Contenido:

¶: Saludos de Heather Stern

servidor linux para xwindows... necesito sugerencias

ligas físicas

ingresando al modo interactivo

distribución Linux SuSE 8.2 y tarjeta de sonido Soundblaster 16

compilación del núcleo y dispositivo para la memoria de despliegue de video

pregunta sobre interconexión con una portátil

Saludos de Heather Stern

Quíubole cuates, y bienvenidos una vez más al mundo de la Pandilla de las Respuestas. De hecho, bienvenidos a la polvosa cochera virtual de su editora de otros tiempos. Tengo aquí al Mecánico de Fin de Semana que me ofrece una llave extra mientras anda por ahí, y que comparte conmigo algo de cerveza de jengibre.

El número de mensajes que llegaron estuvo algo bajo; supongo que los meses de verano hacen que la gente disfrute de la vida en lugar de andar por ahí con su computadora. Las preguntas tontas del mes parece que están en su más bajo nivel...

Así que, esta vez, el propio Hombre Respuesta, Jim Dennis, pregunta:

¿Cómo saber que se puede confiar en esos paquetes?

GPG es, al mismo tiempo, una cosa interesante y un desconcierto. Está fácilmente disponible estos días - hay versiones de él gratis para todo el mundo - y hay algunas interfaces gráficas útiles que tratan de integrarlo en la vida diaria. Pero hay un problema - no es suficientemente fácil... y es que así está hecho porque así tiene que trabajar. Es un desconcierto porque realmente es difícil usarlo día con día y la gente que probablemente debería usarlo - no lo hace.

Téngase en cuenta que la mayor parte de la gente no tiene la paciencia de conseguir algunos pocos cimientos sólidos en su red de confianza. Principalmente ellos establecen unas pocas líneas de cruce aquí y allá a la gente que los conocen bien, así que confían directa e inmediatamente en su identidad, de cualquier modo.

Así que, ¿cómo se sabe realmente que la clave de kernel.org es... bueno, su clave? Si el servidor web se empantanó, ¿cómo saber que no era un objetivo de ataque? De algunas distribuciones al azar, ¿cómo saber que los discos de instalación son seguros?

Bueno, al comprarlas están en un CD impreso, así que sabemos que vienen de un proveedor, así que...

Buen intento. Mucha gente consigue un disco gratuito o muy barato de una menos perfecta fuente. Y ciertamente no le ha pasado a ningún proveedor de Linux todavía, pero en el mundo de mswin un proveedor ocasional de software ha enviado por error un programa troyano o un virus. Que sea una grabación comercial es bueno, pero no es realmente una garantía.

Las distribuciones comerciales se restringen a quien pueden confiar y comprometer con la publicación del producto, y eso puede considerarse como una cosa buena. Los servidores de construcción de Debian usan GPG para verificar la identidad que hay detrás de un paquete que les ha sido enviado. Pero los administradores de sistemas y otros usuarios no podemos estar realmente seguros de cuál servidor de construcción vino un archivo rpm, eb o tarball. Algunos sistemas permiten verificar que el servidor de descargas al que se accedió es genuino. Pero si recibió basura que le enviaron -auch. Creo que ya le ha sucedido una vez a uno de los distribuidores, aunque localizaron el problema en muy poco tiempo.

Las computadoras construídas deberían automágicamente firmar los paquetes, de la manera en que un mensaje de correo-e que pasa por un sistema es marcado con un encabezado (Received:). De hecho, esta analogía es bastante buena - directo a los mugrosos mentirosos que forjan unos pocos encabezados falsos detrás de ellos cuando quieren enviar basura. Pero entonces, gente como tú y yo tenemos que estar disponibles para establecer que las claves son buenas. Y ese proceso consume energía humana.

¿Por qué? Porque simplemente no podemos tener a las computadoras que generen aleatoriamente las claves. Una persona debe crear una clave, firmarla, hacer que algunos de sus amigos la firmen, y realmente usarla. Conforme la red de confianza crece, una clave de identidad se conoce bien, y entonces se pueda decir que uno reconoce determinada clave como buena de la misma manera que la gente reconoce una actriz en particular u otra figura pública. Debe uno hacerles llegar a la gente de Debian para que se intercambien las claves unos con otros de manera que estén seguros de quién manda qué... aunque eso es para el envío a sus servidores principales. Los servidores de construcción trabajan automáticamente para generar los archivos .deb oficiales; sin embargo, NOSOTROS no podemos decir dónde fueron generados. Aún si el servidor de construcción firmara estos paquetes (lo cual es buena idea), cómo sabremos ustedes y yo que la clave es confiable. Pongámosnos serios, es bastante difícil hacer que venga a cenar una forma de vida de silicón y que muestre su identificación de estado o alguna otra cosa que hace la gente para demostrar que son ellos mismos. Ok, el administrador de sistema firma la clave. Pero no se puede dejar la clave sin contraseña - si lo hiciste así, cualquier que la obtenga de alguna manera podría robarla y usarla para generar paquetes inicuos tanto como guste. De ninguna manera. Así que terminas con un sistema crítico que tiene que tener a alguien que lo examine e ingrese la clave nuevmente si tiene que reiniciarlo.

Quizá si tuviéramos más de un administrador de sistemas que sepan la huella digital de esas claves, que deberían ser bien conocidas, sería razonable tener paquetes firmados que fueran verificables. En realidad, vayamos un paso más adelante: las reglas o especificaciones o lo que sea que hay dentro de los paquetes que los hace algo más que un archivo tarball deberían ser firmadas por el codificador responsable del paquete. Y si no concuerdan no nos importará qué servidor de construcción confiable generó este juguete. Y pongamos estas importantes huellas digitales de las claves en lugares que no puedan ser trastocados y burlados. Pongamos estas cosas en manuales impresos, en revistas (tal vez unas pocas por vez, aleatoriamente unas que la gerencia se haya encargado de verificar) y en cubiertas de CD impresas donde sea conveniente.

Okey. Digamos que tienes todas las cosas en orden y todo tipo de cosas están firmadas... y pueden ser verificadas. Todo mundo sabe quién es quién. Entonces, angostamos el campo de problemas a lo meramente ordinario - una vez que se sabe quién es quién, entonces uno se puede preguntar si se sabe qué es qué o si están haciendo lo correcto.

Pero al menos ya se sabe con quién se está hablando y de quién se obtienen las cosas.