las opciones predefinidas:

Y mirando la salida de lpc stat, veréis que está todo correcto:

lpc stat
HLL2340D:
la impresora está conectada a ‘usb’ velocidad -1
la cola está activada
la impresión está activada
no hay entradas
demonio presente

Entiendo que este procedimiento os servirá también para otros modelos de Brother. Espero que os haya servido de ayuda y que os ahorre tiempo. Por mi parte, decir que en este proceso he aprendido un montón gracias a lo que iba viendo y la gran experiencia de Diego en estas lides (yo ya sabéis que me peleo más con los servers, aunque con los Desktop tengo buenas batallas también;).

Ya sabéis, al final ha sido una de principio «KISS» y el error fue mío por no haber usado esa opción, que me ha traído de cabeza unos 4 o 5 días en momentos que tenía libres del curro, para ver si la instalaba (con el soporte y consejos de Diego vía Signal:). También es cierto y diré en mi defensa xD, que para Debian 10, la información publicada en Internet era muy confusa y escasa. Creo que con Debian 11 no habrá ningún problema ¡ o eso espero !

Además, me encantan las Raspberry Pi, la idea y cómo la han llevado a cabo y tengo varias con las que experimento. Como también me gusta tener un montón de servicios alojados entre mi casa y los servidores dedicados, son un estupendo (y barato) medio con los que pasar horas. Así que creo que es justo advertir que esta entrada va sobre cómo des-complicarte la vida usando el software adecuado, una raspi y un par de discos duros.

El laberinto del backup

Hace ya unos años que expliqué cómo tener una NAS usando una raspberry pi y un disco mecánico de un tera y lo llamé ranas (si, el chiste es bastante malo).

En ranas terminaban los backups de todos los ordenadores de casa y estuvo funcionando hasta hace un par de meses, empleando un total de dos raspis porque la original de las fotos se quemó. También hacía backup de los datos de los servidores en otra raspi que tenía muchas tareas, algunas demasiado importantes como para estar pendiente de las copias de seguridad.

Hace unos meses me surgió la necesidad, nacida de la paranoia todo hay que decirlo, de hacer copia de los ficheros que tengo en la nube privada. Porque, por mucho que me repitiese que había copia de los ficheros en más de un sitio, la realidad es que es muy sencillo perderlo todo por un fallo en el servidor que se propague a los clientes. Ya contaba con backup de la base de datos y de la configuración pero, sólo yo tengo casi 30 gigas de datos y de haberlo enviado a ranas habría llenado el disco.

También teníamos otro disco compartido por samba donde dejaba películas y videos para poder verlos tranquilamente en el proyector. Este volumen llegué a conectarlo al router en un intento de darle mayor velocidad porque a veces se desincronizaba todo y no había forma de ver series y hasta hace no mucho no me di cuenta de que el problema era el acceso, estaba usando el protocolo equivocado.

Los backups via NAS se hacían usando samba, lo mismo que el volumen compartido mientras que las copias de los datos de servidores van por rsync sobre ssh. Usaba un total de dos raspberrys, dos discos duros mecánicos, varios scripts propios y un puñado de usuarios desperdigados por los servidores (no me bajaréis de esta burra). Al final, tenía una mezcla heterogenea (por decirlo suavemente) de discos, protocolos y raspis que lo hacía todo complicado de entender y gestionar y, entonces, algo fantástico sucedió…

El plan

Decidí dejar mis scripts y configuraciones a medida, de reinventar la rueda, y me propuse pasar a usar una solución NAS más completa. Buscaba una solución que me permitiera almacenar los backups, tanto de servidores como de la nube privada, servir de NAS para los equipos de casa y algún otro servicio alternativo como resultó ser DNLA.

Tras dar unas cuantas vueltas llegué a Open Media Vault, una solución open source basada en Debian GNU/Linux y que se puede instalar en raspis. Me animé a probarla en una Raspberry 3B que tenía ociosa y me encantó. Me daba un punto centralizado de gestión (adiós varios usuarios distribuidos por las raspis), una interfaz sencilla y todos los protocolos que usaba en un mismo lugar y, además, me recordó que si quieres hacer streaming de video lo mejor no es samba sino DNLA. En apenas un par de días tenía todos los backups y el volumen compartido en una única raspi con un disco SSD de 720 GB funcionando rápido y bien. Y las series ahora ya no se trababan :D.

Con la llegada de las navidades y las ofertas en informática que les acompañan, me decidí a comprar un kit de iniciación a las raspis con una 4B de 4 GB y un par de discos duros SSD de 1TB, provenientes de China. Entre las raspis 3B y las 4B hay una diferencia crucial si estás pensando en montar un servidor NAS y es que en la primera los puertos USB y la tarjeta de red (de 100Mb) comparten interrupción, esto es, que se pisan cuando se hace un uso intensivo de ambos. Como la idea de las NAS es coger por red lo que guardas en el disco duro externo, la tragedia se masca y el proceso es más lento. Las 4B tienen interrupciones independientes para los puertos USB y la tarjeta de red Gigabit y, dos de los cuatro puertos USB son 3.0. En ranas tenía un cable con doble entrada USB para alimentar al disco mecánico y no comenzase con la musiquita del tic-tic-tic-tic, que indicaba que no tenía suficiente alimentación. Ahora ya no es necesario para ninguno de los dos discos SSD. Es más, si me da el aire puede que le añada un tercer disco con el cable doble en los puertos 2.0.

Mi plan maligno era montar un nuevo servidor de almacenamiento usando la nueva raspi y los dos discos SSD y que diese soporte a los backups, al NAS y al volumen compartido. Es decir, iba a montar OpenMediaVault usando un hardware significativamente mejor y más rápido.

Era la hora de dar vida a fritz.

Securización

Habitualmente suelo configurar las raspis como si fuese un servidor más, porque lo son, y les aplico unas configuraciones estrictas que garanticen un mínimo de seguridad. Cuando monté OpenMediaVault (OMV a partir de ahora) por primera vez me di cuenta que no puedo aplicar mis configuraciones porque espera precisamente que sea una raspi sin modificaciones.

Así que, con esta limitación en mente, me propuse conseguir la configuración más segura posible, con los siguientes puntos:

1. utilizar sólo usuarios creados en OMV
2. el acceso por ssh se hará sólo con clave pública y sólo para los usuarios seleccionados. Root ni siquiera debería ser una opción.
3. dejar al usuario pi vacío, sin ninguna modificación salvo la contraseña. Ni clave pública ni acceso a ningún servicio
4. usar sólo los servicios que necesito, el resto anularlos o quitarlos
5. todos los backups deben estar cifrados. El resto del contenido ya tal
6. los usuarios accederán a su directorio y a nada más. Nada de usuarios para varios servicios y con acceso a todo

La configuración en OMV

• cambiar contraseña de admin a una muy compleja.
• crear un certificado y aplicarlo al sitio:
  • usar certificado nuevo y forzar ssl
• habilitar monitorización
• discos ssd
  • conectar, detectar y formatear los dos discos de 1TB
  • montarlos y salvar la configuración para hacer el cambio perdurable.
• smart
  • activar smart para ssd1TBmedia
  • activar smart para ssd1TBbackup
• nfs: desactivar
• ftp: desactivar
• rsync: desactivar
• usuarios y grupos
  • crear usuarios virtuales
    • añadir clave pública
    • dar acceso por ssh
• ssh
  • sólo autenticación por clave pública.
  • añadir opción Match Address 192.168.1.*
• directorios home de usuarios
  • activar
• carpetas compartidas
  • permisos: 700
  • accesible sólo por usuario

El script

Aquí dejo el script que he utilizado para la clonación de raspbios, instalación y la configuración de OMV. ¡OJO!! Se trata de un script personal, casero y perfectamente falible. Declino toda responsabilidad si, por ejemplo, lo aplicas a tu raspi y formateas algo que no debas xD.

export HOST='raspi'
export DOMN='example.com'
export FQDN="$HOST.$DOMN"

cd ~/descargas
unalias ls
if [ ! `ls *raspios*lite*img` ] ; then
    unzip *raspios*lite*zip
fi
IMG=`ls *raspios*lite*img`
SD="/dev/XXXXX" # ¡¡ojo!! esto puede ser una tarjeta SD
SD1="${SD}1"
SD2="${SD}2"
sudo umount /mnt/*
sudo umount /media/diego/*
sudo dd if=$IMG of=$SD bs=4M status=progress

sudo mkdir -p /mnt/boot /mnt/rootfs
sudo mount "$SD1" /mnt/boot/
sudo mount "$SD2" /mnt/rootfs/

# activo ssh desde el inicio
sudo touch /mnt/boot/ssh

cd /mnt/rootfs

# uso tmpfs para ciertos directorios
echo "
tmpfs       /tmp        tmpfs   defaults,noatime,mode=1777,size=50m  0   0
tmpfs       /var/tmp    tmpfs   defaults,noatime,mode=1777,size=50m  0   0
tmpfs       /run        tmpfs   defaults,noatime,mode=1777,size=50m  0   0
" | sudo tee --append etc/fstab

echo "127.0.0.1 $FQDN $HOST
127.0.0.1 localhost.localdomain localhost
:1        localhost ip6-localhost ip6-loopback
ff02::1   ip6-allnodes
ff02::2   ip6-allrouters" | sudo tee etc/hosts
echo $HOST | sudo tee etc/hostname
figlet $FQDN | sudo tee etc/motd

# evito que se pida contraseña a los usuarios del grupo sudo
sudo sed -i 's|^%sudo\tALL=(ALL:ALL) ALL|%sudo\tALL=(ALL) NOPASSWD:ALL|g' etc/sudoers

cd
sudo umount /mnt/boot
sudo umount /mnt/rootfs
sudo rmdir /mnt/boot /mnt/rootfs

Hay que conectarse vía SSH una vez más, ssh pi@raspi.

sudo passwd pi # imprescindible poner una contraseña MUY segura

# elimina el mensaje que aparece si la wlan no está configurada
sudo rfkill unblock `rfkill | grep wlan | awk '{print $1}'`

# limpieza de sources.list
sudo sed -i '/^#/d'      /etc/apt/sources.list
sudo sed -i '/^$/d'      /etc/apt/sources.list
sudo sed -i '/deb-src/d' /etc/apt/sources.list
#sudo sed -i 's/$/contrib non-free/' /etc/apt/sources.list
sudo sed -i '/^#/d'      /etc/apt/sources.list.d/raspi.list
sudo sed -i '/^$/d'      /etc/apt/sources.list.d/raspi.list
sudo sed -i '/deb-src/d' /etc/apt/sources.list.d/raspi.list

# quito paquetes que no necesito
sudo apt purge -y alsa-utils triggerhappy wpasupplicant pi-bluetooth bluez bluez-firmware cpp* dmidecode g++* gcc-[4567]* gdb* geoip-database build-essential tcc* dpkg-dev luajit libluajit-5.1-common nano ncdu patch plymouth libplymouth4 tasksel tasksel-data traceroute rpcbind samba-common v4l-utils xdg-user-dirs cifs-utils dbus libdbus-*

# actualizo e instalo imprescindibles
sudo apt update
sudo apt full-upgrade -y
sudo apt install -y bash-completion vim ntp htop
sudo apt purge -y `dpkg -l | grep ^rc | awk '{print $2}'`
sudo apt autoremove -y
sudo apt clean

# núcleo de 64 bits
sudo rpi-update
echo -e "\n# 64 bits\narm_64bit=1" | sudo tee -a /boot/config.txt

# OpenMediaVault prerequisitos
sudo rm -f /etc/systemd/network/99-default.link
sudo reboot && exit

# OpenMediaVault instalación
sudo mkdir -p /var/log/nginx # normalemente no es necesario pero por si acaso
sudo mkdir -p /var/log/samba # normalemente no es necesario pero por si acaso
wget -O - https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install | sudo bash

# detengo nfs y portmap
sudo systemctl stop nfs-server.service
sudo systemctl disable nfs-server.service
sudo systemctl stop portmap.service
sudo systemctl disable portmap.service

Conclusiones

Esta nueva raspi es considerablemente más rápida y no sólo a nivel de red sino que los 4 GB de RAM se notan y mucho. El cambiar los discos mecánicos por otros SSD y usar puertos USB 3.0 en vez de los 2.0 también le añaden un buen montón de rendimiento y potencia al conjunto.

En cuanto a OpenMediaVault me parece una verdadera joya que funciona muy bien a pesar de no tener debajo un servidor propiamente dicho. Me encantaría verlo funcionar en un hardware potente, con varios discos y un buen puñado de CPU y RAM, tiene que ser una delicia. En mi caso, primaba el bajo consumo y la ausencia de ruido.

Algo que sí me gustaría poder hacer en OMV es desactivar los servicios que no se usan, al igual que sucede con los plugins. Pero vienen metidos en el core de la aplicación y no he encontrado la forma (aún). Es púramente estético porque los servicios no están funcionando ni escuchando en ningún puerto pero es lo que siempre hago y la cabra tira al monte.

El taller Jugando con raspis va de cómo instalar, configurar y securizar (un poco), una raspi para que se convierta en tu servidor web casero desde cero. La idea surgió cuando alguien preguntó en el grupo de telegram sobre la mejor forma de publicar una página estática con un currículum y se me ocurrió usar una raspberry pi para eso. Por supuesto, si es casero implica que hay que usar una conexión a internet convencional y un DDNS para poder estar accesibles en todo momento. Todo eso lo explico en el video y, además, incluye un script con todos los comandos, idea para vag no complicarse la vida xD.

Jugando con raspis