FreeBSD México

Comunidad Mexicana de FreeBSD

PC-BSD Un vistazo a las características nuevas para 10.1.2

Esta es una traducción del siguiente sitio: http://blog.pcbsd.org/2015/03/a-look-at-the-upcoming-features-for-10-1-2/

PCBSD10-logo

 

He sido un usuario aventajado las últimas semanas, cuando menos en lo que respecta a seguir nuestro mapa de items para la próxima versión 10.1.2 release, ustedes habrán notado un número de nuevos items relativos a seguridad y privacidad. Quise tomar un momento para aclarar qué son realmente algunas de estas nuevas características y qué es lo que van a lograr.

 

– PersonaCrypt –

La primera de las nuevas características es una nueva utilería CLI llamada personacrypt. Este comando permitirá la creación y uso de un medio externo GELI para el directorio $HOME de sus usuarios. Actualmente esta característica la estamos usando internamente para mantener los perfiles de usuario en una memoria USB 3.0 — de 256GB memoria SSD / flash híbrida (Específicamente Coarsair flash Voyager GTX). Ésta se encuentra unida dentro del administrador de sesión PCDM, y el usuario administrador, de tal forma que cuando creas una cuenta de usuario nueva, puedes optar por mantener todos los datos personales en cualquier dispositivo externo. El dispositivo esta formateado con GPT / GELI / ZFS, y es desencriptado al momento de iniciar la sesión por medio de la GUI, después de introducir su clave de encripción, junto con el password normal de usuario.

Adicionalmente, el comando personacrypt usa la habilidad de GELI para dividir la clave en dos partes. Siendo una su frase clave, y siendo la otra una llave almacenada en disco. Sin ambas de estas partes, el medio de almacenamiento no podrá ser desencriptado. Esto significa que si alguien roba la llave y logra obtener su password, estas dos son inutiles sin el sistema en el cual fueron creados y emparejados. PersonaCrypt también permitirá la exportación/importación de estos datos clave, para que los pueda usar  y emparejar dichas claves en otros sistemas.

– Modo Tor –

Hemos agregado nuevas habilidades a la Charola del Actualizador del Sistema, de tal forma que ahora con un solo click, pueda cambiar entre correr en modo Tor, y modo regular “abierto”. Este cambio entre el modo Tor, hará lo siguiente:

1. Lanzar el daemon Tor, y conectar a la red Tor
2. Re-escribir todas las reglas IPFW, bloqueando todo el tráfico saliente / entrante, excepto por el tráfico desde y hacia el daemon Tor
3. Re-enrutar todas las peticiones DNS / TCP a traves de Tor usando su soporte de proxy transparente

Esto permite que las aplicaciones en el sistema se puedan conectar a internet a traves de  Tor, sin necesidad explicita del soporte proxy para SOCKS.

Obviamente esto solo no es suficiente para mantener tu identidad a salvo en la Internet. Nosotros recomendamos ampliamente que lea atraves de las excelentes Preguntas Frecuentes (FAQ) y artículos wiki en el tema.

https://​www​.torproject​.org/​d​o​c​s​/​f​a​q​.​h​t​m​l​.​e​n​#​A​n​o​n​y​m​i​t​y​A​n​d​S​e​c​u​r​ity

– Modo furtivo –

Una de las características que se agregarón recientemente a personacrypt es algo llamado modo “furtivo”. Esta integrado en el PCDM, y realiza lo siguiente:

Durante el inicio de sesión, si el modo furtivo esta seleccionado, el directorio $HOME del usuario será montado con un ZVOL basado en GELI con una llave de encripción de una sola vez. Este directorio $HOME está configurado con los datos por defecto del /usr/share/skel , y la mayor parte está en “blanco”, permitiendo que usted inicie su sesión y corra aplicaciones como si estuviera en un sistema nuevo en cada ocasión. Al terminar la sesión el conjunto de datos es destruido, o en caso de que el sistema sea reiniciado, la clave de una sola ocasión se perderá, volviendo inútiles los datos. Piense en ello como el modo “privado” del navegador web, excepto que es para toda la sesión del escritorio.

– LibreSSL –

Hemos realizado un cambio para convertir nuestros ports para que usen LibreSSL por defecto en lugar de los sistemas base OpenSSL. (Gracias a Bernard Spil por su trabajo en esto). Nuestra esperanza es que LibreSSL ayude a hacer el sistema aún más seguro, y reducir el número de exploits OpenSSL a los que nuestros paquetes pudieran ser vulnerables.

– Respaldos Encriptados –

La utilería preservador de vida (Life-Preserver) ha tenido la habilidad desde hace un tiempo de replicar su sistema desde otro equipo corriendo FreeBSD, tal como FreeNAS. Este respaldo se realiza via comandos send/recv de ZFS usando SSH, pero los datos en el equipo remoto eran almacenados sin encriptar y podían ser leídos por quien quiera que administrara ese equipo remoto. Para proporcionar una medida extra de seguridad a los respaldos, estamos en el proceso de agregar soporte para respaldos completamente encriptados, usando volúmenes GELI basados en iSCSI. Esto nos permite usar los comandos send/recv de ZFS  sobre una conexión, con todos los datos que salen del equipo orígen ya encriptados vía GELI. Sus datos en el equipo remoto estarán completamente encriptados, y solo son accesibles con el archivo clave que tiene instalado del lado del cliente. Esto aún esta en desarrollo activo y deberá aparecer en el repositorio EDGE en las próximas semanas, junto con algunos detalles adicionales en cuanto a su uso.

Esperamos que hayan disfrutado esta vista anticipada de lo que esta ocurriendo ahora con el desarrollo de PC-BSD. Como siempre, nos encanta que la gente pruebe estas nuevas características en nuestro repositorio EDGE, y nos hagan saber de problemas por medio de nuestro rastreador de bugs:

https://​bugs​.pcbsd​.org

Escrito por  Kris Moore. Posteado en 10.1, nuevas características

 

_________________________

Nos leeremos en el siguiente artículo.

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mis cuentas de BitCoin o LiteCoin:

BTC:   37Eyuc6a9YFw3NYAWriBRdsNztjeUCjeBY

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

_________________________

Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIXLinux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric@freebsd.mx, eric_delacruz@yahoo.com y en eric@iteso.mx y en twitter: @COSMICBOY123)