maravento

Cache Híbrido en Squid Proxy

2026-02-10T16:39:00.071-05:00

Squid se define como un "caching proxy"; de hecho su nombre real es squid-cache, por tanto todo gira en torno a la "cache" (sin tilde, para los puristas de la RAE, porque es un anglicismo técnico ampliamente aceptado en informática).

Este proxy permite configurar múltiples directorios para la cache de manera simultánea, aprovechando las ventajas de diferentes sistemas de almacenamiento. En este post exploraremos dos configuraciones optimizadas que combinan Rock (rápido, optimizado para SSD) y UFS (tradicional, para objetos grandes) para maximizar el rendimiento de tu proxy.

¿Por qué usar cache híbrido?

La estrategia de cache híbrido aprovecha lo mejor de dos mundos:

Rock: Extremadamente rápido para objetos pequeños y medianos (imágenes, CSS, JS, HTML)
UFS: Eficiente para objetos grandes (videos, descargas, ISOs, actualizaciones)

Esta separación permite que Squid sirva contenido frecuente desde Rock a velocidades SSD, mientras almacena archivos grandes en UFS sin desperdiciar espacio en cache rápido.

Requisitos Mínimos

Hardware

RAM mínima: 8 GB (4 GB para Squid + 4 GB para sistema operativo)
Espacio en disco: Mínimo 150 GB libres
- 100 GB para cache Rock
- 50 GB para cache UFS
CPU: 2+ cores recomendados
Tipo de disco: SSD recomendado (HDD funciona pero más lento)

Software

Ubuntu 20.04+ / Debian 11+
Squid 5.0 o superior
Usuario proxy creado por el paquete de Squid

Red

Servidor dedicado o con recursos compartidos controlados
Ancho de banda adecuado para el número de usuarios

Configuración 1: Servidor Compartido (4 GB RAM para Squid)

Ideal para servidores que ejecutan múltiples servicios (Apache, UniFi Controller, DHCP, bases de datos, etc.)

Configuración en /etc/squid/squid.conf:

# ==================================================================
# MEMORIA Y CACHE
# ==================================================================
cache_mem 4096 MB
maximum_object_size_in_memory 8192 KB      # 8 MB
memory_replacement_policy heap LFUDA
cache_replacement_policy heap LFUDA
maximum_object_size 131072 KB              # 128 MB

# ==================================================================
# DIRECTORIOS DE CACHE
# ==================================================================
# Rock: objetos pequeños/medianos (≤ 5 MB)
cache_dir rock /var/spool/squid/rock 102400 max-size=5242880

# UFS: objetos grandes (5 MB - 128 MB)
cache_dir ufs /var/spool/squid/ufs 50000 16 256 min-size=5242881

# ==================================================================
# OPTIMIZACIONES
# ==================================================================
ipcache_size 2048
fqdncache_size 4096
memory_pools_limit 32 MB
max_filedescriptors 32768

Script de instalación:

#!/bin/bash

# Crear directorios de cache
mkdir -p /var/spool/squid/{rock,ufs} 2>/dev/null
chown -R proxy:proxy /var/spool/squid
chmod -R 700 /var/spool/squid

# Inicializar caches
squid -z

# Habilitar e iniciar servicio
systemctl enable squid 2>/dev/null
systemctl start squid

echo "Squid cache híbrido configurado correctamente"

Configuración 2: Servidor Dedicado (16 GB RAM para Squid)

Ideal para servidores dedicados exclusivamente a proxy o con recursos abundantes.

Configuración en /etc/squid/squid.conf:

# ==================================================================
# MEMORIA Y CACHE
# ==================================================================
cache_mem 16384 MB                         # 16 GB
maximum_object_size_in_memory 8192 KB      # 8 MB
memory_replacement_policy heap LFUDA
cache_replacement_policy heap LFUDA
maximum_object_size 262144 KB              # 256 MB

# ==================================================================
# DIRECTORIOS DE CACHE
# ==================================================================
# Rock: objetos pequeños/medianos (≤ 5 MB)
cache_dir rock /var/spool/squid/rock 102400 max-size=5242880

# UFS: objetos grandes (5 MB - 256 MB)
cache_dir ufs /var/spool/squid/ufs 50000 16 256 min-size=5242881

# ==================================================================
# OPTIMIZACIONES
# ==================================================================
ipcache_size 4096
fqdncache_size 8192
memory_pools_limit 64 MB
max_filedescriptors 65536

Script de instalación:

#!/bin/bash

# Crear directorios de cache
mkdir -p /var/spool/squid/{rock,ufs} 2>/dev/null
chown -R proxy:proxy /var/spool/squid
chmod -R 700 /var/spool/squid

# Inicializar caches
squid -z

# Habilitar e iniciar servicio
systemctl enable squid 2>/dev/null
systemctl start squid

echo "Squid cache híbrido de alto rendimiento configurado"

Parámetros Explicados

cache_mem

Memoria RAM dedicada para cachear objetos en memoria. No es el total de RAM que Squid usará (habrá overhead adicional).

maximum_object_size_in_memory

Tamaño máximo de un objeto individual para almacenarse en RAM. Objetos mayores van directo a disco.

maximum_object_size

Tamaño máximo global de objetos a cachear. Objetos mayores no se cachean.

cache_dir rock

102400: ~100 GB de espacio
max-size=5242880: Objetos hasta 5 MB (5,242,880 bytes)

cache_dir ufs

50000: ~50 GB de espacio
16: Subdirectorios de primer nivel (00-0F en hexadecimal)
256: Subdirectorios de segundo nivel
min-size=5242881: Solo objetos mayores a 5 MB

Algoritmo LFUDA

Least Frequently Used with Dynamic Aging - mantiene objetos frecuentemente accedidos, ideal para proxies con patrones de uso repetitivos.

Verificación de Funcionamiento

1. Verificar estructura de directorios

# Verificar que existan ambos directorios
ls -ld /var/spool/squid/rock /var/spool/squid/ufs

# UFS debe tener subdirectorios 00-0F
ls /var/spool/squid/ufs/

Salida esperada:

drwx------ 2 proxy proxy 4096 feb 9 12:57 rock
drwx------ 18 proxy proxy 4096 feb 9 12:57 ufs

00  01  02  03  04  05  06  07  08  09  0A  0B  0C  0D  0E  0F

2. Verificar que Squid reconoce ambas capas de cache

Funcionamiento del cache híbrido en un entorno en producción Ubuntu 24.04

squidclient -p 3128 mgr:storedir

Salida esperada:

Store Directory #0 (rock): /var/spool/squid/rock
FS Block Size 1024 Bytes
Maximum Size: 104857600 KB
Current Size: 83920.00 KB 0.08%

Store Directory #1 (ufs): /var/spool/squid/ufs
FS Block Size 4096 Bytes
First level subdirectories: 16
Second level subdirectories: 256
Maximum Size: 51200000 KB
Current Size: 32736.00 KB

Nota:

Squid usa procesos "disk kids" separados. Ejemplo:

kid1 (squid-1): Worker principal + UFS
kid2 (squid-disk-2): Gestor de Rock
kid3 (squid-coord-3): Coordinador

3. Verificar espacio usado

sudo du -sh /var/spool/squid/rock /var/spool/squid/ufs

Ejemplo de salida:

1.4G    /var/spool/squid/rock
49M     /var/spool/squid/ufs

4. Verificar uso de RAM real

ps aux | grep '[s]quid' | awk '{sum+=$6} END {print "RAM Real: " sum/1024 " MB"}'

Nota importante: El comando systemctl status squid | grep Memory puede mostrar valores altos (40+ GB) que representan memoria virtual, no RAM física real. Usa el comando ps anterior para ver el consumo real.

5. Monitorear en tiempo real

# Ver crecimiento de ambos caches
watch -n 30 "sudo du -sh /var/spool/squid/rock /var/spool/squid/ufs"

6. Script completo de verificación

#!/bin/bash

echo "═══════════════════════════════════════════════════"
echo "  VERIFICACIÓN DE CACHES SQUID"
echo "═══════════════════════════════════════════════════"
echo ""

echo "1. Configuración activa:"
grep "cache_dir" /etc/squid/squid.conf | grep -v "^#"
echo ""

echo "2. Espacio usado:"
sudo du -sh /var/spool/squid/rock /var/spool/squid/ufs
echo ""

echo "3. RAM real usada:"
ps aux | grep '[s]quid' | awk '{sum+=$6} END {print "Total: " sum/1024 " MB"}'
echo ""

echo "4. Store directories reconocidos:"
squidclient -p 3128 mgr:storedir | grep -E "Store Directory|Maximum Size|Current Size"
echo ""

echo "═══════════════════════════════════════════════════"

Interpretación de Resultados

Distribución esperada de objetos

Rock tendrá MÁS objetos (miles o millones): contenido web típico (HTML, CSS, JS, imágenes)
UFS tendrá MENOS objetos (decenas o cientos): videos, descargas grandes, actualizaciones

Ejemplo real:

Rock:  1,699 objetos →  82 MB usado
UFS:      57 objetos →  32 MB usado
RAM:   2,203 objetos → 112 MB usado

Crecimiento normal

Con uso regular, después de días/semanas:

Configuración 4GB:

Rock: 50-80 GB, millones de objetos
UFS: 10-30 GB, cientos/miles de objetos
RAM: 2-3 GB en uso real

Configuración 16GB:

Rock: 80-100 GB, millones de objetos
UFS: 30-50 GB, miles de objetos
RAM: 8-12 GB en uso real

Solución de Problemas Comunes

Error: "WARNING: disk-cache maximum object size..."

Causa: maximum_object_size mayor que cache_mem

Solución: Asegúrate de que:

cache_mem esté en MB
maximum_object_size esté en KB
Ejemplo: cache_mem 4096 MB y maximum_object_size 131072 KB

Solo aparece un cache_dir en logs

Verificar:

# Ver configuración
grep "cache_dir" /etc/squid/squid.conf | grep -v "^#"

# Reinicializar
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/{rock,ufs}/*
sudo squid -z
sudo systemctl start squid

Uso excesivo de RAM (systemd muestra 40+ GB)

No es un problema real. Systemd muestra memoria virtual. Verificar RAM real:

ps aux | grep '[s]quid' | awk '{sum+=$6} END {print sum/1024 " MB"}'

Si el resultado es <2 GB para configuración de 4GB o <10 GB para 16GB, está funcionando correctamente.

FATAL: assertion failed: Controller.cc

En ocasiones, estas configuraciones fallan, porque Rock puede tener millones de entradas indexadas pero solo una cantidad ínfima objetos válidos. Esto sucede cuando los objetos expiran pero sus índices quedan, o hay corrupción por apagados incorrectos o el cache nunca se limpia adecuadamente. También puede aparecer este mensaje: Rebuilding storage in /var/spool/squid/ufs (dirty log). Misma causa; corrupción del store UFS (y adicional Squid 6.x tiene un bug conocido con transients + rebuild). La solución a esto es limpiar las caches (squid -z) y ajustar los parámetros y monitorear la cache de Squid para eventuales problemas e ir ajustando dichos valores a su entorno:

# Ver uso de memoria en tiempo real
watch -n 2 'systemctl status squid | grep -E "Memory|CPU"'

# Ver objetos en cache
sudo squidclient -p 3128 mgr:storedir

# Ver info general
sudo squidclient -p 3128 mgr:info

# Monitorear Squid"
sudo journalctl -u squid -f

# Verificar memoria compartida vs real. Ejemplo:
cat /proc/$(pgrep -o squid)/status | grep -i "rss\|shared"
VmRSS:	  417596 kB
RssAnon:	    6776 kB
RssFile:	   16484 kB
RssShmem:	  394336 kB
# real
ps aux | grep '[s]quid' | awk '{sum+=$6} END {print "RSS total aparente: " sum/1024 " MB"}'
RSS total aparente: 761.672 MB

Workers

Los workers son procesos de Squid que trabajan en paralelo para atender peticiones de usuarios. La recomendación general es esta:

Carga baja/media (< 1000 usuarios concurrentes):
bashworkers 2
Carga alta (1000-5000 usuarios):
bashworkers 3
Carga muy alta (> 5000 usuarios):
bashworkers 4  # Máximo recomendado para 6 CPUs

⚠️ Importante sobre workers:

Cada worker adicional consume más memoria compartida (mapeos)
NO pongas más de 4 workers con 6 CPUs (deja CPUs para el SO)
Con workers 2 + coordinador + disker = 4 procesos squid (perfecto para 6 CPUs)
Si no está seguro, no lo especifique en su archivo de configuración y Squid funcionará en modo single-process

Ventajas de desactivar workers:

✅ Más simple: Un solo proceso, más fácil de debuggear
✅ Menos overhead: No hay coordinación entre procesos
✅ Memoria más clara: No hay confusión con memoria compartida
✅ Suficiente para + 500 usuarios: Un proceso bien optimizado maneja bastante

Desventajas:

⚠️ Menos throughput: No aprovecha múltiples CPUs
⚠️ Cuello de botella: En redes grandes un solo proceso se satura
⚠️ No escala tan bien: Para alto tráfico necesitas workers

Consideraciones de Rendimiento

Ventajas del cache híbrido

✅ Velocidad: Rock sirve contenido frecuente a velocidad SSD
✅ Eficiencia: UFS maneja archivos grandes sin desperdiciar espacio rápido
✅ Escalabilidad: Fácil agregar más espacio a cualquier cache
✅ Flexibilidad: Cada cache puede estar en discos diferentes

Cuándo usar cada configuración

Configuración 4GB si:

Servidor con múltiples servicios
RAM limitada (8-32 GB total)
50-200 usuarios concurrentes
Presupuesto ajustado

Configuración 16GB si:

Servidor dedicado a proxy
RAM abundante (64+ GB)
200-1000+ usuarios
Máximo rendimiento requerido

Conclusión

La configuración híbrida Rock + UFS ofrece el mejor balance entre velocidad y capacidad para Squid. Con la configuración adecuada según tus recursos, puedes lograr:

Hit rates del 30-60% en redes típicas
Reducción significativa de ancho de banda
Tiempos de respuesta más rápidos
Mejor experiencia de usuario

Limitaciones

Recuerde que estas configuraciones tienen límites. Siempre estará presente el fantasma del error FATAL: assertion failed: Controller.cc por tanto deberá monitorear regularmente a Squid y el uso de cache para ajustar los parámetros según los patrones de uso de tu red.

Si usa Squid 6x y tiene un SSD, y este error se vuelve frecuente y su Squid se detiene sin previo aviso, hay dos opciones: O actualizar a la versión más reciente o desactivar una de las dos caches (preferentemente desactivar UFS y dejar Rock que es la más estable). A continuación cada caso:

# Constantes independientes de RAM y disco
maximum_object_size 262144 KB
maximum_object_size_in_memory 512 KB

# Tamaño de la cache, asumiento que tiene un SSD mínimo de 500 GB con ~45–50 % libre
cache_dir rock /var/spool/squid/rock 200000 max-size=268435456 slot-size=32768

# Variable según RAM
cache_mem 8192 MB   # 64 GB
cache_mem 4096 MB   # 32 GB
cache_mem 2048 MB   # 16 GB

# Y finalmente:
sudo squid -k shutdown # o sudo service squid stop o sudo systemctl stop squid
sleep 5
# Nota: es mejor mantener las carpetas de cache individuales dentro de la ruta /var/spool/squid y en squid.conf
sudo rm -rf /var/spool/squid/rock/*
sudo squid -z
sudo systemctl start squid

Tenga cuidado con estos parámetros, ya que puede salir el siguiente error:

ERROR: /var/spool/squid/rock/rock exception: check failed: pending->writeRequest->len <= Ipc::Mem::PageSize() exception location: IpcIoFile.cc(381) push current master transaction: master11991

Causa: cuando sube demasiado el slot-size. Ejemplo: slot-size=65536. Significa 64 KB y esto puede romper en varias builds, ya que, en Squid 6.x, slot-size no puede ser arbitrariamente grande. Por tanto los valores anteriores son conservadores y evitan este error.

Un slot-size=32768 es el punto óptimo entre:

Fragmentación
IPC límite
Estabilidad

Por otro lado, aunque la configuración híbrida Rock + UFS está técnicamente optimizada, es importante entender una limitación fundamental de Squid actualmente: el 95%+ del tráfico web es HTTPS, lo cual significa que está encriptado de extremo a extremo.

¿Qué significa esto para tu cache?

Cuando Squid maneja tráfico HTTPS sin SSL-Bump (interceptación SSL), solo actúa como un "túnel" ( TCP_TUNNEL) que pasa el tráfico encriptado sin poder:

❌ Ver el contenido de las peticiones
❌ Cachear los objetos descargados
❌ Aplicar refresh_patterns
❌ Comprimir o optimizar contenido

Ejemplo real de logs sin SSL-Bump:

# Análisis de 1000 peticiones en un proxy de producción:
sudo tail -1000 /var/log/squid/access.log | awk '{print $4}' | sort | uniq -c | sort -rn

480 TCP_TUNNEL/200           48.0% ← HTTPS exitoso (NO cacheable sin SSL-Bump)
174 TCP_DENIED/403           17.4% ← Bloqueado por tus ACLs
167 TCP_TUNNEL/503           16.7% ← HTTPS fallido
82  TCP_MISS_ABORTED/503      8.2% ← Conexiones abortadas
25  NONE_NONE/000             2.5% ← Peticiones malformadas
18  TCP_CF_MISS_ABORTED/503   1.8% ← Collapsed forwarding abortado
17  TCP_MEM_HIT/200           1.7% ← ✅ HIT desde RAM
17  NONE_NONE/400             1.7% ← Peticiones inválidas
6   TCP_MISS/304              0.6% ← No modificado
5   TCP_MISS/200              0.5% ← Descargado (no en cache)
4   TCP_INM_HIT/304           0.4% ← ✅ HIT validado
3   TCP_HIT/200               0.3% ← ✅ HIT desde disco
1   TCP_REFRESH_UNMODIFIED    0.1% ← ✅ HIT refrescado
1   TCP_IMS_HIT/304           0.1% ← ✅ HIT if-modified-since

De 1000 peticiones:

# Tráfico NO cacheable (85%):
480 + 167 = 647 HTTPS (64.7%) ← No se puede cachear sin SSL-Bump
174 bloqueados (17.4%)
82 + 18 abortados (10.0%)
# Tráfico potencialmente cacheable (15%):
17 + 6 + 5 = 28 HTTP real
26 HITs de 28 HTTP = 92.9% hit rate en HTTP ✅

Dominios más frecuentes (todos HTTPS):

102 topapps-func.pinsightmedia.com:443   ← Puerto 443 = HTTPS
47  web.whatsapp.com:443                 ← Puerto 443 = HTTPS  
40  tlu.dl.delivery.mp.microsoft.com     ← Windows Update
27  ctldl.windowsupdate.com              ← Windows Update
23  web.whatsapp.com:5222                ← XMPP encriptado

Comandos usados:

#!/bin/bash

LINES=2000

echo "════════════════════════════════════════════════════════"
echo "  ANÁLISIS DE DOMINIOS - Últimas $LINES peticiones"
echo "════════════════════════════════════════════════════════"
echo ""

echo "▶ TOP 20 DOMINIOS MÁS USADOS:"
sudo tail -$LINES /var/log/squid/access.log | awk '{print $7}' | cut -d'/' -f3 | cut -d':' -f1 | sort | uniq -c | sort -rn | head -20
echo ""

echo "▶ TOP 15 DOMINIOS HTTPS (no cacheables):"
sudo tail -$LINES /var/log/squid/access.log | grep "TCP_TUNNEL" | awk '{print $7}' | cut -d'/' -f3 | cut -d':' -f1 | sort | uniq -c | sort -rn | head -15
echo ""

echo "▶ TOP 10 DOMINIOS CON CACHE HITS:"
sudo tail -$LINES /var/log/squid/access.log | grep -E "HIT" | awk '{print $7}' | cut -d'/' -f3 | cut -d':' -f1 | sort | uniq -c | sort -rn | head -10
echo ""

echo "▶ TOP 10 DOMINIOS BLOQUEADOS:"
sudo tail -$LINES /var/log/squid/access.log | grep "DENIED" | awk '{print $7}' | cut -d'/' -f3 | cut -d':' -f1 | sort | uniq -c | sort -rn | head -10
echo ""

echo "════════════════════════════════════════════════════════"

Se puede cachear sin SSL-Bump?

Aunque el panorama es limitado, todavía hay contenido valioso que cachear:

✅ Actualizaciones de Windows/Linux: Muchas aún usan HTTP o están permitidas para cache
✅ Repositorios APT/YUM: Paquetes .deb, .rpm
✅ CDNs específicos: Algunos servicios siguen usando HTTP
✅ Contenido corporativo interno: Si controlas el servidor, puedes usar HTTP

Hit rates realistas a la fecha:

Sin SSL-Bump: 5-15% hit rate (principalmente actualizaciones de SO)
Con SSL-Bump: 30-60% hit rate (requiere certificados en clientes)

¿Vale la pena el cache híbrido entonces?

SÍ, especialmente para:

✅ Redes corporativas con muchos equipos Windows/Linux descargando actualizaciones
✅ Instituciones educativas con laboratorios que se actualizan frecuentemente
✅ Control y logs de acceso web (aunque no se cachee HTTPS, sí se registra)
✅ Filtrado de contenido por dominio/IP (ACLs siguen funcionando)
✅ Ahorro de ancho de banda en el 5-15% del tráfico cacheado (que puede ser considerable)

Alternativa: SSL-Bump (Interceptación HTTPS)

Para cachear tráfico HTTPS, necesitas configurar SSL-Bump, que requiere:

Generar un certificado CA propio
Instalar el certificado en TODOS los dispositivos de la red
Configuración compleja en Squid (ssl_bump, sslcrtd)
Consideraciones legales/privacidad (interceptas tráfico encriptado)

⚠️ SSL-Bump NO se recomienda a menos que:

Sea un ambiente corporativo totalmente controlado
Tengas autorización legal para interceptar tráfico
Puedas distribuir certificados a todos los dispositivos
Aceptes la complejidad técnica adicional

Conclusión sobre HTTPS:

El cache híbrido Rock + UFS sigue siendo la configuración óptima técnicamente, pero las expectativas de hit rate deben ser realistas. En redes típicas sin SSL-Bump, esperar entre 5-15% de hit rate, principalmente de actualizaciones de sistemas operativos y aplicaciones. Esto sigue representando un ahorro significativo de ancho de banda, especialmente en redes con muchos dispositivos.

Precisión vs Marketing

2025-11-15T16:07:00.216-05:00

Hace muchísimo tiempo atrás, cuando Squid-Cache reinaba en oficinas, colegios, cabinas de internet y servidores caseros, existía un ecosistema vibrante de herramientas creadas por la comunidad para analizar, monitorear y domar al famoso proxy.

La Era Dorada de Squid

En los años 2000 y principios de los 2010, Squid era absolutamente crítico en la infraestructura de red. El ancho de banda era escaso y costoso, especialmente en América Latina. Las corporaciones necesitaban caché para optimizar la experiencia de usuario, los colegios requerían control de acceso para filtrar contenido, y los cybercafés dependían de Squid para maximizar su rentabilidad. No era un lujo: era una necesidad técnica y económica, y fue así como se convirtió en guardián silencioso de miles de redes alrededor del mundo.

El Ecosistema que Floreció

Con ese imperio de Squid vino una explosión de herramientas artesanales: scripts, parsers, generadores de reportes. Programadores independientes creaban utilidades para responder preguntas vitales: ¿quién consume más ancho de banda? ¿Qué dominios visitamos? ¿Está el cache funcionando correctamente? Estas herramientas eran simples, enfocadas, y funcionaban. Algunos desarrolladores ganaban reputación en foros, listas de correo y SourceForge por mantener el código que otros necesitaban.

Pero, con el paso de los años, estos proyectos legendarios comenzaron a desvanecerse, sin despedidas formales, sin releases finale; simplemente dejaron de actualizarse. Entre ellos, auténticas joyas como:

SARG (Squid Analysis Report Generator): Reportes HTML claros y detallados generados a partir del access.log; quién navegó, qué visitó, cuánto consumió y qué bloqueó Squid. Fue el estándar de facto durante años. No está oficialmente E.P.D., pero parece un zombie. Su última actualización registrada fue en marzo de 2022, pero continúa vivo en los repositorios Debian/Ubuntu.
LightSquid (E.P.D. 2009): Un analizador ligero en Perl/CGI que convertía el access.log en reportes rápidos por usuario o IP. Instalación fácil, interfaz sencilla… y un abandono silencioso que lo dejó detenido en el tiempo.
Calamaris (E.P.D. desconocido, pero muy antiguo): Un clásico escrito en Perl, capaz de extraer estadísticas técnicas bellamente detalladas: métodos HTTP, dominios, picos de tráfico, tipos de contenido. Quedó congelado en sus últimas versiones, convertido en fósil digital.
SqStat (E.P.D. 2006): Monitor en tiempo real usando cachemgr, mostrando conexiones activas, URLs solicitadas y usuarios conectados. Una de las pocas herramientas "live" para Squid. Su código se detuvo abruptamente y nunca volvió a actualizarse.
Webalizer de Bradford L. Barrett: Herramienta escrita en C para analizar logs web y de proxy, incluyendo los de Squid, y generar reportes HTML con estadísticas por visitas, referencias, países y volumen de datos. Su desarrollo principal se detuvo el 26 de agosto de 2013 con la versión 2.23-08, aunque existen forks activos mantenidos por otros desarrolladores.
Webalizer-Squid: Un conjunto de parches y configuraciones para adaptar Webalizer específicamente a los logs de Squid. Permitía generar estadísticas más útiles que las del Webalizer estándar. Dejó de actualizarse cuando Webalizer empezó a decaer.
squid-rrd (E.P.D. desconocido): Script que recogía datos de Squid (connections, hits, cache, throughput) y los volcaba a gráficas RRD tipo MRTG. Muy popular en la era de Cacti/Nagios. La web original desapareció y no se ven actualizaciones desde hace más de una década.
Squidview (E.P.D. 2017): Programa para ver logs de Squid en tiempo real desde consola. Mostraba URL, IP, códigos HTTP y tamaños.
SquidAnalyzer (E.P.D. 2017): Analizador de logs en Perl que generaba estadísticas en HTML, enfocado en tráfico, usuarios y dominios. El desarrollo oficial se detuvo en 2017, aunque recibió actualizaciones puntuales a través de repositorios de terceros.
sqtop (E.P.D. 2015): Parecido a un "top" para Squid que nunca pasó de versiones muy tempranas y quedó abandonado.
Otros proyectos perdidos en el tiempo: Muchos otros son tan viejos que ya no hay referencias oficiales, como Proxy-Analyzer o ProxyAnalyzer, PySquid (murió con Python 2), quanalyzer (Squid Quantitative Analyzer), Squeezer (un generador de reportes minimalista para Squid, hecho en Perl), Squid Accounting Tool (SAT), una herramienta para contabilizar tráfico por usuario/IP a partir de los logs que desapareció junto con su sitio y repositorio, etcétera.

¿Por qué murió el ecosistema?

La muerte no fue repentina. Fue una lenta asfixia causada por cambios inevitables en la tecnología: El surgimiento de las CDNs modernas (Cloudflare, Akamai, Fastly) hizo que el caché local fuera menos necesario. Las grandes corporaciones migraron su contenido a infraestructuras globales distribuidas. El ancho de banda se volvió más barato y accesible. Los hogares comenzaron a tener conexiones Mbps de 10, 20, 100..., suficientes para no necesitar un proxy lo optimizara. Pero el golpe más duro vino de HTTPS y TLS. Con la adopción casi universal de conexiones cifradas, Squid ya no podía inspeccionar el contenido de manera transparente, analizar URLs o aplicar filtros granulares como lo hacía antes. Muchas de las métricas que generaban estas herramientas se volvieron opacas. Las estadísticas dejaron de ser confiables. El valor que ofrecían se desvaneció, y, aunque comenzó a soportar HTTPs, ya fue demasiado tarde. La migración masiva a soluciones en la nube y la proliferación de webapps "todo en uno" en lenguajes modernos (Go, Rust, Python 3) dejaron a Squid como una reliquia del pasado: poderoso, estable, pero anticuado. Entoces surgió la pregunta: ¿Para qué mantener un analizador de Squid si ya nadie usa Squid?. Y fue así como el ecosistema se vino abajo.

Lo que quedó

Aquí yace la ironía: Squid como software base sigue vivo. Recibe actualizaciones regulares en 2024 y 2025. La última versión es Squid 6.x con mejoras de seguridad y rendimiento. Pero su ecosistema —ese magnífico conjunto de herramientas que lo rodeaba— murió sin que nadie lo notara. Mientras tanto, herramientas modernas asumieron los roles:

GoAccess: Análisis de logs en tiempo real, moderno, escrito en C, funciona con cualquier formato de log
ELK Stack (Elasticsearch, Logstash, Kibana): Solución empresarial para ingestión masiva de logs
Graylog: Alternativa a ELK, más ligera, más enfocada
Prometheus + Grafana: Monitoreo y visualización de métricas en tiempo real

Pero estas herramientas son agnósticas respecto a la fuente de logs. No necesitan código específico para Squid. Funcionan con cualquier cosa que genere eventos.

La Nostalgia de lo Perdido

Lo más melancólico es que muchas de estas herramientas asesinadas eran brillantes en su simpleza. SARG generaba reportes HTML con un simple script; Calamaris extraía estadísticas en cuestión de segundos; LightSquid se instalaba y configuraba en menos de 5 minutos, Sqstat ofrecía el tráfico en tiempo real. Eran eficientes, respetuosas con los recursos, y hacían exactamente lo que prometían. La comunidad open source que las creó ni siquiera se despidió. No hubo previo aviso, ni migración ordenada de usuarios hacia alternativas. Los desarrolladores simplemente desaparecieron —hacia empleos corporativos, hacia otros proyectos, hacia el retiro, hacia el más allá...— dejando un reguero de cadáveres digitales en SourceForge o en cualquier otro repositorio.

Es un recordatorio amargo: en el software libre, la mortalidad no siempre es anunciada. A veces, simplemente sucede. Llama a la puerta un día y se da cuenta de que nadie ha actualizado el código en 15 años.

Squid en la Actualidad: La Supervivencia por Razones Económicas

Squid no desapareció por completo. Sigue siendo utilizado, pero en escenarios muy específicos y con un propósito muy diferente al original.

En pequeñas y medianas empresas, Squid continúa vigente principalmente como filtro de tráfico y no como optimizador de ancho de banda, y la razón es puramente económica.

La mayoría de los routers comerciales en el mercado actual (Mikrotik, Ubiquiti, Cisco, etc.) filtran o por firewall o por DNS, pero este filtrado es lento y poco granular. No pueden inspeccionar contenido real, no pueden detectar patrones dentro de una conexión, no pueden bloquear de manera precisa y contextual. Un proxy como Squid, en cambio, inspecciona cada petición HTTP/HTTPS en detalle: puede bloquear un sitio específico, una palabra clave dentro de un dominio, un tipo de contenido particular. Es miles de veces más rápido y preciso. La ecuación es simple:

Router con capacidad IDS/IPS = fuera del alcance de PYMES
Router con firewall básico = barato, pero limitado (lo que usa la mayoría)
Router con capacidad de proxy = solo para ricos y grandes presupuestos corporativos
Squid = gratis y tan capaz como todos los anteriores

Y esa es precisamente la razón —a nuestro juicio— del porqué Squid sigue vivo. Ningún hardware y software lo ha podido superar en ese aspecto. Es gratis, de código abierto, ofrece granularidad real, y funciona con máquinas recicladas. Para una PYME que necesita filtrado profesional y no tiene presupuesto para hardware dedicado, Squid es prácticamente imbatible. Es difícil competir contra eso, pero, paradójicamente, miles de PYMES en América Latina y Norteamérica invierten decenas de miles de dólares en firewalls y soluciones DNS "premium", y la gran mayoría desconoce que con un servidor viejo y cero inversión pueden implementar un filtrado técnicamente superior a todo lo que pagaron.

El Poder del Marketing

A las empresas le han vendido humo y les ha entrado hasta por donde no les da el Sol. Prefieren pagar por interfaces bonitas, llena de gráficas coloridas que por precisión real. Ahí radica el poder del marketing y su slogan: "mejorar la experiencia del usuario", lo que se traduce en "alimentar a su hambriento sistema de publicidad con toneladas de metadatos y telemetría invasiva"... Y si el software es diseñado en China, mucho peor, ya que le aplica la Ley de Inteligencia Nacional de 2017 de esa nación, que obliga a todas las organizaciones y ciudadanos a "apoyar, ayudar y cooperar con el esfuerzo de inteligencia nacional", o sea, a entregarle los datos a ese gobierno, sí o sí.

Squid representa la solución que nadie busca, pero que todos necesitarían si supieran que existe. Sin embargo, incluso este último bastión está bajo asedio.

Nuevas tecnologías están desplazando lentamente a Squid también del mercado PYME: los portales cautivos (con sus hotspot) y los filtros DNS (OpenDNS, Pi-hole, Adguard, NxFilter, etc.) han ganado terreno exponencialmente, no porque sean técnicamente superiores —de hecho, son profundamente inferiores—, sino por una razón completamente superficial pero determinante: interfaz de usuario amigable y estadísticas atractivas.

Pero ¿cómo funcionan exactamente estos filtros DNS?.

Simple: interceptan las consultas DNS de la red e impiden que se resuelvan dominios bloqueados. Suena bien, pero en la práctica es brutalmente ineficiente y limitado, ya que:

- El filtrado por firewall o DNS es lento, poco granular e ineficiente.

- Esto ocurre porque no fueron creados para análisis profundo ni filtrado avanzado.

- Solo ven facebook.com → sí o no; no distinguen rutas, subdominios ni patrones complejos.

- Esta restricción es la misma en la mayoría de firewalls básicos de routers.

- Pero aun así la gente los usa, como si fueran un proxy y comienzan a filtrar sitios como si no hubiese un mañana, y su sistema a ralentizarse...

Un bucle infinito de limitaciones, porque simplemente no son aplicaciones diseñadas para filtrar, o sea, no son un proxy. Y es por eso que estas aplicaciones se limitan a incluir filtros AD (publicidad, métricas, etc.), que en eso sí se destacan, pero es algo que también puede hacer un proxy y mucho mejor.

Filtrado por DNS vs Firewall vs Proxy

Un proxy, como Squid-Cache sí fue diseñado para filtrar casi cualquier cosa que se les ocurra: inspecciona cada petición HTTP/HTTPS línea por línea, permite facebook.com/noticias/ pero bloquea facebook.com/adult/, filtra subdominios específicos, usa expresiones regulares, analiza encabezados, cookies, patrones de contenido y maneja en milisegundos listas negras con millones de líneas. Si no creen, intenten cargar las listas negras Blackweb o Blacklists UT1 en un router Mikrotik o Pi-hole y verán cómo su sistema colapsa.

Es precisión quirúrgica versus marketing... Es operar con bisturí versus con un machete.

Pero toda esa potencia técnica, es invisible para quien mira una moderna interfaz; un dashboard, con métricas llamativas y relucientes, al estilo de powerpoint, es más persuasiva para un gerente que la línea de comandos para administrar Squid.

Los filtros DNS o los routers son más simples de instalar y configurar, requieren menos conocimiento técnico, y sus interfaces vistosas hacen que las organizaciones crean que tienen una solución "mágica", cuando en realidad están sacrificando precisión, velocidad y control por comodidad estética.

Squid sigue vivo, pero en las sombras. Potente, eficiente, pero invisible para los nuevos administradores de sistemas informáticos y redes; invisible para los que toman decisiones de presupuesto; invisible para la industria que lo reemplaza con alternativas más "amigables" pero técnicamente inferiores. Un fantasma útil que sigue cumpliendo su trabajo silenciosamente en servidores remotos de oficinas en provincias, mientras la tecnología avanza hacia soluciones que priorizan la experiencia del usuario sobre la eficiencia técnica.

Supervivientes

Afortunadamente, la masacre no terminó con todo el ecosistema. El que una vez fue el todo poderoso Webmin, y que muchos daban por muerto, reemplazándolo con Cockpit, Ajenti, aaPanel o ISPConfig y otras alternativas más atractivas, sigue vivo y coleando, y mantiene módulos dedicados expresamente a la administración de Squid.

También sobrevivió SquidStats, un excelente proyecto para el manejo de estadísticas de Squid, con un gran equipo de desarrollo detrás, pero, desafortunadamente, apenas sobrevive y tiene escasas visitas en github.

Y para el resto del ecosistema, el reinado terminó. SARG, LightSquid, Calamaris y sus hermanos yacen en el cementerio digital, esperando a un historiador de la tecnología que algún día cuente sus historias.

La Resurrección: Proxy Monitor

Proxy Monitor

Pero la historia no termina aquí. Nosotros nos negamos a dejar morir estas leyendas. Por eso creamos Proxy Monitor; una aplicación web open source, que resucita cuatro de estos fantasmas, devolviéndolos a la vida: LightSquid, SqStat, SARG, SquidAnalyzer + un módulo propio de nuestro portal: Squidmon (y otro en camino: Logview) + un script para el control del consumo de datos por cliente que trabaja con el set de datos de Lightsquid.

Proxy Monitor (Proxymon) integra estas herramientas clásicas en una interfaz web moderna, unificada y funcional. No es un dashboard con gráficos coloridos, diseñado para impresionar CEOs. Es algo mejor; es precisión recuperada; es funcionalidad que sobrevivió a la prueba del tiempo, ahora accesible de nuevo. Todas juntas, en un solo lugar, para facilidad de uso.

El proyecto está actualmente en Beta, ya que estamos corrigiendo con IA el código de los módulos descontinuados, pero con la promesa de pasar a Release Candidate próximamente.

Requiere solo Squid-Cache y Apache2. Lee el access.log de Squid y transforma esos datos en reportes detallados, estadísticas granulares, monitoreo en tiempo real y análisis profundo. Todo lo que las herramientas originales ofrecían, optimizado para los sistemas modernos.

Los administradores de sistemas que aún usan Squid —los que no fueron seducidos por dashboards bonitos ni interfaces de un clic— tienen ahora la oportunidad de dejar la pereza de lado. Retomen estas leyendas. Recuperen la precisión quirúrgica que el mercado abandonó. Descarguen Proxy Monitor, instálenlo en su servidor y devuelvan a la vida a estas joyas olvidadas. Porque, mientras el mundo elige interfaces deslumbrantes sobre eficiencia técnica, ustedes —los verdaderos sysadmins— pueden seguir eligiendo lo correcto. Squid sigue vivo. Sus herramientas también pueden estarlo.

Para mayor información visite Proxy Monitor.

IPv4 up IPv6 down

2025-10-25T11:57:00.019-04:00

En tiempos pasados, todo era IPv4. Administrar una LAN era, por decirlo de alguna manera, más sencillo. Un único protocolo, reglas claras, tráfico predecible. Luego llegó IPv6 (y HTTPS) y abrió la caja de Pandora. Los diferentes sistemas operativos comenzaron a incluir IPv6 activado por defecto, trayendo consigo una avalancha de protocolos auxiliares y de repente, los dispositivos tenían múltiples direcciones IP, múltiples puertas de enlace, múltiples formas de comunicarse sin que el administrador lo notara.

Y si algo demostró IPv6, es que los estándares únicos habían muerto. Los navegadores aprendieron la lección y dejaron de usar exclusivamente el clásico puerto 53 y apareció un abanico de protocolos, todos cifrados, encapsulados, automatizados e "inteligentes", tales como:

DoT (DNS over TLS) - TCP 853
DoH (DNS over HTTPS) - HTTPS (TCP 443)
DoQ (DNS over QUIC) - UDP 853 (a veces 8853)
LLMNR (Link-Local Multicast Name Resolution) - UDP/TCP 5355 (Windows)
DNSCrypt - UDP/TCP 443 o 5443
DNS over Tor (DoT/DoH sobre Tor) - TCP sobre Tor
Y quién sabe cuántos más aparecerán con el tiempo...

Pero...

¿Vale la pena usar IPv6 en una LAN pequeña o mediana?

A nuestro criterio, no. Una red local se puede administrar perfectamente con IPv4, utilizando rangos privados de clase A, B o C. De hecho, muchas empresas importantes siguen operando sus redes internas con IPv4, reservando IPv6 únicamente para su exposición a Internet o servicios públicos.

En resumen, si tienes un café internet, una oficina o una empresa mediana, no necesitas IPv6. Basta con usar un rango privado con máscara /24 (o, para los más organizados, segmentar mediante VLANs), todo sobre IPv4.

Y ¿qué hacemos con IPv6?

Respuesta corta: Desactivarlo.. Pero claro, nadie quiere ir equipo por equipo desactivando IPv6, desplegando políticas de dominio o escribiendo scripts automatizados. Por fortuna, no es necesario: si tu red está centralizada mediante un servidor Linux, es suficiente controlarlo desde ahí.

Cómo desactivar IPv6 desde el servidor Linux

1. Ajustar parámetros del sistema

# Crear una copia de respaldo de la configuración actual
cp -f /etc/sysctl.conf{,.bak} &>/dev/null

# Ejecuta el siguiente loop para desactivar permanentemente IPv6
# Y habilitar el algoritmo de congestión BBR
tee -a /etc/sysctl.conf >/dev/null <<EOT
# Protocolo de congestión
net.ipv4.tcp_congestion_control = bbr

# Desactivar IPv6 en todas las interfaces
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
EOT
sysctl -p

Y no sobra agregar reglas adicionales en el firewall para IPv6 por si acaso algún servicio intenta levantar IPv6:

# IPv6
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP

2. Dar prioridad a IPv4

Aseguramos que el sistema siempre use IPv4 antes que IPv6:

# Crear respaldo del archivo gai.conf
cp -f /etc/gai.conf{,.bak} &>/dev/null

# Ejecuta en el terminal el siguiente comando para aumentar la precedencia de IPv4
sed -i 's/^#\s*precedence ::ffff:0:0\/96\s\+100/precedence ::ffff:0:0\/96  100/' /etc/gai.conf

3. Modificar el archivo /etc/hosts

Comentamos todas las líneas IPv6 excepto la loopback local ( ::1):

cp -f /etc/hosts{,.bak} &>/dev/null
sed -i '/^\s*\(fe00::\|ff00::\|ff02::\)/ s/^/#/' /etc/hosts

Para evitar que los clientes realicen detección de portal cautivo (CPD) a través de IPv6, redirigimos esas peticiones al propio servidor:

grep -q "ipv6.msftncsi.com" /etc/hosts || echo "$serverip ipv6.msftncsi.com ipv6.msftconnecttest.com" | tee -a /etc/hosts

Nota: Reemplaza $serverip con la dirección IPv4 local del servidor que administra la red.

4. Bloquear IPv6 en Squid

# Block: IPv6
acl to_ipv6 dst ipv6
http_access deny to_ipv6

5. Otros consejos útiles

Si quieres asegurarte de que los servicios solo escuchen en direcciones IPv4, puedes especificarlo así:

En Squid:

http_port 0.0.0.0:3128

En Apache2:

Listen 0.0.0.0:80
Listen 0.0.0.0:443

En SSH (Opcional):

AddressFamily inet
ListenAddress 0.0.0.0

En NetworkManager (si usas entorno gráfico) (Opcional):
Edita o crea /etc/NetworkManager/conf.d/disable-ipv6.conf:

[connection]
ipv6.method=ignore

Luego reinicia el servicio y verifica:

systemctl restart NetworkManager
systemctl status NetworkManager

En netplan (a la interfaz local solamente):

nano /etc/netplan/config.yaml
dhcp6: false
netplan apply

Desactivar IPv6 desde GRUB

GRUB_CMDLINE_LINUX="ipv6.disable=1"
update-grub

Verificar servicios activos en IPv6

# Listar todos los sockets TCP/UDP escuchando en IPv6 de manera precisa
ss -6 -tulnp

# Alternativa: buscar cualquier línea que contenga "::" (direcciones IPv6)
ss -tulnp | grep '::'

# Verificar si IPv6 está deshabilitado a nivel de kernel
# 1 = IPv6 deshabilitado, 0 = IPv6 activo
cat /proc/sys/net/ipv6/conf/all/disable_ipv6

# Mostrar todas las interfaces con direcciones IPv6 asignadas
ip -6 addr show

# Revisar servidores DNS configurados (pueden incluir direcciones IPv6)
cat /etc/resolv.conf

Conclusión

Desactivar IPv6 en una red pequeña o mediana no es una herejía técnica, es una decisión práctica. Mientras la infraestructura local y los servicios internos dependan de IPv4, mantener IPv6 activo solo añade complejidad y posibles fugas de tráfico no controlado.

En cambio, al desactivarlo desde el servidor central:

Simplificas la administración.
Reduces la superficie de ataque.
Evitas consultas DNS cifradas fuera de tu control.
Y mantienes un entorno de red más predecible y auditable.

IPv6 tiene su lugar, especialmente en redes globales o grandes corporaciones con necesidades de direccionamiento masivo. Pero en una LAN pequeña o mediana, IPv4 sigue siendo más que suficiente.

HTTP CPD

2025-06-27T21:11:00.300-04:00

Es posible hacer una redirección del protocolo HTTPs a HTTP?. Respuesta corta: NO y Respuesta larga: NO", pero hay un escenario muy interesante que hoy intentaremos explicar. Sin embargo, primero, veamos qué sucede cuando se establece una conexión HTTPs:

El navegador del cliente intenta conectarse a la URL https://facebook.com (que usa HTTPs puerto 443 por defecto).
El cliente y el servidor inician un handshake SSL/TLS (una negociación para establecer un canal cifrado).
Durante ese proceso, el servidor donde está alojada la URL envía un certificado digital, que el navegador del cliente valida para verificar que está hablando con el sitio, o sea, que el certificado sea válido para https://facebook.com.
Solo si ese proceso es exitoso, se establece una conexión segura y recién ahí se transmiten los datos reales.

En realidad suceden más cosas, pero para qué alargar el asunto. Aquí lo importante es que todo está cifrado desde el principio y no hay manera de ver ni modificar el contenido.

Escenario

¿Y qué sucedería si tenemos una una red LAN centralizada y administrada por un servidor o router, actuando como Man-in-the-Middle MITM, y queremos bloquear https://www.facebook.com e inyectarle una redirección a una página de bloqueo personalizada?

El navegador solicita el certificado SSL/TLS de facebook.
El MITM interviene e inyecta una redirección de facebook hacia nuestra página de bloqueo.
El navegador espera recibir el certificado legítimo de facebook y en su lugar recibe algo diferente y se rompe la conexión SSL/TLS y la página "se cae" con un mensaje de error similar al siguiente:

Error SSL/TLS facebook.com

Esta es precisamente la razón por la cual no se pueden mostrar mensajes de advertencia, bloqueos u otro tipo de contenido personalizado cuando se trata del protocolo HTTPs.

A Long, Long Time Ago...

Antes de 2010, cuando aún no se había adoptado de forma masiva el protocolo HTTPs, la mayoría de los sitios en Internet utilizaban HTTP. En ese contexto, por ejemplo, con un proxy como Squid-Cache operando en una LAN centralizada, bastaba con definir una regla de bloqueo y agregar la cláusula deny_info para mostrar al cliente una página de error personalizada. Sin embargo, con la transición a HTTPs, esta cláusula ha perdido efectividad (solo sirve para HTTP), pero, existe otra alternativa.

Tomando nuevamente como ejemplo a Squid-Cache, este proxy ofrece la directiva SSL-Bump, que permite interceptar la conexión HTTPs, generar en tiempo real un certificado falso y entregárselo al cliente, actuando como intermediario (MITM). Esto permitiría redirigir o bloquear el acceso mostrando mensajes personalizados, pero el navegador lanza una alerta, que, en muchos casos, ni siquiera permite continuar la navegación, así se pulse el botón "Avanzado" para hacerlo:

Alerta en el navegador por certificado SSL personalizado

Como podemos observar, en la práctica, esta solución es casi inviable, debido a la gran diversidad de sistemas operativos y navegadores, así como a las crecientes restricciones de seguridad que dificultan la instalación y confianza en un certificado raíz personalizado en cada dispositivo, y, lo más importante, que este tipo de manipulación del tráfico puede violar políticas de privacidad o regulaciones legales, dependiendo del contexto y la jurisdicción.

Otras alternativas muy populares y menos invasivas son soluciones como Pi-hole y OpenDNS, que operan a nivel de resolución de nombres de dominio (DNS). Estas herramientas filtran las solicitudes, bloqueando dominios conocidos por alojar publicidad, rastreadores, malware, contenido no deseado, etc. Pi-hole suele implementarse en redes LAN como un servidor DNS interno, mientras que OpenDNS ofrece un servicio similar desde la nube. No obstante, este enfoque vuelve la navegación lenta a medida que las listas de bloqueo crecen en tamaño (cantidad de líneas de dominios a bloquear), y no permite inspeccionar el contenido de las conexiones cifradas, ni mucho menos realizar redirecciones a páginas personalizadas, ya que hacerlo requeriría romper el cifrado SSL, algo para lo cual no están diseñadas (OpenDNS tiene un certificado, pero ocurriría el mismo problema que con SSL-Bump).

En este punto ya deberíamos saber que la respuesta simple, como mencionamos al principio, es: No se puede redireccionar HTTPs a nuestro antojo. Pero esto no significa que nos quedemos cruzados de brazos. A continuación una solución a nuestro "escenario" (a modo de recordatorio: mostrarle al cliente una página personalizada cuando intente acceder a un sitio https) y es HTTP CDP.

CDP

¿Qué diablos es CDP?. Bueno, antes de entrar en materia, primero hay que conocer el funcionamiento básico de los portales cautivos.

Un portal cautivo es una parte integral de un sistema hotspot. Su función no es interceptar ni inspeccionar el contenido del tráfico, sino redirigir temporalmente las solicitudes iniciales del cliente hacia una página de autenticación o aviso. De este modo, el usuario no puede acceder libremente a Internet hasta completar el proceso de autenticación o aceptación.

Entonces, cuando un cliente se conecta por primera vez a la red LAN (ya sea cableada, Wi-Fi pública, etc.), el sistema bloquea todo el tráfico saliente, excepto algunas excepciones mínimas, como DNS y HTTP. Si el cliente intenta abrir cualquier sitio web, se produce algo conocido en el argot popular como "connectivity check" y su nombre técnico es "Captive Portal Detection (CPD)".

Este CPD, en el contexto de sistemas operativos y navegadores, es un mecanismo mediante el cual el dispositivo verifica si tiene acceso real a Internet y consiste en hacer una petición HTTP a una URL conocida, normalmente a un servidor controlado por el fabricante del sistema (como Google, Microsoft o Apple). Por ejemplo, al conectarse a una red, el sistema operativo o navegador puede hacer una solicitud a una URL específica, como:

http://clients3.google.com/generate_204 (Android/Chrome)
http://www.msftconnecttest.com/connecttest.txt (Windows)
http://captive.apple.com (Apple)
http://detectportal.firefox.com/success.txt (Firefox)

Si la respuesta es la esperada, por ejemplo, un código "HTTP 204 No Content" o un texto específico, el sistema concluye que hay conectividad a Internet.

Y a quién le importa cómo funcionan y qué relación tiene con el "escenario"

La razón de esta explicación es porque estas peticiones de verificación no van por HTTPs, sino por HTTP, lo que significa que pueden ser interceptadas y/o redireccionadas automáticamente al portal cautivo.

Dicho de otro modo, no se redirige la petición HTTPs propiamente, sino que se espera a que el cliente active el mecanismo de verificación CPD, que es por HTTP, y se intercepta para guiarlo al portal. Y es aquí donde sucede la magia, ya que podemos usar este mecanismo para ofrecerle una página diferente al cliente.

Y ¿cómo aplicamos esta técnica en el "escenario"?

Hay que aclarar que la única manera de que esto funcione es bloqueando al cliente, y mostrandole el portal. Por tanto, esto se puede usar cuando un cliente va a iniciar la navegación (al estilo de los portales cautivos) o para bloquear un infractor y mostrarle una página de advertencia, términos y condiciones, etc. Hay otros escenarios, pero estos dos son los más usados.

Una vez entendido estos principios, lo siguiente es montar una página que muestre la página que queremos mostrarle al cliente cuando intente acceder y configurarla para que sea servida por HTTP (Opcional: también por HTTPs; aunque este último, como ya vimos, solo tendrá efecto si el cliente la abre directamente, ya que no hay redirección HTTPs). Para esto usaremos un servidor Linux, con apache2, iptables e ipset y... nada más.

Paso 1: Crear una página HTML

Primero creamos una página simple en HTML que será la advertencia o mensaje de restricción que verá el cliente. Luego, la alojamos en Apache2 (o en cualquier otro servidor HTTP que prefieran). A continuación un ejemplo (puede modificarla a su gusto):

#!/bin/bash
mkdir -p /var/www/html/warning
chown -R www-data:www-data /var/www/html/warning
tee /var/www/html/warning/warning.html >/dev/null << EOL
<!DOCTYPE html>
<html lang="es">
<head>

  <meta charset="UTF-8">
  <title>Acceso restringido | Restricted Access</title>
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  
  <style>
    body {
      background: #f2f5f8;
      font-family: "Segoe UI", Tahoma, sans-serif;
      display: flex;
      justify-content: center;
      align-items: center;
      height: 100vh;
      margin: 0;
    }

    .container {
      background: white;
      padding: 40px;
      border-radius: 10px;
      box-shadow: 0 10px 30px rgba(0, 0, 0, 0.1);
      text-align: center;
      max-width: 400px;
      width: 90%;
    }

    .container img {
      width: 80px;
      margin-bottom: 20px;
    }

    h1 {
      color: #333;
      margin-bottom: 10px;
    }

    p {
      color: #666;
      margin-bottom: 30px;
    }

    .quota {
      text-align: left;
      background: #f9fafc;
      border: 1px solid #ddd;
      padding: 15px;
      border-radius: 6px;
      font-size: 14px;
    }

    .quota li {
      margin-bottom: 8px;
    }

    .footer {
      font-size: 12px;
      color: #aaa;
      margin-top: 30px;
    }
  </style>
</head>
<body>
  <p style="display: none;">Success</p>
  <div class="container">

    <svg width="80" height="80" viewBox="0 0 100 100" xmlns="http://www.w3.org/2000/svg">
      <path d="M50 10 L90 80 L10 80 Z" fill="none" stroke="#e53e3e" stroke-width="6" stroke-linejoin="round"/>
      <circle cx="50" cy="65" r="3" fill="#000"/>
      <line x1="50" y1="30" x2="50" y2="55" stroke="#000" stroke-width="6" stroke-linecap="round"/>
    </svg>

    <h1>Acceso restringido<br>
    Restricted Access</h1>
  </div>
</body>
</html>
EOL

Paso 2: Configurar Apache para HTTP (y HTTPs como opcional, aunque no se necesita)

Ahora creamos dos VirtualHost en Apache2, uno que escuche en el puerto 18880 (HTTP) y otro en 18443 (HTTPs), ambos mostrando la misma página de advertencia (puede usar los puertos y path de su preferencia):

#!/bin/bash
# defina la dirección IP del servidor
server_ip="192.168.0.10"
tee /etc/apache2/sites-available/warning.conf >/dev/null << EOL
<VirtualHost *:18880>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html/warning

    <Directory /var/www/html/warning>
        DirectoryIndex warning.html
        Options -Indexes +FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>
    
    # Windows (NCSI - MSFT Connect Test)
    Alias /ncsi.txt /var/www/html/warning/warning.html
    Alias /connecttest.txt /var/www/html/warning/warning.html
    Alias /redirect /var/www/html/warning/warning.html
    Alias /msftconnecttest/redir.htm /var/www/html/warning/warning.html
    Alias /ncsi/redirect /var/www/html/warning/warning.html

    # Microsoft Edge (Chromium)
    Alias /captiveportal/generate_204 /var/www/html/warning/warning.html
    Alias /edge-captiveportal/generate_204 /var/www/html/warning/warning.html

    # Android (Google Captive Portal Check)
    Alias /generate_204 /var/www/html/warning/warning.html
    Alias /gen_204 /var/www/html/warning/warning.html
    Alias /mobile/status.php /var/www/html/warning/warning.html

    # Apple iOS y macOS
    Alias /hotspot-detect.html /var/www/html/warning/warning.html
    Alias /library/test/success.html /var/www/html/warning/warning.html
    Alias /success.txt /var/www/html/warning/warning.html
    Alias /hotspot.txt /var/www/html/warning/warning.html

    # Firefox Captive Portal
    Alias /captive-portal-success.html /var/www/html/warning/warning.html

    # GNOME / KDE (Linux)
    Alias /nmcheck.txt /var/www/html/warning/warning.html
    Alias /check_network_status.txt /var/www/html/warning/warning.html
    Alias /conncheck.html /var/www/html/warning/warning.html
    
    # Extras
    Alias /favicon.ico /var/www/html/warning/warning.html
    Alias /success.html /var/www/html/warning/warning.html
    Alias /success /var/www/html/warning/warning.html

    RewriteEngine On
	
    # Puede usar:
    #RewriteCond %{REQUEST_URI} !^/warning\.html$
    #RewriteCond %{REQUEST_URI} !^/$
    #RewriteRule ^.*$ /warning.html [R=302,L]
    # Y abrirá la url
    # http://www.msftconnecttest.com/warning.html
    
    # o usar (recomendado):
    RewriteCond %{REQUEST_URI} !^/warning\.html$
    RewriteCond %{REQUEST_URI} !^/$
    RewriteRule ^.*$ /warning.html [L]
    # Y abrirá la url:
    # http://www.msftconnecttest.com/redirect

    ErrorLog ${APACHE_LOG_DIR}/warning_error.log
    CustomLog ${APACHE_LOG_DIR}/warning_access.log combined
</VirtualHost>
EOL

chmod 644 /etc/apache2/sites-available/warning.conf
touch /var/log/apache2/{warning_access,warning_error}.log

# optional:
tee /etc/apache2/sites-available/warning-ssl.conf >/dev/null << EOL

<VirtualHost *:18443>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html/warning

    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/warning/cert.pem
    SSLCertificateKeyFile /etc/ssl/private/warning/key.pem
    <Directory /var/www/html/warning>
        DirectoryIndex warning.html
        Options -Indexes +FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>

    RewriteEngine On

    # Puede usar:
    #RewriteCond %{REQUEST_URI} !^/warning\.html$
    #RewriteCond %{REQUEST_URI} !^/$
    #RewriteRule ^.*$ /warning.html [R=302,L]
    # Y abrirá la url
    # http://www.msftconnecttest.com/warning.html
    
    # o usar (recomendado):
    RewriteCond %{REQUEST_URI} !^/warning\.html$
    RewriteCond %{REQUEST_URI} !^/$
    RewriteRule ^.*$ /warning.html [L]
    # Y abrirá la url:
    # http://www.msftconnecttest.com/redirect

    ErrorLog ${APACHE_LOG_DIR}/warning_ssl_error.log
    CustomLog ${APACHE_LOG_DIR}/warning_ssl_access.log combined
</VirtualHost>
EOL

chmod 644 /etc/apache2/sites-available/warning-ssl.conf
touch /var/log/apache2/{warning_ssl_access,warning_ssl_error}.log

Paso 3: Habilitar los puertos, certificado y módulos necesarios

Ahora levantamos los puertos a escuchar en ports.conf si no están ya definidos:

#!/bin/bash
server_ip="192.168.0.10"
grep -q 'Listen 18880' /etc/apache2/ports.conf || echo 'Listen 18880' >> /etc/apache2/ports.conf
# Optional:
grep -q 'Listen 18443' /etc/apache2/ports.conf || echo 'Listen 18443' >> /etc/apache2/ports.conf

mkdir -p /etc/ssl/private/warning /etc/ssl/certs/warning
cat > /tmp/warning_openssl.cnf <<EOF
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CO
ST = Some-State
L = City
O = CaptivePortal
CN = ${serverip}

[v3_req]
basicConstraints = critical,CA:FALSE
subjectAltName = @alt_names

[alt_names]
IP.1 = ${serverip}
EOF

# SSL
openssl req -x509 -nodes -newkey rsa:2048 -days 365 \
    -keyout /etc/ssl/private/warning.key.pem \
    -out /etc/ssl/certs/warning.cert.pem \
    -config /tmp/warning_openssl.cnf \
    -extensions v3_req \
    > /dev/null 2> /tmp/openssl_error.log

cat /tmp/warning_openssl.cnf
rm -f /tmp/warning_openssl.cnf

a2ensite -q warning.conf  
a2ensite -q warning-ssl.conf
a2enmod ssl
a2enmod rewrite
update-ca-certificates -f
systemctl daemon-reload
systemctl restart apache2

Paso final: firewall (iptables + ipset)

Una vez tengamos lista y funcionando la página que le vamos a mostrar al cliente, pasamos a configurar ipset/iptables. Ejemplo:

Importante:

- Hemos usado reglas con "-I" (insert, para que se inserten al principio de iptables en el órden propuesto) asumiendo que tiene otras reglas iptables. Caso contrario, cambie "-I" por "-A".

- Estan comentadas las reglas del puerto 18443, ya que son opcionales (CPD no usa SSL).

- Sepa que estas reglas harán que la aparición del portal demore mucho tiempo. No las cambie a REJECT (--reject-with tcp-reset, --reject-with icmp-port-unreachable, etc.) para acelerar el proceso, ya que no abrirá el portal. Sea paciente (en ocasiones hay que cerrar el navegador y volverlo a abrir).

- Este script no incluye reglas por defecto, que debería considerar antes de ejecutarlo, tales como MASQUERADE, GLOBAL POLICIES, LOOPBACK, KERNEL RULES, NAT (FORWARDING), entre otras. Para mayor información, puede consultar tutoriales de reglas básicas de iptables o nuestro ejemplo en la cabecera de nuestro script.

#!/bin/bash
# definimos la interfaz de red LAN
lan=eth1
# definimos la dirección IP del servidor man-in-the-middle
serverip="192.168.0.10"
# ip a banear de ejemplo:
all_bans="192.168.0.50"

### IPSET/IPTABLES FOR BANDATA
echo "Running Ipset/Iptables Rules..."
ipset -L bandata >/dev/null 2>&1
if [ $? -ne 0 ]; then
    ipset -! create bandata hash:net family inet hashsize 1024 maxelem 65536
else
    ipset -! flush bandata
fi

if [ -n "$all_bans" ]; then
    for ip in $all_bans; do
        ipset -exist add bandata "$ip"
    done
    echo "Ban IPs (out: /etc/acl/bandata.txt)"
    ipset list bandata 2>/dev/null | grep -E '^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort -V | tee /etc/acl/bandata.txt
    
    echo "Applying Iptables Rules..."
    
    # ALLOW FORWARD
    iptables -I FORWARD 1 -i $lan -m set --match-set bandata src -p udp --dport 53 -j ACCEPT
    iptables -I FORWARD 2 -i $lan -m set --match-set bandata src -p tcp --dport 80 -j ACCEPT
    iptables -I FORWARD 3 -i $lan -m set --match-set bandata src -p tcp --dport 18880 -j ACCEPT
    
    # ALLOW: Optional TCP 18443 Apache SSL
    #iptables -I FORWARD 4 -i $lan -m set --match-set bandata src -p tcp --dport 18443 -j ACCEPT
    
    # DROP ALL: FORWARD
    iptables -I FORWARD 5 -i $lan -m set --match-set bandata src -j DROP 
    
    # ALLOW INPUT
    iptables -I INPUT 1 -i $lan -m set --match-set bandata src -p tcp --dport 18880 -j ACCEPT
    
    # ALLOW: Optional TCP 18443 Apache SSL
    #iptables -I INPUT 2 -i $lan -m set --match-set bandata src -p tcp --dport 18443 -j ACCEPT
    
    # DROP ALL: INPUT
    iptables -I INPUT 3 -i $lan -m set --match-set bandata src -j DROP
    
    # HTTP Redirect
    iptables -t nat -I PREROUTING -i $lan -m set --match-set bandata src -p tcp --dport 80 -j REDIRECT --to-port 18880
    
else
    echo "There are no IPs in bandata"
fi

Conclusión

No es necesario configurar un VirtualHost HTTPs ni instalar certificados. Los mecanismos de detección de portales cautivos en sistemas operativos modernos se basan exclusivamente en peticiones HTTP (puerto 80). Por tanto, basta con tener un servidor HTTP sencillo que responda en un puerto alternativo (como 18880), sin necesidad de manejar tráfico HTTPs. Tampoco es necesario redireccionar o interceptar tráfico HTTPs. Intentar redirigir HTTPs genera errores de conexión en los navegadores debido al cifrado. Basta con bloquearlo para forzar que el navegador intente una conexión HTTP, lo que activará la detección del portal cautivo (aunque no significa que descarte completamente el Virtualhost HTTPs. Puede ser útil para hacer otros tipos de forzado de conexiones, verificación de funcionalidad o servir otros tipos de páginas en localhost para ofrecerle a los clientes y por eso lo incluimos en la instalación).

Entonces, Los requisitos mínimos para que funcione el portal cautivo (o cualquier página que quiera ofrecerle a sus clientes) son:

Permitir el acceso al puerto HTTP donde está el VirtualHost del portal cautivo.
Permitir consultas DNS (puerto 53/UDP).
Redirigir todo el tráfico HTTP (puerto 80) al puerto del VirtualHost HTTP.
Bloquear todo el tráfico restante.
La IP del cliente debe estar añadida al conjunto ipset que define los usuarios en cuarentena.
Limpiar las reglas existentes al comienzo de la ejecución de iptables para evitar conflictos o comportamientos inesperados.
El reenvío de paquetes (IP forwarding) debe estar habilitado para que funcione correctamente el redireccionamiento del tráfico.

Como vimos, no es posible redirigir el tráfico HTTPs debido a la naturaleza cifrada del protocolo, sin embargo, mediante el uso de técnicas similares a las empleadas por los portales cautivos, podemos ~~abusar~~ aprovecharnos de mecanismos como el Captive Portal Detection (CPD) para mostrar advertencias o requisitos de acceso —ya sea un login, un aviso de términos, un formulario, página de bloqueo, etc.— antes de permitir la navegación completa.

Con unas pocas herramientas del kernel de Linux —como iptables, ipset y un servidor web básico— es posible implementar un sistema funcional que:

Detecta clientes (no autenticados o bloqueados por el administrador).
Los redirige a una página HTTP (de login, aceptación de términos, restricciones de acceso a URLs, etc.)
Bloquea todo el tráfico restante hasta que se cumpla la condición definida por el administrador de sistemas o la empresa.

Esta solución no es perfecta y puede no funcionar en entornos muy controlados, sin embargo, sigue siendo una de las estrategias más efectivas y viables para controlar el acceso a redes locales, especialmente en entornos públicos o semi-controlados.
Si quiere ver este proceso en acción, visite el proyecto Proxy Monitor, donde implementamos esta técnica bajo el nombre bandata.

Control de carpetas compartidas

2025-05-21T19:51:00.093-04:00

Compartir una carpeta en una red LAN tiene múltiples beneficios. En primer lugar, permite que equipos con sistemas operativos diferentes puedan acceder y compartir archivos en un almacenamiento centralizado. Y para esto, Linux tiene la aplicación Samba, que ofrece un alto grado de flexibilidad, ya que cualquier carpeta puede compartirse con distintos niveles de permisos, dependiendo del usuario o grupo.

Samba es capaz de brindar control sobre quién puede acceder, leer o modificar los archivos en el recurso de almacenamiento, e incluso puede integrarse con redes existentes, que otros servicios, como Active Directory (AD), facilitando la administración centralizada de usuarios.

Entrando en materia, en muchas pequeñas y medianas empresas que usan grupos de trabajo (workgroups), es común tener una carpeta pública sin restricciones para compartir archivos, que suele llamarse “compartida”. Esto no es tan habitual en empresas que utilizan AD, ya que el acceso está condicionado por las políticas del dominio y la autenticación centralizada, lo que puede dificultar abrirla libremente.

Para configurar esta política, simplemente podemos agregarle a smb.conf de Samba lo siguiente:

[compartida]
   comment = compartida
   path = /home/user/compartida
   guest ok = yes
   guest only = yes
   browseable = yes
   writable = yes
   create mask = 0777
   directory mask = 0777
   public = yes
   force user = user
   vfs objects = full_audit

Sin embargo, supongamos que queremos llevar un monitoreo estricto de lo que ocurre dentro de esta carpeta. Para ello, Samba ofrece la opción full_audit, que permite registrar todas las acciones realizadas por los usuarios. Ya hemos hablado de esta funcionalidad en una publicación anterior -donde también explicamos cómo configurar una papelera de reciclaje para los archivos eliminados por los usuarios- y puede ser consultado AQUÍ.

No obstante, si no se impone cierto orden dentro de la carpeta compartida, cada usuario comenzará a guardar archivos en cualquier parte, generando un desorden que dificultará encontrar documentos específicos. Para evitar este caos, una solución práctica es clasificar los archivos creando subcarpetas por tipos o áreas de trabajo. Por ejemplo:

COMPARTIDA/
├── DIRECCION/
│   ├── file1.txt
│   ├── file2.ppt
│   ├── FOO/
│   │   └── file3.mp4
│   └── BAR/
│       ├── file4.xlsx
│       └── file5.pdf
└── PROYECTOS/
    ├── file6.csv
    └── FRED/
        └── file7.docx

De esta manera, cada área gestionará su propia carpeta y, dentro de ella, cada usuario podrá crear su propia sub carpeta personal. Así, encontrar un archivo o carpeta será más fácil y rápido.

Ahora bien, aunque esta estructura suena ordenada y eficiente, no impide que un usuario, ya sea por error o con mala intención, elimine una carpeta importante. Si bien esta acción quedaría registrada en los logs de auditoría, el administrador del sistema podría tardar un tiempo indefinido en detectarla y revertir la situación.

En este orden de ideas, el camino más sensato es otorgar permisos específicos a las carpetas para prevenir este tipo de incidentes. Sin embargo, los permisos tradicionales de archivos en Linux, al aplicarse de forma global a nivel de usuario o grupo, no permiten establecer restricciones tan granulares como, por ejemplo, evitar que un usuario pueda eliminar o renombrar una carpeta sin impedirle modificar su contenido. Esta limitación representa un desafío cuando se busca un control más fino sobre las acciones permitidas dentro de una estructura compartida.

Otro problema que puede surgir con esta estructura es el del almacenamiento en disco. Una carpeta pública sin control de uso puede convertirse rápidamente en un riesgo: un solo usuario podría transferir archivos de gran tamaño y llenar el espacio disponible, dejando a los demás sin recursos para trabajar.

Para evitar este escenario, Linux ofrece varias soluciones. Una de ellas es el uso de cuotas de disco (quota), que permite asignar un límite de espacio por usuario o grupo, evitando así que alguien consuma más allá de lo permitido. Otra alternativa más controlada es crear imágenes de disco individuales por carpeta (por ejemplo, usando dd o fallocate) y montarlas como sistemas de archivos independientes. De este modo, cada área, grupo o usuario, tendría un volumen con un límite de espacio claramente definido, lo que facilita la gestión y protege al sistema principal de llenarse por completo.

Si bien las cuotas de disco y el uso de imágenes montadas son soluciones efectivas para controlar el almacenamiento, ambas presentan ciertas desventajas que deben tenerse en cuenta.

En el caso de las cuotas de disco, su configuración puede resultar compleja, especialmente en sistemas que ya están en producción. Requiere habilitar el soporte de cuotas en el sistema de archivos, editar archivos de configuración, y reiniciar servicios o incluso el sistema. Además, las cuotas están vinculadas a usuarios o grupos, no a carpetas específicas, lo que puede ser una limitación cuando se desea restringir el espacio por carpeta compartida sin importar quién escriba en ella.

Por otro lado, el uso de imágenes de disco montadas ofrece mayor control por carpeta, pero implica una administración más manual. Es necesario crear, formatear y montar cada imagen por separado, y monitorear que no se llenen completamente. Además, al estar montadas como volúmenes independientes, su ampliación no es tan flexible como aumentar un directorio común: hay que desmontar la imagen, redimensionarla y volver a montarla, lo cual puede requerir tiempos de inactividad, por no mencionar el riesgo que conlleva manipular imágenes que pueden corromperse, trayendo consigo la pérdida total de la información.

En resumen, ambas soluciones son válidas, pero su implementación y mantenimiento requieren planificación y una administración técnica más rigurosa e intervención manual.

Ante esto nos dimos a la tarea de buscar un punto medio a esta problemática, simple, automatizado y programable, y es la que traemos hoy.

La propuesta consiste en un bash script, que asigna un tamano a cada carpeta y cuando llegue al límite establecido en el script, elimina cualquier archivo nuevo que se intenta crear o copiar a esta carpeta, sin afectar a los existentes, que se podrán seguir modificando. Pero mejor vamos por pasos:

Permisos

Asumiendo que ya tenemos nuestra carpeta pública compartida y correctamente configurada en Samba —incluyendo las opciones full_audit y recycle, (con los permisos adecuados chmod 755) así como la estructura de carpetas por áreas (con los permisos adecuados chmod 777)—, el primer paso será asignar el control de estas carpetas al usuario root y al grupo sambashare. Para ello, ejecutamos el siguiente comando:

sudo find /home/user/COMPARTIDA -type d -exec chown root:sambashare {} +

Con esta acción, protegemos tanto la carpeta principal COMPARTIDA como las sub carpetas creadas por el administrador del sistema contra eliminaciones accidentales o malintencionadas por parte de los usuarios y se restringe su manipulación directa, manteniendo mayor control ciertos sobre elementos críticos dentro de la carpeta compartida, sin afectar lo que los usuarios puedan hacer dentro de esas sub carpetas.

Y asegúrese de que su usuario linux, donde corre Samba, pertenezca a este grupo:

sudo usermod -aG sambashare $USER

Concluido este primer paso, pasamos al segundo: bash script para automatizar el proceso.

Loop

Hemos creado el bash script watchdir.sh, que se controla con start|stop|status, que puede ejecutarse o no con sudo, y su propósito es controlar la asignación de espacios por carpetas y la acción a tomar si sobrepasa este límite.

Por ejemplo, si tenemos un almacenamiento (HDD|SSD) de 500 GB destinado para la unidad compartida, (un disco duro montado en /home/$USER/compartida), y dentro de esta tenemos 5 sub carpetas, podemos establecer inicialmente en la variable LIMIT 50 GB por carpeta (50% de su capacidad), dejando un remanente para la papelera de reciclaje y otras carpetas que más adelante querramos crear o ampliar la capacidad de las existentes. Ejemplo:

LIMIT=$((50*1024*1024*1024))

Tambien definimos las carpetas a vigilar:

# Carpetas a monitorear (sepárelas con espacios si son múltiples)
WATCH_DIR="/home/user/COMPARTIDA/dir1 /home/user/COMPARTIDA/dir2"

Un caso real podría ser:

# To monitor subfolders inside a parent folder:
MAINDIR="/home/user/COMPARTIDA"
# Subfolder names (separate with spaces if multiple):
SUBDIRS="IMAGENES PROYECTOS RECURSOS SOPORTE DIRECCION"
WATCH_DIR=""
for d in $SUBDIRS; do
   WATCH_DIR+="$MAINDIR/$d "
done
WATCH_DIR="${WATCH_DIR% }"

El script tiene una variable llamada DELETE_DIR, que, si no existe, lanzará un menú:

Si no existe el path de la variable DELETE_DIR, el script preguntará

Eliminarlos definitivamente
Enviarlos a la papelera de reciclaje
Enviarlos a una carpeta (hay que escribir el path completo manualmente o establecerlo en la variable DELETE_DIR)

Nota: Se recomienda que el path definido en DELETE_DIR esté en una ubicación diferent al path definido en WATCH_DIR

Finalmente, una vez iniciado, el script monitorea estas carpetas con inotifywait, un sencillo programa que monitoriza eventos del sistema de archivos y toma la acción establecida al llegar al límite, impidiendo de esta manera que los usuarios sigan escribiendo en la carpeta.

Y si tiene definidas las variables WATCH_DIR y DELETE_DIR, y el path existe, entonces el menú interactivo no saldrá, por tanto puede programar el script en el cron (programador de tareas de linux) para que inicie con el sistema.

@reboot /path_to/watchdir.sh start

Alternativa

Si no desea aplicar la propiedad root:sambashare ni establecer permisos 755 a la carpeta compartida, pero aún quiere conservar ordenada la estructura que ha definido, puede programar la ejecución del siguiente script en cron, cada minuto. Este otro script moverá automáticamente a la papelera cualquier archivo o carpeta no autorizada que los usuarios creen en la raíz de la carpeta compartida. Asegúrese de ajustar las rutas y nombres de las carpetas según su configuración:

#!/bin/bash

# Detectar usuario local con sesión activa
local_user=$(who | awk '/(:0)/ {print $1; exit} END {if (NR==0) print $1}')

# Definir rutas
SHAREDFOLDER="/home/$local_user/COMPARTIDA"

# Esta carpeta debe ser creada automáticamente por Samba mediante el módulo VFS (vfs_recycle) y tener la línea "hide files = /recycle/"
# consulte https://www.maravento.com/2021/12/samba-full-audit.html
RECYCLEFOLDER="$SHAREDFOLDER/recycle"

# Ir a la carpeta compartida
cd "$SHAREDFOLDER" || exit 1

# Mover todo lo que no sea una carpeta estándar a la papelera
find . -maxdepth 1 -mindepth 1 \
  ! -name "IMAGENES" \
  ! -name "PROYECTOS" \
  ! -name "RECURSOS" \
  ! -name "SOPORTE" \
  ! -name "DIRECCION" \
  ! -name "recycle" \
  -exec mv -f --backup=numbered "{}" "$RECYCLEFOLDER/" \;

# Volver al home
cd ~

Puede descargar el script watchdir.sh en nuestro repositorio vault/scripts o directamente AQUÍ

UniFi como Servicio

2025-02-06T11:25:00.054-05:00

UniFi Software (AKA: UniFi Network Application, Unifi Controller, Unifi Network Server, Unifi OS Server, etc.) se destaca en el mercado de administración de redes por su enfoque centralizado y su integración fluida con los dispositivos UniFi. A diferencia de otras soluciones, que suelen requerir configuraciones complejas o hardware propietario costoso, UniFi Software ofrece una plataforma intuitiva con una gestión unificada desde una interfaz web moderna.

Entre sus principales ventajas frente a la competencia destacan su fácil implementación, actualizaciones constantes sin interrupciones y compatibilidad con múltiples métodos de autenticación. Además, ofrece una sólida integración con herramientas de análisis de tráfico y una gestión eficiente de grandes volúmenes de dispositivos sin afectar el rendimiento, lo que lo convierte en una solución escalable. También cuenta con un foro muy activo para soporte y comunidad. Sin embargo, su mayor ventaja es el Hotspot, una opción líder en el sector gracias a su facilidad de uso.

Instalación Tradicional

Entrando en materia, la instalación de UniFi Software es relativamente sencilla. Para Windows, basta con descargar el instalador del sitio web oficial y con un doble clic comenzará la instalación y cada vez que inicie el equipo, debemos iniciar el programa, aunque también podemos crear una tarea en el programador de tareas de Windows para que se ejecute en cada inicio. Pero hay otra solución, más automatizada y que abordaremos hoy.

Instalación como servicio

Para Linux, Glenn solucionó este problema con el script unifi-easy-update, que automatiza este proceso, pero para Windows no pudimos encontrar ninguno, así que nos dimos a la tarea de hacerlo.

Antes que nada debemos aclarar que este script se debe ejecutar solamente en Windows 10/11. Dicho esto, al hacer doble clic en el script, verifica que se ejecute con privilegios de administrador y aparecerá el siguiente menú.

Selector de Unifi Software (Network & OS Server)

Hay varias opciones. Si elige la primera opción 1 (instalación), el script verificará lo siguiente:

Si está curl presente en su sistema Windows. Es importante resaltar que a partir de Windows 10 (build 17063 o superior) y Windows 11, curl ya viene integrado al SO. Puede verificarlo en el path C:\Windows\System32\curl.exe.
Si existe Java previamente instalado, aborta, por tanto, debe desinstalar Java.
Si existe la carpeta %UserProfile%\Ubiquiti UniFi\, aborta, por tanto, debe desinstalar Unifi y eliminar la carpeta en cuestión.

Una vez superado estos controles, saldrá un segundo menú, en el cual elegirá la versión de Unifi que quiera instalar.

Selector de versiones para Unifi Network

Nota: Hay administradores que prefieren la versión más reciente (9x), en cambio, otros, más conservadores, se inclinan por usar una versión ya probada en entornos de producción (8x), por tanto, el script pone a disposición ambas versiones.

Y finalmente el script procederá con la instalación silenciosa de Unifi con su dependencia JRE x64 LTS Eclipse Temurin y abrirá los puertos en el firewall. Al terminar la instalación deberá reiniciar para aplicar cambios.

Después de reiniciar, ya no necesita abrir la app de Unifi, porque inicia con su sistema como un servicio. Y para acceder al software de administración, abra su navegador e ingrese a la URL: https://localhost:8443.

Para desinstalarlo, no lo haga por el Panel de Control. Solo ejecute el script nuevamente y elija la opción "Remove" y al terminar reinicie su PC.

Otra opción es para hacer una copia de seguridad de la configuración de Unifi, la cual enviará la carpeta %HOMEDRIVE%\unifi. Tenga en cuenta que debe tener activado el autobackup en la configuración de Unifi y debe existir al menos un backup automático generado para que pueda realizar la acción.

La otra opción es para agregar la dirección IPv4 del PC donde se encuentra instalado Unifi (deberá elegirla manualmente y reiniciar el PC al terminar). Ejemplo https://192.168.1.1:8443.

Importante

- No elimine la carpeta %HOMEDRIVE%\unifi, ya que los instaladores los usa el script para la desinstalación de Unifi y sus componentes y en esta carpeta se almacenan los backups.

- El instalador ejecuta algunos comandos de PowerShell, por tanto, en Windows 11 24h2 o superior, si al ejecutar el script de instalación o desinstalación aparece un error similar a:

CategoryInfo : SecurityError: (:) [], PSSecurityException 
FullyQualifiedErrorId : UnauthorizedAccess

Deberá desactivar temporalmente la restricción de ejecución de scripts. Para ello, abra Windows PowerShell con privilegios administrativos y ejecute:

:: Para desactivar:
Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force
:: Para restablecer:
Set-ExecutionPolicy Restricted -Scope CurrentUser -Force

Para Unifi OS Server el procedimiento es similar. Solo debe cumplir los requisitos que este nuevo software exige:

Requisitos de Unifi OS Server

Nota: Si solo tiene unos APs y switch Unifi, no recomendamos su uso, al menos por el momento y esperar a que se liberen nuevas versiones.

Puede descargar el script en nuestro repositorio Vault, o directamente AQUÍ.

Esperamos que les sea útil esta herramienta de instalación.

Instancias de MEGAsync

2024-10-30T12:05:00.043-04:00

Google Drive no tiene cliente oficial para Linux y durante años han surgido muchos proyectos para cubrir este hueco. Pero, en 2019, Google anunció controles más estrictos con aplicaciones de terceros y puso en revisión a muchas de estas aplicaciones que usaban su API para conectarse a sus servicios. Y, a comienzos de 2024, puso más restricciones a los desarrolladores y agregó un proceso de verificación anual, largo y costoso, y las apps que no entraron en este proceso o no pagaron, quedaron bloqueadas. Una clara política de "no hago ni dejo hacer".

Entonces, aplicaciones como overGrive, Raidrive, Transmit, gdrive2, etc., que usaban la API para conectarse a Google Drive, quedaron por fuera. A la fecha, aún hay algunas soportadas, tales como Rclone, FreeFileSync, y otras, pero ignoramos por cuanto tiempo o si finalmente pasarán por caja.

Mensaje de bloqueo de OverGrive al intentar conectarse a Google Drive

Y a pesar de que algunos productos ofrecen alternativas interesantes, para hacer un workaround a estas medidas, son complicadas y limitadas, tanto para desarrolladores como para usuarios comunes.

En el video Google Drive hates developers now, señalan bien esta problemática, y la solución: "paga o abandona el barco".

Alternativas

Otros servicios en la nube, como pCloud, Tresorit, Box, Sync, Yandex, Dropbox, Microsoft OneDrive, son algunas de las opciones más usadas, pero tienen muchas limitaciones de espacio gratuito. Otra alternativa es crear nuestra propia nube con Nextcloud, ownCloud, CASAOS, etc., pero requieren de un servidor de alojamiento en línea 24/7, y no todos cuentan con esos recursos.

Pero, para los usuarios de a pie, hay una alternativa, que actualmente es una de las que más espacio proporciona gratuito, cifrado extremo a extremo y cliente compatible con Linux. Hablamos de MEGA.

MEGAsync

Sin entrar en detalles de la historia de MEGA, que puede ser consultada en Wikipedia, este servicio en la nube proporciona actualmente 20 GB de almacenamiento gratuito (y si eres de los afortunados que abrió una cuenta en los primeros años de este servicio, regalaban 50 GB) y con planes aceptables.

20 GB no son suficientes

Si no queremos comprar un plan, podemos abrir varias cuentas y lanzamos una instancia de MEGAsync por cada cuenta, dentro del mismo usuario y luego compartimos las carpetas con acceso completo entre las cuentas creadas y así tendremos todos los GB que queramos a nuestra disposición.

Lanzando múltiples instancias de MEGAsync en Ubuntu 22.04/24.04

NicoVarg99 desarrolló un script que hace precisamente esto, sin embargo, el repositorio lleva 6 años de inactividad, por tanto, hicimos un fork, lo ajustamos y republicamos.

Lo primero es instalar el cliente MEGAsync. Para Ubuntu 24.04:

wget https://mega.nz/linux/repo/xUbuntu_24.04/amd64/megasync-xUbuntu_24.04_amd64.deb && sudo apt install "$PWD/megasync-xUbuntu_24.04_amd64.deb"

Instalamos las dependencias:

sudo apt install zenity libatk-adaptor libgail-common libgtk2.0-0 # or libgtk2.0-0t64 for Ubuntu 24.04

Descargamos el script actualizado:

sudo wget -O /usr/bin/msyncs https://raw.githubusercontent.com/maravento/vault/master/scripts/bash/msyncs

Le damos permisos:

sudo chmod 755 /usr/bin/msyncs

Y lo ejecutamos, con start | stop | status (sin sudo sin root). Si es la primera vez:

msyncs start

El script es con Zenity, por tanto, la interfaz es agradable y muy intuitiva. Al iniciar lanzará una pregunta:

Primera pregunta del script

Luego, pedirá cuantas instancias desea levantar del cliente MEGAsync (que corresponderán al número de cuentas creadas en este servicio) e introducimos un número del 1 al 9:

Escriba el número de instancias a ejecutar

Y para no alargar esto con tantas imágenes, al proporcionar el número y pulsar aceptar, saldrá otra ventana en la cual le daremos un nombre cualquiera a cada instancia (que se asociará más adelante con cada cuenta de correo que se usó para crear la cuenta en MEGA) y se abrirá una instancia del cliente MEGAsync para cada cuenta, en la cual introduciremos nuestro usuario y contraseña (y 2FA si lo tiene activo) y es todo.

Al terminar, cada vez que inicie su PC, iniciarán las instancias de MEGAsync en la misma cuenta de su usuario actual.

2 instancias del MEGAsync, cada una asociada a una cuenta de correo,
ejecutándose en el escritorio de la misma cuenta de usuario

Para detenerlo o conocer su estado de ejecución:

msyncs stop
msyncs status

Esperamos que disfruten del bash script. Para mayor información, visite nuestro repositorio Vault.

Unifi Hotspot con Iptables

2024-06-11T18:08:00.206-04:00

La tecnología UniFi de Ubiquiti ofrece una gestión centralizada y escalable, ideal para todo tipo de redes, desde pequeñas oficinas hasta grandes empresas. Con hardware avanzado, proporciona un rendimiento robusto y roaming sin interrupciones. Su interfaz amigable, tanto en el panel web como en la aplicación móvil, facilita la gestión y el monitoreo de la red. Además, ofrece características de seguridad avanzadas y actualizaciones regulares, garantizando una red segura y actualizada. En resumen, UniFi combina rendimiento, facilidad de uso y seguridad en una solución de gestión de redes eficiente y económica.

Sin embargo, a pesar de estas bondades y de que su hardware vale cada centavo, la adquisición de estos equipos puede estar fuera del alcance de muchos. Es por eso que hoy vamos a combinar la tecnología UniFi hotspot con administración Linux, en un intento por abaratar costos.

El objetivo de este post no es reemplazar los UDM (UniFi Dream Machine), Gateway, Cloud Key, o cualquiera de los productos UniFi para administrar redes. Si ya tiene uno, bien por ti. Sin embargo, no todos pueden darse ese lujo, y la idea es ofrecer una alternativa al sysadmin que escasamente le alcanzó para comprar un Access Point UniFi y nada más, y necesita administrar su red local con el Hotspot de Unifi, pero aplicando restricciones (iptables, squid, etc.), Si ese es su caso, ha llegado al lugar indicado.

Descripción del hardware y software usado en la prueba

Topología Unifi

- AP Unifi U6-pro wifi 6, conectado al switch vía cable UTP Cat 6a y conector blindado.

- Switch Ubiquiti USW-PRO-24-POE (o también un USW-LITE-8-POE), elegidos porque son switch de PoE activo, que manejan 802.3af, que es el estándar del AP U6-Pro usado en la prueba. Pero si tiene otro AP Unifi sin su inyector PoE, consulte el post Unifi which devices use active poe and passive poe, para determinar qué estándar PoE maneja su AP y así pueda elegir el switch adecuado. Si su AP ya tiene su inyector PoE y tiene un switch de Unifi o de otra marca, ignore la anterior recomendación, ya que igualmente sirve.

- Script interactivo de Glennr, que instala y configura todas las dependencias de Unifi Network v8.2.93 en Ubuntu. Para mayor información, pulse AQUÍ.

- Servidor HP Proliant ML110 G9, con Ubuntu 22.04.4, iptables v1.8.7, isc-dhcp-server v4.4.1, rsyslogd v8.2112.0 y Unifi Network v8.2.93, dos interfaces de red Ethernet; una para WAN (proveedor de internet) y otra LAN (para los clientes), conectada al switch vía cable UTP Cat 6a. Pero no necesariamente debe ser un "servidor". Según el sitio oficial, los requerimientos de esta app son:

Requisitos mínimos de Unifi Network

Software:

- SO Linux: Ubuntu Desktop / Server 22.04; Debian 11 "Bullseye" / Windows: Windows 10; Windows Server 2016, macOS: Mavericks 10.9, 10.10 Yosemite, 10.11 El Capitan, 10.12 Sierra, 10.13 High Sierra, 10.14 Mojave, 10.15 Catalina.

- Java is no longer required as of UniFi Network 7.5

- Web Browser: Google Chrome

- MongoDB: version 3.6 or later. Mongo is offered bundled: default is 3.6 (for macOS and Windows only).

Hardware:

- CPU: x86-64 Processor (Intel / AMD x64 Processors)

- RAM: 2GB

- Network: 100Mbps Wired Ethernet

- HDD: Minimum 10GB free (20GB or more preferred)

Por tanto, un PC estándar es más que suficiente.

Configuración en Unifi Network

Siga las instrucciones de instalación. Se recomienda el script de Glenn para Ubuntu:

# Decargar script de glenn y seguir instrucciones de instalación:
wget -c https://get.glennr.nl/unifi/update/unifi-update.sh
chmod +x unifi-update.sh
sudo ./unifi-update.sh
# al final ejecutar:
sudo update-ca-certificates -f

Si ya tiene configurado su Unifi Network y su Hotspot, vaya a la página de inicio de Hotspot, sección "Configuración (settings)" y haga lo siguiente:

Activar mensaje de Bienvenida (Success Message)

- En "Página de inicio de éxito (Success Landing Page)", seleccione "Mensaje de éxito (Success Message)" en lugar de usar una URL de redirección (Custom URL). Esto es para permitirle a iptables la captura de la cadena de autenticación de los clientes. Sin embargo, si no quiere hacerlo, también puede poner una URL. De igual manera el script capturará el tráfico autenticado, solo que con la primera opción tiene un porcentaje de exito mayor del algoritmo usado en iptables.

- Desactivar en APs la opción meshing (si están conectados por cable al switch), ya que puede causar conflictos en la adopción.

- En Restricciones post-autorización (Post-Authorization Restrictions) deberá revisar los rangos bloqueados, ya que eventualmente puede afectar la conexión de los clientes. Por defecto, nuestro script trabaja con 192.168.1.0/24, por lo tanto, si no tiene pensado cambiarlo, se sugiere eliminar el rango 192.168.0.0/16 de esta sección o bloquear los demás rangos de clase C, excluyendo 192.168.1.0/24 LAN y el rango WAN.

- En "Asignaciones de autorización previa (Pre-Authorization Allowances)", no se debe agregar la IP del hotspot, ya que si lo hace puede desencadenar conflictos.

- Como tiene dos interfaces (WAN para el proveedor de internet y LAN para la red local) es necesario que edite el archivo system.properties y agregue la IP del servidor al final del archivo. Ejemplo:

su
nano /var/lib/unifi/system.properties
system_ip=192.168.1.10

Y reinicie unifi:

sudo systemctl restart unifi
# o
sudo service unifi restart

Más información AQUÍ

A partir de ahora, la url de acceso al portal será:

https://192.168.1.10:8843/guest/s/default/

Nota: No podrá iniciar por http porque le saldrá en el navegador el siguiente mensaje:

Bad Request
This combination of host and port requires TLS.

Compartición de impresoras y carpetas

Tambien en "Asignaciones de autorización previa (Pre-Authorization Allowances)", puede agregar las direcciones IPs de impresoras de red (solo si va a compartirlas con clientes de hotspot) y por último, poner un nombre de host, por ejemplo, de una carpeta compartida por Samba (solo si va a compartir carpetas con clientes de hotspot).

Tenga en cuenta que si habilita un host para compartición de carpetas, también debe habilitar NetBIOS y puertos en smb.conf e iptables, lo cual no es muy seguro, por tanto, se sugiere acceder a carpetas compartidas por la IP del equipo donde se encuentre, en lugar del nombre del host.

Ejemplo: IP del switch 191.168.1.1 e impresoras 191.168.1.240/28
y se elimina 192.168.0.0/16 para evitar conflictos

Adicionalmente, si va a compartir impresoras de red o carpetas compartidas de Samba con clientes de hotspot, vaya a la sección Wifi / Seleccionar Red Wifi (aplica a las configuraciones de los AP asociados al Hotspot) y desmarque la casilla "Aislamiento de dispositivo cliente (Client Device Isolation)". Para mayor información, consulte Security and Isolation.

Marcar UAPSD, Desmarcar Multicast and Broadcast Control y Client Device Isolation

También se recomienda desmarcar la casilla "Control de multidifusión y transmisión (Multicast and Broadcast Control)" y marcar la casilla de verificación UAPSD. Por defecto vienen de esa manera.

Manos a la obra

Lo siguiente es descargar el script de control:

- Descargar script. Por defecto, este script trae una configuración, la cual deberá reemplazar por las suyas, antes de ejecutarlo, la cual se irá indicando abajo.

wget -c https://raw.githubusercontent.com/maravento/vault/master/scripts/bash/unifihotspot.sh

- Reemplace la variable MAC_LIST el path y archivo donde se guardarán las direcciones MAC de los clientes autenticados. Por defecto:

MAC_LIST="/etc/acl/mac-hotspot.txt"

- Reemplace las variables LAN/WAN por el nombre real de la interfaz que va a usar para LAN de acuerdo con systemd/udev. Por defecto:

## Defines variable for the LAN interface. To find out your network interfaces, run:
## ip -o link | awk '$2 != "lo:" {print $2, $(NF-2)}' | sed 's_: _ _'
wan=enp2s0
lan=enp2s1

- Reemplace la IP estática que le asignó a su servidor Linux. Por defecto:

ipserver=192.168.1.2

- Reemplace el rango de direcciones IP que le asignará a los clientes que se autentican. Es importante que este rango coincida con el rango DHCP y con el CIDR de su red LAN. Por defecto:

IP="192.168.1"
RANGE_INI=160
RANGE_END=200

- Modifique el "tiempo de expiración". Este valor es en segundos y debe coincidir con el tiempo asignado en los vouchers emitidos en el Hotspot de Unifi Network. Por defecto viene 3600 segundos (24 horas):

expiration_seconds=3600

- En este apartado debe modificar el script según sus necesidades. Debe eliminar o agregar puertos que necesite abrir o cerrar para los clientes del hotspot. Para eso debe determinar el tipo de tráfico que maneja. Por ejemplo, si va a usar Squid-Proxy, debe agregar el puerto del proxy (ej: 3128) y si es intercept, debe agregar el puerto transparente (ej: 8080); si usa la opción 252 de DHPC y tiene publicado un ".pac" en apache2/Nginx, debe agregar el puerto donde esté publicado el ".pac" (por defecto 8000). Si no tiene nada de lo anterior, simplemente agregue el puerto 443 donde se indica. Por defecto:

# Local ports for authenticated client (Optional)
# Important about localports
# If you use Squid-Cache, you must add the proxy port (e.g. 3128)
# If you don't use proxy, If you don't use proxy, and your traffic is direct, add port 443
# If you use DHCP Option 252 and a published .pac file, you must add the apache2/Nginx port of the .pac
# Edit this variable and remove or add the ports to authorize. By default:
# RFC 2131 DHCP BOOTP protocol (67,68), NETBios (137:139), Microsoft-DS and SMB (445), SNMP (162), Open cups (printing service) udp/tcp for lan users IPP (631), Proxy PAC Apache2 (8000), Squid-Cache (3128), DNS (53) DNS over TLS (853)
# WARNING: Add HTTPS (443) port, in case of transparent proxy or non-proxy
localports="67,68,137:139,445,162,631,8000,3128,53,853"

- Una vez ajustados estos valores, copie el script a la ubicación de su preferencia, dele permisos de ejecución y ejecútelo:

sudo cp unifihotspot.sh /path_to/unifihotspot.sh
sudo chmod +x /path_to/unifihotspot.sh
sudo /path_to/unifihotspot.sh

- Se recomienda programarlo en el cron para que se ejecute cada 5 minutos:

sudo crontab -e
*/5 * * * * /path_to/unifihotspot.sh

Y es todo.

¿Qué hace este bash script?

El script abrirá los puertos de acceso al portal Unifi y capturará los strings de autenticación exitosa del cliente en el hotspot con voucher y envía su dirección MAC a la lista blanca "mac-hotspot.txt", no sin antes verificar si ya existe en otras listas blancas de su elección (si existe no se agrega) y también revisa si existe en una lista negra de su elección (si existe se elimina de esa lista). Y finalmente las reglas iptables incluidas le permitirán el acceso a la red local y por ende, a internet.

Una vez el tiempo asignado en el script, expire (insistimos, que debe coincidir con el tiempo del voucher asignado al cliente), se eliminará la MAC de la lista blanca.

Importante antes de usarlo

- Tenga en cuenta que el script usa el módulo string de iptables, el cual puede tener un impacto en el rendimiento si se aplica a un gran volumen de tráfico, ya que requiere inspección de contenido.

- Sepa que Unifi tiene sus propias reglas iptables/ebtables, por tanto el mecanismo de asignación y expiración de los vouchers funcionará, sin importar las reglas de este script, así que debe haber una sincronización estricta del timestamp asignado en el voucher y en el script.

- Es posible que se presenten algunos conflictos si tiene Unifi Network Self-Hosted (en el mismo servidor linux que hace de gateway). Para más información pulse AQUÍ.

- Se recomienda agregar politicas de Iptables, tales como redireccionamiento NAT forwarding, Masquerade, Global Policies, entre otras reglas básicas de firewall no incluidas. Para mayor información consulte Firewall. Y si ya lo tiene y es "zero trust" o tiene reglas muy restrictivas, se recomienda revisar las configuraciones para que no afecte el funcionamiento. Por defecto, el script del hotspot viene con reglas tipo "Insert" (-I), lo que facilita que las reglas se procesen de primero, sin embargo puede ser necesario integrarlos.

- Sugerimos configurar los APs manualmente, con la IP del servidor Linux en el campo del gateway y DNS, y el script se encarga de abrir DNS para permitir consultas. Esto para evitar conflictos con la configuración automática de los APs y que su DHCP asigne las IPs y DNS de su elección.

- Unifi trabaja con muchos puertos, puede consultarlos AQUÍ (no entendemos para que tantos) y eventualmente puede convertirse en un problema de seguridad.

- Es probable que, en algunos es escenarios, tanto cuando ingrese con su voucher asignado por Unifi como cuando expire, o la primera vez que se conecte, no abra el Landing Page. Esto es un problema conocido, sin que a la fecha haya una solución (ver issues AQUI y AQUI). Una posible alternativa es cerrar el navegador, desconectarse de la red, esperar un minuto, volverse a conectar y abrir el navegador, pero esto no es garantía (esperar que unifi algún día arregle este problema).

- Hay un script de glenn que usa fail2ban para prevenir ataques de fuerza bruta a la aplicación Unifi Network, el cual bloqueará cualquier intento de acceso fallido superior a 3 por un período de 15 minutos. Para mayor información consulte AQUÍ.

- Si tiene un proxy, permita el acceso de la URL: http://www.msftconnecttest.com/redirect

-Para eliminar unifi ejecute: sudo dpkg -P unifi

Disclaimer

Este es un script experimental y depende de que muchos componentes que trabajen de manera sincronizada (dhcp, rsyslog, iptables, unifi network, etc.), por tanto, no se garantiza su correcto funcionamiento.

Imágenes cortesía de Ubiquiti Unifi

Agradecimientos especiales a Glennn.

Descarga: Github Vault

ACTUALIZACIÓN IMPORTANTE

El contenido del post anterior y del script solo funciona en versiones de Unifi Software (Unifi Network Application, Unifi Network Server, Unifi Controller, etc.) 8x (probablemente hasta la v8.6.9). A raíz de la publicación de las versiones 9x, se han presentado fallas. Una posible causa un BUG documentado AQUÍ, por tanto si su versión en 9x no se recomienda lo descrito anteriormente ni el uso de nuestro script (que actualmente está en revisión).

Este mensaje desaparecerá una vez concluyan las pruebas y se verifique su funcionamiento en 9x.

Driver RTL8812AU para Linux

2024-05-01T13:12:00.004-04:00

Hay muchas tarjetas de red wifi, en especial USB, que no traen soporte para Linux, por ejemplo:

- ALFA AWUS036ACH

- ALFA AWUS036AC

- ALFA AWUS036EAC

- ASUS USB-AC56 Dual-Band AC1200 Adapter (H/W ver. A1)

- Belkin F9L1109

- Buffalo - WI-U3-866D

- Edimax EW-7822UAC

- Linksys WUSB6300 V1

- Netis WF2190

- Rosewill RNX-AC1200UBE

- Tenda U12

- TP-Link Archer T4U V1

- TRENDnet TEW-805UB

Lo que tienen en común estas tarjetas es el chip Realtek RTL8812AU. Pero no todo está perdido para Linux; para eso tenemos el repositorio de morrownnr.

No es necesario probar este driver en estas interfaces de red, puesto que el responsable del repositorio ya lo hizo, así que decidimos probarlos con la TP-Link USB WiFi Adapter, AC1300Mbps Dual Band 5dBi High Gain Antenna 2.4GHz/ 5GHz Wireless Network Adapter for Desktop PC (Archer T4U Plus), que no está listada, pero comparte el mismo chipset Realtek RTL8812AU.

Y manos a la obra (para Ubuntu 22.04. Puede consultar para otras distros en el repositorio):

sudo apt install -y build-essential dkms git iw
git clone https://github.com/morrownr/8812au-20210820.git
cd 8812au-20210820
sudo ./install-driver.sh

En este punto, comenzará la instalación:

Instalación del driver Realtek RTL8812AU

Y al terminar le pedirá si desea aplicar la nueva configuración y al elegir "Y" reiniciará su PC.

Después de reiniciar, si no se activa su tarjeta, simplemente desconéctela y vuélvala a conectar.

Verificando que haya sido instalado correctamente

Y es todo. Puede verificar que todo funciona correctamente.

lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 22.04.4 LTS
Release:	22.04
Codename:	jammy

sudo lsusb | grep T4UH
Bus 004 Device 004: ID 2357:010e TP-Link Archer T4UH v2 [Realtek RTL8812AU]

sudo lshw | grep network -A10 -B10
network
       descripción: Interfaz inalámbrica
       id físico: 7
       información del bus: usb@4:8
       nombre lógico: wlx5c628b2e68dc
       serie: 5c:62:8b:2e:XX:XX
       capacidades: ethernet physical wireless
       configuración: broadcast=yes driver=rtl8812au driverversion=v5.13.6-23-g232107d9b.20210820 firmware=52.14 ip=192.168.68.189 link=yes multicast=yes wireless=IEEE 802.11AC

sudo iwlist wlx5c628b2e68dc freq
wlx5c628b2e68dc  32 channels in total; available frequencies :
          Channel 01 : 2.412 GHz
          Channel 02 : 2.417 GHz
          Channel 03 : 2.422 GHz
          Channel 04 : 2.427 GHz
          Channel 05 : 2.432 GHz
          Channel 06 : 2.437 GHz
          Channel 07 : 2.442 GHz
          Channel 08 : 2.447 GHz
          Channel 09 : 2.452 GHz
          Channel 10 : 2.457 GHz
          Channel 11 : 2.462 GHz
          Channel 36 : 5.18 GHz
          Channel 40 : 5.2 GHz
          Channel 44 : 5.22 GHz
          Channel 48 : 5.24 GHz
          Channel 52 : 5.26 GHz
          Channel 56 : 5.28 GHz
          Channel 60 : 5.3 GHz
          Channel 64 : 5.32 GHz
          Channel 100 : 5.5 GHz
          Channel 104 : 5.52 GHz
          Channel 108 : 5.54 GHz
          Channel 112 : 5.56 GHz
          Channel 116 : 5.58 GHz
          Channel 120 : 5.6 GHz
          Channel 124 : 5.62 GHz
          Channel 128 : 5.64 GHz
          Channel 132 : 5.66 GHz
          Channel 136 : 5.68 GHz
          Channel 140 : 5.7 GHz
          Channel 149 : 5.745 GHz
          Channel 153 : 5.765 GHz
          Current Frequency:5.18 GHz (Channel 36)

Para mayor información, visite: https://github.com/morrownr/8812au-20210820

Licencias cautivas

2024-04-09T13:52:00.060-04:00

Una licencia de software es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribución) y el licenciatario (usuario consumidor, profesional o empresa) del programa informático, para utilizarlo cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas, es decir, es un conjunto de permisos que un desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar o modificar el producto bajo una licencia determinada. Además, se suelen definir los plazos de duración, el territorio donde se aplica la licencia (ya que la licencia se soporta en las leyes particulares de cada país o región), entre otros (fuente: Wikipedia).

Por lo general, las licencias se clasifican en dos. "Según los derechos que cada autor se reserva sobre su obra" y "Según su destinatario".

En el primer bloque nos encontramos las Licencia de software de código abierto permisivas, tales como Academic Free License, Apache Software License, Artistic License, Attribution Assurance license, BSD License, MIT License, etc. Las licencias de software de código abierto robustas o robustas fuertes, tales como Common Public License, GNU General Public License, Eclipse Public License, etc. Y las robustas débiles, tales como GNU Lesser General Public License v.2.1., Mozilla Public License, Open Source License, Apple Source License, etc.

En el segundo bloque "Según su destinatario" podemos encontrar la licencia de usuario final y de distribuidores.

Y también están las licencias de software de código cerrado, incluidas en el primer bloque. Estas licencias suelen utilizarse para software comercial y están diseñadas para proteger los derechos de propiedad intelectual del creador. Las licencias privativas vienen con una serie de condiciones, como limitar el número de usuarios que pueden utilizar el software, prohibir al usuario modificar el código fuente del software y limitar la capacidad del usuario para transferir la licencia a otra persona u organización. Y como si no fuese suficiente tantas restricciones, hay un escenario aún peor, que puede convertirse en una auténtica pesadilla para el usuario (comprador). Y este es el caso que abordaremos hoy.

Los fabricantes de programas sometidos a este tipo de licencias cerradas por lo general ofrecen servicios de soporte técnico y actualizaciones durante el tiempo de vida del producto. Pero, como bien afirman Malcolm Bain, Manuel Gallego, Manuel Martínez Ribas y Judit Rius en su Paper “Las licencias de software (II)”: Puede ser que, aun siendo formalmente un contrato accesorio a la licencia de uso, el mantenimiento constituya a veces mayor negocio para el proveedor que el precio que obtiene por la licencia. Como el único que puede prestar dicho servicio es el proveedor, se dice que el contrato de mantenimiento permite al proveedor mantener cautivo al usuario. El proveedor puede incluso optar por cobrar al usuario un precio relativamente bajo por la licencia, a cambio de asegurarse el pago de una cuota de mantenimiento durante un largo tiempo.

Dicho de otro modo; hay escenarios en que el fabricante del programa es, a la vez, proveedor de la licencia, de actualizaciones y del soporte técnico, sin posibilidad de tercerización, lo que le permite mantener cautivo al usuario.

Software con Licencia Cautiva

Resumiento; un Software con Licencia Cautiva es aquel que cumple con los siguientes criterios:

- Es un software de código cerrado (privado).

- El fabricante o desarrollador es el único responsable de las actualizaciones.

- La licencia y la venta del software están controladas por la misma entidad que lo desarrolla.

- El soporte técnico es proporcionado exclusivamente por el fabricante, sin intermediarios.

Además, se le añaden las siguientes condiciones:

- El fabricante puede suspender o revocar el acceso del usuario al software en cualquier momento y por cualquier motivo.

- El usuario cede al fabricante la propiedad de sus datos o el derecho a utilizarlos.

Este modelo es altamente perjudicial para el usuario, ya que lo deja completamente dependiente del proveedor para cualquier necesidad relacionada con el software. La imposibilidad de recurrir a terceros para soporte técnico o actualizaciones limita su flexibilidad y autonomía. Además, las restricciones habituales de estas licencias que prohíben modificar, desensamblar, copiar o redistribuir el software fuera de lo estipulado agravan aún más la dependencia, afectando la escalabilidad y comprometiendo la confidencialidad, integridad y disponibilidad de los datos que maneja el usuario.

Por tanto, si no puede utilizar licencias de software libre y de código abierto (Free/Libre and Open Source Software FLOSS) y no tiene más alternativas que adquirir una licencia de software cerrado para cubrir sus necesidades específicas, evite a toda costa este tipo de software con esta licencia tan restrictiva, si no estará a merced de su proveedor.

Fuentes consultadas: Las licencias de software (II), Licencias de software de código cerrado

Imagen cortesía de softzone.es

Error OOBE

2024-02-12T09:57:00.035-05:00

Los errores en Windows 10/11 de tipo OOBE (OOBEKEYBOARD, OOBESETTINGS, OOBEREGION, etc.) por lo general ocurren en equipos antiguos o con limitaciones de recursos de hardware, ya que el SO no es capaz de cargar los valores personalizados, elegidos por el usuario al momento de la instalación; tales como teclado, región y demás valores de configuración.

La mayoría de sitios en internet recomiendan que abra CMD en la pantalla del error, pulsando la combinación de teclas Shift+F10 (Shift+Fn+F10 en laptops) y ejecute los siguientes comandos:

net user administrador /active:yes
cd %windir%/system32/oobe
msoobe.exe

Con esto lo que se busca es acceder a la cuenta de administrador y desde ahí reparar el daño o crear la cuenta. Tenga presente que si después de ejecutar los comandos, el PC no reinicia en 20 minutos, deberá realizar un apagado forzado y volver a iniciar.

En algunos casos, después de reiniciar, puede aparecerle el mensaje "Nombre de usuario o contraseña no válido". Ignora este mensaje y haz clic en "Aceptar".

También puede crear la cuenta de usuario directamente desde el CMD (reemplace username password por el nombre de usuario y contraseña de la cuenta de usuario que va a crear):

net user administrator /active:yes
net user /add username password
net localgroup administrators username /add
cd %windir%/system32/oobe
msoobe.exe

Y si después de este procedimiento y de reiniciar le siguen saliendo mensajes similares, tales como: OOBESETTINGS, OOBEREGION o cualquier otro de tipo OOBE, conserve la cuenta de administrador y trabaje en esta, si es que su sistema se lo permite. Y solo después de mejorar el hardware de su PC, desactívela y trabaje en su nueva cuenta de usuario:

net user administrador /active:no

Es posible que quede una cuenta temporal llamada default0 o similar. Para eliminarla puede hacerlo en el panel de control, cuentas de usuario o ejecutando con privilegios:

net user defaultuser0 /DELETE

Sin embargo, y sin demeritar estas recomendaciones, la nuestra es que no se complique y lo haga a la vieja usanza, o sea, terminar la instalación del SO en otro PC de mejores características y al llegar al escritorio, sacarlo y ponerlo en el PC del problema.

Pero antes de hacerlo, debe tener en cuenta lo siguiente:

- El cambio de disco de PC debe hacerse cuando salga el error OOBE, para terminar de configurar la cuenta. Y una vez en el escritorio, volver a hacer el cambio.

- Asegúrese que la configuración BIOS Legacy o UEFI y ASCII o IDE sea la misma en ambos equipos.

- No se conecte a internet durante el proceso de formateo y/o configuración de la cuenta.

Y si no le funciona nada de lo anterior, conecte el HDD/SSD a un PC con mejores caracteristicas. Al llegar al escritorio, configurelo a su gusto y luego desinstale el hardware específico, desactive licencias y use Sysprep y al terminar, reinicie, le pedirá crear una nueva cuenta (es temporal así que pongale cualquier nombre), y al llegar nuevamente al escritorio, apague el equipo, cambie el HDD/SSD a la máquina original, la inicia y le solicitará ingresar a una de las dos cuentas, ingrese a la cuenta original que configuró previamente, y al llegar al escritorio, elimine la cuenta temporal.

2-Way Sync con Rclone

2023-09-22T19:34:00.277-04:00

Hacer una sincronización bidireccional de datos (2-Way Sync), requiere un alto grado de complejidad del algoritmo, ya que debe determinar el estado actual de los archivos, incluso en algunos casos el estado anterior, verificar los tiempos de modificación, el timestamp, etc., etc.

Muchos clientes de los diferentes servicios en la nube hacen este tipo de sincronización, pero, en Linux, son limitados respecto a su versión de Windows, o ni siquiera existen, y ni hablar de distribuciones sin escritorio. Una pesadilla. Y este problema se puede agravar, si requerimos de varios clientes para manejar múltiples servicios en la nube gratis, por las limitaciones de capacidad que tiene cada uno.

Afortunadamente, contamos con Rclone, una de esas herramientas de antaño que siempre salvan la campana, sobre todo en Linux, y con la cual podemos lograr nuestro 2-Way Sync de los principales servicios en la nube, ahorrándonos la instalación de un montón de clientes.

Para esto, Rclone cuenta con bisync (ejecute rclone bisync --help) y también están las alternativas syncrclone o rclonesync-V2, pero son experimentales y presentan errores, lentitud, problemas de resincronización y al final puede que no obtengamos los resultados esperados, con una eventual pérdida de datos (puede encontrar una comparativa AQUÍ). Y otras, simplemente están obsoletas, descontinuadas o su desarrollo se ha detenido, como es el caso de RcloneBrowser, RcloneTray, etc. (consulte Third-Party).

Un poco de sentido común

Asumiendo que ya tenemos instalado y configurado Rclone:

# To install
sudo -v ; curl https://rclone.org/install.sh | sudo bash
# To self update
rclone selfupdate
# To config
rclone config
# To remove
local_user=$(who | head -1 | awk '{print $1;}')
sudo rm -rf /home/$local_user/.cache/rclone /home/$local_user/.config/rclone /usr/bin/rclone /usr/local/share/man/man1/rclone*

Remoto Google Drive

A continuación usaremos, a modo de ejemplo, Google Drive (puede ser cualquier otro), por tanto, dentro de la carpeta de Google Drive (que llamaremos igual que el servicio "gdrive") creamos una carpeta llamada "upload" (donde pondremos los archivos a subir al servicio en la nube) y otra llamada "download" (donde están guardados los archivos del servicio en la nube que queremos sincronizar con nuestro PC local); algo similar a lo que hacen algunos servicios en la nube, como Mega, etc.

Y ahora creamos un bash con el siguiente contenido, le damos permisos y lo ejecutamos:

#!/bin/bash

# Rclone 2-Way Sync

# Local user with sudo privileges (no root)
local_user=$(who | head -1 | awk '{print $1;}')

# Local path for upload
upload_local="/home/$local_user/gdrive/upload"

# Local path for download
download_local="/home/$local_user/gdrive/download"

# Name of your remote in Rclone for Google Drive
remote="gdrive"

# Rclone log
rclonelog="/home/$local_user/gdrive/rclone.log"

echo "Sync gdrive to local"
# ej. download: rclone sync [directorio_remoto] [directorio_local]
rclone sync $remote:download $download_local --verbose --update --no-update-modtime --modify-window 1h --transfers 30 --checkers 8 --contimeout 60s --timeout 300s --retries 3 --low-level-retries 10 --stats 1s --stats-file-name-length 0 --log-file=$rclonelog
echo OK

echo "Sync local to gdrive"
# ej. upload: rclone sync [directorio_local] [directorio_remoto]
rclone sync $upload_local $remote:upload --verbose --update --modify-window 1h --no-update-modtime --transfers 30 --checkers 8 --contimeout 60s --timeout 300s --retries 3 --low-level-retries 10 --stats 1s --stats-file-name-length 0 --log-file=$rclonelog
echo Done

En el script anterior, se usaron los siguientes flags:

sync: Sincroniza el origen con el destino, cambiando solo el destino. No transfiere archivos que sean idénticos en origen y destino, probando por tamaño y tiempo de modificación o MD5SUM. El destino se actualiza para que coincida con el origen, incluida la eliminación de archivos si es necesario (excepto objetos duplicados). Si no desea eliminar archivos del destino, utilice el comando copy en su lugar.
--modify-window 1h: Se usa para determinar si un archivo debe actualizarse en el destino en función de las diferencias en los timestamps de modificación. Si la diferencia entre los timestamps de modificación de un archivo en el origen y el destino está dentro de la ventana de tiempo especificada, se considera que los timestamps son iguales y no se actualizará el archivo. El valor "1h" significa que se permitirá una diferencia de hasta 1 hora en los timestamps de modificación antes de que se actualice un archivo en el destino. Básicamente, sirve para compensar los desfases de tiempo entre la fuente y el backend, para backends que no admiten tiempos de modificación y, en su lugar, usan tiempos de carga. Este parámetro es opcional y normalmente se usa con --update, y el tiempo puede ser ajustado a los requerimientos del usuario. Ejemplo "1m" (un minuto).
--update: Esta opción asegura que solo se copien archivos si el archivo en el origen es más nuevo que el archivo existente en el destino. Esto evita copiar archivos que ya existen y no han cambiado.
--verbose: Habilita la salida detallada en la terminal para que puedas ver información sobre los archivos que se copian.
--transfers 30: Esto establece el número máximo de transferencias concurrentes a 30. Significa que Rclone puede copiar hasta 30 archivos al mismo tiempo, lo que puede acelerar el proceso de copia.
--checkers 8: Esto establece el número máximo de comprobadores concurrentes a 8. Los comprobadores verifican si los archivos ya existen en el destino y evitan copiarlos innecesariamente.
--contimeout 60s: Establece el tiempo de espera para las conexiones a 60 segundos. Si una conexión no se establece en ese tiempo, se considera un error.
--timeout 300s: Establece el tiempo de espera global para la operación de copia a 300 segundos. Si la operación no se completa en ese tiempo, se considera un error.
--retries 3: Indica que se deben realizar hasta 3 intentos de copia en caso de fallo antes de considerar la operación como fallida.
--low-level-retries 10: Establece el número máximo de intentos de bajo nivel a 10. Esto se refiere a los intentos de nivel más bajo para solucionar problemas de red u otros problemas.
--stats 1s: Muestra estadísticas cada 1 segundo mientras se ejecuta la operación de copia.
--stats-file-name-length 0: Esto establece la longitud máxima del nombre de archivo en las estadísticas a 0, lo que significa que se mostrarán nombres de archivo completos en las estadísticas.
--no-update-modtime: Evita que Rclone actualice las marcas de tiempo de modificación de los archivos en el destino durante una operación de sincronización o copia.
--log-file=: Especifica el archivo de log personalizado, donde se guardará la salida. También puede enviar los registros al log de Linux con la opción --syslog. También puede omitir el log y usar --progress para ver el progreso de la sincronización en tiempo real.

En algunos casos, se recomienda crear una lista para excluir o incluir archivos y directorios. Por ejemplo, a continuación una lista de exclusión de archivos problemáticos (exclude.txt):

*encryptable*
*.fuse_hidden*
*Zone.Identifier*
*goutputstream*
*.spotlight-*
*.fseventsd*
*.ds_store*
*~lock.*
*Thumbs.db*
*attributes*

Y agregar al comando propuesto en el script el siguiente flag:

# Exclude list
filter="/home/$local_user/gdrive/exclude.txt"
--exclude-from $filter --ignore-case

Nota: Tenga en cuenta que esto eliminará cualquier archivo que contenga estos patrones en mayúscula o minúscula, por tanto, pruebe primero agregando al final del comando el flag --dry-run, así verá los cambios que hará Rclone sin modificar nada (consulte filtering). O, si no quiere arriesgarse, más bien haga esta limpieza después que concluya el proceso de sincronización con un bash script (consulte Find and Destroy).

Con estas opciones se sincronizan archivos entre el remoto especificado (Google Drive) y una ubicación local, con varias opciones para controlar la operación de copia, incluyendo límites de velocidad, tiempo de espera y estadísticas detalladas, que finalmente se envían a un log, para su posterior revisión y control de cambios. Puede hacer esto mismo con cualquier otro servicio en la nube, siempre y cuando sea aceptado por Rclone.

No es necesario ejecutar este script con privilegios. Prográmelo en el crontab del usuario, para que se ejecute las veces que considere, sin embargo, no abuse de la API de algunos servicios en la nube, ya que no todos admiten sincronización en tiempo real y tampoco 2FA (Time-based One-time Password TOTP), como mega (issue 3165, aunque ya hay un borrador para su implementación). Para mayor información, consulte la documentación oficial.

Lo malo

Lo ideal sería un log que mostrara los registros de archivos y carpetas (creación, modificación, eliminación, etc) y de alertas o errores. Desafortunadamente, esto no sucede en Rclone.

Los logs se especifican con --log-level y solo tiene 4 opciones: NOTICE, ERROR, INFO y DEBUG. Con el flag "-q", Rclone solo mostrará errores (si los hay). Con el flag "-v" Rclone mostrará NOTICE, ERROR, INFO (los dos primeros no hay casi información e INFO es limitado, e incluye bastante basura de la caché) y finalmente, si usamos la bandera flag "--vv" tendremos los 4 juntos, que incluirá la salida deseada, pero acompañada de toneladas de basura de proporciones bíblicas, llenando el log en cuestión de minutos.

2023/10/08 21:05:11 INFO  : vfs cache: cleaned: objects 2 (was 2) in use 0, to upload 0, uploading 0, total size 1.210Ki (was 1.210Ki)
2023/10/08 21:06:08 INFO  : vfs cache: cleaned: objects 1 (was 1) in use 0, to upload 0, uploading 0, total size 0 (was 0)
2023/10/08 21:06:11 INFO  : vfs cache: cleaned: objects 2 (was 2) in use 0, to upload 0, uploading 0, total size 1.210Ki (was 1.210Ki)
2023/10/08 21:07:08 INFO  : vfs cache: cleaned: objects 1 (was 1) in use 0, to upload 0, uploading 0, total size 0 (was 0)
2023/10/08 21:07:11 INFO  : vfs cache: cleaned: objects 2 (was 2) in use 0, to upload 0, uploading 0, total size 1.210Ki (was 1.210Ki)
2023/10/08 21:08:08 INFO  : vfs cache: cleaned: objects 1 (was 1) in use 0, to upload 0, uploading 0, total size 0 (was 0)
2023/10/08 21:08:11 INFO  : vfs cache: cleaned: objects 2 (was 2) in use 0, to upload 0, uploading 0, total size 1.210Ki (was 1.210Ki)

Así que no recomendamos usar syslog, en modo DEBUG y reemplazarlo por un log personalizado, que se pueda vaciar cada X tiempo con un cat /dev/null > rclone.log, o filtrarlo con grep u otra cosa, o, en el peor de los casos, no usar log, pero no es lo recomendable.

Conclusión

Entendemos que esta solución está lejos del ideal GUI que querríamos para sincronizar nuestros archivos locales y en la nube, pero, desafortunadamente, alternativas FOSS que hagan 2-Way Sync con diferentes servicios en la nube son difíciles de conseguir (por no decir imposibles) y FreeFileSync, que es a nuestro juicio es la mejor herramienta de su tipo, de momento, solo cuenta con sincronización local y Google Drive, y syncthing (con su cliente SyncTrayzor), otro buen candidato, no cuenta con sincronización en la nube, ya que solo está pensado para sincronizar datos entre PC vía p2p... y para qué seguir mencionando.

Workaround

Y si no se puede por la vía normal, siempre habrá una manera de hacerlo. Creamos un bash para montar las unidades en la nube al inicio del sistema (o creando un servicio o en fstab). Ejemplo:

crontab -e
@reboot rclone mount gdrive: $HOME/gdrive &

Nota: Algunos servicios exigen la caché activada. Por defecto, viene desactivada (off). El modo "writes" es para que los archivos se lean directamente desde el remoto y "full" para que los archivos abiertos se almacenen en caché. Ejemplo:

@reboot rclone mount pcloud: $HOME/pcloud --vfs-cache-mode writes &

También puede parametrizar el tamaño de la caché, el vaciado, etc. (consulte vfs-file-caching)

Importante: Es muy probable que si programa el comando anterior en crontab y no tiene internet al iniciar su PC, la carga del escritorio de su sistema operativo se ralentizará, ya que intenta hacer la operación y no puede completarla. En ese caso, se recomienda correr el comando en un bash script, que verifique primero si hay internet, y si hay, verifique si existe el servicio y la carpeta de montaje. Y si estas 3 condiciones se dan, entonces proceda con el montaje, caso contrario aborte y programar este script en crontab, cada X tiempo.

Nota: Para automatizar los procesos de montaje | desmontaje de servicios y two-way sync, puede consultar los bash scripts de Rclone en nuestro repositorio Vault.

Y luego, con FreeFileSync, creamos otro bash y lo programamos en crontab para que sincronice el directorio local elegido con la unidad montada de la nube.

RealTimeSync

O con también podemos usar la herramienta RealTimeSync (incluida en FreeFileSync) para una sincronización en tiempo real (consulte Sincronización Espejo).

Imágenes cortesía de AOMEI

Ejecutar alias con privilegios

2023-07-02T17:32:00.005-04:00

Para crear un alias simplemente editamos nuestro bashrc (sin privilegios sudo):

nano ~/.bashrc

Y agregamos el alias al final del archivo. Ejemplo creando un alias para actualizar Ubuntu:

alias upgrade='sudo apt-get update && sudo apt-get dist-upgrade && sudo aptitude -y safe-upgrade && sudo fc-cache && sudo sync && sudo updatedb'

Y cargamos el alias con:

source ~/.bashrc

Y listo. A partir de ahora, en lugar de ejecutar esa cantidad de comandos, podemos abrir la consola y escribir "upgrade" y se ejecutarán todos en secuencia. Y hasta aquí debería llegar este post.

Pero, qué pasaría si queremos automatizar este proceso con un bash script y de paso incluirle más cosas, como instalación de programas, etc. Bueno, en este caso se complica un poco, puesto que los alias no se expanden en un contexto no interactivo (como un script) y bashrc tiene unas líneas que impiden esto:

# If not running interactively, don't do anything
case $- in
    *i*) ;;
      *) return;;
esac

Entonces, la solución, como bien nos explican en linuxhandbook, podría ser crear un alias temporal (hay una explicación más larga de cómo funcionan los alias, y su diseño que pueden consultarla AQUÍ).

Pero el post solo explica cómo ejecutarlo en el terminal, no en un bash script, por tanto, hay que hacer algunos cambios.

Workaround

Primero hay que habilitar la expansión de alias en shells no interactivos, para evadir la restricción de bashrc, preferentemente después del shebang, y después de ejecutar el alias temporal, desactivamos la expansión y, si queremos, lo agregamos a nuestro bashrc para que esté disponible después del reinicio del PC, quedando así:

Asumiendo que ya tenemos nuestro script con los permisos:

sudo touch myscript.sh
sudo chmod +x myscript.sh

Le agregamos el siguiente contenido:

#!/bin/bash
  
# enabling alias expansion in non-interactive shells / habilitando la expansión de alias en shells no interactivos
shopt -s expand_aliases

# create temporary aliases (no sudo) / creando alias temporal (sin sudo)
alias myupgrade='apt-get update && apt-get dist-upgrade && aptitude -y safe-upgrade && fc-cache && sync && updatedb'

# creating temporary sudo aliases / creando alias temporal de sudo
alias sudo='sudo '

# run temporary aliases / ejecutando alias temporal
myupgrade

# disabling alias expansion in non-interactive shells (optional) / deshabilitando la expansión de alias en shells no interactivos (opcional)
shopt -u expand_aliases

# local user with sudo privileges / usuario local con privilegios sudo
local_user=${SUDO_USER:-$(whoami)}

# create permanent aliases (with sudo - Change will be permanent after reboot) / creando alias permamente (con sudo - El cambio será permanente después de reiniciar)
sudo -u $local_user bash -c "echo alias myupgrade=\"'sudo apt-get update && sudo apt-get dist-upgrade && sudo aptitude -y safe-upgrade && sudo fc-cache && sudo sync && sudo updatedb'\"" >> /home/$local_user/.bashrc

# rest of script / resto del script
apt -y install etc etc etc

Y solo resta ejecutar el script:

sudo ./myscript.sh

Y es todo. Ya puede ejecutar su alias en el terminal con su script y también dejarlo permanente en bashrc.

Fuentes consultadas: askubuntu, linuxhandbook, 6.6 Aliases GNU

Glances

2023-04-04T16:23:00.145-04:00

Glances es una herramienta multiplataforma de monitoreo de recursos en tiempo real, similar a BpyTop, algo esencial para garantizar un rendimiento óptimo y prevenir problemas de estabilidad en el sistema operativo Linux. Usa la biblioteca psutil para recopilar y presentar una gran cantidad de información de monitoreo en el terminal o la interfaz Web. Y como dato curioso, es web responsive, como se muestra en la imagen del encabezado (la información se adapta dinámicamente según el tamaño de la interfaz de usuario).

Instalación

Glances se puede instalar fácilmente en sistemas Linux mediante el uso del gestor de paquetes de su distribución, aunque el proyecto ofrece muchas maneras de instalarlo. Por ejemplo, vía bash:

curl -L https://bit.ly/glances | /bin/bash
# or
wget -O- https://bit.ly/glances | /bin/bash

Y si usa Ubuntu 22.04 deberá corregirlo. Para esto lo descargamos:

wget https://raw.githubusercontent.com/nicolargo/glancesautoinstall/master/install.sh

Y reemplazamos:

python-pip python-dev

por:

python3-pip python-dev-is-python3

Y tal vez necesite otros reemplazos. Para eliminarlo, ejecute:

sudo pip uninstall glances
sudo rm -rf /usr/local/bin/glances /usr/bin/glances

Este método, como pueden apreciar, presenta problemas en Ubuntu. Sugerimos entonces que, si usa esta distro, simplemente ejecute:

sudo apt install glances

Y se instalará la versión (a la fecha):

glances -V
Glances v3.2.4.2 with PsUtil v5.9.0
Log file: /home/user/.local/share/glances/glances.log

Para eliminarlo:

sudo apt-get purge --auto-remove glances

Para iniciarlo en el terminal, escriba en el terminal glances y saldrá la siguiente ventana:

Glances Terminal (-s)

Aquí podemos apreciar toda la información que brinda este programa de monitoreo.

Web Server Mode (WEB-UI)

Consideramos que es más práctico ejecutar este aplicativo en el navegador, muy útil para sistemas sin escritorio. Para hacerlo, ejecútelo con la opción -w:

glances -w &

Y en el navegador la IP:puerto del servidor. Ejemplo: http://192.168.20.105:61208

Para que refresque cada 10 segundos: http://192.168.20.105:61208/10

Pero si no queremos enredarnos, usaremos el servicio de systemd. Habilitamos el servicio:

sudo systemctl enable glances.service

Editamos el archivo del servicio:

sudo nano /usr/lib/systemd/system/glances.service

Y modificamos la siguiente línea:

[Service]
ExecStart=/usr/bin/glances -s -B 127.0.0.1

por:

ExecStart=/usr/bin/glances -w -B 127.0.0.1 -t 10

Donde -t 10 son los segundos de refresco, -w es para iniciar la interfaz web (ya que -s es para el terminal) y -B es la dirección IP.

Y recargamos y reiniciamos:

sudo systemctl daemon-reload
sudo systemctl restart glances.service
# or
sudo /etc/init.d/glances restart

Y verificamos que esté activo y corriendo:

sudo systemctl status glances.service
● glances.service - Glances
     Loaded: loaded (/lib/systemd/system/glances.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2023-04-04 11:50:22 -05; 48s ago
       Docs: man:glances(1)
             https://github.com/nicolargo/glances
   Main PID: 593518 (glances)
      Tasks: 2 (limit: 18727)
     Memory: 40.8M
        CPU: 2.480s
     CGroup: /system.slice/glances.service
             └─593518 /usr/bin/python3 /usr/bin/glances -s -B 127.0.0.1 -t 10

abr 04 11:50:22 mst systemd[1]: Started Glances.

Si no pone dirección IP en el archivo del servicio, la dirección de enlace predeterminada es 0.0.0.0 (Glances escuchará en todas las interfaces de red disponibles) y el puerto TCP es 61209. Y, por tanto, el acceso será por http://127.0.0.1:61208/ o por http://0.0.0.0:61208/, o la IP del equipo donde esté instalado.

Para cambiar el puerto, nuevamente edite el archivo del servicio y agregue el puerto:

[Service]
ExecStart=/usr/bin/glances -w -B 127.0.0.1 -t 10 -p 1212

Donde el parámetro -p es el puerto que usará el aplicativo. Ahora puede acceder por http://127.0.0.1:1212/

Nota:

No use http://localhost:61209 porque no es una dirección IP
Asegúrese de abrir el puerto en su firewall

sudo ufw allow 61208/tcp
sudo ufw reload

Verifique que no haya varias instancias de Glance corriendo para evitar el Error: Can not ran Glances Web server ([Errno 98] La dirección ya se está usando)". En ese caso, ejecute:

sudo pkill glances

También puede proteger el servidor Glances con password en ~/.config/glances/.. Consulte AQUÍ para mayor información

[passwords]
# Define the passwords list
# Syntax: host=password
# Where: host is the hostname
#        password is the clear password
# Additionally (and optionally) a default password could be defined
localhost=mylocalhostpassword
default=mydefaultpassword

Issues

Muchos usuarios han reportado que al acceder a la interfaz web, la página sale en blanco. Resulta que por políticas de Debian los paquetes no deberían incluir archivos preconstruidos, por esta razón, eliminaron los archivos .js del paquete Glances, lo cual inutiliza la interfaz WEB-UI.

Mientras se soluciona este bug, hay dos opciones:

1. Instalarlo vía pip, que puede llegar a ser un poco engorroso para los no familiarizados con el tema, ya que se recomienda crear un entorno virtual:

pip install --user 'glances[action,browser,cloud,cpuinfo,docker,export,folders,gpu,graph,ip,raid,snmp,web,wifi]'
pip install --user --upgrade glances

2. Instalarlo vía apt y descargar el paquete que restablece los archivos .js, eliminados por Debian/Ubuntu (consulte AQUÍ la solución):

wget -c https://github.com/nicolargo/glances/archive/refs/tags/v3.2.7.tar.gz
tar -xzf v3.2.7.tar.gz
sudo cp -r glances-3.2.7/glances/outputs/static/public/ /usr/lib/python3/dist-packages/glances/outputs/static/

Refrescamos la página y ya se puede visualizar:

Glances Web-UI

Otros registros

Glances muestra mucha información esencial, pero hay otras cosas que pueden ser algo "confusas", por llamarlas de alguna manera. Es el caso de extrañas alertas de tipo WARNING (or CRITICAL) on CPU_IOWAIT.

Alerta CPU_IOWAIT en un proxy HPE Proliant G9

Según el Issue #1214, "en un sistema muy rápido, en su mayoría inactivo, escribir en discos giratorios a menudo hace que Glances genere alertas CPU_IOWAIT críticas, simplemente porque escribir en discos giratorios es lento y la CPU no está haciendo nada más en ese momento. Sin embargo, estas alertas en realidad no significan que algo esté mal".

En el Issue #2330, el creador nos sugiere que, como ningún sistema es igual y no tiene los mismos valores, entonces subirlos:

sudo nano /etc/glances/glances.conf
[cpu]
total_careful=65 # subir a 70 o 75
total_warning=75 # subir a 80 o 85
total_critical=85 # subir a 90 o 95
sudo service glances restart

Otra cosa que hace Glances es mostrar la memoria virtual. Y no se asusten si ven algo como esto:

Memoria Virtual (VIRT)

En la imagen anterior vemos como Chrome se traga "1.10T" (TB) en tan solo una sola pestaña, como se muestra en la columna VIRT en un PC que tiene 16 GB RAM con 500 GB de SSD.

Resulta que, como bien lo explican AQUÍ, la "memoria virtual" aquí no significa "intercambio" o "archivo de paginación" (como en Windows). Aquí significa "espacio de direcciones virtual abstracto", por lo tanto, no corresponde a la asignación de RAM física u otra cosa (también conocido como 'overcommit' en Linux), permaneciendo en su mayoría asignados a una sola página "cero". O sea, que esto también es normal, como lo afirma su creador en el Issue #2343.

Y eso fue todo. Esperamos que disfruten este magnífico programa de monitoreo de recursos. Visiten el sitio oficial para más información y consulte la documentación completa AQUÍ.

Bash Script

Para instalar glances use el siguiente loop (tested en Ubuntu 22.04/24.04):

#!/usr/bin/env bash
# Install Glances With the following command:
#sudo chmod +x glances_install.sh && sudo ./glances_install.sh
apt install -y glances
systemctl enable glances.service
systemctl stop glances.service
export GLANCES_VERSION=$(glances -V | head -n 1 | awk '{print $2}' | sed 's/^v//')
wget "https://github.com/nicolargo/glances/archive/refs/tags/v${GLANCES_VERSION}.tar.gz"
tar -xzf v${GLANCES_VERSION}.tar.gz
rm v${GLANCES_VERSION}.tar.gz
cp -r glances-${GLANCES_VERSION}/glances/outputs/static/public/ /usr/lib/python3/dist-packages/glances/outputs/static/
rm -rf glances-${GLANCES_VERSION}
sed -i '/ExecStart=\/usr\/bin\/glances -s -B 127.0.0.1/c\ExecStart=\/usr\/bin\/glances -w -B 0.0.0.0 -t 10 -p 61208' /usr/lib/systemd/system/glances.service
# Performance Co-Pilot (PCP) (Optional)
nala install -y pcp cockpit-pcp
systemctl enable --now pmcd pmlogger
systemctl daemon-reload
systemctl start glances.service

Ahora ya podrá acceder por:

http://localhost:61208
http://127.0.0.1:61208
http://tu_IP:61208

Paquetes retenidos

2023-01-26T14:50:00.041-05:00

Es posible que durante una actualización de Ubuntu 22.04 salga el mensaje "Los siguientes paquetes se han retenido":

the following packages have been kept back:
   gnome-remote-desktop update-notifier update-notifier-common

Si listamos los paquetes de ejemplo, encontramos lo siguiente:

sudo apt list --upgradable
gnome-remote-desktop/jammy-updates 42.7-0ubuntu1 amd64 [upgradable from: 42.3-0ubuntu1]
update-notifier-common/jammy-updates,jammy-updates 3.192.54.3 all [upgradable from: 3.192.54]
update-notifier/jammy-updates 3.192.54.3 amd64 [upgradable from: 3.192.54]

Y corremos los comandos usuales para intentar solucionarlo, sin éxito:

sudo apt upgrade
sudo apt dist-upgrade
sudo apt-get upgrade
sudo apt-get --with-new-pkgs upgrade
sudo apt-get install --only-upgrade
sudo apt full-upgrade
# etc., etc.

paquetes retenidos

Ni siquiera el poderoso nala puede solventar este problema:

sudo nala install --no-full

nala

¿Por qué sucede esto?

La respuesta es "Actualizaciones por Fases" ( Phased Updates); un sistema que Ubuntu Desktop implementó desde la versión 13.04 para apt-get y a partir de la versión 21.04, apt también comenzó a usarlo, el cual tiene como propósito proteger el sistema de una actualización ocasional con errores, pero, en un entorno automatizado con bash script, puede frenar la ejecución de una tarea programada de actualización por causa de los paquetes retenidos.

Solución

Hay varias. Si solo quiere resolver el problema temporalmente, ejecute en la consola:

sudo apt -o APT::Get::Always-Include-Phased-Updates=true upgrade

Para hacerlo permanente, creamos el archivo:

sudo touch /etc/apt/apt.conf.d/99-Phased-Updates

Con el contenido:

Update-Manager::Always-Include-Phased-Updates;
APT::Get::Always-Include-Phased-Updates True;

También puede hacerlo en una sola línea:

echo $'Update-Manager::Always-Include-Phased-Updates;\nAPT::Get::Always-Include-Phased-Updates True;' | sudo tee -a /etc/apt/apt.conf.d/99-Phased-Updates > /dev/null

# o:

sudo tee -a /etc/apt/apt.conf.d/99-Phased-Updates > /dev/null << EOF
Update-Manager::Always-Include-Phased-Updates;
APT::Get::Always-Include-Phased-Updates True;
EOF

O puede crear dos opciones en el archivo y desactivarlo o activarlo manualmente. Simplemente comente o descomente el bloque de líneas, cambiando de Always por Never y viceversa. Ejemplo:

 # Desactivado
#Update-Manager::Never-Include-Phased-Updates;
#APT::Get::Never-Include-Phased-Updates True;
# Activado:
Update-Manager::Always-Include-Phased-Updates;
APT::Get::Always-Include-Phased-Updates True;

Y finalmente actualizamos con apt upgrade

Pero puede ahorrarse todo esto gracias al milagroso aptitude que siempre termina salvando la campana, con tan solo ejecutar:

sudo aptitude safe-upgrade

Puede consultar el listado de estos paquetes en Phasing Ubuntu Stable Release Updates.

Fuente Consultada: askubuntu.com

Cockpit + virt-manager

2022-11-29T12:37:00.330-05:00

Hoy abordaremos Cockpit, una interfaz o panel web para administrar servidores Linux, donde podemos ver registros del sistema, actualización e instalación, aplicaciones, redes, almacenamiento, servicios, cuentas, diagnóstico, terminal-shell, etc., etc., etc. En resumen, una auténtica navaja suiza y todo desde el navegador.

Para instalarlo (en Ubuntu 22.04/24.04):

sudo apt install cockpit

En dependencia de su sistema, la aplicación mostrará paquetes adicionales para su instalación. Se recomienda instalarlos. Para mayor información, consulte Aplicaciones

sudo apt install cockpit cockpit-storaged cockpit-networkmanager cockpit-packagekit cockpit-machines cockpit-sosreport virt-viewer
sudo usermod -aG libvirt-qemu $USER

Para iniciarlo y habilitarlo en el inicio del sistema:

sudo systemctl start cockpit cockpit.socket
sudo systemctl enable --now cockpit cockpit.socket

Cockpit ofrece una interfaz web amigable para administrar servidores, e incluye la creación y manejo de máquinas virtuales a través del módulo cockpit-machines, que se integra con QEMU/KVM. Pero, aunque Cockpit permite iniciar y visualizar máquinas virtuales desde el navegador, esta visualización depende del paquete virt-viewer, que incluye la herramienta remote-viewer, (del cual hablaremos más adelante) y que es muy limitada.

Por tanto, se recomienda instalar los paquetes de QEMU/KVM (Cockpit y sus módulos relacionados), ya que incluye virt-manager (Virtual Machine Manager), una GUI más avanzada para crear, configurar y administrar VMs de forma local, editar el hardware virtual, gestionar snapshots y controlar múltiples VMs desde una sola interfaz.

Si prefiere esta integración, ejecute este bash ( sudo chmod +x cockpit.sh && sudo ./cockpit.sh):

#!/bin/bash
# LOCAL USER
local_user=$(
    who | grep -m 1 '(:0)' | awk '{print $1}' || 
    who | head -1 | awk '{print $1}'
)
# Web Admin + Virtualization: Cockpit + QEMU/KVM
# Virtualization Tools
apt install -y qemu-kvm virt-manager virtinst libvirt-clients libvirt-daemon-system virtiofsd qemu-system qemu-guest-agent
usermod -aG kvm "$local_user"
usermod -aG libvirt "$local_user"
systemctl enable --now libvirtd
# Virtual Tools
apt install -y bridge-utils libguestfs-tools ovmf
# Cockpit
apt install -y cockpit cockpit-storaged cockpit-networkmanager cockpit-packagekit cockpit-machines cockpit-sosreport virt-viewer
systemctl enable --now cockpit cockpit.socket
echo "Cockpit Access: http://localhost:9090"

Es importante que abra el puerto en el firewall:

sudo ufw allow 9090

El puerto por defecto es 9090. Verifique que esté libre:

sudo lsof -i -P -n | grep 9090

Si está en uso, puede cambiarlo, creando el siguiente archivo:

sudo mkdir -p /etc/systemd/system/cockpit.socket.d
sudo touch /etc/systemd/system/cockpit.socket.d/listen.conf

Lo edita con el siguiente contenido (por ejemplo, cambiado de 9090 a 9191):

[Socket]
ListenStream=
ListenStream=9191
FreeBind=yes

Opcional: Puede agregar la IP:Puerto del equipo. Ejemplo:

ListenStream=192.168.0.10:9191

Guarde los cambios y reinicie:

Nota: El comando restart en ocasiones falla, por tanto, se recomienda usar stop/start

sudo systemctl daemon-reload
sudo systemctl stop cockpit cockpit.socket
sudo systemctl start cockpit cockpit.socket

Nota: Para mayor información, consulte Listen

Ahora puede acceder a la interface de cockpit por el navegador con el siguiente enlace https://localhost:9090 (o el puerto que haya elegido).

Lo primero que debe hacer es habilitar el acceso administrativo una vez esté dentro de la aplicación:

acceso administrativo

En este punto, es posible que comiencen a aparecer mensajes en syslog como este (bug 14896):

error cockpit-tls: gnutls_handshake failed /var/log/syslog

Y hasta tanto corrijan el bug, dos varias maneras de evitarlos:

- Acceder por http ( http://localhost:9090) en lugar de https

- Instalar tus propios certificados

También puede usar Cockpit sobre Apache con LetsEncrypt o sobre NGINX.

VMs

Como mencionamos, cockpit trabaja con QEMU libvirt y virtualización KVM (archivos .qcow2), que soporta VMs creadas en VirtualBox en formato .vdi siendo una excelente alternativa phpVirtualBox, que se quedó sin soporte hace algunos años, aunque hay una actualización externa al proyecto y cualquier otro tipo de imagen compatible con QEMU (ver lista AQUÍ). Para hacerlo, solo tiene que importar los discos virtuales en la sección "Import VM (importar una MV)".

En Contra

- Cockpit no soporta Spice en el navegador (solo consola VNC; asumimos que por razones de compatibilidad web), entonces las VMs creadas por virt-manager no se podrán ver corriendo en el navegador. Entonces, si desea ver su VM ejecutándose en el navegador, sí o sí deberá crearla en Cockpit. Tenga en cuenta que si hace esto, Cockpit por defecto accederá a su visualización con la consola VNC. Y a pesar de que puedes convertir Spice en VNC desde la interfaz web, esta consola VNC de cockpit es bastante limitada (no permite redimensionar los marcos, no tiene soporte para copiar y pegar, interfaz menos fluida, prblemas con el audio, redirección usb, carpetas compartidas, etc., etc.). Por tanto, se recomienda usar un programa externo como virt-manager o remote-viewer:

remote-viewer spice://[::1]:5901
# o
remote-viewer spice://localhost:5901

Instalación de Ubuntu: remote-viewer spice://localhost:5901

Notas:

- virt-manager permite cambiar la VM a VNC pero genera muchos errores de tipo spicevmc, por tanto no se recomienda.

- No olvide editar el archivo de configuración y descomentar (puede cambiar 0.0.0.0 por 127.0.0.1):

sudo nano /etc/libvirt/qemu.conf
vnc_listen = "0.0.0.0"
spice_listen = "0.0.0.0"
sudo systemctl restart libvirtd
sudo systemctl restart cockpit

- Puede usar virt-manager redimensionar la VM:

Auto Redimensionar la VM

Cockpit Selector

Al crear una VM, hay dos opciones:

Debe elegir entre "system" o "user session"

Para tener una idea de para qué sirve cada una, observemos esta tabla:

Tabla comparativa entre system y user session

Así que debe elegir para qué quiere la VM. Y un detalle importante es que en system el disco virtual .qcow2 se crea con permisos root y en user session no, además que los path por defecto son diferentes. Para el caso de virt-manager solo crea discos virtuales con permisos root.

Entonces, si no quiere trabajar con la opción default que ofrece cockpit y quiere guardar el disco virtual en un path específico, deberá crear un nuevo grupo de almacenamiento y dentro el nuevo disco virtual para usarlo con tu nueva VM, pero se recomienda desactivar default, ya que si no cockpit usará la ruta predeterminada segun el tipo de selección que realizó (ver tabla anterior).

Pero hay otro problema. Un disco virtual creado por defecto mediante Cockpit o virt-manager es técnicamente sparse (disperso), ya que internamente almacena solo los bloques usados y no todo el espacio asignado. Sin embargo, durante la creación, incluso si no se activa la opción de “preasignar espacio”, estas interfaces gráficas no siempre trasladan correctamente esa configuración al sistema subyacente (libvirt y qemu-img). Esto genera un archivo que incluye bloques preasignados o metadata, lo que contradice la intención de un disco verdaderamente dinámico. El problema se manifiesta al intentar copiar dicho archivo a otra ubicación: el sistema de archivos, al no reconocer ni preservar la dispersión ( sparsity) de manera automática, copia también los bloques vacíos o preasignados. Así, aunque el disco solo tenga 21 GB de datos reales, si fue creado con un tamaño lógico de 80 GB, la copia ocupará esos 80 GB completos. Esto no sucede con discos virtuales creados por VirtualBox, que sí mantienen la dispersión efectiva durante la copia.

La mejor solución es crear el disco virtual por línea de comandos (puede cambiar "preallocation=off" a "on" para conservar el tamaño completo establecido en su creación). Ejemplo:

# Para crear:
qemu-img create -f qcow2 -o preallocation=off /path_to/disk.qcow2 20G
# Para convertir:
qemu-img convert -f qcow2 -O qcow2 -o preallocation=off /path_to/disk.qcow2 /path_to/newdisk.qcow2

Una vez creada la VM, tanto en cockpit como en virt-manager debe decidir sobre lo siguiente:

- BIOS vs UEFI. Debe elegir con cuál va a trabajar. Por defecto ambos eligen BIOS.

BIOS vs UEFI en virt-manager

- Si usa un SSD, agregue a la configuración de su disco virtual el parámetro discard="unmap". Ejemplo:

<disk type="file" device="disk">
  <driver name="qemu" type="qcow2" discard="unmap"/>
  <source file="/path_to/w10.qcow2" index="3"/>
  <backingStore/>
  <target dev="vda" bus="virtio"/>
  <boot order="1"/>
  <alias name="virtio-disk0"/>
  <address type="pci" domain="0x0000" bus="0x04" slot="0x00" function="0x0"/>
</disk>

- Tenga en cuenta que, en lugar de SATA puede elegir bus="virtio", que tiene más integración con entornos virtualizados. Vea la siguiente tabla comparativa:

SATA vs Virtio

Pero, no reconocerá el disco duro virtual en el momento de la instalación de Windows, por tanto deberá descargar el driver virtio-win.iso AQUI, montar la ISO, e instalarlos.

Añadiendo driver virtio a Win 10

- Y, por último, si su máquina invitada es Windows, descargar e instalar en el invitado virtio-win-guest-tools.exe, que viene siendo como el Virtualbox Guest Additions o el VMware Tools.

Y si es Linux:

sudo apt install qemu-guest-agent

Y si estás usando Cockpit en un servidor VMware:

sudo apt install open-vm-tools

Compartir Carpetas con Host

Si su invitado es Windows, Virtio-FS no es compatible con este SO, pero, a pesar de esto, aún podrá compartir carpetas del host. Hay dos métodos, pero no podrá hacerlo con cockpit sino con virt-manager:

Por Samba: Cree la carpeta en el host y compartala vía Samba

Por WinFSP:

- Habilite la "memoria compartida" en virt-manager.

Habilitando shared memory

- Haga clic en "Agregar hardware" en la parte inferior. Seleccione "filesystem" en el panel izquierdo de la ventana "Agregar nuevo hardware". Luego, seleccione "Driver=virtiofs" en la pestaña de detalles. Haga clic en "Examinar > Examinar local" y seleccione la ruta del host de su sistema Linux. En la ruta de destino, indique el nombre de la carpeta a compartir.

Compartiendo carpeta de host en virt-manager

- Descargue e instale las aplicaciones spice-guest-tool, virtio-win-guest-tools y WinFSP en la VM de Windows (en virtualbox solo necesitamos uno: Guest Additions). Vea la tabla comparativa:

comparativa spice-guest-tool, virtio-win-guest-tools, WinFSP

- En "ejecutar" escriba services.msc y pulse Enter. En la lista de servicios encontrará uno llamado VirtIO-FS Service. Doble clic, selecciona "automático" para que inicie con el sistema y reinicie la VM.

- Después del reiniciar, abra el Explorador de Windows y debería ver la carpeta compartida en Z.

O también puede usar nuestro script vtools que se encarga de hacer este proceso.

Para el invitado Linux, puede hacerlo por Samba, o seleccione la carpeta a compartir en la interfaz gráfica de la máquina virtual, sección al final "Directorios compartidos" y luego, en el invitado, ejecute (cambie los nombres de las carpetas "my_shared_folder" del invitado y "my_host_folder" del host):

sudo apt install virtiofsd libvirt-daemon-system qemu-system
mkdir my_shared_folder
sudo mount -t virtiofs my_host_folder ~/my_shared_folder

Otra característica muy interesante, que solo se muestra en virt-manager, es la opción "Compartibles (Shareable)", que se activa en nuestro disco duro virtual para que varias máquinas virtuales lo usen simultáneamente. Muy útil en entornos empresariales complejos, como clústeres de alta disponibilidad HA (Oracle RAC, Microsoft SQL Server Always On, o PostgreSQL con almacenamiento compartido, etc.), Clustered File Systems (GFS2, OCFS2), almacenamiento compartido en backend SAN o iSCSI, etc.

Nota Importante:

Respecto al uso de discos SSD en máquinas virtuales. Al crear la VM, se recomienda seleccionar el bus SCSI, ya que de lo contrario Windows podría identificar el disco como “Unrecognized” o “Unspecified”. No obstante, si estás utilizando un controlador Red Hat VirtIO SCSI Disk Device y sabes que se trata de un SSD, puedes forzar el reconocimiento y activar el soporte TRIM manualmente con el siguiente comando:

 Optimize-Volume -DriveLetter C -ReTrim -Verbose

Redes Virtuales

Otra característica de virt-manager, que no tiene cockpit, es que podemos crear redes virtuales. Pulsamos en QEMU/KVM, luego en el menú Editar > Detalles de conexión y se abrirá una ventana. Vamos a la pestaña "Redes Virtuales" y ahí podemos crear nuestra red virtual en modo NAT, Enrutada, Abierta, Isolado o POOL-SR-IOV (Single Root I/O Virtualization), definir IPv4, DHCP, etc.

Creación de una Red Virtual

Bonding

Cockit también permite "agregación de enlaces" (bonding) en 7 modos (no confundir con "balanceo de carga"). Puede consultarlos los modos AQUÍ.

Bond

Aclaratoria: La agregación de enlaces (link aggregation) y el balanceo de carga (load balancing) son dos técnicas relacionadas, pero distintas, que se utilizan para mejorar la eficiencia y la disponibilidad de las redes. A continuación una tabla comparativa:

Aspecto	Link Aggregation (LA)	Trunking (VLAN)	Balanceo de Carga
Propósito principal	Aumentar capacidad y redundancia entre dispositivos	Transportar múltiples VLANs por un mismo enlace físico	Distribuir tráfico entre múltiples rutas/redes
Número de enlaces físicos	Múltiples (2 o más)	Normalmente, uno (aunque puede ir sobre LA)	Múltiples conexiones WAN o rutas
Capa OSI	Capa 2 (Enlace de datos)	Capa 2 (Enlace de datos)	Capa 3 (Red) o superior (L4/L7)
Unidad de trabajo	Flujos individuales distribuidos entre interfaces físicas	Etiquetado de tramas para transportar varias VLANs	Flujos distribuidos según reglas (IP, puerto, tráfico, etc.)
Tecnología típica	LACP, EtherChannel, NIC bonding	IEEE 802.1Q (VLAN tagging)	Policy-based routing, round robin, weighted routing, SD-WAN
Requiere configuración en ambos extremos	Sí	Sí	No necesariamente (puede ser unidireccional en routers/firewalls)
Ventaja principal	Aumenta ancho de banda en LAN y añade tolerancia a fallos	Segmentación lógica de red sin cables adicionales	Aprovecha múltiples conexiones a Internet o redes
Casos de uso comunes	Switch ↔ Switch, Switch ↔ Servidor, NAS con múltiples NICs	Switch ↔ Switch, Switch ↔ Router o servidor con VLANs	Routers con varias WAN, servidores con múltiples interfaces externas
¿Suma anchos de banda para un solo flujo?	❌ No (a menos que se use MPTCP u otra técnica avanzada)	❌ No (es segmentación lógica, no aumento de ancho de banda)	❌ No (a menos que se use bonding o reconstrucción de sesión)
¿Puede coexistir con otros?	✅ Sí, puede combinarse con Trunking (trunk sobre LA)	✅ Sí, puede viajar sobre enlaces agregados (trunk sobre LA)	✅ Sí, pero debe manejarse cuidadosamente para evitar rutas conflictivas

Tenga en cuenta que si va a usar agregación de enlaces ("añadiendo" o "aggregate"), el objetivo es unir dos interfaces físicas Ethernet en una interfaz virtual para aumentar el ancho de banda o la redundancia. Para ello, debe contar con un switch compatible con el protocolo IEEE 802.3ad (LACP) y los puertos que elija deben ser secuenciales (1, 2, etc...), en dependencia de la cantidad de NICs que tenga y quiera unir en una interfaz virtual. Además, es importante comprender estos conceptos:

- LAG (Link Aggregation Group): conjunto de enlaces físicos que funcionan como un enlace lógico único.

- LACP (Link Aggregation Control Protocol): protocolo estándar que automatiza la creación y gestión de LAGs, incluyendo la negociación y el monitoreo del estado de los enlaces.

En Cockpit, deberá elegir el modo 802.3ad para la agregación y puede activar la monitorización miimon (MII) para supervisar el estado de los enlaces, aunque LACP realiza monitoreo propio.

Por razones de compatibilidad, se recomienda usar la MAC de la primera interfaz física que forma parte del grupo.

Si su objetivo es balancear la carga de servicios o aplicaciones en lugar de unir interfaces físicas, recomendamos utilizar soluciones específicas de balanceo de carga a nivel de aplicación, como HAProxy, o balanceadores de carga por hardware, que son más efectivos para ese propósito.

Cockpit también se puede realizar monitoreo del canal:

Canal

Cockpit usa un programa externo para firewall llamado firewalld, pero se alargaría demasiado el tema y en lo personal preferimos y recomendamos iptables.

Lo Malo

Cockpit tiene muchas cosas buenas, pero una extremadamente mala y es que no soporta networkd (systemd-networkd). Entonces, si trabajas con NetworkManager como rendered y tu equipo por ejemplo Ubuntu/Debian Desktop, esto no debería ser un problema, pero si usas un servidor con sistema operativo tipo server e interfaces declaradas en netplan, olvídate de Cockpit. En este escenario, si lo usas, creará un caos en tu configuración de red. Para mayor información visite Issue 22534.

En fin; Cockpit tiene un montón de cosas más, muy relevantes para los sysadmin y otras no tanto. Cualquier duda consulten la documentación oficial.

Puede descargar nuestro script de instalación para VMs Windows: Spice + Virtio + WinFsp as a Service (QEMU/KVM) en Vault/Scripts

Virtualbox 7

2022-10-11T08:57:00.028-04:00

VirtualBox 7 ha sido liberado, con nuevo soporte de aceleración 3D basado en DirectX 11, soporte para cifrado completo de la VM, secure boot, TPM 1.2 y 2.0 virtuales, soporte de los controladores de USB EHCI y XHCI, etc. etc. etc. (lea el changelog)

Virtualbox 7

Algo interesante es incorpora un monitor de recursos, que puede ser bastante útil:

monitor de recursos

Para Windows, como siempre, es sencillo. Descargar, instalar, siguiente, siguiente. Para linux, recomendamos hacerlo por línea de comandos, y hemos preparado un script que funciona en Ubuntu 20.04/22.04.

Purga

Antes de usarlo, asegúrese de eliminar cualquier rastro de versiones anteriores, para evitar incompatibilidades. Por tanto, se recomienda encarecidamente que haga un backup de su disco virtual antes de ejecutar el siguiente script, ya que elimina las carpetas y configuraciones, incluyendo la del disco (por seguridad hemos comentado la línea).

sudo ./purge_vbox.sh

Con el contenido:

#!/bin/bash
echo "Purge Virtualbox..."
vboxmanage list runningvms | sed -r 's/.*\{(.*)\}/\1/' | xargs -L1 -I {} VBoxManage controlvm {} savestate
ps ax | grep -P 'vboxwebbsrv|VirtualBox|Vbox' | awk '{print $1}' | xargs kill -9 &> /dev/null
systemctl stop vboxweb-service.service &> /dev/null
service vboxdrv stop &> /dev/null
VBoxManage extpack uninstall "Oracle VM VirtualBox Extension Pack"
apt-get -y autoremove --purge $(echo $vboxversion)
/opt/VirtualBox/uninstall.sh &> /dev/null
apt-get remove --purge virtualbox-guest-utils virtualbox-dkms virtualbox-guest-x11 virtualbox virtualbox-guest-additions-iso virtualbox-ext-pack virtualbox-source
# delete folders and files
rm -rf /etc/vbox /opt/VirtualBox /usr/lib/virtualbox /etc/default/virtualbox /etc/init.d/virtualbox /etc/apt/sources.list.d/virtualbox* &> /dev/null
# delete virtual disk config
#rm -rf ~/.config/VirtualBox
echo "Done"

Instalación

Y ahora la instalación:

sudo ./setup_vbox.sh

Con el contenido:

#!/bin/bash
echo "Virtualbox 7.0 install..."
# Download and install .asc
wget -O- https://www.virtualbox.org/download/oracle_vbox_2016.asc | gpg --dearmor | tee /usr/share/keyrings/virtualbox.gpg &> /dev/null
# add repo
echo deb [arch=amd64 signed-by=/usr/share/keyrings/virtualbox.gpg] http://download.virtualbox.org/virtualbox/debian $(lsb_release -sc) contrib | tee /etc/apt/sources.list.d/virtualbox.list
apt update
# install vbox
apt-get -y install linux-headers-$(uname -r) build-essential gcc make perl dkms bridge-utils
apt-get -y install virtualbox-7.0
dpkg --configure -a
apt-get -f -y install
# install Extension Pack
export VBOX_VER=$(VBoxManage --version | awk 'END {print $1}' | cut -d 'r' -f 1)
wget -c http://download.virtualbox.org/virtualbox/$VBOX_VER/Oracle_VM_VirtualBox_Extension_Pack-$VBOX_VER.vbox-extpack
VBoxManage extpack install Oracle_VM_VirtualBox_Extension_Pack-$VBOX_VER.vbox-extpack
# configure
usermod -a -G vboxusers $USER
update-grub
/sbin/vboxconfig
echo "Done"

Y es todo.

PD: Si tiene problemas con el redimensionado de la VM (en especial si usa Ubuntu Mate), recuerde desactivar la casilla "Auto Capture Keyboard / Autocapturar teclado". Para mayor información, consulte nuestro post Virtualbox: Mover o Redimensionar Guest VM

Actualización 2025

Para actualizar a la versión 7.2, solo cambie el 7.0 por el 7.2. Y a partir del kernel 6.2, se puede presentar el error "VirtualBox can't operate in VMX root mode".

Esto sucede porque VirtualBox usa su propio motor de virtualización (VT-x / AMD-V) y KVM/QEMU (el hipervisor nativo de Linux) también engancha las instrucciones de virtualización. Entonces, si el módulo de KVM está cargado, VirtualBox no puede entrar en “VMX root mode” y te suelta el error.

Solución:

sudo nano /etc/default/grub
# Y reemplaza la siguiente línea:
# Nota: Si quieres boot con logo y mensajes ocultos:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash kvm.enable_virt_at_load=0"
# Nota: si quieres boot solo texto:
GRUB_CMDLINE_LINUX_DEFAULT="kvm.enable_virt_at_load=0"
# Guarda los cambios, actualiza grub y reinicia:
sudo update-grub
sudo reboot

Lightsquid

2022-10-01T18:20:00.156-04:00

Hoy traemos otra entrega más de nuestra serie monitor. En el pasado, abordamos algunas de estas herramientas de monitoreo, tales como Sqstat, Sarg, Nessus, Iptraf-NG, NetHogs, Nmap, Zenmap, xsltproc, NtopNG, NetData, BandwidthD (y faltan un montón, lo cual es imposible abordarlas todas). Y ahora le tocó el turno a lightsquid.

Antes de comenzar

lightsquid es un aplicativo que trabaja exclusivamente con Squid-Cache, extrayendo de access.log los datos necesarios para mostrar las estadísticas del tráfico. Por lo anterior, si algunas direcciones IP de su red local no pasan por el Squid, entonces no aparecerán en los reportes.

Instalación

La instalación es sencilla. Pero primero las dependencias. Asumiendo que ya tenga instalado y configurado apache2, y squid, instale los siguientes paquetes:

sudo apt install -y libcgi-session-perl libgd-gd2-perl

Y el paquete lightsquid:

sudo apt install lightsquid

Que instalará la versión 1.8-7, sin embargo, esta versión ya no funciona y fue descontinuada en 2009. Afortunadamente, en 2021, un usuario llamado finisky publicó una actualización con correcciones en GitHub, renombrándola como 1.8.1:

git clone https://github.com/finisky/lightsquid-1.8.1

Sin embargo, aún padece de un bug. En realidad es un "warning" que llena el log de error de apache:

CGI::param Warning

La respuesta corta es que no es un bug, sino una llamada de advertencia, debido a que lightsquid una la biblioteca CGI, que ha sido declarada obsoleta por Perl, que recomienda usar Plack o PSGI, opciones más seguras y actuales.

La explicación larga la puede encontrar publicada en el Issue del repositorio, pero a la fecha de publicación de este post, no han adoptado la propuesta de corrección y/o actualizado el repo.

Entonces, ofrecemos una descarga alternativa con las correcciones en el siguiente enlace de nuestro repositorio Gateproxy:

wget https://raw.githubusercontent.com/maravento/gateproxy/master/conf/monitor/lightsquid-1.8.1.tar.gz

Lightsquid trae por defecto un tema llamado "base":

Tema "Base"

Que no es precisamente el más moderno o bonito, pero en nuestra versión, trae por defecto el tema "metro" (imagen del encabezado del post), cortesía del equipo de sysadmindecuba.com

Una vez descargado, lo descomprimimos:

tar -xf lightsquid-1.8.1.tar.gz

Si quiere regresar al tema base, edite el archivo lightsquid.cfg y elija la línea del tema con el que va a trabajar (base o metro) y la descomenta. Por defecto:

#$templatename        ="base";
$templatename        ="metro_tpl";

Copiamos la carpeta descomprimida al nuevo directorio:

sudo mkdir -p /var/www/lightsquid
sudo cp -f -R lightsquid-1.8.1/* /var/www/lightsquid/

Creamos el virtual host:

sudo touch /etc/apache2/conf-available/lightsquid.conf

Con el siguiente contenido, asumiendo que su red local es de Clase C - RFC 1918 local private network (LAN) y comienza por 192.168. Caso contrario, ajuste el parámetro y guarde cambios:

Alias /lightsquid/ /var/www/lightsquid/
   <Location "/lightsquid/">
   Options +ExecCGI
   AddHandler cgi-script .cgi .pl
   Require local
   # reemplace la dirección IP y mascara por la de su red local
   Require ip 192.168.1.0/24
</Location>

Establecemos los permisos:

sudo chmod -R 775 /var/www/lightsquid/
sudo chown -R www-data:www-data /var/www/lightsquid
sudo chmod +x /var/www/lightsquid/*.{cgi,pl}

Activamos cgid, lightsquid y reiniciamos apache2:

sudo a2enmod cgid && sudo a2enconf lightsquid && sudo systemctl restart apache2.service

Nota: para deshabilitarlos

sudo a2dismod cgid && sudo a2disconf lightsquid && sudo systemctl restart apache2.service

Asumiendo que tenemos Squid funcionando y nuestro archivo access.log tiene registros del tráfico de nuestra red local, ejecutaremos el siguiente comando para generar las primeras estadísticas:

sudo /var/www/lightsquid/lightparser.pl

Para agregar los nombres de host personalizados por IP (o NetBIOS Name):

nano /var/www/lightsquid/realname.cfg
# agregue las IPs con lo nombres de usuarios
192.168.1.1	Router
192.168.1.2	Cliente1
192.168.1.3	Contador

También puede obtener el NetBIOS Name rastreando la red con nbtscan, pero sin garantías, ya que depende de muchos factores:

sudo apt-get install nbtscan
sudo nbtscan 192.168.1.0/24

Y para excluir direcciones IP del reporte:

nano /var/www/lightsquid/skipuser.cfg
# agregue las IPs a excluir del reporte
192.168.1.1

Algunos Reportes

Por años:

Reporte por años

Por dirección IP:

Reporte Diario localnet

Por sitios visitados de cada IP

Reporte de visitas por IP

Los reportes se pueden imprimir, en diferentes formatos, desde el botón "HERRAMIENTAS", el cual explicamos abajo en Reportes de Tráfico.

Finalmente, se recomienda programar en el cron la generación de estadísticas diarias cada 10 minutos (o el tiempo que quiera asignarle), para mantenerlas actualizadas. Ejecute el siguiente comando:

sudo crontab -l | { cat; echo "*/10 * * * * /var/www/lightsquid/lightparser.pl today"; } | crontab -

Debe establecer un valor de Gbytes o Mbytes máximo a consumir por usuario, puede ser 512M o 0.5G, etc. Para esto debe editar el archivo de configuración:

sudo nano /var/www/lightsquid/lightsquid.cfg

Y modificar la línea "oversize":

#user maximum size per day limit (oversize)
$perusertrafficlimit = 10*1024*1024;

Por ejemplo:

#user maximum size per day limit (oversize)
# Nomenclature:
# 1 GB	= 1024:		$perusertrafficlimit = 1024*1024*1024;
# 1.5 GB = 1536:	$perusertrafficlimit = 1536*1024*1024;
# 2 GB = 2048:		$perusertrafficlimit = 2048*1024*1024;
$perusertrafficlimit = 1536*1024*1024;

Y el resultado es algo similar a lo siguiente:

Alerta por exceder el consumo de datos

Nota: Tenga en cuenta que Lightsquid es un programa muy antiguo y sin soporte, por tanto, se sugiere tener otra fuente de datos sobre el tráfico para constatar.

Reportes de Tráfico

Como mencionamos anteriormente, podemos descargar los reportes en diferentes formatos. Pues otra cosa que puede hacer con este aplicativo es exportar en .csv el reporte "Top Sites", el cual no solo nos brinda la información de los sitios más visitados, sino que se puede crear a partir de este reporte una lista de depuración ACL para ser usada con un proxy, como Squid.

Nota: Una lista de depuración de Squid es una lista de dominios, con formato específico para este proxy, que sirve como base para excluir (whitelist) o incluir (blacklist) dominios, dentro de nuestras listas habituales de control de acceso ACL. Si quiere usar una lista de depuración como ACL para Squid, debe depurar los subdominios, para evitar el error de tipo ".sub.example.com is a subdomain of .example.com". Para mayor información, visite nuestro proyecto Blackweb.

Top Sites

Por ejemplo, presionamos el botón "HERRAMIENTAS" y descargamos el archivo "Reporte de Navegación.csv", y ejecutamos el siguiente comando en la consola:

awk -F',' '{gsub(/"/,"",$3);sub(/:.*/,"",$3);print $3}' "Reporte de Navegación.csv" | sed '/^\./d' | sed -r 's/^(www|ftp|ftps|ftpes|sftp|pop|pop3|smtp|imap|http|https)\.//g' | sed -r '/^[0-9]{1,3}(\.[0-9]{1,3}){3}$/d' | tr -d ' ' | awk '{print "." $1}' | sort -u > salida.txt

Lo que hace este comando es utilizar "awk" para eliminar las comillas y los dos puntos del final del tercer campo del archivo CSV y luego utiliza "sed" para eliminar las líneas que comienzan con un punto. Luego, se utilizan varias expresiones regulares con "sed" para eliminar los protocolos y direcciones IP y dejar solo los nombres de dominio. Finalmente, se utiliza "tr" para eliminar los espacios en blanco y "awk" para agregar un punto al principio de cada línea (obligatorio en Squid), y se utiliza "sort" para eliminar duplicados y escribir el resultado "salida.txt", apto para ser usado en Squid.

Claro que el anterior solo mostrará los dominios TOP. Si quiere todos los dominios visitados de su red local en una sola ACL, apta para depuración Squid, ejecute el siguiente comando, para los mismos propósitos, con una depuración similar al anterior:

find /var/www/lightsquid/report -type f -name '[0-9]*.[0-9]*.[0-9]*.[0-9]*' -exec grep -oE '[[:alnum:]_.-]+\.([[:alnum:]_.-]+)+' {} \; | sed 's/^\.//' | sed -r 's/^(www|ftp|ftps|ftpes|sftp|pop|pop3|smtp|imap|http|https)\.//g' | sed -r '/^[0-9]{1,3}(\.[0-9]{1,3}){3}$/d' | tr -d ' ' | awk '{print "." $1}' | sort -u > salida.txt

Este comando utiliza "find" para buscar todos los archivos (-type f) que se encuentran en el directorio "/var/www/lightsquid/report" y que tengan un nombre que siga el patrón de IPv4 [0-9].[0-9].[0-9].[0-9] (por ejemplo, 192.168.1.1). Luego, utiliza "grep" para buscar en cada uno de estos archivos una cadena que siga el patrón de una dirección IP o un nombre de host (la opción "-oE" indica que sólo se deben mostrar las partes de la cadena que siguen el patrón especificado, el argumento "{}" indica el nombre de cada archivo que se encuentra, y ";" indica que se debe terminar el comando). Luego utiliza "sed" para eliminar el primer carácter (.) de cada línea de la salida del comando anterior (para eliminar el punto que queda después de la dirección IP o el nombre de host). Luego usa "sed -r" para buscar y reemplazar en cada línea todas las ocurrencias de las palabras claves "www, ftp, ftps, "https", y otras, seguidas de un punto (.) y eliminarlas sin reemplazo. Luego, usa "sed -r" para buscar y eliminar todas las líneas que comiencen con una dirección IPv4. Y finalmente elimina espacios en blanco, pone un punto al comienzo de cada línea (formato Squid) y elimina duplicados para mandar todo a "salida.txt"

Puede reemplazar:

sed -r '/^[0-9]{1,3}(\.[0-9]{1,3}){3}$/d'
# o esta:
# grep -vE '^([0-9]{1,3}\.){3}[0-9]{1,3}$'
# Que, como la anterior, elimina las líneas que contienen IPv4 y dejan el resto de las líneas restantes (ej.: 192.168.1.10.midominio.com)

Por esta, que elimina cualquier línea que contenga una dirección IPv4 en cualquier parte de la línea:

sed -r '/([0-9]{1,3}\.){3}[0-9]{1,3}/d'

También puede blquear a los usuarios que excedieron el límite de consumo y enviarlos a una página de aviso tipo Warning. Para esto, visite el repositorio Proxy Monitor, donde encontrará el procedimiento de instalación y configuración de Lightsquid + Bandata + Squid Monitor.

Y es todo. Esperamos que les agrade este magnífico programa de monitoreo, que, a pesar de ser un abandonware, tiene lo esencial; al menos para los que no quieren complicarse con aplicativos sofisticados, con ingentes cantidades de datos y que solo quieren conocer el tráfico global y por usuario de su red local, y funciona muy bien en las más recientes distros de Linux (probado en Ubuntu 22.04/24.04).

Lightsquid con Nginx pueden consultarlo AQUÍ.

Para hacer lo mismo con Sarg puede consultarlo AQUI

Nuestro repositorio de Proxy Monitor AQUÍ

Modo Seguro

2022-08-16T12:05:00.016-04:00

En Windows XP, Vista y 7 era sencillo iniciar en "Modo Seguro" (Safe Mode) o "Modo a prueba de fallos". Tal solo al iniciar pulsábamos la tecla F8 durante el proceso de arranque y aparece la pantalla del "modo seguro".

Modo Seguro - Windows XP, Vista, 7

Y la cosa comenzó a complicarse a partir de Windows 8 hasta la actualidad.

Menú para Habilitar Modo Seguro - Windows 8, 10, etc.

No vamos a entrar en detalles sobre el engorroso proceso de iniciar en Modo Seguro en las nuevas versiones de Windows. Hay muchos tutoriales en internet que lo explican. Hoy ofrecemos algo más sencillo. Un batch script, para que, desde la comodidad de su escritorio, pueda iniciar su equipo en modo seguro o modo seguro en red y restablecerlo al modo normal cuando termine el mantenimiento.

@echo off
:: script to run in mode: safe with network/safe minimal/normal
:: for win 7/8/10/11
:: by maravento.com
echo ................................................
echo Press 1, 2, 3 to select your task, or 4 to EXIT.
echo Run this script with admin privileges          .
echo ................................................
echo.
echo 1 - Safe Boot Minimal
echo 2 - Safe Boot with Network
echo 3 - Normal Boot
echo 4 - Exit
echo.
SET /P M=Type 1, 2, 3, 4 then press ENTER:
IF %M%==1 GOTO safe
IF %M%==2 GOTO safenet
IF %M%==3 GOTO normal
IF %M%==4 GOTO exit

:safe
bcdedit /set {default} safeboot minimal
goto reboot

:safenet
bcdedit /set {default} safeboot network
goto reboot

:normal
bcdedit /deletevalue {default} safeboot
goto reboot

:reboot
shutdown -r -f -t 4
exit

:exit
exit

Guárdelo como safemode.bat y ejecútelo con privilegios (exclúyalo de su antivirus).

Imágenes cortesía de Microsoft, aboutespanol, HP

Mintstick

2022-07-18T13:08:00.023-04:00

Mintstick es una herramienta gráfica que nos permite formatear memorias USB y crear memorias USB de arranque. Y, a nuestro juicio, es de las mejores aplicaciones para Linux que podemos encontrar.

Herramientas de Mintstick (imagen cortesía de mintstick github)

Al principio, fue desarrollada para Linux Mint, pero actualmente se puede instalar en cualquier distribución basada en Debian.

Sin embargo, para el caso específico de Ubuntu se presenta un problema con las dependencias, ya que Ubuntu 20.04 utiliza exfat-utils y en Ubuntu 22.04 fue reemplazada por exfatprogs. Y adicionalmente requiere de xapp (debido a una falla el módulo "xapp-gtk3-module").

A continuación un bash script que soluciona este inconveniente. Detecta la versión de Ubuntu e instala los paquetes correctos y la última versión de mintstick:

Nota: MintStick reemplazará a la herramienta que use su distro por defecto.

#!/usr/bin/env bash
# mintstick install on Ubuntu
# by maravento.com
if [ $(lsb_release -is) = "Ubuntu" ]; then
    echo "Ubuntu: OK"
    if [ "$(lsb_release -sc | grep 'jammy')" ]; then
        echo "Dependencies for Ubuntu 22.04..."
        apt -y install python3-parted python-parted-doc gir1.2-udisks-2.0 xapp exfatprogs
      else
        echo "Dependencies for Ubuntu Old Versions..."
        apt -y install python3-parted python-parted-doc gir1.2-udisks-2.0 exfat-utils
    fi
    echo "Mintstick install..."
    lastmintstick=$(wget -O - http://packages.linuxmint.com/pool/main/m/mintstick/ | grep -Po 'href=".*?"' | sed -r 's:href\="(.*)":\1:' | grep ".deb" | sort | tail -1)
    echo $lastmintstick
    wget -q -c http://packages.linuxmint.com/pool/main/m/mintstick/"$lastmintstick" -O mintstick.deb
    dpkg -i mintstick.deb
    dpkg --configure -a && apt-get -qq -y install --fix-missing && apt-get -qq -y --fix-broken install
    echo "Done"
  else
    echo "Wrong OS version"
    exit
fi

Guárdelo como bash y ejecútelo con privilegios:

sudo ./mintstick-install.sh

Y ya podemos disfrutar de mintstick en Ubuntu.

Ref: Issue 100

Reparando sectores de disco

2022-06-23T18:08:00.124-04:00

Reparar un disco duro requiere de mucho tiempo y dedicación, ya que puede tardar horas, días, semanas... Y también depende del tipo de daño. Si es lógico tal vez haya solución, pero si es físico la cosa se complica, puesto que hablamos de sectores que han sufrido golpes, desmagnetización, etc.

A continuación algunas herramientas para abordar este problema.

Antes de comenzar

- El procedimiento descrito es para HDD (discos duros magnéticos/mecánicos).

- Es un intento por recuperar sectores dañados, por tanto, la información se destruye, así como sus particiones.

- Estas reparaciones son artificiales, en consecuencia, puede volver a fallar, así que no se recomienda que el HDD sea usado para almacenar información importante, incluso si la reparación es exitosa.

- Las herramientas descritas a continuación pueden encontrarlas en la página del desarrollador o en las suites de herramientas Hiren's BootCD, DLC Boot, Sergei Strelec's WinPE, etc. También existen otras herramientas no mencionadas, sin embargo, por lo extenso del tema nos hemos limitado a las que mejores resultados nos ofrecieron.

- Se recomienda cambiar la BIOS de AHCI a IDE para poder usar las herramientas bajo DOS que se mencionan.

- Como aclaramos al principio, todos los programas descritos en este post pueden tardar tiempo indefinido en su ejecución, por tanto, sea muy paciente y mantenga su equipo conectado a un soporte UPS de respaldo, para garantizar que tenga energía sin interrupciones.

- S.M.A.R.T. es una tecnología integrada a los discos duros que monitoriza sus diferentes parámetros, entonces, si su sistema le indica que hay un error de disco relacionado con SMART o que su estado es BAD, es muy poco lo que se puede hacer por el disco y una falla inminente puede suceder en cualquier momento (ver imagen inferior Victoria mostrando SMART BAD!).

SMART: BAD!

Nota: Es importante aclarar que existen propuestas para reparar SMART (como la que explican en este video), sin embargo, son procedimientos técnicos de alto riesgo, que involucran la electrónica del disco, por tanto, no lo recomendamos

Formato de bajo nivel

Un formato de bajo nivel ayuda a deshacerse de sectores dañados y reescribe cualquier dato que contenga el disco y rompe sus particiones. La herramienta que recomendamos es HDD LLF. Puede ver un video sobre su funcionamiento AQUÍ.

HDD LLF (Low Level Format Tool)

Regeneración de sectores dañados

Aquí emplearemos HDD Regenerator. Esta aplicación freeware, que funciona bajo DOS, tiene la capacidad para reparar sectores defectuosos (errores magnéticos) en la superficie de un disco duro mediante el generador de bucles de histéresis. Ejecútela cuantas veces sea necesario, hasta que la línea aparezca en blanco.

HDD Regenerator

Nota: También puede ejecutar HDD Regenerator desde el escritorio de Windows; incluso en una VM y el soporte conectado vía USB (y hay una versión que el procedimiento es completamente desde el escritorio de Windows):

HDD Regenerator sobre disco externo USB, corriendo en Windows VM Virtualbox

Reparación de bajo nivel (opcional)

En este punto ya debería estar solucionado el problema; caso contrario, aún nos quedan las siguientes opciones:

MHDD; una potente herramienta bajo DOS que nos permitirá realizar una reparación mucho más precisa del disco, ver atributos SMART, realizar formato de bajo nivel, reparación de sectores defectuosos y muchas otras pruebas.

MHDD

Concretamente, la iniciamos con el comando scan en el command prompt y seleccionar en "ON" las opciones "Erase Delays *DESTRUCTIVE*" (para que elimine los sectores con retraso o dañados) y "Loop test/repair" (para que repita el proceso al terminar y asegurarnos de que no quedó algún sector sin eliminar/reparar).

MHDD modo destructivo y loop

HDAT2; otra herramienta bajo DOS muy efectiva reparando y remapeando (reasignando) sectores y recuperando el SMART. Para utilizarla, una vez cargado los archivos de FreeDOS, ejecutaremos en el command prompt el comando hdat2 para iniciar el programa. Luego seleccionamos el disco e ingresamos al menú, eligiendo las opciones: Device Test menu > Detect and fix bad sectors menu > Fix with VERIFY/WRITE/VERIFY

HDAT2

Nota: HDAT2 también permite escanear los bloques, lo cual iría más rápido, pero marcando la opción BLOCK MODE lee el primer sector del bloque y si da error, todos los sectores dentro del bloque serán marcados como dañados. Esto no necesariamente implicaría un porcentaje significativo de espacio del disco. Lo malo de esta opción es que, si el sector dañado no es el primero del bloque, no le será útil.

BLOCK MODE

Verificación

Para este paso emplearemos Victoria, que nos permitirá darle una última revisión a nuestro disco.

Victoria: opciones "Verify" con "Erase"

Nota: Victoria no es muy confiable reparando sectores, ya que repara los mismos sectores una y otra vez, creando un loop infinito (sin importar que antes haya realizado un "remap" de los sectores o un "write" de todo el disco), como se aprecia en el siguiente video:

Y el modo "Verify" no escribe y luego lee algunos datos, las opciones "Write + DDD" y "Write + wr LBA num" tienen algunas limitaciones y no funciona correctamente en algunos tipos de discos. Para mayor información AQUÍ.

Lo anterior no significa que sea mala. Es una excelente para mostrar los sectores dañados que no se pudieron reparar con las aplicaciones antes mencionadas, pero si al correrla sigue mostrando sectores defectuosos, entonces la única alternativa para seguir usando el disco duro es determina cuáles áreas del disco no muestran daños y generar particiones a partir de áreas con sectores buenos, aislando así los sectores defectuosos irrecuperables.

Hay dos maneras de hacerlo:

Automáticamente:

Con Repartición Bad Drive, un software diseñado específicamente para este trabajo.

Repartition Bad Drive

Nota: Repartition Bad Drive puede ser extremadamente lento. Llénese de paciencia. Puede ver el siguiente video AQUÍ sobre su funcionamiento.

RBD reparando disco USB 2 TB

Manualmente:

Verificando cuáles son las áreas comprometidas con Victoria para aislarlas y reparticionando/redimensionando el disco y formateando particiones de las áreas con sectores buenos, con AOMEI Partition Assistant, gparted o cualquier otro software que lo permita.

Nota: No se recomienda el uso del administrador de discos de Windows para este propósito, ya que, en todas las versiones de Windows, al menos hasta la fecha de publicación de este post, no permite la repartición/redimensión de disco.

Administrador de Discos de Windows

Bonus

Otras aplicaciones que puede utilizar en la etapa de verificación son diskgenius (verifica y repara sectores dañados y sus resultados son similares a los de Victoria), HD Tune y CrystalDiskInfo (ambas muestran información valiosa y diagnostican de manera efectiva el estado del disco, antes, durante y después de la reparación).

Verificando sectores con DiskGenius

Otra herramienta genial es Hard Disk Sentinel, que es como tener CrystalDiskInfo y DiskGenius juntos en una app y con mejoras, la cual tiene una opción llamada "Reinitialize disk surface", que sobreescribe el disco y restaura sectores con problemas. Puede consultar este video que explica su funcionamiento.

Hard Disk Sentinel - Reinitialize disk surface

Y como mención de honor tenemos a la legendaria SpinRite de Steve Gibson, una de las mejores herramientas que hayan existido para reparar unidades de almacenamiento, pero puede ser perjudicial en unidades actuales de estado sólido y en algunos discos mecánicos, Roadkil's Unstoppable Copier, capaz de copiar datos de unidades corruptas y DRevitalize, similar a HDD regenerator, pero, ambas, su desarrollo no ha estado al día con los cambios tecnológicos en sistemas de almacenamiento, por tanto, no recomendaríamos su uso.

Finalmente, si todo sale bien, compruebe las particiones resultantes con Check Disk (chkdsk) de Windows o cualquier herramienta que compruebe la superficie del disco y corrija su estructura.

Handbrake

2022-05-20T17:29:00.103-04:00

Handbrake no necesita presentación. Según mundobytes y la propia página oficial, "es un convertidor de vídeo de código abierto y gratuito, capaz de convertir casi cualquier formato de vídeo a codecs modernos y universales. No solo funcionará como un convertidor de vídeo, sino que también es un excelente extractor de Blu-ray/DVD para fuentes protegidas y no protegidas contra copia. Este software también te abre al procesamiento por lotes que ayuda a convertir múltiples archivos de vídeo al mismo tiempo y, además, hay una tonelada de ajustes preestablecidos a tu disposición para guiarte al tipo de salida que buscas sin necesidad de usar tantas opciones".

Existen cientos de tutoriales en Internet sobre este magnífico programa, tanto en vídeo como en texto, que explican al detalle su funcionamiento, así que hoy nos limitaremos a mencionar algunos tips que consideramos útiles a la hora de codificar nuestro vídeo.

Instalación

Al ser cross-platform tiene versiones para Windows/macOS/Linux. Entonces tan solo descargar el archivo de instalación (.exe o .dmg) y seguir las instrucciones en pantalla.

Para Linux, existe un PPA para las distros basadas en debian, pero no está actualizado. Si quiere una versión más reciente se recomienda flatpak:

sudo apt install gnome-software-plugin-flatpak
flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo
flatpak install flathub fr.handbrake.ghb

O usar el siguiente PPA:

sudo add-apt-repository ppa:ubuntuhandbook1/handbrake
sudo apt install handbrake

Ajustes de calidad

Según el sitio oficial, la configuración recomendada para codificadores x264 y x265 es:

RF 18-22 para 480p/576p Definición estándar

RF 19-23 para 720p de alta definición

RF 20-24 para 1080p de alta definición completa

RF 22-28 para 2160p 4K de ultra alta definición

Control deslizante RF

Aumentar la calidad menos 1-2 RF puede producir mejores resultados al codificar animaciones Sources (anime, dibujos animados). Se pueden emplear configuraciones de menor calidad para producir archivos más pequeños. Los ajustes drásticamente más bajos pueden mostrar una pérdida significativa de detalles. El uso de configuraciones de calidad superiores a las recomendadas puede generar archivos extremadamente grandes que pueden no ser compatibles con sus dispositivos. En caso de duda, manténgase en el rango recomendado o, utilice la configuración predeterminada para el Preset que seleccionó.

Metadata

Modificando Etiquetas

Si vamos a codificar un vídeo, sin importar su origen, es posible que necesitemos eliminar o modificar los metadatos. Para hacerlo simplemente vamos a "Etiquetas" y eliminamos o modificamos la metadata (título, etc.).

Pero si son varios vídeos de origen que vamos a agregar a la cola para codificar en lotes, entonces se recomienda desmarcar la casilla "Usar los mismos ajustes para todos los títulos en un lote", ya que, al estar marcada, hace exactamente lo contrario a lo que se supone e impide que estos cambios se guarden en todos los archivos ( issue #4368). Esto aplica para otros parámetros, como los subtítulos ( issue #5827)

Desactivando "Usar los mismos ajustes para todos los títulos en un lote"

Handbreak no es precisamente el mejor programa para la edición de tags, por eso es recomendable, en lugar de hacer lo anterior, después de la codificación, editar la metadata de los archivos de salida con otro aplicativo, como Mp3tag, MKVToolNix, MP4 Video and Audio Tag Editor, MKV Tag Editor, VLC media player (también sirve para codificar y es excelente), etc.

Pero no solo la metadata. En pruebas realizadas hemos podido constatar que al tener activada esta opción no siempre replica los parámetros elegidos en un vídeo (codec, subtítulos, audio, etc.) a toda la cola de procesamiento. Es por eso que recomendamos su desactivación y revisar cada parámetro de cada vídeo manualmente antes de agregarlos a la cola.

MP4 vs M4V

Si queremos que la salida sea en formato .mp4 en lugar de .m4v (formato privativo de Apple), basta con desmarcar la casilla "Use la extensión de archivo compatible con iPod/itunes .m4v para MP4".

Desactivar la opción "Use la extensión de archivo compatible con iPod/itunes .m4v para MP4"

CPU vs GPU

Revise la siguiente tabla de codificación antes de hacer su selección:

Codificadores clasificados de más rápido a más lento:

1. Codificadores de hardware (AMD VCE, Intel QSV, NVIDIA NVENC)

2. x264

3. VP8

4. x265

5. VP9

Calidad del codificador versus eficiencia del tamaño del archivo, clasificada de mejor a peor:

1. x265 y VP9

2. x264

3. Codificadores de hardware (AMD VCE, Intel QSV, NVIDIA NVENC)

4. VP8

Subtítulos

Handbrake en ocasiones presenta problemas con los subtítulos forzados, especialmente al convertir un vídeo MKV a MP4, con 2 o más pistas de audio y de subtítulos.

Por ejemplo, si el idioma del archivo MKV es español e inglés, pero tiene partes habladas en un tercer idioma (un actor/actriz habla en búlgaro en una escena), el archivo posiblemente tendrá 3 pistas de subtítulos; español, inglés y unknown (forzados) o español, español e inglés (donde el primer español casi siempre son los forzados). En la pestaña "subtítulos", los forzados vienen activados por defecto.

En la mayoría de los casos no necesitamos ninguna acción y podemos codificar normalmente el video y los subtítulos forzados aparecerán en la escena en cuestión, (donde se habla el tercer idioma), sin embargo, hay ocasiones que no aparecen. Si este es el caso, hay dos alternativas.

1. Editar los subtítulos forzados por defecto y darle un nombre a esta pista, por ejemplo "latino" o "forzados", con el propósito de que los reconozca y seleccionarlos manualmente en el reproductor, tal y como aparece en la imagen de abajo:

Añadir nombre a la pista de subtítulos forzados

2. Si la opción 1 falla y aún no muestra los subtítulos forzados, podemos agregar una nueva pista de subtítulos manualmente, pulsando el botón "añadir" (símbolo +) en la pestaña "subtítulos", para seleccionarla posteriormente en el reproductor, manualmente, tal y como se ve en la imagen abajo:

Añadiendo subtítulos forzados manualmente

Como último recurso, si no quiere hacer la selección manual en el reproductor o tiene problemas con los dos pasos anteriores, elimine los subtítulos forzados por defecto y vuelva a crearlos manualmente, seleccionado la pista de subtítulos forzados y marcando solamente la casilla "incrustar en el video" y guardar, tal y como aparece en la imagen de abajo.

Creando manualmente la pista subtítulos forzados

Cerciórese de la pista a elegir (por lo general es una pista que no tiene el nombre de un idioma específico, ejemplo "Unknown UTF-8", como se ve en la imagen superior), ya que si agrega otra diferente, puede que le aparezcan los subtítulos en todo el video, de principio a fin.

Nota: Es posible que el resultado final no sea el deseado y los subtítulos forzados no aparezcan centrados.

Subtítulos forzados en español, a la izquierda. (The House of Dragon 1x1, cortesía de HBO Max)

Pero si no quiere complicarse con el tema de los subtítulos, simplemente presione el botón "Añadir Todo" y agregue todos los subtítulos que tenga el video.

Otros Tips

- Si va a codificar en x265 (HEVC/H.265) se recomienda hacerlo con GPU, porque con CPU el tiempo de codificación puede duplicarse respecto a x264. Para mayor información, consulte este vídeo, donde su autor hace una comparativa de "presets" con GPU y CPU con ambos codecs.

- Si quiere un mayor control sobre los parámetros de codificación, elija el preset "Official > Production > Production Standard"

- No confundir la metadata explicada anteriormente con la casilla "Passthru Common Metadata", ya que esta última está relacionada con la fecha y modificación del archivo de origen.

- Tenga en cuenta que los cambios en la metadata se guardarán más rápidamente en MKV que en MP4. Esto se debe en parte a que el bloque de metadata en MP4 está al comienzo y en MKV al final.

Virtualbox: Mover o Redimensionar Guest VM

2022-04-27T13:29:00.035-04:00

Con la liberación de Ubuntu 22.04 llegaron nuevos problemas y Virtualbox no es la excepción, ya que no se caracteriza por estar al día con las actualizaciones para las distros de linux, en especial Ubuntu.

Por ejemplo, a la fecha no existe versión para Ubuntu 22.04 en el repositorio de VirtualBox.

Repositorio de VirtualBox

Y para instalarlo debemos hacerlo del repositorio de Ubuntu:

sudo apt install dkms linux-headers-$(uname -r)
sudo apt install virtualbox virtualbox-dkms virtualbox-qt
sudo apt install virtualbox-guest-additions-iso virtualbox-ext-pack 
sudo modprobe vboxdrv

Y no olvidar agregar el usuario al grupo "vboxusers":

sudo usermod -a -G vboxusers $USER

Que instalará la versión 6.1.32 (a la fecha de publicación de este post) y no la 6.1.34 o superior de los repositorios de VirtualBox y el bash script para de instalación para Ubuntu, publicado en nuestro artículo Virtualbox kernel service is not running, por el momento no se podría usar para Ubuntu 22.04.

Y si bien funciona lo hace a medias, ya que al iniciar una máquina virtual no se podrá mover o redimensionar, sin importar si es Linux, Windows, etc.

No podemos afirmar que esto suceda en todos los sabores de Ubuntu o en Debian, ya que no hemos extendido las pruebas lo suficiente, pero afortunadamente la solución es simple.

En el caso de que no pueda redimensionar o mover su máquina virtual (Guest VM), tan solo desactive la casilla "Auto Capture Keyboard / Autocapturar teclado".

Autocapturar teclado

Esta opción se encuentra en "Archivo > Preferencias > Entrada > Máquina virtual".

Ticket 20907

Correos con dominio propio en gmail

2022-02-02T11:37:00.115-05:00

Desde que salió la noticia de que Google nos va a echar a todos de GSuite (aka Google Apps, aka Google Workspace), algo que pudimos confirmar personalmente vía twitter...

Respuesta de Google Workspace a nuestra consulta en Twitter

Y por correo electrónico...

Respuesta de Google Workspace a nuestra consulta por mail

Y a pesar de que en USA un pool de abogados prepara una demanda colectiva, esto no tiene reversa y el que tenga una cuenta legacy en google comenzará a pagar a partir del 1 de julio de 2022. Y si no eliges un plan, Google lo hará por ti (me imagino cómo será eso) y si no tienes registrado un método de pago, puedes despedirte del acceso a tus cuentas y datos, ya que una vez que hayan transcurrido 60 días desde la suspensión, dejarás de tener acceso a los servicios.

¿Qué carajos se supone que voy a hacer ahora?

Para responder esta pregunta hemos consultado los diferentes portales especializados y todos se limitaron a repetir lo mismo que ya sabemos, sin más detalles.

Muchos, desesperados, se desbocaron a internet buscando una alternativa gratis y similar a GSuite, pero si hacemos una búsqueda en google de "correos con dominio propio gratis", una gran parte de los resultados explican cómo enviar y recibir correos con dominio propio en gmail, pero insisten que debes contratar el correo con dominio propio con un proveedor para poder redireccionarlo (ejemplo: miusuario@midominio.com a miusuario@gmail.com).

Solo algunos tutoriales mencionan a Zoho. Y si bien este servicio nos permite configurar los correos de tu dominio propio "miusuario@midominio.com", es necesario aclarar un par de cosas:

- La interfaz no se parece en nada a gmail y como google nos mal acostumbró entonces cualquier cosa diferente nos parece una herejía

- Zoho NO permite usar gratis los protocolos POP, SMTP, IMAP y mucho menos permite redireccionamiento a otro correo, entonces, para los ex-Gsuite, no les servirá de nada abrir una cuenta en Zoho porque no van a poder migrar el contenido de sus cuentas de dominio y tampoco reenviar correos a gmail. Para hacerlo hay que pagarle un plan a Zoho (y dicho sea de paso, Zoho envía ingentes cantidades de correos a tu buzón, con el propósito de que compres el dichoso plan), y si tenemos que llegar a esto, es preferible quedarnos en Google Workspace y nos evitamos la migración.

¿Es el fín del mundo?

No. Si bien un proceso de migración de la noche a la mañana es traumático, hay una solución muy sencilla y sin costo y es usar cuentas de gmail, con dominio propio y hacer el direccionamiento, utilizando el proyecto forward email.

Este es un proyecto de código abierto, puede consultarlo en github, que nos permite crear un direccionamiento de mi correo corporativo (miusuario@midominio.com) a mi correo de gmail (miusuario@gmail.com), sin pagar un centavo.

Antes de comenzar tenga en cuenta lo siguiente:

- El presente tutorial aplica para cualquiera que tenga un dominio y desee tener un correo con dominio propio tipo @midominio.com, sin pagar cargos extras por esto y sin importar si viene de Gsuite o es la primera vez que compra un dominio.

- Para propósitos de este tutorial, usaremos godaddy, pero aplica para cualquier registrador.

- Deben crear primero una cuenta en gmail a donde apuntar el redireccionamiento (y contenido) del correo con dominio propio. Asegurese que dicha cuenta tenga activada la doble autenticación, ya que Google no admite el uso de aplicaciones o dispositivos de terceros que le soliciten que inicie sesión en su cuenta de Google usando solo su nombre de usuario y contraseña (anteriormente " Aplicaciones menos seguras - Less secure apps"). Para mayor información, consulte el tutorial del programa Email Backup Wizard que explica muy bien el proceso.

- Deben tener un dominio propio

- En el panel de administración de su dominio no pueden haber registros MX. Si existen deben eliminarlos (hacer un backup antes de hacerlo).

Pasos

1. Ingrese y registrese en forward email

Registro en Forward Email

2. En el panel de forward email agregue su dominio (midominio.com). Puede usar la misma cuenta personal de gmail que usó en el registro para el redireccionamiento del dominio o cualquier otra.

3. Ahora ingrese al panel de su registrador de dominio, entre a la sección de administración DNS y agregue las siguientes entradas:

Nota: 3600 = 1 hora

Agregue dos registros MX, prioridad 10, TTL 1 hora

@	3600	MX	10	mx1.forwardemail.net
@	3600	MX	10	mx2.forwardemail.net

Agregue un registro TXT, TTL 1 hora:

@	3600	TXT	v=spf1 a mx include:spf.forwardemail.net include:_spf.google.com -all

Y agregue un registro TXT, TTL 1 hora (reemplace user@gmail.com por su correo personal de gmail a donde van a ir a parar los correos de miusuario@midominio.com)

@	3600	TXT	forward-email=user@gmail.com

Nota: Si tiene más de un correo con dominio propio que migró para cuentas de gmail, enumérelas similar a lo siguiente:

@	3600	TXT	forward-email=hello:user1@gmail.com,support:user2@gmail.com,info:user3@gmail.com

Debe quedar similar a la siguiente imagen:

Configuración MX y TXT en el panel de dominio

4. En su cuenta de forward email verifique los cambios:

Verificación del registro DNS

Por lo general tarda menos de una hora, así que no se desespere si al primer intento no verifica correctamente.

Error de verificación. Debe hacer otro intento en 1 hora

Verificación Exitosa

5. Ahora ingrese en su cuenta personal de gmail (que eligió en los pasos anteriores para la redirección) y pulse el enlace https://myaccount.google.com/apppasswords.

6. Seleccione "Correo" en el menú desplegable de la izquierda y seleccione "Otro (nombre personalizado)" en el menú desplegable de la derecha

Seleccione "Correo" y "Otro (nombre personalizado)"

Ingrese la dirección de correo electrónico de su dominio personalizado (ejemplo: miusuario@midominio.com).

Agregando correo con dominio propio

7. Se generará una contraseña. Copiela en su portapapeles o en un archivo de texto

Contraseña de un solo uso, generada aleatoriamente por gmail

Registro exitoso del correo con dominio propio en gmail

8. Sin salir de la cuenta de Gmail, vaya a "Configuraciones" > "Cuentas e Importación" > "Enviar correo como", haga clic en "Agregar otra dirección de correo electrónico". En el campo "Nombre", ingrese el nombre que le va a dar a su correo electrónico (ejemplo: "Mi Usuario") y en el campo "Dirección de correo electrónico", ingrese el correo electrónico con el dominio personalizado que usó previamente (ejemplo: miusuario@midominio.com) y desmarcar la casilla "Tratar como un alias".

Agregando nombre y dirección con dominio propio a gmail

En el campo "Servidor SMTP", ingrese smtp.gmail.com, puerto 587 y deje "Conexión segura usando TLS". Y en el campo "Nombre de usuario", solamente coloque la parte de su dirección de Gmail del usuario actual (sin el @gmail.com) y la contraseña aleatoria que generó gmail en el paso 7.

Configuración de envío de mensajes. Debe colocar su usuario de gmail (sin @gmail.com)

9. Haga clic en "Agregar cuenta" para continuar y recibirá un código de verificación en su buzón de gmail (revise la carpeta spam).

Codigo de verificación (enviado a su buzón de gmail)

Una vez confirmado, ya puede recibir y enviar correos desde su cuenta de gmail, como su dominio propio. En su gmail debe aparecer la cuenta con dominio propio, con la descripción. Ejemplo:

Descripción del correo con dominio propio registrado en gmail

Y para aquellos que les gustan que se lo expliquen todo con un video...

Proceso en Gmail:

Proceso en Godaddy:

Para otros registradores pulse AQUI

Importante:

- Es muy común que al principio todos los correos vayan a parar a la carpeta spam o silence box. Simplemente sacarlos de ahí y vaya entrenando la IA de Google para evitar esto y con el tiempo dejará de hacerlo

- Tenga en cuenta que la propagación de los registros DNS toma tiempo. Deberá ser paciente

- El proyecto Forward Email no aloja correos ni contenido en sus servidores, es respetuoso con la privacidad y seguridad de la información, tiene protección contra phishing, ejecutables, virus, etc. Puede reenviar correos con 50MB de límite en adjuntos, filtrado de expresiones regulares, direcciones desechables, soporte integrado para SPF, DKIM, DMARC, ARC y SRS, autenticación de dos factores (2FA) usando una contraseña de un solo uso (OTP), política de seguridad de contenido (CSP), e Integridad de recursos (SRI) y un largo etc. de opciones gratis, más que suficiente para cualquier usuario. Sin embargo, puede que algunos usuarios y empresas requieran de opciones mucho más avanzadas. Para estos casos específicos ofrecen planes que están muy por debajo de cualquier opción del mercado.

Consejo no solicitado para los ex-Gsuite

Asegúrese a la hora de migrar su dominio a otro registrador de ir a las propiedades de dominio en GSuite y desactivar las opciones "desbloquear el dominio" y "desbloquear privacidad (tanto del usuario como del dominio)" y actualice sus datos. Se le enviará un mail de confirmación. Al confirmar vaya a la parte inferior de la administración de dominio de GSuite y pulse el enlace "Transferir dominio fuera de Google Workspace". Finalmente mostrará un código de transferencia, que deberá proporcionar a su nuevo registrador de dominio para iniciar la transferencia, que tarda aproximadamente 7 días máximo.

Configuración de registrador de dominio en Gsuite para poder migrar a otro registrador

Sugerimos leer los posts Cómo migrar todo el contenido de una cuenta de Google a otra o Cómo cambiar de una cuenta a otra de Google y pasar los datos, para que puedan realizar la migración el contenido de sus cuentas @midominio.com en GSuite a gmail.

Una vez migrado los correos y contenido de las cuentas a gmail, confirmado y transferido el dominio a un nuevo registrador, y los nuevos correos con la redirección, puede proceder a eliminar su suscripción de Google Apps, GSuite, Google Workspace o como prefiera llamarle.

No todo lo que brilla es oro

Toda aplicación o servicio siempre tiene algo malo y el proyecto forward email no es la excepción. En la "letra pequeña" del proyecto mencionan lo siguiente:

"If you are not on a paid plan, then your forwarded addresses will be publicly searchable"

Lo anterior significa que no hay privacidad en el redireccionamiento, o sea, el registro TXT del redireccionamiento a gmail será visible a cualquiera que quiera consultarlo. Puede verificarlo con los comandos:

nslookup -type=txt midominio.com
dig txt midominio.com

Y la salida será similar a la siguiente:

mmidominio.com	text = "forward-email=micorreo@gmail.com"

Así las cosas, si usted considera que pesa más el beneficio del proyecto que la privacidad del correo de redireccionamiento, entonces úselo (siempre está la opción de usar un correo que si es comprometido o los spammers lo llenan de basura, lo cierra, crea otro y configura nuevamente la redirección). Caso contrario deberá pagarle un plan al proyecto o sencillamente no utilizarlo y pagar un servicio de correos con un proveedor serio... como Google Workspace.

PD: No olvide activar el 2FA en forward email.

Actualización 2023

Si tiene un dominio con TLD común (.com, .net, etc.) no debería preocuparse, pero si tiene dominios restringidos (.gov, .edu, etc.) sepa que forward email le exige pasar por caja y comprar un plan. Si este es su caso, puede usar el servicio ImprovMX, pero es bastante limitado, ya que solo permite gratis 1 dominio, máximo 25 alias/dominio, máximo 500 correos electrónicos entrantes/día, límite de archivos adjuntos de 10 Mb y los emails pueden tardar en redireccionar.

Configuración de ImprovMX

O está la opción de mailtie, sin restricciones de TLD, sin registro y sin limites de adjuntos, pero hasta donde hemos probado, los redireccionamientos se pierden, no permite crear varios alias redireccionados a diferentes cuentas y, al igual que en forward email, la información del redireccionamiento no está protegida (será visible, tan solo con hacer un dig txt midominio.com.).

Actualización 2024

Recientemente forward email ha puesto más limitaciones a cuentas gratuitas y dominios gubernamentales y organizaciones sin fines de lucro, y el servicio gratuito de Cloudns y godaddy es limitado. Por tanto, sugerimos que los reemplacen por Cloudflare, que tiene todo All-in-one gratis (aparcamiento del dominio, redirección de email, incluso redirección de dominio). Para mayor información consulte AQUÍ.

DISCLAIMER

Todos los servicios mencionados anteriormente, no cuentan con protección y pueden ser visibles a atacantes, por tanto siempre recomentaremos que contrate protección a su dominio y correos con un proveedor de confianza.

Samba Full Audit

2021-12-03T12:24:00.283-05:00

En Compartición de Archivos, hablamos de Samba y cómo compartir un directorio en nuestra red local (a ver si algún día los usuarios finalmente dejan de usar memorias usb para pasarse los archivos... y de paso, malware).

Hoy le tocó el turno a full_audit. Este módulo nos permite registrar en un log todo los que sucede con nuestro recurso compartido, los usuarios que acceden, crean, eliminan, modifican archivos y directorios, entre otros parámetros.

Pero, antes de comenzar, debemos asegurarnos de lo siguiente:

1. Instalar samba y componentes (puede variar en dependencia de sus necesidades):

sudo apt -y install samba samba-common smbclient winbind cifs-utils

Nota: Para eliminar:

sudo apt -y remove --purge samba samba-common cifs-utils smbclient
sudo rm -rf /var/cache/samba /etc/samba /run/samba /var/lib/samba /var/log/samba

2. Crear la carpeta que vamos a usar como compartida en nuestra red local (reemplace "your_user" por su usuario y "shared" por el nombre de su carpeta compartida):

mkdir -p /home/your_user/shared
sudo chown -R nobody.nogroup /home/your_user/shared
sudo chmod -R 777 /home/your_user/shared

3. Eventualmente Samba puede crear durante la instalación la carpeta usershares (herencia de versiones anteriores) y en el caso de que no lo haga es mejor tenerla que no tenerla, pero dejarla solo para uso del usuario de sistema, activando Sticky Bit (para mayor información consulte Compartición de archivos y Samba Usershares):

if [ ! -d /var/lib/samba/usershares ]; then sudo mkdir -p /var/lib/samba/usershares; fi
sudo chmod 1775 /var/lib/samba/usershares/
sudo chmod +t /var/lib/samba/usershares/

4. Activar reglas en su firewall que permita el acceso a los puertos samba (opcional NetBios):

# NETBios (137,138,139), Microsoft-DS and SMB (445)
lan=enp2s0 # cámbielo por su interfaz de red
for protocol in $(echo tcp udp); do
iptables -A INPUT -i $lan -p $protocol -m multiport --dports 137,138,139,445 -j ACCEPT
iptables -A FORWARD -i $lan -p $protocol -m multiport --dports 137,138,139,445 -j ACCEPT
done

5. Tener declarado en nuestro archivo de configuración /etc/samba/smb.conf los paŕametros básicos globales (las configuraciones pueden variar en dependencia de las necesidades del usuario) (en interfaces reemplace eth1 por su interfaz de red y el rango 192.168.0.0/24 por el de su red local)

workgroup = WORKGROUP
server string = %h server
dns proxy = no
domain master = no
prefered master = no
local master = no
unix extensions = no
invalid users = root bin daemon adm sync shutdown halt mail news uucp operator
interfaces = lo eth1 127.0.0.1 192.168.0.0/24
max log size = 1000
server role = standalone server
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully*
map to guest = bad password
security = user
valid users = nobody
guest account = nobody
log file = /var/log/samba/audit.log

6. Declarar nuestra carpeta compartida (reemplace el "path" y nombre de su recurso compartido):

[shared]
comment = shared
# change path
path = /home/your_user/shared
public = yes
read only = no
writeable = yes
browseable = yes
valid users = nobody
guest ok = yes
available = yes
printable = no
create mask = 0777
directory mask = 0777

Nota : Tenga presente que hasta aquí hemos creando un recurso compartido de acceso público. Si es lo que quiere, salte al punto 8

Para aplicar restricciones al recurso debe ponerle credenciales y para esto debe crear un usuario samba. Tenga en cuenta que a partir de la versión 4.x, Samba tiene la capacidad de ejecutarse como un controlador de dominio AD, por tanto no es necesario tener un usuario estándar de Linux/Unix para cada usuario de Samba que se crea. Para mayor información consulte Cómo agregar un usuario de Samba en Linux.

Una vez agregado el/los usuario/s verifique con:

sudo pdbedit -L

Si no sale nada es porque no lo agregó a samba

sudo smbpasswd -a your_user # cambie 'your_user' por el nombre del usuario a agregar a samba
New SMB password:
Retype new SMB password:

Si se equivoca puede eliminarlo

sudo smbpasswd -x usuario

Ahora debe agregar los usuarios que van a ingresar al recurso. Por tanto debe reemplazar:

valid users = nobody

por el/los usuario/s. Ejemplo:

valid users = user1, user2, user3

Para administrar el recurso, reemplace "your_user" por el usuario administrador (pueden ser varios pero no se recomienda):

admin users = your_user

Opcional: puede utilizar un solo usuario Unix para todos los usuarios que se conecten a este servicio. Para hacerlo, reemplace "your_user" por el usuario elegido:

force user = your_user

Al final quedaría el recurso configurado más o menos así (ejemplo: carpeta compartida "download" con restricciones):

[download]
comment = download
path = /home/user/download
writeable = yes
read only = no
create mask = 0774
directory mask = 0777
# todos los usuarios con acceso a la carpeta
valid users = user1, user2, user3
# usuario administrador
admin users = your_user
# Opcional: Todos los archivos se escriben como este usuario
force_user = your_user

8. Si quiere agregar un veto de extensiones de archivos en su recurso compartido consulte Veto Files

9. Si va a usar firma SMB ( SMB sign) (recomendado), ejecute con privilegios administrativos los siguientes comandos en la consola cmd de sus equipos Windows (consulte la documentación AQUÍ):

reg add "HKLM\System\CurrentControlSet\services\LanmanWorkstation\Parameters" /v "RequireSecuritySignature" /t REG_DWORD /d 1 /f
reg add "HKLM\System\CurrentControlSet\services\LanmanServer\Parameters" /v "RequireSecuritySignature" /t REG_DWORD /d 1 /f
reg add "HKLM\System\CurrentControlSet\services\LanmanServer\Parameters" /v "EnableSecuritySignature" /t REG_DWORD /d 1 /f

Importante:

- Windows 7/8/10/11 ya trae por defecto 1 en EnableSecuritySignature para LanmanWorkstation por tanto lo anterior no es necesario para esta clave

- Para deshabilitar la firma cambie el 1 por 0.

- Si ejecuta los anteriores comandos y no está presente la activación de la firma en smb.conf sus equipos perderán la conexión con el recurso compartido. Para activarla agregue lo siguiente debajo de la plantilla [global]:

# smb v4.14 and later
server signing = mandatory
server min protocol = SMB3
server smb encrypt = required
# smb v4.13 or earlier
smb encrypt = required

Opciones por defecto según manual:

server signing = # default, auto, mandatory, disabled
server min protocol = # SMB2, SMB3, LANMAN1, LANMAN2, NT1
server smb encrypt = # default, off, if_required, desired, required

Importante:

- Las opciones de min protocol y max protocol son: SMB2 (incluye SMB2_02, SMB2_10 -win7 default-), SMB3 (incluye: SMB3_00 -win8-, SMB3_02 -win8.1-, SMB3_11 -win10 default-), LANMAN1 y LANMAN2 (Soporte de nombre de archivo largo) y NT1 (conocido como CIFS -winNT-) . La opción SMB está descontinuada

- A partir del protocolo SMB2 ya no se puede deshabilitar la firma (o sea no se puede usar el parámetro server signing = disable y si se establece en deshabilitado, se tratará como automático) y tampoco se puede usar security = share y server signing al mismo tiempo.

- Cuando se establece en automático (auto) o predeterminado (default), se ofrece cifrado, pero no se aplica. Cuando se establece en obligatorio (mandatory), se requiere el cifrado.

- A partir de SMB3 (y superior) soporta cifrado completo (autenticación, transporte de datos, etc.), pero puede generar incompatibilidades con algunos equipos y sistemas operativos antiguos (anterior a Windows 8 y Windows Server 2012) o desactualizados. Si quiere garantizar retro-compatibilidad en su red local utilice SMB2, pero no tendrá cifrado completo.

- Si no tiene en cuenta la versión de Samba al usar el parámetro smb encrypt saldrá el mensaje de error Unknown parameter encountered: "server smb encrypt".

- Para mayor información sobre los parámetros en smb.conf ejecute en el terminal man smb.conf

Activando módulo full_audit

Y al fin llegamos a lo que nos interesa. Para activar el módulo debemos editar /etc/samba/smb.conf y agregar a la plantilla [global]:

vfs objects = full_audit
full_audit:prefix = %I|%m|%S
full_audit:success = mkdirat pread pwrite renameat unlinkat create_file
full_audit:failure = none
full_audit:facility = LOCAL7
full_audit:priority = notice

Nomenclatura:

- vfs objects: Carga del módulo full_audit

- full_audit:prefix: Variables que se almacenarán en el log (usuario, IP, nombre del equipo, nombre de la carpeta compartida, etc.)

- full_audit:failure: Operaciones a registrar si hay error (se usan los mismos valores que full_audit:success). En el ejemplo usamos la opción none para no dejar registros de los fallos

- full_audit:facility: LOCAL5 (si va a registrar en un LOG individual) o LOCAL7 (en syslog)

- full_audit:priority: Niveles de registro (notice, info, debug, warning, alert)

- full_audit:success: Operaciones que se registrarán en el log (obtenga la lista completa de opciones AQUÍ)

mkdirat: creación de carpetas
renameat: renombrado o manipulación de archivos
unlinkat: borrado de archivos y carpetas
create_file: creación archivos (genera mucha información basura)
pwrite: escritura de archivos
pread: apertura de archivos

- %I: Dirección IP del cliente

- %m: NetBIOS del cliente

- %S recurso solicitado (en este caso la carpeta compartida)

Importante:

- Si tiene varias carpetas en smb.conf y la cláusula los parámetros full audit están debajo de la plantilla [global] pero encima de las configuraciones de sus carpetas, entonces auditará todas las carpetas configuradas en smb.conf. Si desea limitar la auditoría a una carpeta específica (ejemplo: la compartida), entonces pase la cláusula vfs objects = full_audit (o full_audit recycle si tiene papelera de reciclaje) al final de los parámetros de dicha carpeta en smb.conf

- A partir de Samba 4 y si agrega un parámetro inexistente o descontinuado (como rmdir, rename o mkdir) aparecerá en el log el registro el mensaje Could not find opname rename, logging all y se activarán todas las opciones de full_audit y su log se llenará de datos (inservibles). Para mayor información consulte Bug Samba vfs_full_audit reports everything

- El parámetro %m trabaja conjuntamente con el demonio nmbd y para que funcione debe activar smb ports = 139 en smb.conf. Tenga en cuenta que esto hará que Samba no escuche en el puerto 445 y permitirá que la funcionalidad de inclusión funcione como hizo con Samba 2.x, pero su red local puede perder el acceso al recurso compartido (A partir de la version 4.13.14 ya no es necesario activar este puerto en smb.conf para que muestre en audit.log el nombre de los equipos que se conectan al recurso compartido).

LOCAL5 vs LOCAL7

Con LOCAL7 los registros se guardan en syslog. Para independizar los registros de auditoría es más cómodo LOCAL5:

full_audit:facility = LOCAL5

Para esto editamos:

/etc/rsyslog.d/50-default.conf

Y agregamos la siguiente línea (preferentemente en la cabecera para que sea prioritaria):

local5.* /var/log/samba/audit.log
& stop

O abreviando:

echo -e "local5.* /var/log/samba/audit.log\n& stop" | sudo tee -a /etc/rsyslog.d/50-default.conf

Lo anterior significa que todos los registros se almacenan en /var/log/samba/audit.log y la segunda línea evita que se guarden en syslog.

Nota: Antes de Samba 4 se utilizaba el estado ~ pero ya está descontinuado y si lo usa saldrá el error 2307

No olvidemos crear el log si no existe:

if [ ! -d /var/log/samba ]; then sudo mkdir -p /var/log/samba; fi
sudo touch /var/log/samba/audit.log

Reiniciamos los servicios:

sudo systemctl restart rsyslog smbd nmbd winbind

o recargarlos:

sudo smbcontrol all reload-config && sudo /etc/init.d/rsyslog force-reload

Nota: Al hacer este cambio rsyslog puede generar un registro bastante molesto, que si se deja así puede llenar nuestro log rápidamente:

rsyslogd: action 'action-1-builtin:omfile' suspended (module 'builtin:omfile'), retry 0

Para solucionarlo, comente las siguientes líneas en /etc/rsyslog.conf (ejecute los comandos en el terminal):

sudo cp -f /etc/rsyslog.conf{,.bak}
sudo sed 's/^[^#]*\($FileOwner syslog\|$FileGroup adm\|$FileCreateMode 0640\|$FileCreateMode 0640\|$DirCreateMode 0755\|$Umask 0022\|$PrivDropToUser syslog\|$PrivDropToGroup syslog\)$/#\1/' -i /etc/rsyslog.conf

No olvide asegurarse que al final del archivo /etc/rsyslog.conf se encuentre declarado audit.log (ejecute el siguiente comando en el terminal):

grep -qxF '*.none /var/log/samba/audit.log' /etc/rsyslog.conf || echo '*.none /var/log/samba/audit.log' | sudo tee -a /etc/rsyslog.conf

Nota: También podemos usar Apache y publicar el log para verlo en el navegador, o supervisarlo con webmin

Rotación del log

Para rotar el log edite el archivo:

/etc/logrotate.d/samba

Y agregue la siguiente información:

/var/log/samba/audit.log {
weekly
missingok
rotate 7
postrotate
    reload rsyslog > /dev/null 2>&1 || true
endscript
compress
notifempty
}

Bonus: Full Audit con Papelera de Reciclaje

Para activar full audit con papelera de reciclaje (Recycle Bin) en la carpeta compartida agregue lo siguiente (los parámetros pueden cambiar según sus necesidades). Para mayor información consulte Cómo configurar Samba con Papelera de Reciclaje:

## SAMBA FULL AUDIT AND RECYCLE BIN ###
vfs objects = full_audit recycle
full_audit:prefix = %I|%m|%S
full_audit:success = mkdirat pread pwrite renameat unlinkat
full_audit:failure = none
full_audit:facility = LOCAL5
full_audit:priority = notice
recycle:repository = recycle/%U
recycle:directory_mode = 0777
recycle:touch = yes
recycle:keeptree = yes
recycle:versions = yes
recycle:noversions = *.doc*/*.ppt*/*.xls*/*.pdf/*.dat/*.ini
recycle:exclude = *.tmp|*.temp|*.o|~$*|*.~??|*.log|*.trace|*.TMP|*.asv
recycle:exclude_dir = /temp|/tmp|/cache|/.Trash-1000
recycle:maxsize = 0
recycle:mode = KEEP_DIRECTORIES|VERSION|TOUCH
hide files = /recycle/

Vaciado de la Papelera de Reciclaje cada 7 días en crontab:

@weekly find ~/shared/recycle/* -mtime +7 -exec rm -rf "{}" \; >/dev/null

Concluyendo, este módulo es bastante útil, pero no espere milagros. Samba cambia los parámetros con cada versión (a veces son necesarios y a veces no), los manuales no los actualizan a tiempo y en ocasiones los cambios son tantos que es difícil seguirles el paso.

Actualización 2022

Tenga en cuenta la nueva vulnerabilidad de Samba a la hora de configurarlo

Actualización 2023

En las versiones de samba 4x muchas cosas han cambiado, como era de esperarse, es dificil seguirle el paso a esta gente. Hay un montón de cosas que ya no son necesarias, o es mejor que samba las administre y otras que son opcionales y se pueden personalizar.

Esta es mas o menos la lista de lo que hemos podido detectar (lo que está comentado con ";" es mejor que samba lo administre, excepto las reglas "opcional" que pueden personalizarlas. Reemplace "your_user por el nombre del usuario samba):

# smb port for NetBIOS
;   smb ports = 445 139

# NetBIOS name
;   netbios name = your_user

# hosts allow (opcional)
;   hosts allow = 127.0.0.1, 192.168.0.0/24

# hosts deny (ALL, 0.0.0.0/0 150.203.4. badhost.mynet.edu.au etc.) (opcional)
;   hosts deny = ALL

# Prevent Samba´s services to manage the network (Domain Controller like a WinNT Server, or similar)
;   domain master = auto
;   local master = yes
;   preferred master = auto

# Windows Internet Name Service (WINS)
;   wins support = no

# Extended Attributes (opcional)
;   ea support = yes

# Store dos attributes
;   store dos attributes = yes
;   map archive = yes
;   map hidden = no
;   map system = no
;   map readonly = no

# Shared printers on samba server (si el servidor no tiene impresoras compartidas use esta configuración)
load printers = no
disable spoolss = yes

# winbindd will store user credentials from successful logins encrypted in a local cache.
winbind offline logon = no

# security users
security = user
guest account = your_user

# smb sign and smb protocol
server signing = mandatory
server min protocol = SMB3

# Encrypt (opcional)
# Important: This rule activates username and password to access shared resources
# for v4.13 or earlier
;   smb encrypt = required
# for v4.14 or higher
;   server smb encrypt = required

# Symlink race allows access outside share definition
# https://www.samba.org/samba/security/CVE-2017-2619.html
unix extensions = no

# Log Level (default: log level = 0)
;   log level = 1

# Deprecated
;   syslog = 0
;   syslog only = yes

Referente al módulo full_audit, es necesario configurar rsyslog para que pueda funcionar correctamente, ya que este tema de los registros personalizados es un poco enreversado. Entonces, es necesario primero corregir las reglas full audit en smb.conf quedando así. En la sección Global:

[global]
# SAMBA FULL AUDIT AND RECYCLE BIN
# NOMENCLATURE
# mkdirat: Create folders/directories | Creación de carpetas/directorios
# rmdir: Delete folders/directories | Borrado de carpetas/directorios
# pread: Open files (read) | Archivos abiertos (lectura)
# pwrite: New files (created or uploaded) | Nuevos ficheros (creados o subidos)
# renameat: Rename files | Renombrado de archivos
# unlinkat: Delete files | Borrado de archivos
# full audit
full_audit:logfile = /var/log/samba/fullaudit.log
full_audit:prefix = %I|%m|%S
full_audit:success = mkdirat read pread write pwrite renameat unlinkat
full_audit:failure = none
full_audit:facility = LOCAL5
full_audit:priority = notice
# recycle
recycle:repository = recycle/%U
recycle:directory_mode = 0777
recycle:touch = yes
recycle:keeptree = yes
recycle:versions = yes
recycle:noversions = *.doc*/*.ppt*/*.xls*/*.pdf/*.dat/*.ini
recycle:exclude = *.tmp|*.temp|*.o|~$*|*.~??|*.log|*.trace|*.TMP|*.asv
recycle:exclude_dir = /temp|/tmp|/cache|/.Trash-1000
recycle:maxsize = 0
recycle:mode = KEEP_DIRECTORIES|VERSION|TOUCH
hide files = /recycle/

Y al final de la información de la carpeta compartida que pretendemos hacerle auditoría. Ejemplo:

[compartida]
comment = compartida
path = /home/your_user/compartida
public = yes
read only = no
writeable = yes
browseable = yes
valid users = nobody your_user
force user =
guest ok = yes
guest only = yes
available = yes
printable = no
create mask = 0777
directory mask = 0777
# Full Audit and Recycle
vfs objects = full_audit recycle

Y ahora configurar los registros de rsyslog. Antes que nada elimine cualquier configuración personalizada (que mencionamos anteriormente) de /etc/rsyslog.conf y edite el archivo /etc/rsyslog.d/50-default.conf y agregue la siguiente regla ANTES de la directiva de syslog, quedando de la siguiente manera:

# fullaudit rule
if $PRI == 173 then {
   /var/log/samba/fullaudit.log
 stop
}
# First some standard log files.  Log by facility.
#
auth,authpriv.*			/var/log/auth.log
*.*;auth,authpriv.none		-/var/log/syslog
#cron.*				/var/log/cron.log
#daemon.*			-/var/log/daemon.log
kern.*				-/var/log/kern.log
#lpr.*				-/var/log/lpr.log
mail.*				-/var/log/mail.log
#user.*				-/var/log/user.log

O desde el terminal de comandos, ejecutar:

sudo sed -i '/# First some standard log files.  Log by facility./i # fullaudit rule\nif $PRI == 173 then {\n   /var/log/samba/fullaudit.log\n stop\n}' /etc/rsyslog.conf

Bueno, aquí surge la primera pregunta: Por qué los cambios deben hacerse en /etc/rsyslog.d/50-default.conf y no en /etc/rsyslog.conf?

La respuesta es "depende". Para saberlo ejecute el siguiente comando:

# deteniendo el servicio
sudo systemctl stop syslog.socket rsyslog.service
# verificando que esté detenido
ps ax | grep rsyslog | grep -v grep
# iniciando el servicio con la opción "-o":
sudo /usr/sbin/rsyslogd -o out.txt
# verificando que esté iniciado con esta opción:
ps ax | grep rsyslog | grep -v grep
294400 ?        Ssl    0:00 /usr/sbin/rsyslogd -o out.txt

Y si en la cabecera del archivo out.txt aparece algo como esto:

##### BEGIN CONFIG: /etc/rsyslog.d/50-default.conf (put on stack)
# etc etc etc etc......

Indica que rsyslog inicia primero en la sección /etc/rsyslog.d/50-default.conf, y como las reglas se leen en órden, la configuración personalizada deberá ir ahí.

Y que carajos es $PRI == 173?

Como bien lo explica David Lang en el issue 5214: "All the logs has a PRI value of 173" (ver la tabla PRI para local5 AQUI).

Este tipo de nivel de depuración se puede ver si activamos la siguiente regla en /etc/rsyslog.conf:

if $syslogtag == "smbd_audit:" then /var/log/samba/debug.log;RSYSLOG_DebugFormat

Y la salida en debug.log, al comienzo de cada registro saldrá lo siguiente (en 'your_user' aparecerá el usuario de su servidor samba):

FROMHOST: 'your_user', fromhost-ip: '127.0.0.1', HOSTNAME: 'your_user', PRI: 173,

PRI: 173 son mensajes de tipo smbd_audit:, como estos:

msg: ' 192.168.1.31|desktop-rm8iodm|shared|unlinkat|ok|/home/user/shared/~$test.xlsx'

También puede encontrar otros registros, tales como:

FROMHOST: 'your_user', fromhost-ip: '127.0.0.1', HOSTNAME: 'your_user', PRI: 86,

Pero estos corresponden a mensajes similares al siguiente (que no nos interesan):

msg: ' pam_unix(samba:session): session closed for user

PRI: 173 viene siendo similar a local5.none, entonces se puede reemplazar con:

*.info;mail.none;authpriv.none;cron.none;local5.none /var/log/messages
local5.* /var/log/samba/fullaudit.log
& stop

Lo importante aquí no es la regla que utilice, sino dónde la va a poner. Debe estár en donde primero lee rsyslog y si quiere que los mensajes smbd_audit aparezcan en fullaudit.log y también en syslog, puede ponerla al final, pero si quiere evitar duplicados y que solo queden en fullaudit.log, deberá ponerla al comienzo del archivo de configuración de rsyslog

2025

Muchos cambios han surgido con samba. Actualmente, con Ubuntu 24.04, que incluye Samba 4.19.5, las cosas son un poco diferentes, en especial con full audit. Por razones que aún desconocemos, muchos módulos han dejado de funcionar. Básicamente, solo funcionan bien mkdirat renameat unlinkat (activar otros no generan nada o generan mucho ruido en el log) y en ryslog la cosa también cambia. Más o menos viene siendo así:

Edite /etc/rsyslog.d/50-default.conf y agregue lo siguiente:

# fullaudit
if $programname == 'smbd_audit' and not ($msg contains 'pam_unix') then {
    action(type="omfile" file="/var/log/samba/log.audit")
    stop
}

Con esta acción filtrará los mensajes smbd_audit directamente al log /var/log/samba/log.audit, excluyendo smbd_audit: pam_unix

Ahora, modifique su smb.comf y su carpeta a monitorear con full_audit debe quedar similar a lo siguiente (ejemplo de carpeta pública (cambie your_user por su usuario de samba o donde esté dicha carpeta, el cual debe coincidir con la directiva guest account =):

[compartida]
   comment = compartida
   path = /path_to/compartida
   guest ok = yes
   guest only = yes
   browseable = yes
   writable = yes
   create mask = 0777
   directory mask = 0777
   public = yes
   force user = your_user
   
   # FULL AUDIT AND RECYCLE BIN
   # mkdirat: Create folders/directories | Creación de carpetas/directorios
   # renameat: Rename files | Renombrado de archivos
   # unlinkat: Delete files | Borrado de archivos
   # full audit
   vfs objects = recycle full_audit
   full_audit:logfile = /var/log/samba/log.audit
   full_audit:prefix = %I|%m|%S
   full_audit:success = mkdirat renameat unlinkat
   full_audit:failure = none
   full_audit:facility = LOCAL5
   full_audit:priority = notice
   # Optional: recycle bin
   recycle:repository = recycle/%U
   recycle:directory_mode = 0777
   recycle:touch = yes
   recycle:keeptree = yes
   recycle:versions = yes
   recycle:noversions = *.doc*/*.ppt*/*.xls*/*.pdf/*.dat/*.ini
   recycle:exclude = *.tmp|*.temp|*.o|~$*|*.~??|*.log|*.trace|*.TMP|*.asv
   recycle:exclude_dir = /temp|/tmp|/cache|/.Trash-1000
   recycle:maxsize = 0
   recycle:mode = KEEP_DIRECTORIES|VERSION|TOUCH
   hide files = /recycle/

Asegurese de crear una rotación de ese nuevo log en /etc/logrotate.d/ y darle a la carpeta los permisos y propietario adecuado (que también debe coincidir con la directiva guest account =. Para mayor información visite el proyecto Gateproxy