EDITORIAL
PORQUE TE
LO MERECES
D
esde los laboratorios de HP nos
llega la noticia de que la Búsqueda
de la Resistencia Pérdida ha con-
cluido. Un componente electrónico elemen-
tal, cuya existencia teórica se formuló mate-
máticamente hace años, ha sido hecho rea-
lidad gracias a los nanotubos.
La memorresistencia es capaz de almace-
nar (léase “recordar”) su último estado,
independientemente de que reciba o no
flujo eléctrico. Las aplicaciones prácticas de
semejante componente son obvias para
cualquier ingeniero: La RAM dejará de ser
volátil y podremos esperar equipos, todo
tipo de equipos, de arranque inmediato. Se
acabaron las esperas para cargar un kernel,
los drivers y los interfaces gráficos. Otra
aplicación afectaría al campo de las redes
neurales, permitiendo la implementación de
redes en hardware donde cada neurona no
tendría que ser reprogramada cada vez, ya
que conservaría el estado de la pasada ante-
rior. El invento, para entendernos, promete
revolucionar la tecnología de los sistemas
expertos.
Mientras tanto, en Amazon y Google tra-
bajan en un nuevo concepto para el soporte
de aplicaciones en red. El “cloud compu-
ting” permite que el desarrollador pueda
ignorar potenciales problemas de escalabili-
dad en servicios en red. Si su programa lo
utilizan concurrentemente tanto 10 usuarios
como 10.000, no importa: los recursos
requeridos escalan linealmente. Su servicio
siempre estará disponible y siempre será
ágil, a pesar de la carga.
En Suiza, en preparación del enorme
volumen de datos que se han de procesar
con cada experimento que se realice en
LHC (Large Hadron Collider), ya tienen listo
The Grid: Una vasta red de 55.000 servido-
res conectados por una red de fibra óptica
de altísima velocidad, unas 10.000 veces
más rápida que un ADSL convencional, que
sería capaz de transmitir 10 películas en alta
definición de Europa a Estados Unidos en
dos segundos. No es que sea la infraestruc-
tura de Internet para el futuro, por que es
más que eso: Es la infraestructura para
todas las comunicaciones del futuro. Diga
adiós a la TV (digital o no), al teléfono, al
ADSL… todo eso ha muerto.
Bienvenidos a The Grid.
Por fin una editorial positiva, pensarán.
Una editorial donde no se critica a profeso-
res de universidad, ni se humilla a autores
novatos, ni se mete con la comunidad, ni se
dedica al “Microsoft Bashing”. Una editorial
que mira hacia adelante, que habla de las
maravillas de la tecnología…
No caerá esa breva.
Por que, veamos, mientras todo eso
sucede por ahí fuera ¿qué pasa por aquí?
Bueno, les cuento la gran noticia nacional
sobre tecnología: según una nota de prensa
que nos han mandado a la redacción no
menos de doce veces “nace el postre de
Internet, la @rroba da el salto a la mesa de
los ciudadanos”.
Y no es broma.
“Es un elemento de cohesión social el
que una gran efeméride como el diadeinter-
net, Día Mundial de la Sociedad de la Infor-
mación y de las Telecomunicaciones, tenga
su particular postre, la ‘@rroba del diadein-
ternet’, sin duda, una forma distinta de
compartir las nuevas tecnologías con nues-
tros amigos, familiares o compañeros de tra-
bajo. Este espíritu festivo es totalmente
compatible con la atención que se presta en
esa jornada a los no conectados”. Ah, sí…
esos pobres desgraciados.
Mientras Luis Arroyo, Director de Dia-
deinternet y autor de la anterior afirmación,
se inyecta insulina para contrarrestar los
efectos tanto del “pastel” (nunca mejor
dicho) como de sus palabras, Isabel Martí-
nez-Cubells, Concejala del Distrito de
Chamberí por el Ayuntamiento de Madrid,
anuncia que se van a chotear 10.000 @rro-
bas de esas en las fiestas de San Isidro, a
costa, claro está, de las arcas municipales.
La pastelera está encantada. Según Car-
men Moreno, creadora del dulce: “Nos
pareció una idea extraordinaria y acepta-
mos el reto encantados. ¿A qué sabe Inter-
net?, fue la primera pregunta […]”. Para mi
sería la última antes de entrar en estado de
WWW.LINUX- MAGAZINE.ES
coma etílico, y si es a
esto es a lo que han lle-
gado la política del
desarrollo institucional
de cara al sector TI en España, yo quiero
migrar ya.
Bien pensado, la tontería… no…, la cri-
minal estupidez ésta del pastel y la impor-
tancia que le pretenden dar, es una buena
metáfora de todo lo malo que pasa en el
área de lo tecnológico y científico en
España: La @rroba, dulce que engorda pero
no alimenta, es el escaparate, el triunfo de la
forma sobre el fondo, la excusa para cuchi-
pandas, fotos y discursos vacíos bajo el pre-
texto de asistir al desarrollo. El reparto de
pastelitos congregará, como siempre, un
montón de buitres que parecerán no haber
comido en meses, tan parecidos a las
empresas del sector que, gracias a las nefas-
tas políticas públicas, se han convertido en
mendigas del estado, siempre pidiendo sub-
venciones a cambio de proyectos supuesta-
mente “innovadores”, pero en realidad
vacuos, trillados o directamente vaporosos,
en vez de, qué diría yo, buscar una vía de
negocio rentable, competitiva y de mercado.
Por todo ello, creo que la famosa @rroba
de chocolate no es adecuada para represen-
tar lo que por aquí se cuece. Permítanme
sugerir un dulce más apropiado. Un dulce,
creo, que simboliza mejor el estado de la
I+D+I en España. Un dulce que puede
estar recubierto de chocolate o de azúcar,
que puede estar relleno o ser hueco y que,
por su forma, simboliza la nota que otorga-
ría a los dirigentes y empresarios de este
país en materia de conocimientos de tecno-
logía aplicada, políticas efectivas para el
desarrollo de la industria… y vergüenza.
Permítanme sugerir el donut. ■
Paul C. Brown
Director
Número 39 3
DVD LINUX MAGAZINE
Y en el DVD de Linux Magazine…
UBUNTU HARDY Y
MANDRIVA 2008
SPRING
A
pesar de que en Linux Maga-
zine nos gusta darle igual
oportunidad a todas, y de que
a veces las pequeñas distros comuni-
tarias tienen tanto o más que ofrecer
que algunas de las más grandes,
hemos de reconocer que hay algunas
particularmente golosas para los lec-
tores. Este mes tenemos dos de
ellas…
Cara A: Ubuntu 8.04 –
Hardy Heron
Existen dos quejas contra la última
versión de Ubuntu [1]. La primera de
ellas viene de los que buscan en
Linux una razón para trastear. Confi-
gurar dispositivos, editar ficheros de
/etc, compilar paquetes, son las cosas
con las que disfrutan estos usuarios.
Pero Hardy Heron les roba este placer:
ya sea tanto con una instalación
Figura 1: El tema predeterminado de Ubuntu 8.04 – Hardy Heron con
transparencias cortesía del sistema de 3D Compiz-Fusion.
6 Número 39
desde cero, como con una actualiza-
ción de una versión anterior; el pro-
ceso es tan suave y tan a prueba de
fallos que la mayor queja en los foros
es que “no tengo nada que hacer”
(naturalmente, esto para la mayoría
de los usuarios es más bien una ven-
taja).
Además de la facilidad de instala-
ción y de configuración, el manteni-
miento del sistema es igualmente sen-
cillo: cuando se va a reproducir un
archivo multimedia en algún formato
privativo, el sistema nos pregunta si
queremos instalar los codecs. Si le
decimos que sí, los instala y configura
sin más y de manera totalmente trans-
parente. El monitor de actualizaciones
está siempre alerta para cuando apa-
recen nuevos paquetes en los reposi-
torios, y el LTS (“Long Time Sup-
port”) nos asegura un sistema siem-
Figura 2: La herramienta de actualización mantendrá el sistema
seguro y al día de una manera sencilla.
WWW.LINUX- MAGAZINE.ES
pre a la última, muy a la última,
durante al menos cinco años.
Y Ubuntu es una tromba: el número
de instalaciones para usuarios finales
es enorme, más que la de cualquier
otro sistema Linux, lo que garantiza
una gran y activa comunidad; y sus
repositorios son casi infinitos. Si no
encuentras algo en ellos, probable-
mente no lo necesites.
Cara B: Mandriva 2008.1
Spring
Si bien la versión 2008 de Mandriva
[2] (incluida con el número 35 de
nuestra revista en su versión comer-
cial “Powerpack” – ver [3]), era un
gran avance en el desarrollo de los
sistemas Mandriva, adolecía de cier-
tos bugs molestos que hacían que no
fuera la soberbia experiencia que
podría haber sido.

Estos problemas, comunes por
cierto a cualquier distro, se corrigen
en la versión 2008.1 que incluimos
en el la cara B de nuestro DVD de
este mes…
Pero la versión Spring de Mandriva
2008 es algo más que un masivo bug
fix. Incluye un nuevo y depurado
asistente para la instalación de soft-
ware, un nuevo centro para emisión
de multimedia llamado Elisa e,
incluso, una perfecta integración
Figura 3: El escritorio de Mandriva se caracteriza por su limpieza,
aspecto cuidado y belleza. El menú KDE pone todo el sistema al
alcance de la mano.
DVD LINUX MAGAZINE
Pareja de Ases
Pero claro, la belleza sin poder no es
nada. Tanto Mandriva como Ubuntu
incluyen todos los asistentes
necesarios para hacer la vida
del usuario más fácil, miles
de aplicaciones para que
no le falte de nada, y lo
último en software ofi-
mático (OpenOffice 2.4,
con soporte para docu-
mentos multi-idioma y
transiciones 3D en
presentaciones), para
Internet (Firefox 3,
con mejoras en admi-
nistración de memoria,
velocidad y prestacio-
nes), diseño (The GIMP
2.4 con la nueva tecnología
de selección de elementos
SIOX y centenares de filtros y
efectos), multimedia (Amarok,
Mplayer, VLC, etc.), 3D (Compix-
Fusion) y mucho más.
Lo mejor de lo mejor en el DVD de
Linux Magazine
con el Asus Eee, fruto de la expe- ¡Pruébalas! ■
riencia de la empresa Mandriva con
el Classmate de Intel. RECURSOS
Mandriva 2008 Spring es además
[1] Página oficial de Ubuntu: http://www.
uno de los sistemas más bellos que
ubuntu.com/
nos podemos instalar. La integración
[2] Página oficial de Mandriva: http://
de las últimas versiones de los tres
mandriva.com/
escritorios más comunes (KDE 3.5.9
y KDE 4.0.3, Gnome 2.22 y Xfce [3] Linux Magazine número 35, Mandriva
Powerpack: http://www.
4.4.2) es total y perfecta, y los
linux-magazine.es/issue/35/
temas, fondos y salvapantallas son
006-007_DVD35.crop.pdf
exquisitos.
Figura 4: El nuevo asistente para la administración de software de
Mandriva es más claro y simplifica el proceso de instalación de
nuevos programas
WWW.LINUX- MAGAZINE.ES Número 39 7
INSEGURIDADES
INSEGURIDADES
XSS y ap_escape_html()
El asunto de Cross Site Scripting (XSS) ha
sido comentado recientemente en las noti-
cias, así que pensé que debía comenzar
esta remozada sección echando un vistazo
a este clásico problema de seguridad.
Como el usuario final realmente no puede
hacer nada para parar el tema, XSS es una
forma de ataque que los chicos malos ado-
ran. Un ataque XSS permite a los atacantes
insertar contenido hostil (como JavaS-
cript) en las páginas web de un sitio en el
que confía el usuario. Lo que hace que
este problema sea particularmente grave
es que ocurre en el software mismo del
servidor web (servidor HTTPD de Apa-
che). Incluso estando seguros de que
nuestras aplicaciones basadas en web
están seguras contra XSS, un atacante
puede ejecutar el ataque a través del soft-
ware del servidor de Apache.
El software HTTPD de Apache imple-
menta la función ap_escape_html() para
desinfectar la entrada y evadir los símbolos
< y > y los caracteres de control &, usa-
dos a menudo en ataques XSS. Si un ata-
cante puede colar estos caracteres en, por
ejemplo, un mensaje de error enviado a la
víctima, el atacante puede conseguir entrar.
En la mayoría de los casos donde la
salida se pasa a una víctima potencial,
ap_escape_html() se usa apropiadamente
para desinfectar la salida y asegurarse de
que nada hostil pasará. Desafortunada-
mente, el equipo de Apache olvidó usar
esta función de desinfección en unos cuan-
tos sitios, en bastantes sitios, de hecho.
Listado 1: httpd-2.2.8/
modules/http/
http_protocol.c
01 case HTTP_METHOD_NOT_ALLOWED:
02 return(apr_pstrcat(p,
03 - ”<p> The requested
method ” , r - >method,
04 + ”<p> The requested
method ” ,
05 + ap_escape_html(r -
>pool , r - >method) ,
06 ” is not allowed for
the URL ” ,
8 Número 39
La reciente actualización del servidor
HTTPD de Apache incluye no una correc-
ción para una vulnerabilidad XSS, sino que
también implementa ap_escape_html() en
una docena de otros lugares donde los datos
se pasan a una víctima potencial.
El código en el Listado 1 se encuentra en el
formato diff universal (- significa que una
línea fue eliminada, y + indica la que la sus-
tituyó). El uso de ap_escape_html() es bas-
tante sencillo y realmente no afecta a la legí-
tima funcionalidad del software.
Es decir, el cambio mostrado en el Listado
1 refleja una atractiva situación clásica: Un
problema está escondido en el código
durante un tiempo, incluso aunque se
encuentre disponible una relativamente sim-
ple solución.
La solución simplemente no está imple-
mentada, lo que conduce a una vulnerabili-
dad de seguridad.
Fail Safe
Uno de los principios fundamentales del
diseño de sistemas es que éste debería con-
trolar fallos y condiciones de error inespera-
dos con soltura (este principio es conocido
como fail safe design o diseño a prueba de
fallos). El hecho es que tristemente la mayo-
ría del software, incluyendo la mayor parte
de software de código abierto, no está dise-
ñado a prueba de fallos. De hecho, los pro-
gramas fallan bastante a menudo de forma
espectacular, como en los casos de los des-
bordamientos de búfer causantes de la ejecu-
ción de código arbitrario, corrupción de
datos, etc.
¿Si no puedes confiar en la seguridad del
sistema, qué puedes hacer?
La respuesta es que simplemente no con-
fíes. Para administradores de sistemas y
redes esto significa incrementar múltiples
capas de seguridad; si una falla, entonces
afortunadamente la capa siguiente se hará
cargo del problema. En este caso, la solución
más obvia es implementar algún tipo de
proxy web (como el servidor web Squid) que
entienda los datos que se envían y pueda fil-
trarlos; por ejemplo, bloquear el paso de
caracteres < o > dentro de una petición
URL.
Adicionalmente, un administrador podría
también verificar los datos de salida y com-
WWW.LINUX- MAGAZINE.ES
probar su contenido hostil potencial; sin
embargo, el hecho de que el sitio también
incluya probablemente JavaScript legítimo
hace que la tarea de identificación de scripts
hostiles sea mucho más dificultosa.
Un usuario no puede esperar a que cada
sitio tome medidas para prevenir ataques
XSS (nótese que muchos sitios no pueden ni
siquiera molestarse en hacer que las páginas
se rendericen correctamente en Firefox).
Desafortunadamente, los usuarios tienen
unas cuantas opciones para protegerse contra
los ataques XSS, y el consejo estándar de no
pulsar en enlaces de origen desconocido está
lo suficientemente expandido hoy en día.
NoScript
Para usuarios Firefox, la mejor opción es usar
el add-on NoScript [1]. Aunque el bloque
JavaScript suministrado por NoScript hace
muy poco (en algunos casos los usuarios
deberían tener ya situado el sitio en la catego-
ría allow JavaScript, el add-on proporciona
bloqueo rudimentario de ataques de scripting
XSS pasados a través de peticiones URL, avi-
sando a los usuarios y ofreciéndoles la
opción de recargar la página.
Conclusión
En este artículo muestro el porqué no soy
programador. No soy lo suficientemente
listo ni meticuloso para escribir código
seguro. Un paso de desinfección perdido,
un error lógico menor, o incluso una errata
pueden conducir potencialmente a resulta-
dos desastrosos. Además, muestro por qué
la seguridad es tan problemática. Incluso
un administrador que hace todo debida-
mente, puede acabar con problemas de
seguridad, y debido a la naturaleza interco-
nectada de las redes de ordenadores
moderna (o mejor, la única red a la que
estamos adjuntando continuamente todo,
incluyendo nuestra tostadora diaria), un
problema de seguridad de alguien más
puede convertirse fácilmente en nuestro
propio problema de seguridad también. ■
RECURSOS
[1] Add-on de NoScript: http://noscript.
net/
[2] Metasploit: http://metasploit.com/
NEGOCIOS
NOTICIAS DEL KERNEL
NOTICIAS DEL
KERNEL
Nuevo Repositorio git
Completo
Peter Stahlir preguntó si alguien ya había
realizado un árbol git completo del kernel
desde la versión 0.01 hasta la actualidad.
Este tema reaparece periódicamente,
motivo por el que Linus Torvalds ha pedido
recientemente que alguien se animase a
realizarlo. En esta ocasión Dave Jones
comentó que estaba trabajando en ello,
intentando dividir el repositorio en el mayor
número de parches posible en lugar de
hacer de cada versión oficial un único
mega-parche. Añadió que estaba inten-
tando incluir cada parche -pre, -test y -rc en
entregas separadas.
Así mismo, pretende incluir las listas de
cambios de todos los lanzamientos posi-
bles, algo que nadie había intentado antes
debido al enorme tamaño de la tarea. Ha de
recordarse que tiempo atrás, una “lista de
cambios” podía ser un pequeño fragmento
de un correo en medio de un extenso hilo.
Por el camino, cada vez que Dave encon-
traba gente trabajando en proyectos simila-
res, se hacía con cualquier lista de cambios
que necesitase para rellenar los huecos.
El resultado final de Dave cubre hasta la
versión 2.4, punto en el que Linus comenzó
a utilizar BitKeeper. Los repositorios Git que
cubren desde 2.4 hasta la actualidad ya
existen, por lo que el trabajo de Dave com-
pleta la historia hasta los comienzos.
Él mismo publicó un repositorio 2G que
incluía más de 1000 entregas, casi la mitad
de las cuales tenía entradas de “lista de
cambios” asociadas: git://git.kernel.org/
pub/scm/linux/kernel/git/davej/history.git.
El repositorio incluye también la historia
completa, incluyendo todos los forks de las
ramas estable/desarrollo y otras ramas
experimentales que Linus introdujo por el
camino. Desafortunadamente, parece que
hay varios lanzamientos del kernel que se
han perdido para siempre.
Por último, ahora que Dave ha publicado
este trabajo, se está incorporando más
información al archivo y se están corri-
giendo más errores. El registro completo
puede que no esté listo hasta dentro de
10 Número 39
algún tiempo, y las revisiones continuarán
mientras se descubra más información. ■
Nuevos Drivers
Adrian McMenamin ha escrito código para
dar soporte a la unidad CD-ROM de la SEGA
Dreamcast. Así mismo, su driver implementa
el propietario Sega Packet Interface y soporta
el formato de disco propietario Giga Disk
ROM (conocido como formato GD-ROM).
Algunos chicos ofrecieron revisiones técnicas,
y Adrian rápidamente envió parches de
actualización basados en estos comentarios.
Tras un tiempo las críticas cesaron, y el par-
che actualizado parece que entrará en la rama
principal.
Jochen Friedrich ha programado código
para dar soporte al temporizador “perro guar-
dián” del hardware PowerQUICC y para que
este temporizador pueda activarse por el boo-
tloader. Tras su activación no puede deshabili-
tarse de nuevo, pero debe resetearse periódi-
camente para evitar un reinicio automático.
No se hizo ninguna crítica propiamente dicha
al parche, por lo que parece que también se
incluirá.
Alex Dubov ha enviado un parche bajo
GPL que da soporte al protocolo propietario,
y secreto, de Sony para sus tarjetas Memory
Stick, que podemos encontrar en muchos de
los productos de esta compañía. Alex ha aña-
dido también una entrada en el archivo
MAINTAINERS listándose como mantenedor
oficial.
Darrick J. Wong ha escrito y enviado un
driver que reporta voltaje, temperatura y lec-
turas del sensor del ventilador para el chip
monitor ADT7473.
Steve Hardy ha escrito un driver para dar
soporte al convertidor analógico-digital Burr-
Brown/ Texas Instruments ADS7828 12-bit 8-
channel que se usa para monitorizar el voltaje
en muchos procesadores de uso común.
Andrzej Zaborowski ha enviado un driver
para la luz trasera de LCDs basados en
OMAP1 PWL para su inclusión en la rama
principal. El driver ha estado viviendo
durante un tiempo en la rama OMAP, y
parece que ha llegado el momento de pasarlo
a la rama principal del kernel.
WWW.LINUX- MAGAZINE.ES
David Sterba consideró que era hora de
migrar el driver para tarjetas inalámbricas 3G
UMTS PCMCIA desde el kernel -mm de
Andrew Morton hasta la rama principal, por
lo que envió un parche. Como resultado,
diversas personas tuvieron problemas técni-
cos que no habían salido a la luz mientras el
código estuvo en la rama -mm. Alan Cox y
otros enviaron algunas críticas técnicas, y
David rápidamente envió un parche actuali-
zado corrigiendo estos problemas. Llegados a
este punto, Jiri Kosina aprobó el parche y lo
pasó a Andrew, que también lo aprobó y lo
pasó a Linus Torvalds.
Thomas Bogendörfer envió un driver para
puerto serie que soporta las UARTs SC2681/
SC2691, comentando que los viejos sistemas
SNI RM400 confiaban en estos chips para sus
puertos serie en placa.
Herald Welte ha retomado un proyecto que
comenzó hace varios años Thomas Kleffel,
un driver MMC/SD para el controlador Sam-
sung S3C24xx. Thomas lo había abandonado
por falta de tiempo para trabajar en él, pero
dio permiso a Harald para relevarle. Éste ha
logrado que el driver cumpla con el API SD/
MMC actual, consiguiendo que se pueda
fusionar en la línea principal del kernel. El
plan es que una vez que el driver se haya
fusionado con éxito, Harald y Thomas sean
co-mantenedores. Pierre Ossman ha llamado
la atención acerca del exceso de código de
debugging, entre otras cosas, en el parche de
Harald. Harald comentó que actualizará el
parche y lo reenviará. ■
Eliminar Material Viejo
Dimitri Vorobiev eliminó el archivo documen-
tation/mips/GT64120.README de la rama
2.6, ya que realmente era específico de la ver-
sión 2.4 y hacía referencia a archivos y directo-
rios que no existían. En el documento se dis-
cutía el chip de sistemas controladores GT-
64120, común en muchas placas base MIPS.■
RECURSOS
[1] Kernelnewbies Japan: http://lists.
kernelnewbies.org/mailman/listinfo/
jp-kernelnewbies
NOTICIAS
NOTICIAS
El Microsoft Daily Observer
Pasaremos de puntillas por el hecho de que el
último Service Pack de XP ha dejado inutiliza-
dos centenares, posiblemente miles, de
máquinas a lo largo y ancho del mundo [1],
de que Redmond admite que ha incluido
puertas traseras de manera intencionada en su
software para que terceros puedan investigar
hasta lo más trivial de sus usuarios [2], y de
que los clientes de MSN Music van a quedarse
con sus composiciones, pero sin novia, con
todas esas canciones que han comprado y sin
ningún lugar donde reproducirlas [3]. Pasa-
mos, decimos, más que nada, porque los
clientes voluntarios de Microsoft a estas altu-
ras ya deberían saber a qué atenerse.
Pero cuando Microsoft intenta perjudicar
ilegítimamente a los demás, esa es otra histo-
ria… ¿Por dónde empezar? ¿Las ampollas que
le salen al OOXML y el proceso de estandari-
zación? ¿El secuestro del OLPC? ¿Su (nuevo)
intento de manipulación del mercado del
hardware? Empecemos con eso:
Ya sabrán lo lectores que desde hace algu-
nos meses hemos publicado varias noticias
sobre los UM|LPCs (Ultra-Mini|Low-cost Per-
sonal Computers). Casi todos ellos, en sus ver-
siones más baratas (que no de menores pres-
taciones), corren Linux de manera nativa.
Siendo, como es ésta, una de esas áreas en la
que Microsoft ni vive ni deja vivir, descubri-
mos a través de IDG [4] que la empresa de
Gates pretende… ¿cómo decirlo? Incentivar a
los fabricantes para que no creen mini-PCs de
bajo precio, que no sean demasiado buenos.
Según la documentación filtrada, Microsoft
premiará con extraordinarios descuentos en
licencias de Windows XP para UMPCs a aque-
llos fabricantes que mantengan sus pantallas
por debajo de los 10,2 pulgadas, no incorpo-
ren discos duros mayores de 80 GBs, que no
provean de una superficie táctil para el área de
visionado, no dispongan de microprocesado-
res de más de un núcleo (y que no corran a
más de 1 GHz)… y la lista sigue. Por supuesto
que si estas exigencias fueran exclusivamente
para los UMPCs que se vendieran con Win-
dows (después de todo, el peor competidor de
Vista es XP), no habría ningún problema, o
más bien, sería su problema.
Pero no. Las artificiales restricciones se
habrán de aplicar a todas las unidades que se
12 Número 39
lanzasen al mercado, indiferentemente del sis-
tema operativo, un mercado donde Linux es el
rey.
Por lo que se deduce que Microsoft teme
que los UMPCs cargados con Linux se coman
un pedazo del mercado de los portátiles tradi-
cionales, uno de sus sectores más golosos, por
ser aquí donde más licencias OEM de Vista
vende.
Asus, uno de los pioneros con su Eee,
parece haber tomado buena nota, y para no
irritar a los señores que les dictan cómo han
de regir su negocio, ya venden en Australia la
versión Linux más cara que la versión Win-
dows [5]. ¿Recomendamos o no recomenda-
mos que no se comprara el Eee en su día [6]?
Y otro UMPC que hay que evitar a toda
costa es, como se ha advertido con anteriori-
dad, el OLPC. Nicholas Negroponte ha vuelto
a satisfacer a sus titiriteros de Redmond, criti-
cando duramente al software libre, alegando
que hay mucho fundamentalista suelto [7].
Negroponte se convierte así en el rey de lo
obvio.
Para una hombre que lleva toreando a la
comunidad del código abierto desde hace
años, es curioso que se haya dado cuenta
ahora, cuando Microsoft financia la mayor
parte de su empresa y cuando está siendo pre-
sionado para que abandone completamente
Linux para la plataforma de Redmond.
Exacto, han leído bien: OLPC no es que
soportará Linux y/o Windows, sino que sólo
soportará Windows. El presidente de la
empresa, Walter Bender ya la ha abandonado,
dejando en manos del CEO Negroponte todas
las decisiones al respecto del software.
Y, para finalizar, el que pensó que el negro
capítulo de la estandarización del OOXML se
ha cerrado, puede ir pensándolo dos veces:
por un lado la UKUUG (Grupo de Usuarios de
Unix del Reino Unido) ha solicitado una inves-
tigación judicial en el proceso del formato
aprobación del BSI (British Standards Insti-
tute) [8]. Esto no es una demanda tal y como
informaron algunos periodistas y bloggers
exaltados, sino una auditoría para detectar
irregularidades.
Y los usuarios de Unix daneses, representa-
dos por la DKUUG, han ido un paso más allá y
han registrado una denuncia formal [9] ante la
comisión de la UE por violación del artículo 81
WWW.LINUX- MAGAZINE.ES
del tratado de la Unión que legisla sobre la
competencia ilegítima.
Y la Comisión Europea ha iniciado una
investigación [10] para descubrir si de verdad
hubo tantas irregularidades como se denun-
cian.
Y… bueno, la lista sigue a lo largo y ancho
del mundo. Es poco probable que Ballmer y
Co. pudieran preveer que todo este proceso
iba a ser tan penoso. ■
RECURSOS
[1] SP3 rompe más cosas que arregla:
http://www.theregister.co.uk/2008/
05/09/
windows_xp_sp3_reboots_crashes/
[2] Microsoft amablemente abre los
ordenadores de sus clientes a ter-
ceros: http://www.infiltrated.net/
?p=91
[3] Que no pare la (MSN) Música: http://
www.eff.org/press/archives/2008/04/
28/microsoft-open-letter
[4] UMPCs de juguete, por favor: http://
www.pcworld.com/businesscenter/
article/145719/
microsoft_to_limit_capabilities_of_c
heap_laptops.html
[5] TCO de Windows más bajo que
Linux en el Eee: http://www.
reghardware.co.uk/2008/05/09/
eee_pc_900_australia_pricing/
[6] Paul C. Brown no recomienda el Eee
en Linux Magazine número 37:
Pequeño Ayudante.
[7] Negroponte critica a la comunidad:
http://www.computerworld.com/
action/article.
do?command=viewArticleBasic&arti
cleId=9079798&pageNumber=1
[8] UKUUK exige que se investigue a la
BSI: http://www.ukuug.org/ooxml/
[9] DKUUG denuncia a su entidad de
estandarización: http://www.dkuug.
dk/content/view/220/34/
[10] La EU no tiene claro lo del estándar
ISO de OOXML: http://europa.eu/
rapid/pressReleasesAction.
do?reference=MEMO/08/
19&format=HTML&aged=0&langua
ge=EN&guiLanguage=en
NOTICIAS
NOTICIAS
Skype vs. GPL
Una vez más la licencia GPL se ratifica
en un tribunal de justicia.
Esta vez ha sido en el caso Welte con-
tra Skype, proceso que lleva desarrollán-
dose desde febrero del 2007. En esas
fechas, Harold Welte, un
desarrollador de Netfil-
ter, presentó una
demanda [1] contra
Skype Technologies
por violar la GPLv2
en uno de sus pro-
ductos, un teléfono
VOIP de SMS que la
firma vende desde su
sitio web.
El teléfono utiliza el kernel
de Linux y la empresa no había propor-
cionado el código fuente ni copia de la
licencia junto con el producto. Sí había
proporcionado material impreso con
URLs desde donde se podían descargar
BitRock Reinventa el
Soporte
Uno de los modelos de negocio tradicio-
nales de las empresas de software de
fuentes abiertas es el de ofrecer servicios
de soporte a los clientes. Si bien el soft-
ware tiende a ser gratuito, el servicio,
que puede comprender resolución de
incidencias, actualizaciones, acceso a
repositorios y control de las instalacio-
nes, normalmente servidos de manera
remota, se vende bajo la forma de subs-
cripciones a los clientes, ya sea durante
periodos de tiempo determinados o por
instalación.
A pesar de ser un modelo muy exten-
dido, la tarea de montar el backend para
las empresas que pretenden seguir esta
línea de capitalización de su software no
suele ser trivial, siendo el manteni-
miento de la infraestructura para el ser-
vicio de todo menos sencilla. Las gran-
des empresas del sector, tales como
Novell, Red Hat y MySQL, implementan
sus propias soluciones, soluciones que
14 Número 39
ambas cosas. Sin embargo, la GPLv2
sólo permite que se proporcione la infor-
mación de esa manera si el producto se
descarga desde Internet.
Muchos consideraron la demanda de
Welte como un
exceso de celo. El
razonamiento es
que, después de
todo, en un mundo perma-
nentemente conectado, unas
URLs deberían ser suficientes.
Sin embargo, el tribunal de
primera instancia de Munich
decidió que Skype era culpable,
razonando por su lado que una
licencia es un contrato y, o Skype se
sometía a todas su cláusulas, o no podía
utilizar el código.
Skype Technologies SA decidió apelar
alegando que la GPL era un obstáculo a
la libre competencia y un freno a la inno-
vación, siguiendo las premisas de un
suelen estar celosamente guardadas y
son de su uso exclusivo, ya que repre-
sentan el valor añadido de sus produc-
tos.
BitRock [1], empresa fundada en el
2003 en Sevilla y que lleva algún tiempo
haciendo las Amé-
ricas con sus insta-
ladores y stacks
(paquetes de fácil
instalación y confi-
guración de varias aplicaciones que, reu-
nidos, sirven a un fin común), acaba de
lanzar al mercado Bitrock Network Ser-
vice, una infraestructura de red de
soporte que puede ser utilizada por cual-
quier empresa que quiera ofrecer servi-
cios remotos a sus clientes.
Según indica en su blog Stephe Walli,
consultor de BitRock, “[e]l Servicio de
Red de BitRock suministra la plataforma
de herramientas y la infraestructura
sobre la cual empresas pueden construir
su propia solución de red de soporte para
sus productos de software de código
WWW.LINUX- MAGAZINE.ES
caso anterior presentado por Dan
Wallace [2]. En aquella ocasión, la GPL
salió triunfante y el demandante tuvo
que pagar las costas del juicio. En este
caso el tribunal superior de Munich tam-
poco pareció recibir con simpatía la ape-
lación de Skype y tras sólo una sesión
[3], la empresa de telefonía decidió
abandonar la línea judicial y someterse a
la condena. ■
RECURSOS
[1] Welte demanda a Skype: http://www.
theregister.co.uk/2007/07/25/
skype_convicted_for_violating_gpl/
[2] Dan Wallace demanda a la FSF:
http://www.groklaw.net/article.
php?story=20060320201540127
[3] Skype demanda a la GPLv2: http://
www.groklaw.net/article.
php?story=20080508212535665
abierto. Las empresas pueden ofrecer
servicios de subscripción de valor aña-
dido, tales como actualizaciones, moni-
torización y (pronto) copias de seguri-
dad sin la necesidad de montar su propio
backend desde cero”.
Este servi-
cio permitirá,
pues, allanar
el camino
que han de
seguir las empresas para obtener la ren-
tabilidad con el modelo de soporte
remoto, haciendo más sencilla la capita-
lización de sus productos. ■
RECURSOS
[1] Sitio web de BitRock: http://bitrock.
com
[2] Stephe Walli explica el “BitRock Net-
work Service”: http://stephesblog.
blogs.com/my_weblog/2008/03/
bitrock-at-osbc.html

Elección de herramientas para una virtualización efectiva
VUÉLVETE VIRTUAL
Con unas buenas herramientas ya se tiene medio partido ganado, incluso si estamos gestionando sólo
máquinas virtuales. Este mes vamos a revisar de forma práctica la virtualización, y mostraremos una nueva
amenaza que vigilar en el futuro virtual.
POR JENS-CHRISTOPH BRENDEL, HENNING SPRANG Y JÜRGEN QUADE
L
os servidores no son humanos: ni
viven ni respiran. Tan sólo consu-
men energía y ocupan espacio.
¿De verdad hacen falta tantos? La revo-
lución virtual consiste en ahorrar
dinero, tiempo y espacio de oficina. Las
herramientas de virtualización de hoy
en día ofrecen un medio eficiente para
probar, arrancar y gestionar aplicacio-
nes, con facturas de electricidad menos
abultadas y menos dolores de cabeza
por culpa del hardware. Pero, ¿con la
virtualización todo son ventajas, o tam-
bién implica abrir la puerta a nuevas
amenazas?
En el reportaje de este mes examina-
mos el lado práctico de la virtualiza-
ción. Comenzaremos con una introduc-
ción a algunas de las herramientas dis-
ponibles para Linux. Después acercare-
mos el punto de mira a dos de las alter-
nativas más populares de código
abierto: Xen y Virtual Box. Para acabar,
atenderemos el lado oscuro de la virtua-
lización: el misterioso mundo de los
rootkits de virtualización.
Virtualización Práctica
El paradigma de la virtualización ha
bajado a la Tierra, abandonando las ele-
vadas alturas del Monte Olimpo, acer-
cándose a las preocupaciones del
mundo real como estabilidad, ejecución
y facilidad de manejo. Un sistema de
virtualización que quiera satisfacer
todos estos requisitos debe estar prepa-
rado para:
EN PORTADA
Virtualización con Xen.......................22
Trabajo en red con Virtual Box .........26
Virtualizando Rootkits .......................31
Virtualización Profunda • PORTADA
• Aprovisionamiento y despliegue: trabajo: manejar múltiples máquinas
crear el número requerido de instan- virtuales o equipos anfitriones físicos
cias virtuales tan rápido como sea y reemplazar instancias en caso de
posible, con la mínima configuración fallo.
manual. • Monitorización: proveer información
• Migración: convertir máquinas físicas detallada y en tiempo real del estado y
en virtuales (y viceversa) si fuera uso de recursos de cada una de las
necesario. Lo ideal es una conversión máquinas virtuales.
online a través de la red, que requiera La mejor solución para una red depende
tan poca intervención personal como de las necesidades y el presupuesto. La
se pueda. Igualmente importante es Tabla 1 presenta algunas de las opciones
asegurar libertad de movimientos de virtualización más populares para
para las máquinas virtuales durante medios Linux.
las operaciones. La migración en vivo
es la base de las soluciones al balan-
ceo de carga con máquinas virtuales.
• Administración: una de las conside-
raciones más importantes en la
mayoría de las redes. Empezando
por la capacidad para planificar
instancias virtuales, pasando
por áreas de almacenamiento
y recursos de red, hasta lle-
gar a parámetros de
configuración innume-
rables para hardware
virtual y físico,
usuarios y privi-
legios.
• Gestión de
carga de
WWW.LINUX- MAGAZINE.ES Número 39 15
PORTADA • Virtualización Profunda
Figura 1: OpenQRM te permite gestionar ordenadores físicos y virtua-
les con una sola herramienta.
Herramientas de Gestión
Muchos distribuidores han avanzado un
largo trecho en lo que se refiere a facilitar
la virtualización a sus clientes. Tanto
Novell como Red Hat, dos distribuciones
de Linux, integran una herramienta cono-
cida como Virtual Machine Manager (o
Virt-Manager; en español, “Gestor de
Máquina Virtual”). En SUSE, la herra-
mienta se integra con YaST. Virt-Manager
ofrece al usuario la capacidad de configu-
rar una instancia Xen con sólo un par de
pasos sencillos. Además de con Linux
(Novell, Red Hat), Solaris 8-10 y Netware
6, esta herramienta funciona con varias
versiones de Windows (siempre que la
CPU disponga del soporte de virtualiza-
ción requerido).
La distro Red Hat Enterprise 5.1 emplea
también Virt-Manager para la gestión de
máquinas virtuales. Red Hat ofrece ade-
más una herramienta junto a su Enter-
prise Server llamada Advanced Platform,
que construye clusters de máquinas vir-
tuales y es capaz de migrar clientes a tra-
vés de los bordes de un host físico.
Fedora 8 da una pista de a dónde se
encaminan las cosas para Red Hat. El
último Fedora incluye el nuevo Xen 3.1, y
la versión de Virt-Manager soporta tanto
Xen como QEMU. Además, Red Hat está
tratando de mejorar la seguridad de su
herramienta de administración, cuestión
que había sido secundaria en el pasado.
Google también tiene una herramienta
para la gestión virtual de clusters, Ganeti,
que se lanzó bajo licencia GPL. Instalar
Ganeti es complicado, porque la herra-
mienta requiere media docena de módu-
los Python que Novell, por ejemplo, no
reúne en un único paquete.
16 Número 39
Figura 2: VirtualBox soporta invitados tanto de Windows como de
Linux.
Ganeti no ofrece la conveniencia de un Granjas de Alojamientos
GUI. Dicho esto, los comandos basados En muchos casos el usuario no necesita
en texto de Ganeti son aptos como solu- simular un ordenador completo, con un
ciones de programación, que ofrecen un kernel personalizado para cada uno de
modo de integrar la herramienta con otras los clientes virtuales. A los alojamientos
utilidades de código abierto. profesionales, que se preocupan simple-
Otra herramienta para la gestión de mente de mantener en funcionamiento
máquinas virtuales es openQRM, una las páginas de sus clientes, les hace muy
potente utilidad que gestiona imágenes felices tener un kernel único que los
de máquinas virtuales y físicas sobre el invitados puedan compartir.
mismo interfaz. Otro candidato es Solid Las soluciones de virtualización como
ICE, de Qumranet, que se centra por OpenVZ, Virtuozzo y VServer utilizan el
completo en la virtualización de escrito- mismo método para estos problemas:
rio, empleando el hipervisor KVM Ker- ofrecen al usuario, a bajo coste, una den-
nel. sidad de aplicaciones sorprendente para
Al otro lado de la escala hay varias el hardware normal.
pequeñas herramientas de línea de Muchos alojamientos profesionales
comandos, como xen-tools, una colección emplean el producto comercial Vir-
de códigos empleados en Debian para tuozzo para dar acceso a consolas virtua-
crear y configurar instancias virtuales. les a aquellos clientes que quieren ges-
¿Qué Funciona y Dónde?
Hay una regla general que dicta que la flexibilidad requiere o bien mejor ejecución o
hardware especial. En la virtualización de hardware, la CPU física maneja la mayor parte
de las instrucciones del invitado: el hipervisor sólo da un paso al frente para evitar con-
flictos. Si el hardware no es capaz de detectar directamente un conflicto, la paravirtuali-
zación pasa a controlar el asunto. Esta tecnología está bastante avanzada con respecto al
procesador principal, mientras que la virtualización de componentes I/O está aún en un
estado primitivo de desarrollo. Los emuladores pueden simular casi cualquier escenario
y arquitectura, pero funcionan comparativamente más despacio, porque todo está
manejado por el software.
Todas las soluciones de virtualización que discutimos en este resumen soportan Linux
como sistema invitado, aunque habría que realizar cambios en el kernel para poder usar
algunas de ellas. Dichos cambios pueden causar problemas para soportar algunas apli-
caciones, especialmente si el proveedor de servicios requiere una versión especial del
kernel. VMware y VirtualBox funcionarán, en principio, con cualquier kernel reciente y
sin parchear, igual que lo harán los emuladores. El soporte de invitados de diferentes
versiones puede ser limitado. Todas las virtualizaciones de servidor soportan los Win-
dows actuales, XP y Vista; las herramientas de virtualización de sistemas operativos,
como OpenVZ o VServer, trabajan sobre principios diferentes y no pueden ofrecer esta
opción.
WWW.LINUX- MAGAZINE.ES
 Virtualización Profunda • PORTADA

tionar sus propios sistemas. A principios
del 2007, SWsoft, la empresa tras
OpenVZ y Virtuozzo, compró primero la
mayoría de las acciones de Parallels, la
compañía de virtualización de escritorio,
y ahora emplea la marca Parallels. Las
herramientas de virtualización OpenVZ
están disponibles con cualquier distribu-
ción mayoritaria.
¿De compras para la
Virtualización de
Servidores?
Cada uno de los grandes competidores
del mercado de virtualización de servi-
dores ofrece ventajas, aunque algunas
de sus herramientas están sólo disponi-
bles para Windows.
Vmware El líder del mercado
VMware ofrece una línea excelente de
productos de virtualización. Sin
embargo, la herramienta de gestión
VMware VirtualCenter, que se encarga
de la gestión de invitados en servidores
ESX y GSX, funciona sólo para Win-
dows hoy por hoy (y no parece que ten-
gan en mente una adaptación para
Linux en el futuro cercano).
Si preferimos alguna solución exclu-
siva para Linux, deberemos apañarnos
con el servidor gratuito VMware. Esta
aplicación de nivel básico aún tiene
mucho que ofrecer. Su cambio visual
más importante, comparado con la ver-
sión previa 1.x, es el nuevo interfaz
web, Virtual Infraestructure Web Access
(“Infraestructura Virtual para el Acceso
Web”). La antigua consola del servidor
independiente ya no está disponible.
Este interfaz requiere un plugin del
navegador separado (Figura 1).
Un gran número de plantillas soporta
el aprovisionamiento y despliegue de
VMs: 17 versiones de Windows y 17 dis-
tribuciones de Linux (incluyendo
variantes de 64 bits), al igual que Net-
Ware y Solaris 10. Aunque VMware Ser-
ver no te permite migrar VMs entre

Tabla 1: Soluciones para la Virtualización

Producto Versión Fabricante Soporte Tecnología Típicos Escenarios SO anfitrión SO cliente
Actual de Despliegue
Xen Server 4 XenSource/Citrix XenSource/Citrix Hipervisor, paravir- Virtualización para Red Hat modi- Linux,Windows
tualización y virtua- servidores Windows ficado incluido
lización completa y Linux
con soporte hard-
ware
Xen GPL 3.1.2 Distribuidores de Distribuidores, Hipervisor, paravir- Virtualización para Linux, Solaris, Linux, Windows,
Linux Vendedores, tualización y virtua- servidores Windows Free BSD, Net Free BSD, Net
independientes lización completa y Linux BSD BSD, en parte vir-
con soporte hard- tual Solaris ( no
ware se soportan
en todos los sis-
temas anfitriones
VMware VI 3 VMware VMware, socios Hipervesor con Hipervisor con virtua- Linux Linux, Windows
virtualización lización de servidores, BSD...
completa escritorios virtuales
VMware 6 VMware VMware, socios Emulación Escritorios virtuales Windws, Linux Linux, Windows,
Workstation BSD
Virtual Iron 4 Virtual Iron Virtual Iron Hipervisor Xen Servidores virtuales Linux Linux, Windows
Open VZ 2.6.22 SWsoft y Open VZ Comunidad Virtualización a nivel Servidores virtuales Linux Linux, en la ver-
-ovz005 Community de sistema operativo sobre Linux sión del Kernel de
anfitrión
Virtuozzo 4 SWsoft SWsoft Virtualización a nivel Servidores virtuales Windows, Linux, en la ver-
de sistema operativo sobre Linux/Windows Linux sión del Kernel,
Windows en an-
fitriones Windows
VServer 2.2.0.5 Proyecto Linux Distribuidores, Virtualización a nivel Virtualización de Linux Linux, en la ver-
VServer vendedores de sistema operativo servidores sobre sión del Kernel
independientes Linux anfitrión
KVM 55 Qumranet Comunidad y Virtualización hard- Virtualización de Linux Linux, Windows,
Qumranet para ware servidores, escritorios BSD...
los productos virtuales
comerciales
QEMU 0.9.0 Fabrice Bellard Comunidad Emulación, opcional Testeo sw software, Windows, Linux, Windows,
mente acelerado via virtualización de escri- Linux BSD, otras arqui-
modulo Kernel para torios Windows, Linux tecturas de proce-
acceso directo a sador posible (no
recursos con KQEMU)
VirtualBox 1.5.2 Innotek Innotek Emulación, virtualiza- Virtualización de escri- Windows, Linux, Windows,
ción de hardware torios opcional Linux, OSX BSD en parte

WWW.LINUX- MAGAZINE.ES Número 39 17

PORTADA • Virtualización Profunda
Figura 3: KVM es popular entre usuarios y desarrolladores de kernel.
máquinas físicas (al contrario que su
hermano mayor, ESX Server), y defini-
tivamente no en tiempo real, al menos
puede hacer que las máquinas virtua-
les residan en un área de memoria
compartida exportada por NFS. El
balanceo de carga está también restrin-
gido a las versiones comerciales; sin
embargo, la gratuita tiene una exce-
lente administración y monitorización
centralizada del servidor.
Virtual Iron Virtual Iron va “chu-
pando las ruedas” de VMware. Su pro-
ducto Virtual Iron 4, o al menos la ver-
sión más cara Extended Enterprise Edi-
tion, no sólo soporta la clonación de
instancias virtuales y la migración en
vivo, sino también la capacidad de ges-
tión dinámica de máquinas virtuales
en tiempo real.
El medio de virtualización Virtual
Iron incluye también opciones de alta
disponibilidad, como failover para
máquinas virtuales en un host reser-
vado (N + 1 clusters). Virtual Iron
viene con monitorización sofisticada,
registro de acceso de instancias virtua-
les y capacidad de gestión basada en
políticas de comportamiento, que
Figura 6: Monitoriza tu medio virtual con Vir-
tuozzo.
20 Número 39
Figura 4: Siguiendo sistemas virtuales con Virtual Machine Manager.
ofrece al administrador la capacidad de
cambiar entre máquinas automática-
mente si un host excede una carga
específica de umbral.
En cuanto al almacenamiento, Vir-
tual Iron soporta iSCSI, SAN (canel de
fibra) y NAS. El liderazgo de VMware
sobre sus competidores no es ya muy
sustancial; sin embargo, las diferencias
de precio son todavía significativas. El
precio de Virtual Iron comienza por
unos 320 Euros por socket, mientras
que el precio de ESX Server de VMware
es aproximadamente tres veces mayor.
Xen Source Xen Source Server solía
ser una solución de virtualización de
Linux muy cercana al concepto de
VMware. Citrix adquirió recientemente
Xen Source. El producto de servidor,
conocido hoy como Citrix Xen Server,
es aún un sistema Linux en su núcleo.
Por desgracia, el puente de control de
Citrix Xen Server, conocido como Xen
Center, se ha transformado en una apli-
cación sólo para Windows (Figura 2).
Un punto a tener en cuenta es que Xen
incluye ahora una opción de migración
en vivo, XenMotion, que recuerda al
VMotion de VMware.
Conclusiones
La virtualización en Linux ha
entrado en el mundo real, y la
elección de herramientas se centra
en cuestiones prácticas como esta-
bilidad, eficiencia y manejo. Los
fabricantes comerciales, con sus
controles gráficos y bien integra-
dos, son actualmente los principa-
les contendientes. Por otra parte,
un host sencillo se gestiona fácil-
mente con alternativas menos
sofisticadas.
WWW.LINUX- MAGAZINE.ES
Antes de elegir un sistema de virtua-
lización conviene examinar cuidadosa-
mente las necesidades propias y bus-
car una solución que satisfaga todas
nuestras necesidades, fácil de manejar,
monitorizar e implementar. Además,
hay que pensar en las posibilidades de
crecimiento, porque ya no estamos
limitados por el tamaño del espacio
para servidores. ■
RECURSOS
[1] VMware: http://www.vmware.com
[2] Virtual Iron: http://www.virtualiron.
com
[3] Novell: http:// www.novell.com
[4] Red Hat: http://www.redhat.com/
[5] Xen: http://www.xen.org/
[6] Citrix: http://www.citrix.com/
[7] VServer: http://linux-vserver.org/
[8] Qumranet: http://www.qumranet.
com/
[9] KVM: http://kvm.qumranet.com/
[10] Solid ICE: http://web1.qumranet.
com/
[11] QEMU: http://fabrice.bellard.free.fr/
qemu/
[12] VirtualBox: http://www.virtualbox.
org
[13] S3: http://www.amazon.com/gp/
browse.html?node=16427261
[14] Parallels: http://www.parallels.com/
[15] Ganeti: http://code.google.com/p/
ganeti/
[16] SWsoft: http://www.swsoft.com/
[17] OpenVZ: http://openvz.org/
[18] openQRM: http://www.openqrm.
com
[19] xen-tools: http://xen-tools.org
PORTADA • Virtualización con Xen
Comenzar con la virtualización Xen
XENSACIONAL
El conocido y potente sistema de virtualización Xen ofrece una solución sencilla para cargar Windows sobre
Linux. POR MARTIN LOSCHWITZ Y MARKUS FEILNER.
E
l popular sistema de virtualización
Xen permite instalar distintos siste-
mas operativos sobre el mismo hard-
ware para gestionar eficientemente su
potencia computacional.
En este artículo describiremos cómo
empezar con Xen en Debian Etch, y apren-
deremos a iniciar los sistemas cliente y anfi-
trión e incluso a configurar un invitado
Windows en un anfitrión Linux. Muchos de
los detalles pueden diferir entre distribucio-
nes, pero los pasos son parecidos.
Etch con Xen 3.0.3
En la comunidad, una solución de software
se ha convertido prácticamente en el están-
dar de virtualización. Xen [1], creado por la
Universidad de Cambridge, tiene un buen
número de puntos a su favor. Dado que
emula un ordenador completo, al estilo de
Vmware, el usuario tiene un abanico de
elección de sistemas operativos invitados
casi sin restricciones. La mayoría de las
herramientas de gestión están disponibles, y
el sencillo procedimiento de configuración
22 Número 39
consta sólo de unos pocos pasos. Debian ha
reconocido estas ventajas, y ahora Etch
incluye soporte completo para Xen.
Aunque Debian 4.0 incluye Xen, la ver-
sión 3.0.3 no es exactamente último
modelo. En muchos casos, los trucos y con-
sejos de este artículo no se pueden aplicar
tal cual a versiones posteriores de Xen por-
que, entre otras cosas, el diseño del archivo
de configuración ha cambiado.
Monitorizado por un
Hipervisor
Xen introduce un hipervisor que va a contra-
corriente del kernel, funcionando directa-
mente sobre el hardware (ver Figura 1); el
hipervisor emplea Xen Virtual Machine Moni-
tor para acceder al hardware. Es él quien des-
tina los recursos a cada una de las máquinas
virtuales. Un sistema operativo invitado sólo
se comunica con el hipervisor, y es completa-
mente independiente del resto de invitados.
El hipervisor conecta la máquina virtual a la
red y es capaz de comunicarse con el mundo
exterior. En el contexto de Xen, al sistema
WWW.LINUX- MAGAZINE.ES
Joexx, photocase.com
anfitrión con el hipervisor se le llama Dom 0
(o Domain 0, “Dominio 0”), y al sistema invi-
tado Dom U (Domain U).
La única tarea que tiene Dom 0 es conte-
ner cada Dom U activo. Cuando estás plani-
ficando un sistema Debian Xen, un Debian
recién instalado es un punto de partida per-
fecto. Aunque en teoría no hay nada que
impida emplear Dom 0 para propósitos nor-
males, como hospedar un servidor web, el
daño en potencia que un atacante podría
causar secuestrando Dom 0 es una buena
razón para evitar su empleo.
Cualquier usuario con acceso completo a
Dom 0 tiene también control total sobre
cada Dom U activo. Por esta razón, es
importante subcontratar cualquier servicio
a un Dom U separado a la hora de usar Xen,
y comenzar con un anfitrión fresco que no
ejecute ningún servicio (excepto SSH).
Sólo hacen falta un par de pasos para ins-
talar un Debian que soporte Xen. Identifi-
cado como root, hay que empezar por insta-
lar Xen y los programas de puente de con-
trol que necesita para configurar la red. Los

Figura 1: El Virtual Machine Monitor (Monitor de Máquina Virtual)
de Xen maneja todo el acceso al hardware, empleando el hipervi-
sor para enviar peticiones al anfitrión (Dom 0). El hipervisor
emplea drivers de back-end para destinar recursos a las máquinas
virtuales Dom U.
paquetes se llaman bridge-utils, xen-linux-
system-2.6.18-3-xen-686, xen-tools y libc6-
xen. Xen reemplaza la librería C por una
versión especialmente modificada.
Tras completar este paso hay que desacti-
var la funcionalidad TLS de la librería C; la
forma más fácil de hacerlo es mover la libre-
ría escribiendo mv /lib/tls /lib/tls.disabled.
Dado que los siguientes pasos requieren
acceso a Internet, es necesario que haya
una tarjeta de red configurada en /etc/net-
word/interfaces.
Tras instalar un kernel preparado espe-
cialmente de Xen, escribimos lsmod y che-
queamos el archivo /etc/modules para com-
probar si el sistema ofrece un módulo
netloop. Para asegurarnos de que todo va a
funcionar después de reiniciar, debería
haber una entrada netloop nloopbacks =
255. Reiniciamos la máquina y, en el boot
prompt, elegimos el kernel Debian Xen
antes de identificarnos como siempre.
Deberían aparecer algunos mensajes dmesg
y del hipervisor sobre procesadores disponi-
bles o capacidad de memoria.
Con esto ya nos hemos encargado de los
prerrequisitos para arrancar un Dom U. Tra-
bajando como root, escribimos xm list para
ver si el hipervisor está funcionando.
El siguiente paso es configurar una
máquina invitada, el primer Dom U, que
estará utilizando Debian GNU / Linux Etch
como el anfitrión de nuestro ejemplo. Para
empezar, tenemos que crear un archivo de
configuración para Xen e instalar el sistema
operativo invitado en el disco.
Archivos para Dom U
En Xen 3.0, los archivos de configuración
tienen su propio formato especial. Los
Virtualización con Xen • PORTADA
archivos se almacenan
en /etc/xen y tienen una
extensión .cfg. El
esquema de los archivos
de configuración de Xen
es bastante simple (Lis-
tado 1). name se refiere
al nombre que Xen
emplea para referirse a
este Dom U; hostname
es el nombre de la
máquina virtual anfi-
triona. kernel y ram-
disk contienen las rutas
completas al boot ker-
nel y su disco de
memoria virtual; root
indica al kernel cuál de
las particiones contiene
el directorio raíz.
El parámetro memory define cuánta RAM
reservará el hipervisor de Xen para este
Dom U, y la entrada disk especifica qué
disco o archivos de imagen detectará el
cliente Xen. Puesto que la máquina cliente
espera también rutas al sistema de archivos
virtual, el administrador tiene que decidir
en este punto dónde se almacenarán los sis-
temas de archivos que crearemos en el
siguiente paso.
Como puede verse en el Listado 1, un
Dom U también puede acceder a una uni-
dad de CD física, especificada como cdrom.
El valor vcpus señala el número de procesa-
dores a los que se permite acceder al Dom
U. Por ejemplo, si Dom 0 tiene un procesa-
dor de doble núcleo, podemos usar vcpus
para especificar si el cliente tendrá acceso a
un núcleo o a los dos.
Kernel, Disco de Memoria
Virtual, Root
Los valores kernel y ramdisk en la
configuración se relacionan con el sistema
de archivos de Dom 0. Si quisiéramos reem-
plazar más adelante el kernel de Dom U,
basta con copiar el nuevo kernel al lugar
correcto en Dom 0 y modificar el archivo de
configuración de la máquina virtual.
La entrada vif explica a qué interfaz de
red se permite acceder al Dom U y qué
puente empleará Xen para manejar dicho
acceso. También es posible asignar una
dirección MAC estática (arbitraria); de otro
modo, cada vez que se inicie la máquina
virtual Xen asignará al adaptador de red una
dirección MAC generada al azar. Esto provo-
cará que el sistema de conexión en caliente
de Etch siga cambiando sin parar el número
WWW.LINUX- MAGAZINE.ES
del dispositivo de red, lo que haría que
fallara la configuración automática en /etc/
netword/interfaces.
Sistemas de Archivos de
Clientes
Hay dos opciones básicas para los sistemas
de archivos de los clientes: o bien asigna-
mos una o múltiples particiones a Xen, o el
Dom U trabaja con imágenes de archivos.
Ambas tienen ventajas y desventajas: las
particiones físicas suelen mejorar la ejecu-
ción, pero los archivos permiten al adminis-
trador crear copias de seguridad sólo con
copiar el Dom 0.
Esta decisión es una cuestión de gustos, y
dependerá en buena medida del uso que se
le esté dando al sistema. El ejemplo en el lis-
tado asume que un Dom U emplea /dev/
hda3 como unidad para la raíz de su sis-
tema de archivos. Además de todo esto, Xen
puede asignar múltiples discos virtuales
como particiones de disco duro para una
máquina virtual.
Debian Virtual
El dominio cliente se instala por completo
desde el interior del Dom 0. En teoría, debe-
ría ser posible arrancar el instalador Debian
con Xen y usarlo para instalar el nuevo sis-
tema, pero en realidad, este método fallará
debido a la falta de soporte para Xen en el
kernel del instalador de Debian. En su lugar,
será mejor usar la herramienta de instala-
ción Debootstrap [2]. Trabajando como
Listado 1: Configuración de
Xen para un Dom U Debian
01 name=”debian1”
02 hostname=”debian1”
03 kernel =
”/boot/vmlinuz-2.6.18-3-xen-6
86”
04 ramdisk =
”/boot/initrd.img-2.6.18-3-xe
n-686”
05 memory = 512
06 vcpus = 1
07 vif =
[‘mac=aa:00:00:12:23:34,bridg
e=bridge0’ ]
08 disk = [
’phy:/dev/hda3,hda1,w’,
’phy:/dev/hda5,hda2,w’ ]
09 cdrom = ”/dev/cdrom”
10 root = ”/dev/hda1”
Número 39 23
PORTADA • Virtualización con Xen
Figura 2: Cuatro máquinas virtuales, cada una un Dom U, funcionando sobre un servidor Xen
de Debian. La herramienta xm top ofrece un informe de estado (tanto del servidor como de los
clientes) que se actualiza constantemente.
root, hay que escribir apt-get install deboots-
trap para instalar la herramienta en Dom 0.
Si no lo hemos hecho ya, seguramente que-
ramos ahora instalar un sistema de archivos
compatible con Linux en la partición obje-
tivo para el sistema Linux cliente. Es posible
que el Dom U necesite una partición de
espacio de intercambio; mk-swap se
encarga de configurar esto.
Debootstrap
Trabajando una vez más como root, mon-
tamos la partición formateada en el sis-
tema de archivos del Dom 0 y hacemos cd
hasta el directorio raíz. El mensaje deboots-
trap etch mountpoint for Domain U parti-
tion ftp://ftp.de.debian.org/debian insta-
lará un sistema Debian básico y completo
a partir del servidor ftp. Cuando Deboots-
trap haya terminado, deberíamos encon-
trar un sistema Etch básico y completo en
el directorio especificado. Hacemos chroot
a esta carpeta; instalamos entonces el
paquete libc6-xen y desactivamos las
extensiones TLA.
Listado 2: Ejemplo de fstab para un Dom U Debian
01 01 /dev/hda1 / ext3 defaults 1 2
02 /dev/hda2 none swap sw 0 0
03 /dev/pts devpts gid=5,mode=620 0 0
04 none /dev/shm tmpfs defaults 0 0
Listado 3: Listando Máquinas Virtuales
01 01 xen-dom0:~# xm list
02 Name ID Mem(MiB) VCPUs State Time(s)
03 Domain 0 0 64 1 r——- 50082.7
04 Dom U 1 31 1024 1 -b—— 182890.0
05 Dom U 2 67 296 1 -b—— 3966.4
06 (...)
07 xen-dom0:~#
24 Número 39
La configuración del sistema Etch es algo
más complicada que antes, porque base-
config (que gestionaba automáticamente
varias tareas) ya no existe. Ahora el usuario
root tiene que instalar los paquetes locales y
console-data manualmente y añadir la
siguiente línea al archivo /etc/hosts:
127.0.0.1 localhost
Después, añadimos el nombre del anfitrión
a /etc/hostname, asegurándonos de que
empleamos el mismo nombre que en el
archivo de configuración de Xen. Aún ten-
dremos que añadir a /etc/network/interfaces
una configuración de tarjeta de red que
encaje para el Dom U.
Tras conectar el archivo de zona horaria
correcto a /etc/localtime, es la hora de abor-
dar la configuración de las unidades virtua-
les en el archivo /etc/fstab. El Listado 2 con-
tiene un fstab listo para usar, basado en los
ejemplos de antes.
Finalmente, quizá deseemos configurar la
contraseña de root mediante el comando
WWW.LINUX- MAGAZINE.ES
passwd; también podríamos querer instalar
el servidor OpenSSH y escapar de la cárcel
del chroot.
Iniciando Dom U…
Tras crear los archivos de configuración para
el Dom U y dejarlo todo configurado, pode-
mos arrancar el sistema virtual. Para ello,
cambiamos de directorio a /etc/xen e intro-
ducimos el siguiente comando: xm create -c
nombre del archivo de configuración. El
parámetro -c redirecciona la salida de la pan-
talla virtual del Dom U a la consola en uso.
Si todo funciona, el prompt de login debería
aparecer tras los mensajes de arranque del
kernel de Linux. De aquí en adelante, los
códigos de init incluidos en el paquete Xen
lanzarán automáticamente el nuevo Dom U
cada vez que arranquemos el sistema.
…y Parándolo
El comando xm list ofrece una vista general
de los dominios virtuales que están funcio-
nando en el sistema (Listado 3). En nuestro
ejemplo hay múltiples Dom Us corriendo en
el Dom 0, que tiene 64MB de RAM; uno de
los Dom U tiene 1GB de RAM, y otro
296MB. Al introducir el comando xm des-
troy nombre de la MV en el Dom 0, se cierra
una máquina virtual. La herramienta xm
top muestra una lista actualizada de todas
Listado 4: Archivo de
Configuración para un Dom
U Windows
01 kernel =
’/usr/lib/xen-3.0.3-1/boot/hv
mloader’
02 builder = ’hvm’
03 memory = ’512’04
device_model=’/usr/lib/xen-3.
0.3-1/bin/qemu-dm’
04 disk = [
’phy:/dev/hda3,ioemu:hda,w’,’
file:/root/wincd.iso,ioemu:hd
c:cdrom,r’ ]
05 name = ”windows”
06 hostname = ”windows”
07 vif = [‘type=ioemu,
bridge=xenbr0’]
08 # Comportamiento
09 boot=’d’
10 vnc=1
11 vncviewer=1
12 sdl=0

ellas, incluyendo su RAM, CPU y carga de
red, de forma parecida al comando de Bash
top (Figura 2).
Windows como Cliente
Los desarrolladores de Xen se han asegu-
rado de que podamos arrancar Windows
como sistema operativo cliente en un Dom
U. Pero hay algunas restricciones: el truco
sólo funciona en PC?s con un procesador
Intel reciente, capaz de soportar tecnología
Vanderpool (VT); o bien en un procesador
AMD moderno con Secure Virtual Machine
(AMD SVM). XenSource mantiene la lista
de posibles candidatos [3], que suele actua-
lizarse a menudo.
Configuración
Los pasos para configurar un Dom U Win-
dows son similares a los que hemos visto
antes para configurar un cliente Linux. El
Listado 4 muestra un archivo de
configuración listo para usar. El ejemplo
asume que la partición del Dom 0 hda3 es
la partición raíz para Windows.
El cliente Windows se puede instalar
directamente del CD de instalación o, como
en el ejemplo, de una imagen de backup
wincd.iso creada con la herramienta dd. Ins-
talar a partir de un archivo ISO es bastante
más rápido y práctico que arrancar virtual-
mente el CD.
Un Dom U se emplea normalmente como
servidor sin monitor conectado. Así, la
salida de información del sistema Windows
se envía al servidor VNC; la dirección IP del
servidor se define con el parámetro vnc-lis-
ten en la última línea del archivo de
configuración de Xen, /etc/xen/xend-con-
fig.sxp; la sintaxis es (vnc-list-ten ‘1.2.3.4’).
Con esto se completa la configuración del
Dom U Windows; éste creará el sistema de
archivos requerido en la fase de
configuración del propio Windows. Enton-
Figura 3: Xenman, una consola de administración gráfica
para un servidor Xen, arranca un sistema cliente Fedora.
Virtualización con Xen • PORTADA
ces podremos lanzar el Dom
U Windows y utilizar VNC
para conectarnos al puerto
5090 del sistema anfitrión y
completar los preparativos.
Cuando Windows indica
que saquemos el CD de la
unidad tras copiar los archi-
vos del sistema, tenemos que
asegurarnos de que, al reini-
ciar, Xen arrancará el domi-
nio Xen del disco virtual, y
no del CD. Para ello hemos Figura 4: Dashboard ofrece una pantalla de estado gráfica
de cambiar el valor de boot para el servidor Xen.
en el archivo de
configuración de d a c y reiniciar la máquina (xend-relocation-U
virtual. hosts-allow ’ ’)
Al final de la instalación deberíamos
tener un sistema Windows perfectamente Para migrar el sistema virtual de un servidor
operativo. Xenman [4], que ha alcanzado a otro basta con escribir xm migrate -live
ya la versión 0.6, es una herramienta para Dom U servidor objetivo. Las interrupciones
gestionar servidores Xen y arrancar o dete- del servicio mientras se realiza la mudanza
ner máquinas virtuales (Figura 3). El admi- no suelen pasar de un par de décimas de
nistrador puede conectar de uno a múltiples segundo.
servidores Xen, hacer click para crear nue-
vos dominios o mover alguno ya existente Conclusiones
de un servidor a otro. Se incluye, además, Xen es una solución de virtualización muy
una vista general de toda la estructura (Das- potente. Al contrario que en otras opciones,
hboard, Figura 4). como OpenVZ, tiene la ventaja de emular un
Xenman facilita la vida tanto al adminis- ordenador completo, de un modo similar a
trador novato como al experto. Está dise- Vmware. Por ello, Xen es capaz de virtualizar
ñado para gestionar múltiples servidores y otros sistemas operativos clientes aparte de
para el tunelado SSH, y nos ofrece la posibi- Linux.
lidad de gestionar colectivamente todas las Ya es posible utilizar NetBSD 4 como Dom
imágenes del servidor, lo que significa que U sobre Linux, o como Dom 0 para un Dom
Xen puede arrancar un Dom U, pertene- U de Linux, sin excesiva dificultad. El único
ciente al Servidor A, en un Servidor B en problema lo causa la falta de NetBSD de
caso de ser necesario. soporte de PAE (Physical Address Extension),
lo que hace la instalación de Debian algo más
Migración difícil de lo que debería ser.
Una de las opciones especiales de Xen es su Considerando la velocidad a la que los des-
capacidad de migrar los servidores virtuales arrolladores de Xen y NetBSD están traba-
de un anfitrión a otro mientras el servidor jando para lograr una solución a este pro-
está en funcionamiento. Para probarlo, todo blema, podemos esperar progresos rápidos
lo que necesitamos son dos ser- en esta tendencia de virtualizar distintos siste-
vidores Xen y una sola mas operativos sobre el mismo hardware. ■
máquina virtual. En el caso
más sencillo podemos usar NFS RECURSOS
para los datos compartidos, [1] Página de Xen: http://www.cl.cam.
pero ISCSI o DRBD son tam- ac.uk/research/srg/netos/xen/
bién perfectamente válidos. En
[2] Debootstrap: http://packages.debian.
el archivo de configuración del
org/stable/admin/debootstrap
servidor Xen, activamos los
[3] Hardware para virtualización de
siguientes parámetros:
HVM:http://wiki.xensource.com/
xenwiki/
(xend-relocation-server
HVM_Compatible_Processors
yes)
[4] Gestión gráfica de Dom U con Xen-
(xend-relocation-address
man: http://xenman.sourceforge.net
’ ’)
WWW.LINUX- MAGAZINE.ES Número 39 25
PORTADA • Redes con VirtualBox
Redes con VirtualBox
REDES
ENCAJONADAS
Nos acercamos este mes a la herramienta de virtualización VirtualBox,
un entorno sencillo y fácil para versiones virtuales de Linux, Unix y Win-
dows. POR TIM SCHÜRMANN
V
irtualBox está ganando popu-
laridad como alternativa senci-
lla y efectiva de virtualización.
Esta inteligente solución se adapta
perfectamente al escritorio normal de
Linux, soportando distintas variedades
de sistemas invitados Windows, Linux
y Unix. La empresa alemana Innotek
[1] desarrolla VirtualBox, que se pre-
senta en versiones tanto comercial
como bajo software libre (GPL).
El 12 de febrero de 2008, Sun
Microsystems anunció un acuerdo
para comprar Innotek con el objetivo
de integrar el entorno de VirtualBox
con las herramientas de desarrollo
propias de Sun. Las consecuencias a
largo plazo de este acuerdo aún no se
conocen, pero en el momento de escri-
bir este artículo, parece que Sun pla-
26 Número 39
Tjefferso
n, F
nea mantener el soporte y seguir con
ambas versiones, la cerrada y la soft-
ware libre. En este artículo vamos a
describir cómo iniciarse en la virtuali-
zación con VirtualBox.
¿Software Libre o
Comercial?
Las versiones comercial y libre de Vir-
tualBox se diferencian en el soporte de
dispositivos USB y las funcionalidades
de escritorio remoto, que Innotek
reserva para la variante de código
cerrado. Ambas versiones soportan
varios sistemas operativos, como
Linux, OS/2 y Windows/DOS, y ambas
disponen de interfaz gráfica de admi-
nistración.
Desde el punto de vista de la instala-
ción, la versión software libre bajo
WWW.LINUX- MAGAZINE.ES
oto
lia
Linux es un poco más complicada
(véase el cuadro “Instalar la Variante
Software Libre”). Los paquetes especí-
ficos para las distribuciones están
mejor integrados.
La distribución que utilicemos pro-
bablemente ofrecerá una versión de
VirtualBox a través del sistema de
administración de paquetes. Si tene-
mos instaladas las fuentes de instala-
ción correctas, podemos teclear sim-
plemente apt-get install virtualbox en
Ubuntu, o zypper in virtualbox bajo
SUSE para comenzar la instalación.
Al pulsar el icono o teclear el
comando Virtual-Box se inicia la inter-
faz gráfica de usuario. El icono New
nos permite crear una nueva máquina
virtual, con un asistente que nos
ayuda en el proceso de configuración.
En lugar de una verdadera partición,
VirtualBox usa un archivo con una
imagen de disco. Tiene sentido que
optemos por dynamic como tamaño de
la imagen. Recordemos que la imagen
crecerá conforme añadamos conte-
 Administración
Redes
Redes
con VirtualBox
Encajonados
der o apagar el
conmutador
red virtual. La
tarjeta se man-
tiene en
máquina virtual,
sin embargo, la
conexión
mundo exterior se
interrumpe de la
misma forma que
si alguien hubiese
desconectado el
cable de red. Este
control es útil
para hacer prue-
bas o para reini-
cializar sistemas
invitados con
Figura 1: Configuración de la tarjeta de red virtual. El modo NAT se capacidad
habilita por defecto. El usuario puede generar aquí direcciones MAC e conexión
incluso parchear un cable de red virtual para una prueba rápida. caliente.
Cada una de las
nido. Una vez que la emulación está cuatro tarjetas de red puede ejecu-
funcionando, la ventana captura por tarse en uno de los tres modos posi-
completo el puntero del ratón. El bles que se especifican en el menú
botón Ctrl derecho funciona como desplegable Connected to. Esto especi-
botón del host y libera al ratón. fica con quien se comunica la tarjeta
VirtualBox comprende dos compo- de red virtual y para qué otros orde-
nentes: el demonio XPCOM VBoxSVC
y el front end Virtualbox. Por Instalar la Variante Software Libre
supuesto, el demonio debe estar eje-
Para compilar el código fuente, necesita-
cutándose antes de iniciar la interfaz
mos las siguientes herramientas y libre-
gráfica de usuario, pero no es necesa- rias, además de los paquetes de desar-
rio instalarlos de forma separada. Los rollo:
pasos señalados aquí ejecutarán Vir-
• GCC
tualBox directamente desde un direc-
• Ensamblador as86 (generalmente
torio local.
incluido con el paquete dev86 o bin86)
Conecta Cuatro • Compilador BCC de Bruce Evans
(generalmente incluido con el paquete
Tras completar la instalación, el
dev86)
siguiente paso es seleccionar, en la
• Compilador ACPI de Intel (está en las
interfaz gráfica, la máquina virtual
pmtools de openSUSE)
cuyas configuraciones de red quere-
• libxslt
mos fijar, cosa que hacemos desde el
menú Machine | Change. Allí seleccio- • libxerces
namos la entrada Network en la parte • libxalan
izquierda para acceder a las configu-
• QT versión 3.3.5 o posterior
raciones (véase la Figura 1).
• libidl
Están disponibles hasta cuatro tar-
• SDL, Alsa y HAL, como el propor-
jetas de red virtuales para cada
cionado por libhal
máquina, que van desde el Adapter 0
Tras resolver las dependencias, podemos
al Adapter 3. Por defecto, sólo se
teclear wget http://www.vitual-
configura un NIC para cada máquina:
box.org/download/1.5.2/Virtual-
tendremos que pulsar sobre las pesta-
Box-1.5.2_OSE.tar.bz2 para descargar el
ñas correspondientes para los otros
archivo con el código fuente [2].
NICs. Tras desempaquetar el archivo,
El conmutador Network cable atta- tecleamos los siguientes comandos en el
ched permite al administrador encen-
WWW.LINUX- MAGAZINE.ES
de Spam •• PORTADA
PORTADA
• EVALUACIÓN
nadores será visible. Las opciones
de son:
• Red Interna
• Traducción de Direcciones de Red
la (NAT)
• Modo de Interfaz Anfitrión
al Red Interna
VirtualBox es capaz de simular una
red LAN interna separada para las tar-
jetas de redes virtuales, con cualquier
número de máquinas virtuales en la
red virtual que no verán ni se comuni-
carán con nadie más, incluidos el sis-
tema anfitrión y los ordenadores fuera
de la red interna en la que residen
nuestros sistemas invitados (véase la
Figura 2).
A primera vista, la red interna no
de parece particularmente útil, pero hay
en buenas razones para usarla. Debido a
que la LAN virtual está completa-
mente aislada, ninguna influencia
externa puede afectarla, lo que hace a
la LAN interna una elección perfecta
como entorno de pruebas o para
resolver problemas.
En los otros dos modos, cualquier
información transmitida se envía tam-
directorio de código fuente de VirtualBox
para configurarlo:
./configure
source ./env.sh
kmk all
Esto instala VirtualBox y su conjunto
de herramientas en el subdirectorio
out/linux.x86/release/bin/. Antes de
que podamos iniciarlo, el sistema
requiere el correspondiente módulo
del kernel:
cd out/linux.x86/release/bin/src
make
sudo make install
Por supuesto, necesitamos las fuentes
del kernel para compilar en este paso.
Trabajando como root, podemos habili-
tar el módulo del kernel tecleando mod-
probe vboxdrv antes de pasar a permitir
el acceso a usuarios sin permisos al
nuevo archivo de dispositivo: chmod 666
/dev/vboxdrv. Ahora ya podemos ejecu-
tar VirtualBox:
LD_LIBRARY_PATH=. ./VBoxSVC&
LD_LIBRARY_PATH=. ./Virtualbox
Número 39 27
EVALUACIÓN
PORTADA • Redes
• Redes
con VirtualBox
Encajonados
Figura 2: Una red interna protege a las máquinas virtuales frente a los
peligros de Internet. Las actualizaciones online no están soportadas,embargo, su uso
por tanto, en este modo.
bién a la interfaz de red del sistema
anfitrión. Si dos máquinas virtuales
necesitan intercambiar información,
este método casi siempre afecta a la
velocidad o presenta problemas de
seguridad. Para conectar una tarjeta
de red virtual a la LAN interna, selec-
cionamos Internal network bajo Con-
nected to en la interfaz gráfica de
usuario.
Lo que VirtualBox no te
Cuenta
Las tarjetas configuradas de esta
manera en cualquier máquina virtual
se conectan a un Switch simulado en
la misma red virtual. Desafortunada-
mente, no se dispone de un servidor
DHCP en este modo, lo que significa
que tenemos que asignar direcciones
IP de manera manual. A pesar de que
es bastante fácil configurarlas, la
interfaz gráfica no nos permite acce-
der a una de las funcionalidades más
interesantes de VirtualBox: el soporte
para redes internas independientes,
que puede funcionar en paralelo.
LANs Virtuales
Para facilitar la identificación de las
LANs virtuales, se asigna un nombre
único para cada red. Por defecto, las
tarjetas de red que configuremos
mediante la interfaz gráfica se conec-
tarán a la red interna llamada intnet.
VBoxManage
Si necesitamos más LANs, no tendre-
mos más alternativa que acudir a la
línea de comandos VBoxManage. Esta
herramienta nos ofrece una alterna-
tiva completa en modo texto a la
interfaz gráfica de usuario así como la
posibilidad de una configuración más
28 Número 39
Figura 3: En modo NAT, a la máquina virtual se le asigna una direc-
ción mediante el servidor DHCP interno. El cortafuegos evita que las
direcciones externas accedan a la máquina virtual.
precisa. Sin ción IP mediante el servidor DHCP
integrado, que normalmente asigna
requiere teclear direcciones del rango 10.0.x.x.
largas y crípticas Tan pronto como el sistema invitado
cadenas de parámetros. comienza a transmitir paquetes sobre
Para instalar una segunda interfaz la conexión virtual, VirtualBox cap-
(nic2) en una máquina virtual deno- tura estos paquetes e inserta la direc-
minada UbuntuVM en una LAN ción IP del sistema anfitrión antes de
interna llamada MyNetwork, el enviarlos a Internet.
modifyvm usa la siguiente línea de A pesar de que la configuración no
comandos para modificar la lleva mucho tiempo, este modo
configuración: implica una desventaja funcional: la
implementación de direcciones IP
VboxManage modifyvm U (NAT) en combinación con el corta-
“UbuntuVM” -nic2 intnet U fuegos interno permite al sistema
-intnet2 ”MyNetwork” invitado enviar información al mundo
exterior, sin embargo, el mundo exte-
La red interna es como una caja rior y el anfitrión no pueden acceder
cerrada: sin una segunda interfaz el al sistema virtualizado. La única
sistema invitado es incapaz de nave- excepción a esto es el escritorio
gar por Internet o acceder a la LAN remoto de la versión comercial, o bien
física. usar herramientas VPN, como
Openvpn, para hacer un túnel hasta el
Traducción de Direcciones interior.
de Red
El modo NAT nos ofrece un método Redireccionamiento de
sencillo y rápido para escapar de esa Puertos
jaula. Tras seleccionar el modo NAT En otras palabras, es imposible encap-
en el cuadro desplegable Connected sular servidores en producción en la
to, a la tarjeta de red virtual se le máquina NAT virtual de manera que
asigna una dirección mediante un ser- sea útil. El redireccionamiento de
vidor DHCP simulado con un corta- puertos nos permite solucionar esto.
fuegos que da acceso a la máquina VirtualBox escucha en un puerto del
virtual al mundo exterior. sistema anfitrión y redirecciona los
La Figura 3 nos muestra cómo fun- paquetes que llegan a este puerto a
ciona esto. En el paso primero, al otro puerto de la máquina virtual
adaptador de la máquina virtual se le seleccionada. Desde el punto de vista
asigna automáticamente una direc- de otra máquina, da la impresión de
Figura 4: La petición de Internet alcanza al sistema anfitrión, que usa una interfaz TAP para
pasarla a la máquina virtual.
WWW.LINUX- MAGAZINE.ES

Listado 1: Habilitar una
Interfaz TAP
01 #!/bin/bash
02 # Crear interfaz TAP para
usuario klaus:
03 interface=`VBoxTunctl -b -u
klaus`
04 # Crear el interfaz:
05 ifconfig $interface up
06 # Conectar con bridge:
07 brctl addif br0 $interface
que el servicio está disponible direc-
tamente por el anfitrión.
Son tres los comandos de VBoxMa-
nage que permiten el redirecciona-
miento de puertos antes de iniciar la
máquina virtual:
VBoxManage setextradata U
“UbuntuVM” ”VBoxInternal/ U
Devices/pcnet/ U
0/LUN#0/Config/myservice/ U
Protocol” TCP
VBoxManage setextradata U
“UbuntuVM” ”VBoxInternal/ U
Devices/pcnet/0/LUN#0/ U
Config/myservice/GuestPort” 22
VBoxManage setextradata U
“UbuntuVM” ”VBoxInternal/ U
Devices/pcnet/0/ U
LUN#0/Config/myservice/ U
HostPort” 2222
Con esto le indicamos a VirtualBox
que redireccione todas las conexiones
TCP desde el puerto 2222 del sistema
anfitrión al puerto 22 del sistema
invitado. myservice es un nombre
asignable libremente, mientras que
UbuntuVM es el nombre de la
máquina virtual. Si todos estos valo-
res están vacíos cuando se llama al
comando, VirtualBox deshabilita de
nuevo el redireccionamiento de puer-
tos.
Interfaz Anfitrión
Hacer NAT con redireccionamiento
de puertos supone una carga extra
notable. El administrador debe abrir,
y posiblemente asegurar, puertos en
el servidor. Por supuesto, tenemos
que llevar la cuenta de qué puertos
están mapeados a qué servicios de
qué máquina. El modo de Interfaz
Redes con VirtualBox • PORTADA
Anfitrión nos proporciona la manera
más adecuada de ejecutar un servi-
dor en VirtualBox, aunque configurar
este modo es un poco más compli-
cado.
En el modo de Interfaz Anfitrión,
VirtualBox crea una tarjeta de red vir-
tual adicional en el sistema anfitrión,
por ejemplo vbox0, además del fami-
liar eth0. Tras configurar la nueva tar-
jeta de red, VirtualBox usa un cable
virtual para parchear la conexión al
adaptador simulado del sistema anfi-
trión (véase la Figura 4).
Para aplicaciones en producción,
VirtualBox generalmente usa un
puente para conectar las redes física y
virtual. Esta unión funciona como
una única gran red que interacciona
con el mundo exterior.
Para configurar esto, en primer
lugar necesitamos configurar una
interfaz de red virtual para cada uno
de los sistemas invitados.
Construir Puentes
Linux tiene adaptadores de redes vir-
tuales en forma de interfaces TAP, y
VirtualBox también confía en este
método. El único requerimiento es
tener acceso libre al archivo de dispo-
sitivo /dev/net/tun con la cuenta del
usuario que usa VirtualBox.
De igual manera, necesitamos un
software puente, como el paquete
bridge-utils, y la herramienta en línea
de comandos tunctl, que es parte del
paquete uml-utilities en openSUSE.
El puenteo con VirtualBox puede
realizarse de dos maneras al
comienzo:
• si vamos a tener en todo momento
un número de invitados fijo, el
método correcto sería configurar
una interfaz permanente a la que se
conecta la máquina virtual.
• en caso de buscar un método más
flexible, podemos permitir que la
máquina virtual cree de manera
autónoma una interfaz dinámica.
No obstante, tendremos que teclear
la contraseña de administración en
ambos casos.
Interfaz Permanente o
Dinámica
La lista de comandos para configurar
una interfaz permanente intimida
bastante.
WWW.LINUX- MAGAZINE.ES
Lo primero es configurar el puente
y conectarlo a eth0:
brctl addbr br0
ifconfig eth0 0.0.0.0
brctl addif br0 eth0
A continuación se actualizan las
direcciones IP. Si usamos un servidor
DHCP para asignar direcciones,
dhclient br0 se encargará de ello. En
caso contrario, necesitaremos asignar
direcciones de manera manual con
ifconfig br0 IP address.
Para cada tarjeta de red simulada en
el sistema invitado necesitamos una
interfaz virtual del lado anfitrión.
VBoxAddIF vbox0 User br0 se encar-
gará de conectarlo al puente.
El script VBoxAddIF crea una inter-
faz TAP, denominada vbox0, y le
otorga la cuenta de usuario User. VBo-
xAddIF está incluido en el paquete
VirtualBox, pero escondido en las
profundidades de los directorios del
código fuente en src/VBox/Installer/
linux.
Paso Final
El paso final, trabajando como root,
es conectar la tarjeta simulada en el
sistema invitado con la interfaz TAP.
Para hacerlo necesitamos introducir
el nombre de la tarjeta en el cuadro
de configuración Interface name. En
este caso, debemos dejar las dos
líneas de scripts en blanco.
Para liberar la interfaz de nuevo
tras haberla usado, tecleamos VBox-
DeleteIF vbox0 la en línea de coman-
dos. Por cierto, esta herramienta
falta en la variante software libre.
El segundo método supone ejecu-
tar dos scripts: uno para crear la
interfaz TAP y conectarla al puente,
y el otro para deshabilitar la inter-
faz.
Listado 2: Deshabilitar una
Interfaz TAP
01 #!/bin/bash
02 # desconectar el interfaz (el
nombre está en $2) del
bridge:
03 brctl delif br0 $2
04 # y eliminar interfaz
05 VBoxTunctl -d $2
Número 39 29
PORTADA • Redes con VirtualBox

En este caso, la visualizar el escritorio de la máquina

Figura 5: La variante puenteada Interfaz Anfitrión VirtualBox propor-
ciona al usuario dos cuadros de entrada para iniciar y parar la inter-
faz virtual. Los scripts parece que funcionan bien aquí
El Listado 1 muestra un script de
ejemplo basado en uno proporcionado
en el manual para habilitar una inter-
faz TAP. El manual de VirtualBox [3]
proporciona información más deta-
llada acerca de esto.
Herramienta VBoxTuntl
El herramienta VBoxTuntl está
incluida con VirtualBox: básicamente
se trata de la conocida herramienta
tunctl.
Hacemos ejecutable el script de ini-
cio y lo introducimos en el Enabling
Program de la interfaz gráfica de
configuración de VirtualBox, usando
para ello una combinación sudo como
gtksudo startscript (véase la Figura
5).
Si no disponemos de la interfaz grá-
fica, podemos hacer esto en su lugar:
VBoxManage U
modifyvm U
“VMName” U
-tapsetup1 U
“gtksudo U
startscript”
El Listado 2 muestra el script para
deshabilitar la interfaz TAP. De
nuevo, debemos introducir la ruta
hasta el script ejecutable en el campo
de entrada de VirtualBox, preferible-
mente en combinación con un
comando sudo en Disabling Program.
alternativa en
línea de coman-
dos usa VBoxMa-
nage con la
opción -taptermi-
nate1.
Una vez que la
máquina virtual
ha arrancado,
llama al script
que habilita para
crear una interfaz
TAP y nos dice la
contraseña de
root debido a la
llamada
gtksudo. Cuando
se apaga el sis-
tema invitado, el
segundo script eli-
mina la interfaz
TAP.
Escritorio Remoto
La variante comercial de VirtualBox
es capaz de redirigir la salida de pan-
talla hasta otro ordenador mediante el
Remote Desktop Protocol (RTP), per-
mitiendo de esta manera que los
usuarios accedan al escritorio de la
máquina virtual directamente desde
la red, sin importar la configuración
de red que hayamos elegido para la
máquina virtual. Esto hace que Vir-
tualBox sea una alternativa para ser-
vidores sin interfaz gráfica.
Para habilitar lo que el fabricante
denomina Remote Display, en primer
lugar tenemos que especificar el
número de puerto que VirtualBox va a
usar para ofrecer el servicio en el sis-
tema anfitrión. Para evitar que el
escritorio de la máquina virtual esté
abierto al público, también tiene sen-
tido especificar un método de autenti-
cación.
External significa que el usuario
debe registrarse en el sistema anfi-
trión a la manera estándar de éste.
Guest significa loguearse en el sistema
invitado. Por último, Null deshabilita
completamente la autenticación.
Tras guardar la nueva
configuración, reiniciamos la
máquina virtual en línea de comandos
tecleando VBoxVRDP -startvm. El
usuario puede iniciar entonces rdes-
ktop o cualquier otro cliente RDP para
virtual en sus puestos de trabajo.
Difícil, Estable y Rápido
Los tres tipos de conexión que ofrece
VirtualBox para conectar las máqui-
nas virtuales tienen ventajas y des-
ventajas, y la solución óptima depen-
derá en realidad de las circunstancias.
Si sólo necesitamos acceder a Inter-
net desde la máquina virtual, el modo
NAT es una opción útil, pero puede
hacer que el acceso remoto sea impo-
sible. En el caso de un servidor en
una zona de pruebas, nuestra única
opción es la compleja configuración
a de Interfaz Anfitrión con las herra-
mientas para los puentes.
Lista de Peticiones
Debido a que la interfaz gráfica de
usuario actualmente no lo soporta, la
implementación de todas las configu-
raciones de red en la interfaz gráfica
es el principal punto que yo añadiría
a una lista de peticiones a la empresa
Innotek. Dicho esto, los competidores
de Innotek no lo han hecho mucho
mejor. Configurar las redes en Xen es
igualmente complejo, y VMware sólo
ofrece una herramienta en línea de
comandos denominada vmware-con-
fig.pl para redes virtuales, aunque la
herramienta puede configurar múlti-
ples redes NAT, sólo-host y modo
puente en unos pocos pasos.
Conclusiones
La solución podría estar a la vuelta de
la esquina. Se rumorea que Innotek
está trabajando duro en la
configuración de redes. Si prefiere no
esperar, será bien recompensado por
el esfuerzo que ponga en ello. Una
vez que haya configurado VirtualBox
de manera adecuada, podrá avanzar
enormemente con estos sistemas vir-
tuales rápidos y estables. ■
RECURSOS
[1] Página de VirtualBox: http://www.
virtualbox.org
[2] Edición Open Source: http://www.
virtualbox.org/download/1.5.2/
VirtualBox-1.5.2_OSE.tar.bz2
[3] Manual de usuario: http://www.
virtualbox.org/wiki/
End-ser_documentation

30 Número 39 WWW.LINUX- MAGAZINE.ES


Davorr, fotolia
Virtualización de rootkits y el futuro para la seguridad de sistemas
MALWARE VIRTUAL
Hay una nueva generación de rootkits que evitan su detección virtualizando el sistema comprometido, así el
usuario legítimo no se entera de nada. POR WILHELM DOLLE AND CHRISTOPH WEGENER
E
l objetivo final en el típico juego del
gato y el ratón que se produce
entre atacantes y defensores es
mantener el control sobre el sistema ope-
rativo (ver Figura 1). El malware tradicio-
nal procura escalar privilegios y, a ser
posible, ejecutarse en el anillo 0, el modo
del kernel del sistema operativo. Una vez
allí, el exploit y el atacante pueden mani-
pular el sistema.
A veces se anuncia la virtualización
como un gran avance en seguridad de sis-
temas. Se pueden ejecutar multitud de sis-
temas virtuales sin que puedan influen-
ciarse los unos a los otros. Este aisla-
miento previene un buen número de técni-
cas estándar de ataque, pero a la vez abre
una nueva frontera para la realización de
ataques que no existían hasta ahora. Los
expertos ya hablan de los rootkits de
nueva generación que aprovechan los
beneficios de la virtualización para evitar
ser detectados.
Malware Virtual • PORTADA
Los rootkits permiten al atacante mante- La virtualización actúa esencialmente
ner en secreto el acceso privilegiado a una como un anillo adicional con privilegios
máquina. Pueden ocultar procesos, cone- incluso superiores a los del anillo 0. Cual-
xiones de red, archivos y directorios para quiera que comprometa el entorno de vir-
controlar remotamente el PC de la víctima tualización controlará prácticamente el
e instalar puertas traseras, monitorizar el entorno físico completo del sistema en el
tráfico de la red o registrar las pulsaciones que se ejecuta. El malware oculto en esta
del teclado. Una vez se está ejecutando en capa es incluso más difícil de detectar y
modo kernel, el rootkit puede filtrar y eliminar que el malware en modo kernel.
manipular los valores de retorno de las lla- Los investigadores de la Universidad de
madas del sistema, así como ocultar archi- Michigan y de Microsoft Research mostra-
vos, directorios y procesos de forma muy ron en 2006 una prueba de concepto ini-
eficiente.
Un rootkit con acceso al modo ker-
nel puede cerrar fácilmente aplica-
ciones en modo usuario (anillo 3),
incluidas las de root. Una vez con-
quistado el kernel se hace extrema-
damente difícil de identificar y elimi-
nar. Claro que, el propietario legítimo Figura 1: El software para la detección sólo puede
de la máquina puede usar también el indentificar el malware que se ejecuta en el mismo
modo kernel para crear una línea de nivel (o uno superior), como el malware y el detector
defensa eficaz. de esta imagen.
WWW.LINUX- MAGAZINE.ES Número 39 31
PORTADA • Malware Virtual
Figura 2: Un rootkit que ataca la capa de virtualización consigue mayores privilegios. El sis-
tema operativo hospedado no puede parar o desinstalar el software.
cial de un rootkit apodado SubVirt [1],
dando lugar a la primera generación de
rootkits capaces de explotar las posibilida-
des de la virtualización. Después de ser
infectada la máquina, el rootkit se instala
por debajo del sistema existente y se eje-
cuta dentro de una máquina virtual tras el
reinicio.
SubVirt modifica para ello la secuencia
de arranque, de modo que la BIOS no car-
gue el MBR (Master Boot Record) pertene-
ciente al sistema operativo, sino que inicia
una máquina virtual. Esta máquina virtual
ejecuta entonces la BIOS y arranca el sis-
tema operativo copiado al entorno virtual
a través del MBR.
Mientras los usuarios continúan traba-
jando en sus sistemas operativos, virtua-
les, ajenos a lo que está sucediendo, Sub-
Virt inicia una segunda instancia y realiza
todo tipo de trucos sucios. El rootkit no se
puede parar o desinstalar desde el sistema
hospedado, porque es él quien controla la
máquina virtual que está utilizando el
usuario. Los investigadores de seguridad
llaman a esta técnica VMBR (Virtual
Machine Based Rootkit).
La Figura 2 ilustra la nueva situación; el
rootkit ocupa las áreas de color gris. La
capacidad de control por parte del atacante
es aún mayor, puesto que puede hacer uso
del VMM (Virtual Machine Monitor) para
manipular, redirigir o bloquear cuales-
quiera datos o características de hardware
del sistema operativo hospedado sin dejar
el más mínimo rastro detectable por los
sistemas de detección tradicionales.
Los investigadores han demostrado que
pueden comprometerse tanto máquinas
con Windows XP como con Linux, imple-
mentando ataques de prueba de concepto
a partir de cuatro vectores diferentes, entre
los que se incluyen un servidor web para
phishing, un keylogger y un spyware que
escanea el sistema infectado en busca de
datos confidenciales.
La tecnología empleada por la versión
de SubVirt para Windows está basada en
32 Número 39
el software Virtual PC de Microsoft, mien-
tras que la versión para Linux está basada
en VMware. De cualquier modo, se necesi-
tan privilegios de administración para la
instalación del rootkit, aunque un atacante
podría usar cualquier método posible para
la obtención del estatus de administrador.
Detección
Las tecnologías para virtualización exis-
tentes, como VMware o Xen, están tan
ampliamente difundidas, que el hecho de
que descubramos que un sistema opera-
tivo se está ejecutando en un entorno vir-
tual no implica necesariamente que haya-
mos encontrado un rootkit. La mayoría de
herramientas de diagnóstico demuestran
la existencia de entornos virtuales
mediante la detección de anomalías. Cal-
culan los tiempos de respuesta, asu-
miendo que un mismo comando tarda
más en ejecutarse en un entorno virtual
que de forma nativa, asumiendo también
que las instalaciones de hardware son
idénticas. El efecto lo provoca el consumo
de ciclos de CPU de la máquina virtual en
sí.
Este tipo de medición
automatizada sirve para la
detección de máquinas vir-
tuales legítimas; de todos
modos, así no se demues-
tra la existencia de un root-
kit, ya que el rootkit puede
controlar también el reloj
interno. Además, la idea de
usar hardware externo
para la medición de tiem-
pos de respuesta manual-
mente presenta un pro-
blema de escalabilidad.
Lo que verdaderamente
pone de manifiesto que un
sistema ha sido infectado
son las anomalías en la
configuración visible del Figura 3: Hay herramientas como hwinfo que sirven para ver
hardware, muy típicas en las diferencias entre el hardware físico y el hardware detec-
entornos virtuales y parti- tado por el sistema operativo.
WWW.LINUX- MAGAZINE.ES
cularmente con los adaptadores de vídeo y
red. Comparando entre la configuración
física real y la salida de comandos como
system-info, hwinfo o el sistema de archi-
vos /proc, se pueden ver las diferencias
(Figura 3). Los administradores de Win-
dows tendrán que usar el administrador
de dispositivos o herramientas de terceros.
La cantidad de disco disponible, o la
memoria, también podrían revelar la exis-
tencia de un entorno virtual. Por ejemplo,
si no podemos emplear el tamaño físico
total de nuestro disco duro, el sistema
anfitrión o la máquina virtual podrían
estar necesitando parte de él. Pero hay que
tener cuidado, porque el sistema anfitrión
podría manipular también estos datos, ya
que puede controlar cualquier tipo de
salida importante del sistema hospedado.
Arranque y Escaneo
Externos
El rootkit descrito anteriormente, SubVirt,
reside permanentemente en el disco duro,
aunque son unos cambios muy difíciles de
detectar desde el sistema en ejecución.
Para reconocer de forma fiable una infec-
ción puede que necesitemos desconectar
la máquina, arrancar desde un medio dis-
tinto y analizar el disco duro, algo proble-
mático para muchos servidores.
Las herramientas desarrolladas específi-
camente para este fin ofrecen a los admi-
nistradores la posibilidad de detectar la
existencia de un sistema virtualizado. Por
ejemplo, Red Pill [2], publicado por
Joanna Rutkowska a finales de 2004. Fun-

ciona porque las instrucciones SIDT, SGDT
y SLDT que ejecutan los sistemas virtuales
devuelven valores distintos a los que
devolvería una CPU nativa. Por ejemplo, la
instrucción SIDT debe devolver la direc-
ción de la tabla de interrupciones.
Como alternativa, Scoopy doo [3], de
Tobias Klein, o las herramientas de Jerry
[4], detectarán un entorno VMware. Si
estamos seguros de estar ejecutando un
sistema exento de virtualización, los
hallazgos positivos de estas herramientas
son un indicador real de actividad de un
VMBR.
Implementado en la CPU
Esta nueva generación de rootkits virtuali-
zadores podría resultar muy peligrosa.
Pero lógicamente esta técnica también pre-
senta sus propias vulnerabilidades. Por
ejemplo, el rootkit necesita que se reinicie
para pasar a estar activo, algo perfecta-
mente detectable. Los desarrolladores de
rootkits han preparado otras técnicas,
algunas basadas en la más reciente virtua-
lización implementada en hardware.
O bien se virtualiza el sistema completo,
como es el caso de las particiones lógicas
de IBM (LPAR [5]), o la virtualización se
limita a componentes individuales, como
el procesador via Intel VT (Virtualization
Technology; formalmente Vanderpool [6])
o la AMD Virtualization (formalmente
Pacifica [7]).
La virtualización de sistemas o de siste-
mas operativos se basa en una VMM que
acepta instrucciones dirigidas al hardware
desde los sistemas hospedados (las
máquinas virtuales). Sin soporte para el
procesador, la VMM tiene que capturar y
modificar determinadas instrucciones del
anillo 0 provenientes del sistema hospe-
dado, por ejemplo, para proteger su propia
gestión de memoria del acceso del hués-
ped.
Por el contrario, la virtualización de los
procesadores de AMD o Intel permite que
la VMM envíe instrucciones directamente
al procesador. La CPU misma se encarga
de mantener separados los procesos del
sistema hospedado y la VMM, debido a
que su lógica es inaccesible incluso para
los procesos del anillo 0. La capacidad de
hacerlo sin necesitar una modificación
intermedia en la VMM mejora el rendi-
miento del sistema.
Algunos investigadores han comenzado
a usar la virtualización de hardware como
modelo para una nueva generación de
rootkits que se benefician de la tecnología
del procesador, permitiéndoles la inserción
de un supervisor adicional entre el hard-
ware visible y el software. El supervisor
toma el control del sistema y convierte el
sistema operativo original, en tiempo de
ejecución, en un huésped virtual. A dife-
rencia de lo que ocurre con la virtualiza-
ción mediante software, este tipo de apro-
piación no necesita un reinicio, lo que
deriva en una mayor dificultad para detec-
tar la intrusión.
Algunos rootkits usan este tipo de tec-
nología, como Blue Pill [8], de Joanna Rut-
kowska, publicada en 2006 para AMD-V o
Vitriol [9], apropiada para Intel VT gracias
a Dino Dai Zovi. En 2007, Rutkowska y
Alexander Tereshkin volvieron a publicar
Blue Pill, reescribiendo la detección com-
pletamente y añadiendo un determinado
número de funcionalidades [10]. Una vez
el nuevo Blue Pill se encuentra ejecután-
dose con privilegios de administrador,
activa el modo SVM (Secure Virtual
Machine) en las recientes CPUs AMD, e
instala el VMCB (Virtual Machine Control
Block), que toma el control del sistema
operativo infectado en modo huésped.
Hasta el siguiente reinicio, el rootkit
mismo trabaja en un nivel inferior a la
capa del supervisor. Al contrario que Sub-
Virt, Blue Pill no reside permanentemente
en el disco duro, y por tanto no sobrevive
a una desconexión total. Por otro lado, no
deja rastro alguno que pueda ser detec-
tado en una investigación forense.
Internet está repleto de controvertidos
debates sobre lo fácil que puede resultar
identificar un rootkit de segunda genera-
ción. Por supuesto que la detección
mediante medición de tiempos de ejecu-
NeoWare
Los nombres de los dos rootkits men-
cionados en este artículo, Red Pill y Blue
Pill (la pastilla azul o la pastilla roja), se
han tomado de la película “Matrix”
(1999). Hay una escena en la que Mor-
feo (Laurence Fishburne) le da a elegir
al hacker Neo (Keanu Reeves) entre
tomar la pastilla roja o tomar la pastilla
azul. La escena se desarrolla en un
antiguo edificio.
Morfeo: Por desgracia, no se puede
explicar lo que es Matrix. Has de verlo
con tus propios ojos. [Se gira hacia
Neo.] Esta es tu última oportunidad. No
WWW.LINUX- MAGAZINE.ES
Malware Virtual • PORTADA
ción de los comandos es menos fiable
ahora, ya que el cómputo adicional es
menor (o incluso inexistente), gracias al
sistema anfitrión. Cuando Joanna Rut-
kowska anunció por primera vez su Blue
Pill como “Malware indetectable”, la gente
se apresuró a desmentir sus afirmaciones.
Se pusieron en la palestra muchas pro-
puestas de detección del rootkit en térmi-
nos de análisis de tiempos. Como mucho,
estos métodos sólo ponen de manifiesto
que el sistema operativo se está ejecu-
tando en un entorno virtual, pero no
implica necesariamente una infección por
rootkit.
Para evitar la detección, Rutkowska y
Tereshkin han desarrollado una aplicación
llamada Blue Chicken [11], que detecta los
análisis de tiempos de respuesta y saca de
la memoria virtual al rootkit temporal-
mente. La carrera entre la tortuga y la lie-
bre, el juego del ocultamiento y la detec-
ción de rootkits, se encuentra en continuo
cambio.
Prevención
Lo mejor que un administrador puede
hacer, dada la dificultad de identificación
de un rootkit una vez ha sido instalado, es
evitar la infección. Es crítico mantener a
salvo el proceso de arranque (monitori-
zándolo), así como lo es también el VMM.
Desde un punto de vista técnico, los
modelos sugieren que el Trusted Compu-
ting Group (TCG [12]) parece un buen sitio
desde el que comenzar. El componente
clave es el módulo TPM (Trusted Platform
Module), un chip hardware que imple-
menta el modelo TCG en la placa base del
equipo. El chip ofrece funciones y opera-
ciones criptográficas, direccionables desde
habrá vuelta atrás. [Morfeo sostiene
una píldora azul en su mano izquierda.]
Si escoges la pastilla azul, aquí se acaba
todo. Te despertarás en tu cama
creyendo lo que quieras creer. [En la
otra mano sostiene la píldora roja]. Con
la pastilla roja te quedarás en el País de
las Maravillas y yo te enseñaré dónde
tiene el conejo su madriguera. [Se pro-
duce una pausa; Neo parece dirigirse
hacia la pastilla roja.] Recuerda, sólo te
ofrezco la verdad, nada más. [Neo toma
la pastilla roja y la ingiere con un vaso
de agua.] [13]
Número 39 33
PORTADA • Malware Virtual
la BIOS y el sistema operativo, y que deter-
minan el nivel de confiabilidad del sistema
operativo.
Algo más importante aún es que puede
usarse para realizar comprobaciones de
integridad durante el proceso de arranque.
Se necesitan rutinas especiales para com-
ponentes críticos del sistema que calculen
hashes criptográficos y los almacenen en
los registros (PCRs) del chip TPM. La
correspondiente instancia de evaluación
compara los valores de los hashes resul-
tantes con los valores de referencia alma-
cenados para declarar la configuración
actual del sistema como válida, permitida
o confiable.
Los valores de hash incorrectos indican
cambios no autorizados en el sistema y
disparan las respuestas oportunas desde la
instancia de evaluación, como la cancela-
ción del proceso de arranque o un kernel
panic. Si la evaluación y su posible res-
puesta ocurren durante el arranque,
entonces se dice que es un arranque
seguro. Si ocurren después, normalmente
mientras es manejada por el sistema ope-
rativo, se dice que es un arranque con-
fiado.
Estas técnicas permiten al administrador
verificar la integridad del sistema al com-
pleto desde los procesos de arranque del
VMM. El chip TPM y algunas partes de la
BIOS actúan como núcleo principal de
confiabilidad para las mediciones. Cuando
el sistema arranca, el chip ayuda a la BIOS
a verificar las partes de sí misma y alma-
cena los valores de hash en los registros de
configuración de la plataforma. Luego, la
BIOS investiga el MBR del dispositivo de
arranque y toma el control del cargador de
arranque.
Si se han dado al cargador de arranque
órdenes al respecto, éste continuará con
las mediciones de los valores. Algunos
objetivos válidos son el archivo de
configuración del cargador de arranque, el
disco de RAM inicial, el archivo del kernel,
el archivo del VMM, etc. Si se hace de
forma consistente, el resultado es una
cadena de confianza desde la BIOS hasta
el VMM. El VMM es dueño de los sistemas
hospedados, pudiendo verificar su integri-
dad y responder apropiadamente, depen-
diendo de nuestro propósito, sin que ellos
interfieran en el proceso. La teoría siempre
suena muy bien, pero llevar a cabo el pro-
ceso puede llevarnos algún tiempo.
Hasta conseguir un arranque completa-
mente seguro, los valores de referencia de
34 Número 39
cada elemento de la cadena deben residir
en una memoria confiable. El único lugar
en el que podemos situar el checksum de
la BIOS y el valor de hash es en la NVRAM
del chip TPM. Entonces la BIOS podrá
guardar los valores de referencia de su
propia NVRAM y el bootloader deberá
tener los valores de referencia del archivo
de configuración. La instancia de verifica-
ción garantiza la confiabilidad del
siguiente elemento de la cadena, inclu-
yendo los valores de referencia del mismo
elemento.
Las Mejores Referencias
Un arranque seguro impone una serie de
severas restricciones con la gestión de
valores de referencia. El administrador
debe reemplazar los valores almacenados
en el chip TPM después de flashear la
BIOS con un nuevo firmware. Si el código
del cargador de arranque cambia, el valor
de referencia en la BIOS debe cambiar, y
así sucesivamente. Todas estas transaccio-
nes deben ser seguras, algo que sólo es
posible con instancias confiables y segu-
ras.
Si una acción falla, el administrador
necesita algún tipo de copia de respaldo y
un mecanismo de recuperación para
arrancar el sistema. Y la pregunta de si el
usuario debería ser capaz de acometer
esta tarea es muy difícil de responder.
La infraestructura al completo funciona
a muy bajo nivel; por ejemplo, el VT de
Intel implementa el modelo mediante
Secure Extensions y Secure Boot. Debido a
las complejidades técnicas, la producción
de estas funcionalidades en los sistemas
de PC probablemente no merezca la pena
por ahora. Los sistemas integrados, teléfo-
nos móviles y PDAs, cuyos valores de refe-
rencia son más sencillos de gestionar, son
candidatos más probables.
Aún queda una pregunta en el aire
sobre quién debería ser el origen de la con-
fiabilidad: ¿el propietario del sistema, el
fabricante, o una tercera parte? El propie-
tario siempre corre el riesgo de perder el
control del sistema debido a, por ejemplo,
un rootkit que comprometa todas estas
medidas, aunque un fabricante puede
querer obligar al usuario a adoptar una
solución determinada.
La virtualización afecta cada vez más a
la operaciones rutinarias de los servidores.
El entorno virtual proporciona muchos
beneficios en materia de seguridad, ais-
lando y paralelizando contextos, pero
WWW.LINUX- MAGAZINE.ES
introduce también nuevos vectores para el
malware.
Los conceptos iniciales demuestran
cómo los rootkits pueden aprovechar la
virtualización para ocultar procesos mali-
ciosos. Se esperan más implementaciones
en un futuro próximo. Por ahora ninguno
de estos rootkits virtualizadores de última
generación ha hecho aparición en la
escena pública, aunque cabe esperar que
lo hagan pronto. ■
RECURSOS
[1] “SubVirt: Implementando Malware
con máquinas virtuales” (inglés) por
Samuel T. King, Peter M. Chen, Yi-
Min Wang. Del Simposio de IEEE
sobre Seguridad y Privacidad http://
www.eecs.umich.edu/Rio/papers/
king06.pdf
[2] “Red Pill … O Cómo detectar VMM
con una sola (o casi) instrucción de
CPU” (inglés) por Joanna
Rutkowska.
[3] Scoopy doo: http://www.trapkit.de/
research/vmm/scoopydoo/index.
html
[4] Jerry: http://www.trapkit.de/
research/vmm/jerry/index.html
[5] IBM LPAR: http://en.wikipedia.org/
wiki/LPAR
[6] Tecnología de Virtualización de Intel:
http://www.intel.com/technology/
platform-technology/virtualization/
index.htm
[7] Tecnología de Virtualización de
AMD: http://multicore.amd.com/
us-en/AMD-Multi-Core/
Quad-Core-Advantage/
At-Work-AMD-Opteron/
Virtualization.aspx
[8] Blue Pill: http://theinvisiblethings.
blogspot.com/2006/06/
introducing-blue-pill.html
[9] Vitriol: http://www.theta44.org/
software/
HVM_Rootkits_ddz_bh-usa-06.pdf
[10] Rediseño de Blue Pill: http://
bluepillproject.org
[11] “IsGameOver() Anyone?” por
Joanna Rutkowska y Alexander
Tereshkin. Invisible Things Lab,
2007: http://bluepillproject.org/stuff/
IsGameOver.ppt
[12] TCG: http://www.
trustedcomputinggroup.org/home
[13] The Matrix: http://www.whysanity.
net/monos/matrix3.html

Lo nuevo de Nokia: Internet en el bolsillo
NOKIA 810
El nuevo Nokia N810 acaba de llegar para quedarse. El concepto de Internet Table que abandera Nokia va
ganando adeptos y nos ofrece, con este nuevo dispositivo, todo lo que nos ofrecía el N800 y algunas cosas
más. Pero ¿vale la pena cambiar nuestro N800 por el nuevo N810? POR ALBERTO GARCÍA SERRANO
N
okia se ha empeñado en popula-
rizar su nuevo concepto de dis-
positivo al que ha bautizado
como Internet Table. El N810 [1], disposi-
tivo que analizamos aquí, pertenece a la
tercera generación, y sin duda, ha mejo-
rado el concepto iniciado por el Nokia
770 y continuado por el N800. El N810
está controlado por el nuevo sistema
operativo OS2008 [2], basado en Maemo
4.0. A pesar de ser fabricados por Nokia,
estos dispositivos no disponen de la
capacidad de realizar llamadas telefóni-
cas usando la red GSM (aunque sí
mediante VoIP). Están más cerca de ser
una PDA, aunque en ellos todo está pen-
sado y enfocado para ofrecer una expe-
riencia de navegación web muy cercana
a la que tendríamos en un ordenador de
sobremesa pero en un dispositivo muy
portable. Es como llevar Internet en el
bolsillo.
La Pantalla
El nuevo N810, al igual que sus predece-
sores, posee una pantalla táctil de 4,13’‘
con una resolución de 800x480 y 65.000
colores, gracias a la cual se puede nave-
gar viendo las páginas WEB casi como
las veríamos en un monitor normal, es
decir, sin tener que estar haciendo scroll
continuamente para acceder a toda la
página. Personalmente la he utilizado
para ver películas mientras viajaba en
tren o en avión, y se dejan ver mucho
mejor que en otros dispositivos como el
iTouch de Apple, que tiene menor resolu-
ción (aunque también es más pequeño).
Nokia ha añadido como novedad un sen-
sor para regular la iluminación de la pan-
talla, lo cual se agradece en exteriores.
Sin embargo, al estar situado en la
esquina superior izquierda, es fácil tapar
el sensor con el dedo pulgar mientras
sujetamos el dispositivo, haciendo bajar
repentinamente la intensidad de ilumina-
ción.
El tacto de la pantalla es preciso y
cómodo cuando pulsamos con el pun-
tero. Es posible conseguir una buena
velocidad de punteo, ya que la pantalla
es rígida y tiene buena sensibilidad. En
este punto se echa de menos que pueda
detectar dos pulsaciones a la vez como
WWW.LINUX- MAGAZINE.ES
Nokia 810 • EVALUACIÓN
va
cosas
hace el iTouch, aunque en un dispositivo
como éste, tampoco es una carencia
grave.
La entrada mediante la pantalla táctil
puede hacerse a través de un teclado
virtual o bien utilizando el reconoci-
miento de escritura (además de poder
usar el teclado integrado).
Sin duda, la gran pantalla del N810 es
una de sus características más reseña-
bles, que seguro no le dejará indiferente.
Conexión a Internet
El verdadero potencial del N810 se mues-
tra en todo su esplendor cuando se
encuentra dentro del radio de cobertura
de una red Wi-Fi. Tiene soporte para
redes IEEE 802.11b/g con WEP o WPA/
WPA2. La conexión a las redes es más
sencilla que con una PDA con Windows
Mobile. De forma intuitiva, el N810 nos
mostrará un listado con todas las redes a
nuestro alcance y, en caso de ser necesa-
rio, nos solicitará la clave de conexión.
Una vez conectados podremos almace-
nar la configuración de la red, de forma
que la próxima vez que entremos en su
Número 39 35
EVALUACIÓN • Nokia 810
Figura 1: N810 con el teclado deslizante.
radio de cobertura, la conexión se realice
de forma automática.
Si no estamos cerca de un punto de
acceso Wi-Fi, mediante bluetooth podre-
mos usar nuestro móvil 3G o GPRS para
acceder a Internet. Personalmente lo he
estado usando con una conexión de
Yoigo, y el funcionamiento es más que
satisfactorio, y a un precio relativamente
económico, siempre y cuando la red de
telefonía no tenga ningún problema. De
esta forma, podremos conectar a Internet
en cualquier momento y lugar.
El nuevo N810 incorpora un nuevo
navegador que utiliza el motor microB
basado en Firefox (el N800 incorporaba
Opera) con soporte para Flash 9 y
AJAX, con lo que no tendremos ningún
inconveniente para usar cualquier apli-
cación de la WEB 2.0, como Youtube,
Flickr, Google Maps o Google Mail. El
navegador funciona correctamente y
permite ver la mayoría de las páginas,
aunque he encontrado algunos vídeos
de Youtube que no se reproducían con
soltura. Esperemos que esto se solu-
cione con la publicación de la próxima
actualización.
Además del navegador incorpora lec-
tor de correo electrónico, lector RSS y
mensajería instantánea. Puede funcionar
como teléfono VoIP usando aplicaciones
como Gizmo o Skype (incorporado por
defecto en Maemo 2008), además de
soportar Google Talk (Jabber).
36 Número 39
¿Evolución o Revolución?
Respecto a sus predecesores, el N810
incorpora una serie de mejoras que lo
hacen un dispositivo muy atractivo, aun-
que el precio también se ha visto incre-
mentado notablemente. Hay que hacer
notar que el N810 no es estrictamente el
sucesor del N800, sino una versión supe-
rior pensada para que ambas convivan
en el mercado.
El N810 incluye como grandes noveda-
des un teclado deslizable y un GPS inte-
Figura 2: N810 es excelente como reproductor multimedia o como teléfono SIP.
WWW.LINUX- MAGAZINE.ES
grado. El teclado es cómodo y permite
teclear bien siempre que no tengamos
unos dedos demasiado gruesos. La ver-
sión que se vende en nuestro país está
en español y contiene la tecla Ñ. Al des-
plegar el teclado las teclas se iluminan,
permitiendo verlas cómodamente. Aún
siendo muy satisfactorio y cómodo de
usar, le he encontrado un par de pegas.
Las teclas superiores quedan muy pega-
das a la pantalla, lo que puede dificultar
el acceso a ellas si tenemos unos dedos
grandes. He echado en falta teclas como
el tabulador, los corchetes o las llaves
para hacer pequeños scripts en Python.
De todas formas, también podremos
usar un teclado bluetooth estándar para
PDA.
El GPS utiliza un software llamado
Wayfinder [3], que en nuestro país
incorpora el mapa de España y Portu-
gal. Este software no es completo ya
que, aunque nos mostrará correcta-
mente nuestra posición en el mapa, si
queremos usarlo para que nos guíe
hasta cualquier punto, tendremos que
pagar una licencia adicional. Afortuna-
damente, podremos usar alternativas
libres como Maemo Mapper. El GPS es
perezoso a la hora de encontrar satéli-
tes. En interiores es inutilizable, mien-
tras que en el exterior tarda un poco en
conectar con los satélites. Hubiera
estado bien que incorporara una cone-
xión para antena exterior. De cualquier
forma, es posible utilizar un GPS blue-

tooth externo en caso de que ya dispon-
gamos de uno.
Pero ¿vale la pena adquirir la N810 con
un precio de 400 Euros cuando la N800
cuesta sólo 249 Euros? El N810 y el N800
son básicamente la misma máquina,
pero con algunas pequeñas diferencias
además del GPS y el teclado.
El N810 incorpora 2GB de memoria
flash, frente a los 256MB del N800.
Ambas son ampliables, pero mientras
que la N810 tiene un solo slot para tarje-
tas microSD/miniSD de hasta 8GB, la
N800 tiene dos slots SD/MMC, con lo
que, aunque parezca extraño, con la
N800 es posible conseguir mayor capaci-
dad de almacenamiento que con la N810.
La cámara web no ha sufrido mejora
alguna, pero en la N800 la webcam es
direccional (puede modificarse el ángulo
de la cámara), mientras que en la N810
es fija. La cámara, con resolución VGA,
cumple correctamente su función para
videoconferencia, aunque no tiene nada
que ver con las cámaras de los móviles
de última generación. En condiciones de
baja luminosidad se observa bastante
ruido en la imagen, pero con luz natural
la imagen es buena.
Los altavoces estéreo cumplen más que
correctamente en ambos modelos, pero
diría que los de la N800 suenan con algo
más de naturalidad. A cambio, en la N800
son más grandes, haciendo que el disposi-
tivo sea más voluminoso que el N810.
Hay otras diferencias de menor impor-
tancia, como el conector USB, que en el
caso del N800 es miniUSB y en el caso del
N810 microUSB. Curiosamente, en el
N810 han eliminado la radio que sí
incluye el N800.
El resto de características son similares
en ambos modelos. Los dos incorporan
un microprocesador TI OMAP 2420 a
400Mhz. Extrañamente, en el N800 la
velocidad de reloj está rebajada artificial-
mente debido a algunos problemas con
la anterior versión de Maemo. Actuali-
zando la N800 a OS2008 el micro recupe-
rará todo su esplendor. Respecto a las
baterías, Nokia afirma que en pleno fun-
cionamiento y haciendo uso de la Wi-Fi
y con la pantalla activa, la batería tiene
una vida de 4 horas. Si sólo escuchamos
música, 10 horas, y en standby 14 días
(sin apagar). Mi impresión es que han
sido conservadores, ya que mi unidad
aguanta más de 14 días en standby. Ade-
más, he podido ver dos películas segui-
Nokia 810 • EVALUACIÓN
Cuadro 1: Características generales del N810.
Tamaño:
• Volumen: 128 cc
• Peso: 226 g
• Longitud: 72 mm
• Anchura: 128 mm
• Grosor: 14 mm
Pantalla:
• Pantalla WVGA de 4,13” y alta resolución (800 x 480 píxeles) con hasta 65.000 colores
Procesador:
• TI OMAP 2420, 400Mhz
Memoria:
• DDR RAM 128MB
• 2 GB Flash
• Admite tarjetas de memoria miniSD y microSD compatibles (con ampliador). Admite
tarjetas de hasta 8 GB. (Las tarjetas SD de más de 2 GB deben ser compatibles con
SDHC).
Batería (Nokia BP-4L):
• Uso continuado (pantalla encendida, LAN inalámbrica activa): hasta 4 horas
• Reproducción de música: hasta 10 horas
• Tiempo siempre online: hasta 5 días
• Tiempo en espera: hasta 14 días
Otras características:
• Carcasa deslizante con teclado QWERTY integrado
• Receptor GPS incorporado
• Altavoces estéreo y micrófono de alta sensibilidad
• Pantalla panorámica de alta resolución
• Cámara Web VGA integrada
• Tecla HW para el bloqueo de teclas y pantalla táctil
• Sensor de luz ambiental
Conexiones:
• Estándar WLAN: IEEE 802.11b/g
• Especificación Bluetooth v. 2.0. +EDR (Perfiles admitidos: HID, FTP, DUN, GAP, SPP,
HSP, SAP y OPP)
• USB de alta velocidad para la conexión con el PC
• Toma de 3,5 mm para auriculares estéreo
das sin necesidad de conectarla a la red 770 cuando apareció OS2007, la nueva
eléctrica. versión corre en el N800 y en el N810,
por lo que sólo necesitaremos descar-
El Nuevo OS2008 garla e instalarla en nuestro N800 para
El lanzamiento del N810 viene acompa- empezar a disfrutar de las nuevas funcio-
ñado por una nueva versión de la distri- nalidades. El primer cambio que se apre-
bución OS2008 basada en Maemo 4.0 cia al comenzar a usar OS2008 es su
(Chinook), que es una distribución novedoso aspecto visual, mucho más
basada en Debian con un entorno gráfico moderno y agradable. La nueva interfaz
pensado para pequeños dispositivos con Hildon 2.0 está basada en GTK 2.10, y en
pantalla táctil llamado Hildon[4], y que esta ocasión las diferencias entre ambas
se basa en las librerías GTK. son mínimas, por lo que portar cualquier
Con respecto a la versión 2007, esta aplicación GTK es sumamente sencillo.
distribución ha evolucionado y mejorado El nuevo navegador, basado en Fire-
de forma evidente. En esta ocasión, y al fox, le ha dado otra vida y lo ha acercado
contrario de lo que pasó con el Nokia definitivamente al mundo de la WEB 2.0.
WWW.LINUX- MAGAZINE.ES Número 39 37
EVALUACIÓN • Nokia 810
Figura 3: Canola Media Player.
Se ha añadido soporte para JavaScript 1.7,
AJAX, eventos de tipo mouse-over y DOM
nivel 3. Ahora podemos ver vídeos en
Youtube o utilizar aplicaciones WEB como
la suite ofimática online de Google. Ade-
más, también se ha incluido Skype en la
instalación por defecto, por lo que mejo-
ran las capacidades de comunicación.
El aspecto multimedia sigue siendo
uno de los fuertes de este sistema. Dis-
pone de soporte de audio para los forma-
tos AAC, MP3, WMA, AMR, AWB, M4A,
MP2, RA (RealAudio) y WAV. Los forma-
tos de vídeo soportados son 3GP, AVI,
H.263, H.264, MP4, ASF, WMV, MPEG-1,
MPEG-4 y RV 7/8/9 (RealVideo). Ade-
más, soporta los formatos M3U, PLS,
Figura 4: El N810 es capaz de traer todos los servicios de Internet a tu bolsillo.
38 Número 39
ASX, WAX, WVX y WPL para listas de
reproducción. Gracias a su conexión jack
para auriculares podremos escuchar
música o ver películas sin molestar a
nadie. Además, podremos instalar repro-
ductores como Mplayer o el estupendo
Canola[5], que hace del N810 todo un
centro multimedia portátil que nos per-
mitirá ver películas, escuchar música (y
la radio en la N800) o ver nuestras foto-
grafías con una calidad nada habitual en
un dispositivo portátil, pudiendo visuali-
zar los formatos BMP, GIF, ICO, JPE,
JPEG, PNG, TIF/TIFF, SVG, Tiny y
WBMP. A pesar del poco tiempo que
hace que el OS2008 comenzó su anda-
dura, ya hay muchas aplicaciones espe-
WWW.LINUX- MAGAZINE.ES
cíficas y otras cientos portadas y empa-
quetadas, listas para instalar desde la
propia WEB de Maemo.
Como ya era habitual en versiones
anteriores, la distribución se hace acom-
pañar de una serie de programas de utili-
dad ya instalados, como un lector de
PDF, un reloj con alarmas programables,
un gestor de archivos, una aplicación de
backup y los juegos Chess, Blocks, Mah-
jong y Marbles.
También se incluye un programa de
terminal para los amantes de la línea de
comandos, en la que incluso podremos
usar APT para instalar programas, aun-
que OS2008 ya incorpora su propio ges-
tor e instalador gráfico.
Conclusión
El Nokia N810 no tiene un perfil claro de
usuario objetivo. No es una PDA, pero
puede usarse como tal. No es un ordena-
dor portátil, pero es el sueño de cual-
quier blogger. Sus capacidades de conec-
tividad y su impresionante pantalla lo
hacen el compañero ideal para estar
siempre online, además de permitirnos
escuchar música o ver películas en cual-
quier parte gracias a su longeva batería.
En el aspecto menos lúdico, al ser un sis-
tema GNU/Linux completo, puede ser
una inestimable herramienta para los
administradores de sistemas, que podrán
conectar remotamente a los servidores
vía SSH, VNC o RDP para realizar peque-
ñas tareas de mantenimiento. Los desa-
rrolladores tienen más fácil que nunca
desarrollar o portar sus aplicaciones gra-
cias al amplio soporte de lenguajes como
Python o Ruby, además de C, entre otros
muchos. Sin duda, un candidato per-
fecto, junto con la Sharp Zaurus o el
Asus eee para conquistar el corazón de
los amantes de los dispositivos móviles
controlados por GNU/Linux. ■
RECURSOS
[1] Nokia N810: http://www.nokia.es/
A4630461
[2] Página web de Maemo: http://
maemo.org/
[3] Página web de Wayfinder: http://
www.wayfinder.com/?sid=21
[4] Entorno de usuario Hildon: http://live.
gnome.org/Hildon
[5] Canola media player: http://
openbossa.indt.org.br/canola2/
 MythTV • PRÁCTICO

Construye tu propio servidor de vídeo

TELECASA

Simplemente conectamos nuestro servi-

dor a la red de casa y lo llevamos a algún
sitio fuera de lo común, por ejemplo al ático
o al trastero, desde donde pueda servir vídeo
y material de TV a un PC central de medios
diminuto que se encuentra en nuestro salón.
El mini PC ejecuta el frontend MythTV, el
cual dispone de una conexión a nuestro ser-
Vamos a mostrarte cómo construir tu propio servidor de vídeo vidor que nos permite buscar nuestros archi-
vos de vídeo o acceder a la guía de progra-
basado en Linux que graba, almacena y distribuye programas
mas electrónicos para decidir cuál debería
de TV. POR TIM SCHÜRMANN grabar nuestro servidor.
Antes de comenzar examinaremos los
requerimientos hardware.

L
as cintass de vídeo pasaron a mejor vida desde el momento en el que los
aficionados a las películas las empezaron a grabar en DVDs o en discos En el Ático
duros. Pero incluso estas recientes tecnologías requieren espacio y distribu- Si tenemos acceso a TV digital, el dispositivo
ciones adecuadas, de manera que un servidor de vídeo hecho por nosotros resulta de recepción sólo necesita grabar el flujo de
una práctica alternativa. Usando el software para centros de medios MythTV, una TV y descargarlo en el disco. Al mantener los
tarjeta de TV y un PC sobrante, podemos construir rápidamente un servidor de requerimientos hardware del servidor de
vídeo que sirva vídeos digitales en casa. vídeo bajos, nos permite que un viejo orde-
nador sea suficiente. Para recibir el programa
Hora de Juguetear de televisión necesitamos una tarjeta TV que
La Figura 1 muestra cómo funciona esta configuración. El sistema está basado en coincida con nuestra conexión. Actualmente
un PC Linux estándar que se convertirá en un grabador digital de vídeo gracias a disponemos de las opciones aérea o de
MythTV. El software usa la tarjeta de TV interna para escanear canales de TV y antena (DVB-T), cable (DVB-C) y satélite
almacenarlos en un disco duro interno. A diferencia de los grabadores de disco (DVB-S).
duro que se venden por ahí, la capacidad del disco duro es casi ilimitada si utiliza- Antes de dirigirnos a la tienda de electró-
mos nuestro propio PC, ya que,si nos quedamos sin espacio podemos añadir un nica más cercana debemos examinar el sitio
disco o sustituir el que tengamos por otro modelo más grande. web sobre TV en Linux [1]. La wiki de DVB

WWW.LINUX- MAGAZINE.ES Número 39 39

PRÁCTICO • MythTV
Figura 1: El backend MythTV se ejecuta en el servidor de vídeo en talar el software central
al ático mientras el frontend distribuye el contenido a un PC en el de medios. A pesar de
salón.
ofrece una base de datos de las tarjetas de TV
con soporte Linux. Para comprobar que
nuestra tarjeta funciona realmente es aconse-
jable arrancar el reproductor de medios Kaf-
feine (o una herramienta equivalente de
nuestro sistema Linux). Si no conseguimos
ver una imagen, o si el menú de la versión de
que disponemos carece de la opción Digital
TV, comprobamos la salida dmesg. Muchas
tarjetas TV nos preguntan por un fichero
firmware que necesitaremos para descargar
Internet y copiarlo al directorio correcto (nor- sario añadir un repositorio externo. Para
malmente /lib/firmware). Si necesitamos
ayuda, podemos probar la wiki en
Linuxtv.org.
¡Adelante!
En Europa la transmisión de datos usa el
estándar DVB (Digital Video Broadcast); es
decir, los vídeos salen al aire en el mismo for-
mato que usan los DVDs. Esto significa que
las tarjetas de TV aportarán una gran ancho
de banda, o flujo de datos continuo, lo que
sobrecarga a la CPU y lo que a su vez exige
que dispongamos de discos capaces de escri-
bir los datos rápidamente. Estados Unidos se
encuentra actualmente en fase de transición
del formato NTSC al nuevo estándar ATSC.
En cualquier caso, debemos asegurarnos de
que nuestro disco pueda con la tasa de trans-
ferencia.
Después de comenzar la grabación del
vídeo digital, el volumen de datos en nuestro
disco aumentará rápidamente. Es conve-
niente guardar los vídeos en un segundo
disco duro que podamos sustituir fácilmente
por otro modelo mas grande. Necesitamos
bastante espacio libre y un sistema de fiche-
ros que acepte la carga sin problemas. Según
Microsoft, FAT32 tirará la toalla a los 4GB, lo
que también se aplica a las versiones 3 y 4 de
ReiserFS. Así, el documento MythTV reco-
mienda que elijamos XFS o JFS, aunque un
disco ext3 también funcionará.
Comprueba los Estatutos
Locales
Antes de grabar emisiones de TV, com-
prueba las leyes de tu país.
40 Número 39
MythTV
Una vez que se encuen-
tre funcionando el
hardware del servidor
de vídeo podemos ins-
que la instalación
requiere algún reside en el servidor. El backend además
esfuerzo, la lista de pasos es razonable y
cualquier distribución importante incluirá
MythTV o nos permitirá descargarlo de un
repositorio.
En OpenSUSE 10.3 necesitaremos habili-
tar el repositorio Packman en Yast bajo Soft-
ware | Community Repositories. Cambiamos
luego a Software management e instalamos
la versión 0.20.2 de los paquetes mythtv-
backend, mythtv-setup y mythtv-frontend.
En Ubuntu 7.10 “Gutsy Gibbon” no es nece-
añadir la versión 0.20.2 de los paquetes eje- mos nuestro ordenador. Si la distribución
cutamos Synaptic o Adept.
Si debemos compilar el software, graba-
mos el código fuente de MythTV del sitio
web del proyecto [2]. Si creemos que la ins-
talación es demasiado complicada, debería-
mos probar una de las distribuciones Live
Compilación
Para compilar MythTV necesitaremos
las siguientes librerías y herramientas:
g++ y make, Qt (incluyendo paquetes
de desarrollador y herramientas; Open-
SUSE llama a este paquete qt3-devel,
FreeType2, el codificador de MP3 Lame
y la base de datos completa MySQL.
Si nuestra tarjeta de TV funciona direc-
tamente sin necesidad de drivers, nece-
sitaremos instalar las fuentes del kernel
de Linux; en caso contrario, también
deberemos desempaquetar el archivo
con los drivers externos. En OpenSUSE
tendremos que añadir además /usr/lib/
qt3/bin a nuestra variable de entorno
$PATH:
exportPATH=$PATH:/usr/lib/qt3/bin
Si deseamos, podemos instalar enton-
ces XMLTV, una herramienta que pro-
porciona una guía de programa electró-
nico completa (EPG) que recupera los
datos necesarios de Internet. Para
comenzar a compilar, desempaqueta-
mos el código fuente de MythTV y
damos los comandos siguientes:
$ ./configure —dvb
—dvb-path=
/path=/usr/src/linux/include
WWW.LINUX- MAGAZINE.ES
especiales, como KnoppMyth [3] o
Mythbuntu [4].
Doble Personalidad
MythTV se compone de dos partes: El fron-
tend, que proporciona una interfaz gráfica de
usuario y se ejecuta en nuestro salón, y el
backend, que realiza todo el trabajo duro y
almacena la información que le pasamos,
como el tiempo de inicio de grabación, en
una base de datos MySQL. Antes de arrancar
MythTV debemos tener la base de datos eje-
cutándose en el trasfondo.
La manera de arrancar la base de datos
depende de nuestra distribución. En Open-
SUSE 10.3 nos convertimos en root y ejecuta-
mos al comando rcmysql; en Ubuntu, sudo
/etc/init.d/mysql restart. Resulta lógico confi-
gurar MySQL en nuestro servidor automáti-
camente para que se inicie cuando arranca-
que poseemos no lo hace por nosotros aún
(Ubuntu sí lo hace), podremos usar las
herramientas del sistema para cambiar las
opciones.
Ahora MySQL está ejecutándose feliz-
mente en el trasfondo, aunque no tenemos
$ qmake mythtv.pro
$ make
$ sudo make install
Si usamos un driver externo para
nuestra tarjeta de TV, buscamos el
código fuente del driver para un
fichero frontend.h. A partir de ahora
las cosas comienzan a complicarse y
necesitamos cambiar directorios (fron-
tend.h se guarda en linux/dvb). Deter-
minamos la ruta absoluta desde el
directorio root (/) a nuestro directorio
de trabajo actual y usamos esta ruta
en los comandos previos en lugar de
/usr/src/linux/include (por ejemplo,
necesitamos la ruta completa a linux/
dvb/frontend.h).
Si se produce un error relacionado con
el fichero dca.h mientras se compila el
programa, necesitaremos instalar la
librería libdca (libdts) y marcar las
librerías del desarrollador (-dev o -
devel) [5].
Tras instalar MythTV, los usuarios de
Ubuntu necesitan añadir una línea
para /usr/local/lib a sus ficheros /etc/
ld.so.conf.
 MythTV • PRÁCTICO

Figura 2: Menú principal del programa setup. Se despliega los elemen- Figura 3: En este diálogo, la opción “IP address for” es crítica. Si
tos del menú de arriba a abajo. Las teclas Tab y de flechas permiten tienes una entrada de 127.0.0.1, tal y como se muestra aquí, el front-
navegar entre los campos y Esc nos vuelve al menú principal. Si pul- end en tu PC en el salón estará habilitado para poder acceder al back-
samos la barra espaciadora se seleccionan las opciones destacadas. end de la máquina del ático.

una base de datos para MythTV. Para crearla,
escribimos mysql -u root < mc.sql. El fichero
mc.sql se encuentra localizado en el subdi-
rectorio database bajo el archivo de código
fuente de MythTV.
Si instalamos la versión que viene en
Ubuntu, un asistente nos ayudará a configu-
rar la base de datos. En el proceso deberemos
tomar nota de la contraseña que vemos para
acceder a la base de datos en el backend. Si
olvidamos escribirla, podremos encontrarla
en el fichero /etc/mythtv/mysql.txt.
Opciones Básicas
Lo que sigue a continuación es arrancar
mythtv-setup en el servidor de vídeo para pre-
parar el backend para el acceso mediante el
frontend de MythTV. Bajamos el menú de
configuración desde la parte superior (Figura
2) y modificamos nuestras opciones. Pul-
sando Tab y las teclas de flecha navegamos
entre los campos. Con Esc volveremos al
menú principal. Si pulsamos las teclas de fle-
cha a la izquierda y a la derecha cambiaremos
los valores en la lista, mientras que la barra
espaciadora seleccionará el botón resaltado.
Primero comprobamos General para ver si
la dirección IP para IP address for coincide
con nuestra dirección de servidor (Figura 3).
El predeterminado 127.0.0.1 hace referencia
al cliente mismo, una opción para ejecutar el
backend en la máquina local.
Bajo estas opciones existen un par de
puertos TCP que usan el backend y el fron-
tend para comunicarse. Si usamos un fire-
wall necesitaremos abrir un par de agujeros
en él para emparejar estas opciones.
Pulsando Next cambiaremos a un cuadro
de texto en el que podremos introducir el
directorio donde MythTV guardará nuestras
grabaciones. Evidentemente, este directorio
estará en el disco duro de nuestra máquina
servidor. Luego configuramos TV norm,
video text norm y las opciones de frecuencia
de transmisión de nuestra región.
Lo siguiente en la lista son las TV cards.
Comenzamos configurando un (New capture
card). En el diálogo que sigue seleccionamos
DVB DTV TV Card (v3.x) bajo Card type
(Figura 4). MythTV nos mostrará el nombre
del chipset para la tarjeta en Frontend ID.

Figura 4: Inmediatamente después de configurar las “Cards types” Figura 5: Especifica cómo MythTV recupera información en el
(tipos de tarjeta), el stick DVB_T USB se había conectado a la recolector de listados. Las opciones correctas para la fuente de vídeo
máquina, se detectó. En este caso no fueron necesarias otras le dicen a MythTV que recoja la información del programa electrónico
opciones. desde el flujo de canales.

WWW.LINUX- MAGAZINE.ES Número 39 41

PRÁCTICO • MythTV

Figura 6: Conexión de entrada entre la fuente de vídeo “DVB-T” y la Figura 7: El escaneo de canales me hizo temer ocasionalmente que
tarjeta de TV. MythTV se había colgado.

Para tarjetas DVB-S necesitaremos compro-
bar las opciones DiSEqC.
Tras pulsar Finish volveremos a la lista de
tarjetas de TV, donde podremos configurar
otra distinta si es que tenemos. Esto es útil si
deseamos disponer de la opción de mirar un
canal mientras grabamos otro. Con unas
pocas excepciones, las tarjetas de TV nos
darán un canal a la vez, sin que tengamos
virtualmente ninguna alternativa en este sen-
tido. Debemos asegurarnos de usar una Card
ID diferente para los dos receptores. Pul-
sando Esc volvemos al menú principal.
Guía de Programa
En el elemento Video sources especificamos
de dónde cogerá MythTV la información para
su guía de programa electrónico. En el menú
principal seleccionamos el elemento Video
sources y a continuación (New video source).
Comenzamos introduciendo un Name, y
luego especificamos cómo MythTV obtendrá
la información en Listings grabber (Figura 5).
Transmitted guide only (EIT) recoge infor-
mación adicional de los datos que cada
variante DVB transmite junto con el flujo de
TV. Si hemos instalado XMLTV, podemos
especificar esta aplicación como fuente. Para
configurarlo, necesitaremos cambiar a una
ventana terminal pulsando Alt + Tab. Esto
configura la fuente de datos para la guía de
programa electrónico, aunque MythTV no
sabe aún a qué tarjeta de TV pertenece la
información. Seleccionando Input connec-
tions en el menú principal nos llevará a una
lista de tarjetas de TV para elegir y un mapa
a la nueva entrada en el diálogo en Video
sources (Figura 6).
Seguidamente iniciamos Scan for chan-
nels. Manteniendo los valores predetermi-
nados, pulsamos Next >. El escaneo de
canales llevará un tiempo y MythTV necesi-
tará pararse ocasionalmente y procesar
(Figura 7). Los resultados son una lista
completa de canales para la tarjeta TV.
Pulsando Finish dos veces y Esc una vol-
veremos al menú principal, donde podre-
mos modificar la lista pulsando Channel
Editor.
Presionando Esc salimos del programa de
configuración y abrimos dos ventanas de
terminal. En la primera, como root, inicia-
mos el backend escribiendo mythbackend.
En Ubuntu 7.10 no podremos usar el
comando sudo /etc/init.d/mythbackend res-
tart para esto.
En la otra ventana arrancamos el frontend
introduciendo mythfrontend. Ésta será la
interfaz que veremos más tarde en el PC de
nuestro salón (Figura 8). Para comprobacio-

Figura 8: El menú principal del frontend es el centro de control para el Figura 9: El programa de TV prueba que el backend y el frontend están
backend. Esto muestra también la interfaz que veremos en la pantalla funcionando. La información de canales sólo se muestra durante un
en nuestro salón. par de segundos cuando se enciende el canal.

42 Número 39 WWW.LINUX- MAGAZINE.ES


Figura 10: Los distintos temas permiten a los usuarios cambiar la MythTV para probar
apariencia del frontend. Existen más disponibles en el sitio web de nuestro candidato a
MythTV [2].
nes seleccionamos Watch TV, y deberíamos
ver una imagen de TV (Figura 9).
Pulsando las teclas de flecha navegaremos
por los canales y con Enter cambiaremos de
canal. Una vez que hayamos completado
este test funcional, abandonamos el frontend
pulsando Esc dos veces y confirmando
cuando se nos pregunte. Ahora nuestro servi-
dor está funcionando y debemos asegurar-
nos de que mythbackend se iniciará automá-
ticamente en el momento del arranque. Para
el resto de la configuración no necesitaremos sin ejecutar mythyv-setup. En su lugar
el frontend en el servidor.
Si intentamos acceder a los recursos del
backend de MythTV desde el salón necesita-
remos un PC tan silencioso como sea posi-
ble. Desafortunadamente, una CPU de alto
rendimiento necesita una buena cantidad de
refrigeración, lo que significa disponer de un predeterminados. Con la contraseña del
ventilador para extraer el aire caliente de la backend que mencionamos antes, sustitui-
caja. En el mercado se encuentran actual-
mente ordenadores pequeños y buenos idea-
les para entretenimientos caseros.
Asuntos MPEG
Antes de que los flujos de datos trans-
portados por DVB puedan mostrarse en
pantalla, deben ser decodificados. La
decodificación se lleva a cabo mediante
librerías de las que carecen algunas dis-
tribuciones, aunque deberíamos poder
instalar las que faltan desde un reposito-
rio buscando la palabra clave multime-
dia. Los usuarios de OpenSUSE deben
habilitar el repositorio Packman, como
mencioné previamente. Cuando se
arranca por primera vez, Kaffeine per-
mite conocer qué librerías faltan y nos
ofrece ayuda para descargarlas.
Tanto si optamos
por una máquina
normal, como si
construimos una
nosotros mismos,
debemos asegurar-
nos de que ejecute
Linux y reproduzca
DVDs sin interrup-
ciones. La televisión
de alta definición
(HDTV) es actual-
mente el dominio de
las CPUs de alto ren-
dimiento. Arrancar
un Live CD de
central de medios en
la tienda es algo que
tiene sentido hacer [4] [5].
También debemos asegurarnos de que
nuestro PC tenga los conectores adecuados
para la televisión. Si tenemos una antigua
TV CTR necesitaremos un puerto TV en la
tarjeta (uno que soporte Linux, evidente-
mente), o un conversor VGA-a-TV externo.
Después de instalar nuestro PC con su
central de medios, deberemos configurar
de nuevo MythTV siguiendo los mismos
pasos que ya hicimos con el servidor, pero
arrancamos mythtv-frontend, cambiamos a
Tools | Cofiguration, pulsamos Enter y
seleccionamos General. Para localhost,
introducimos el nombre de host o la direc-
ción IP de nuestro servidor. Para las demás
opciones podemos mantener los valores
mos la contraseña. Ahora mantenemos
pulsado Next hasta que consigamos ir a
Finish.
El frontend intentará contactar con el ser-
vidor y, suponiendo que esto funciona, nos
volverá de vuelta al submenú. Seleccio-
nando Appearance podremos modificar la
apariencia de la interfaz (Figura 10).
Sin Tiempo
Schedule a recording nos permite usar el
frontend en nuestro salón para decirle al
backend del ático que grabe un programa.
La manera más fácil de hacerlo es con Pro-
gram guide, que nos da una lista de progra-
mas para las dos horas siguientes. Pulsando
Enter seleccionamos un programa, pudiendo
configurar luego los parámetros en el diálogo
nuevo que aparece. Pulsando las teclas de
WWW.LINUX- MAGAZINE.ES
MythTV • PRÁCTICO
flecha a la izquierda y a la derecha cambia-
mos los valores, y con las teclas hacia arriba y
hacia abajo las opciones. Pulsando Save set-
tings armamos al servidor para la grabación.
Manual recording nos da otra opción: Con-
figurar la hora de inicio y parada como en un
grabador de vídeo. Recording options nos
lleva hasta una pantalla familiar con más
opciones.
Para evitar tener que arrancar el frontend a
mano cada vez en nuestro PC central de
medios, es aconsejable autoarrancar el pro-
grama cuando iniciamos la máquina. Luego
podemos sustituir el teclado con un control
remoto. MythTV soporta arranque remoto y
automático, y apagado para la máquina ser-
vidor. De este modo, el servidor está en mar-
cha sólo cuando estamos grabando, lo que
puede ayudarnos a ahorrar energía. Si le pre-
guntas, el backend suprimirá incluso los
anuncios de la grabación.
Extensiones
Numerosas extensiones que se encuentran
disponibles en la página MythTV pueden
cambiar el servidor de vídeo a un auténtico
servidor de medios. MythTV reproducirá
DVDs y administrará nuestra colección de
música. La documentación de la extensión
MythTV está disponible en el sitio web en el
subdirectorio docs bajo el directorio archivo
del código fuente. ■
Cambio de la Dirección IP
Si cambiamos la dirección IP en el back-
end, necesitaremos modificarla en
$HOME/.mythtv/mysql.txt en cualquier
máquina con un frontend o un backend.
A continuación volvemos a arrancar
mythtv-setup en nuestro servidor y
cambiamos la dirección IP. Una vez lo
hayamos hecho se restaurarán las
comunicaciones.
Para una configuración más perma-
nente, hemos de asegurarnos de que el
servidor tiene una dirección IP estática.
RECURSOS
[1] TV Linux: http://linuxtv.org
[2] MythTV: http://mythtv.org
[3] KnoppMyth: http://mysettoopbox.tv/
knoppmyth.html
[4] Mythbuntu: http://www.mythbuntu.
org
[5] Librería libdca: http://www.videolan.
org/developers/libdca.html
Número 39 43
 DESARROLLO • Perl: Trucos

Juegos matemáticos con script Perl

TRUCO MENTAL
Aleksandr Popov, Fotolia

Un truco que cualquiera puede aprender nos permite averiguar el día de

la semana a partir de la fecha. Vamos a aplicar algo de tecnología Perl

para descubrir hasta qué punto el método es fiable.

POR MICHAEL SCHILLI

H
ace poco, mientras leía el libro (YY + (YY div 4)) mod 7 módulo 7 es 1. Por tanto, el valor para
Mind Performance Hacks [1], el año es 1.
quedé impresionado con el donde YY es el año expresado con dos El valor del mes se toma a partir de
Hack Número 43, que explica cómo dígitos (07 para 2007). El operador div la Tabla 1, que tendremos que memori-
determinar el día de la semana a partir divide sin resto: 7 div 4 es 1, ya que 7 zar usando alguna ayuda mnemotéc-
de una fecha cualquiera. entre 4 da como resultado 1 y el resto, nica (descrita más adelante en la sec-
El método se atribuye a Lewis Carrol 3, se ignora. Se realiza una operación ción “Trucos Mnemotécnicos”). La
[2], autor de Alicia en el País de las módulo 7 sobre la suma resultante: 8 tabla ofrece un valor de mes 0 para
Maravillas. Sencillamente calcula cua- octubre. El valor para el día es simple-
tro valores, uno detrás de otro, para el Tabla 1: Valores de Mes mente su número, por lo que para el 4
año, mes y día, y un cuarto valor como de octubre tenemos un 4.
Valor Mes
factor de ajuste. A continuación suma
0 Enero
los valores, los divide entre 7 y el resto, 3 Febrero Tabla 2: Valores de
sorprendentemente, nos proporciona el 3 Marzo Ajuste para los Años
día de la semana como un número 6 Abril
Año Valor
entre cero (domingo) y seis (sábado). 1 Mayo
1700 4
4 Junio
Día de Ejemplo 6 Julio
1800 2
2 Agosto 1900 0
Como ejemplo, voy a tomar una fecha
5 Septiembre 2000 6
cualquiera, por ejemplo el 4 de octubre
0 Octubre 2100 4
de 2007, como punto de partida. Para
3 Noviembre 2200 2
obtener el valor del año, hacemos lo
5 Diciembre 2300 0
siguiente:

44 Número 39 WWW.LINUX- MAGAZINE.ES


Tabla 3: Valores de Día
Valor Día de la Semana
0 Domingo
1 Lunes
2 Martes
3 Miércoles
4 Jueves
5 Viernes
6 Sábado
El cuarto valor que tenemos que
mantener en nuestra cabeza se toma de
la Tabla 2, que proporciona un valor de
ajuste 6 para los años comprendidos
entre 2000 y 2099.
No es necesario memorizar esta
tabla, simplemente podemos recordar
los valores para 2000 (6) y 1900 (0),
ya que la mayoría de la gente pregun-
tará por días de eventos recientes o
fechas de nacimiento. Un detalle es
que tendremos que restar 1 para los
años bisiestos si la fecha que estamos
buscando está en enero o febrero,
pero 2007 no es un año bisiesto, por lo
que podemos ignorar esto de
momento.
Por lo tanto, los cuatro valores son 1
(año), 0 (mes), 4 (día) y 6 (factor de
ajuste). Si sumamos estos valores
(=11) y realizamos la operación
módulo 7 al resultado, tenemos un
valor de 4.
Un vistazo rápido a la Tabla 3 revela
que, (tambores aquí por favor), efecti-
vamente el 4 de octubre de 2007 fue
jueves.
¡Probando Un Dos Tres!
La pregunta es si este truco realmente
proporciona el día de la semana para
cualquier fecha. El script del Listado 1
[3] itera a través de cada día a partir
del 1.1.1700 (día.mes.año) hasta el día
Figura 1: Test::More muestra los resultados
de los tests individuales.
Tabla 4: Ejemplos
Fecha Valor Año Valor Mes
01.01.1970 3 0
14.07.1995 6 6
11.09.2001 1 5
01.02.2004 5 3
01.03.2004 5 3
04.10.2007 1 0
actual (a través de un periodo de la his-
toria que ha contemplado la fiebre del
oro en California y dos guerras mun-
diales), y siguiendo hasta un mundo
futuro, propio de “Star Trek: The Next
Generation” en el siglo 24.
La línea 34 del script define la fun-
ción wday_mindcal(), que aguarda el
año con cuatro dígitos, el mes y el día
de una fecha. A continuación el script
aplica las reglas explicadas anterior-
mente para calcular los valores para el
año/mes/día y el factor de ajuste, y a
continuación realiza los cálculos nece-
sarios para determinar el número del
día de la semana.
Los valores del mes se guardan en el
array @MONTH, desde enero hasta
diciembre. Debido a que los arrays
comienzan en el índice 0 en lugar del
1, debemos restar uno al mes que esta-
mos buscando para acceder al array
con el índice correcto.
Los factores de ajuste para los distin-
tos siglos se guardan en el hash %ADJ.
Las líneas 10 a 12 pueblan el hash asig-
nando una lista que tiene alternativa-
mente los números del siglo y los valo-
res de ajuste correspondientes.
Los valores de referencia se calculan
mediante el módulo DateTime de
CPAN, que cuenta en sentido ascen-
dente desde el 1.1.1700 hasta el
31.12.2399 y proporciona el día, mes y
año para cada iteración.
El bucle infinito que comienza en la
línea 20 no es realmente infinito, ya
que la línea 30 ejecuta la salida del
bucle si el año de la fecha actual es
mayor que 2399. Dentro del bucle, el
método add() del objeto DateTime
suma un día a la fecha actual y envía al
programa a la siguiente iteración.
Figura 2: Test::Harness recopila los resultados.
WWW.LINUX- MAGAZINE.ES
Perl: Trucos • DESARROLLO
Valor Día Ajuste Día de la Semana
1 0 4 Jueves
14 0 5 Viernes
11 6 2 Martes
1 5 0 Domingo
1 6 1 Lunes
4 6 4 Miércoles
CPAN para la Comparación
DateTime tiene una función para el día
de la semana, wday(), que numera los
días desde el 1 (lunes) hasta el 7
(domingo). Mindcal efectúa un módulo
7 para cambiar el 7 de domingo a 0 y
compara los resultados con los valores
devueltos por wday_mindcal(), que
estarán entre 0 (domingo) y 6
(sábado).
El script implementa una función de
división sin resto, div, habilitando un
pragma en la línea 39, use integer. Una
vez que configuremos este modo, Perl
ignorará el punto flotante y trabajará
con enteros, es decir, que 17/4 da como
resultado simplemente 4.
La función leap_year() de la línea 64
determina si el año es bisiesto. Si el
año es divisible entre 4, es un año
bisiesto, a menos que sea divisible
entre 100. Por otro lado, si es divisible
entre 400, sí será bisiesto. Por
supuesto, DateTime usa la misma
lógica, ya que queremos que el script
emule a alguien que haga estos cálcu-
los mentalmente.
Las comparaciones se realizan
mediante la función is() que se ha
exportado por él módulo Test::More de
CPAN. La función aguarda tres paráme-
tros: el valor actual proporcionado por
el genio matemático del script mindcal,
el valor de referencia de DateTime, y
un comentario consistente en un objeto
DateTime pasado a cadena, y por tanto
legible.
El script pasa no_plan a la instruc-
ción Test::More use para especificar que
el número de tests a ejecutar es indefi-
nido.
La Figura 1 muestra la salida de
mindcal. Dando por supuesto que
Número 39 45
DESARROLLO • Perl: Trucos

nadie está interesado en estudiar las quejarse en STDERR si tenemos más de como 3.14 (fácil por pi) pero con un 6
250.000 líneas del resultado generado 100.000 casos de prueba en nuestros al comienzo, debido a que tenemos dos
en pantalla, el módulo Test::Harness tests. 3s. Seguimos con el 625, que comienza
recopila los resultados proporcionados La línea de comandos mostrada en la por 6 y es 252, el área de un cuadrado
por el juego de tests. La línea con el Figura 2 envía estos mensajes a un (bonito cambio desde el círculo (pi).
comando agujero negro mediante el manejador Terminamos con el 035, dos más que el
perl -MTest::Harness U de señales _WARN_. Después de todo, primer grupo 033”.
-e’runtests(“mindcal”)’ Lewis Carrol tenía razón: los 255.699 Visualizamos los grupos de tres, lo
tests se ejecutaron sin error. que me facilita saltar al comienzo de la
ejecuta el script mindcal y monitoriza segunda mitad del grupo de años, con
qué valores devueltos por el test están Trucos Mnemotécnicos el número 6 asignado a julio.
ok y cuales están not ok. Una ayudita para nuestra memoria nos
facilitará recordar los valores del mes. La Práctica hacia la
Resultados de la Prueba Los números desde enero a diciembre Perfección
Al final del test el usuario recibe un son 033614625035 si los colocamos Al comienzo, los cálculos pueden
resumen completo, como el mostrado todos juntos. Yo prefiero dividir este resultar un poquito lentos, especial-
en la Figura 2. La línea de comandos de monstruoso número en grupos de tres, mente si tratamos de averiguar días de
la Figura 2 es ligeramente diferente de 033-614-625-035, y si a continuación la última parte del siglo pasado.
la señalada anteriormente. Test::Har- hacemos uso de la mnemotecnia: Pensemos en 1995, por ejemplo. 95
ness tiene el desagradable hábito de “Comenzamos con 033 y vamos al 614 dividido entre 4 es 23, ignorando frac-
ciones. 95 más 23 es 118, y 118 módulo
Listado 1: mindcal 7 es 6. Si nos cuesta hacer estos cálcu-
01 #!/usr/bin/perl 32 my($year, $month, $day) =
los rápidamente en nuestra cabeza,
02
deberíamos limitarnos a aceptar fechas
@_;
de un año concreto o del año en curso.
03 use strict; 33
En adelante podríamos calcular el valor
04 use warnings; 34 use integer;
para ese año y sólo recordar éste. Por
05 use Test::More qw(no_plan); 35
ejemplo, 1 para 2007.
06 use DateTime; 36 my $year2 = $year % 100;
07 37 my $cent = $year / 100; Más Ejemplos
08 my @MONTH = qw(0 3 3 6 1 4 6 2 38 my $y = ($year2 +
La Tabla 4 nos proporcionó un par de
5 0 3 5); ($year2 / 4)) % 7;
ejemplos prácticos. Recordemos que
09 my %ADJ = qw(1700 4 1800 2 39
2004 es un año bisiesto, por lo que ten-
1900 0 2000 6 40 my $m = dremos que registrar uno para fechas
10 2100 4 2200 2 $MONTH[$month-1]; de enero o febrero, pero no para los
2300 0); 41 my $d = $day; restantes meses.
11 42
12 my $dt = DateTime->new(
43 my $adj = $ADJ{$cent * ¡Qué siga el Espectáculo!
13 year => 1700,
100}; Una vez que hemos aprendido el truco,
14 month => 1,
44 podemos asombrar a nuestra audiencia
15 day => 1,
45 $adj— if leap_year($year) con nuestros prodigios mentales.
16 );
and Podremos comenzar con un pequeño
17
46 $month <= 2; grupo de amigos y luego pasar a fiestas
18 while(1) {
47 ¡o incluso a teatros llenos hasta la ban-
19 my $calc = wday_mindcal(
48 return( ($y+$m+$d+$adj) % dera! ■
20 $dt->year,
7 );
$dt->month, $dt->day);
21
49 } RECURSOS
50
22 is($calc, $dt->wday() % 7, 1] Hale-Evans, Ron. “Mind Performance
51 ##############################
”$dt”); Hacks” O’Reilly, 2006, http://www.
52 sub leap_year {
23 oreilly.com/catalog/mindperfhks/
24 $dt->add(days => 1); 53 ##############################
[2] Algoritmo de Lewis Carroll para
25 54 my($year) = @_;
encontrar el día de la semana a partir
26 last if $dt->year() > 2399; 55 de una fecha cualquiera, http://www.
27 } 56 return 0 if $year % 4; cs.usyd.edu.au/~kev/pp/TUTORIALS/
28 57 return 1 if $year % 100; 1b/carroll.html
29 ############################## 58 return 0 if $year % 400; [3] Listados de este artículo: http://www.
30 sub wday_mindcal { 59 return 1; linux-magazine.es/Magazine/
31 ############################## 60 } Downloads/39

46 Número 39 WWW.LINUX- MAGAZINE.ES


Cuando las bases de datos se quedan cortas
BIGTABLE
Internet está cambiando la manera de entender la informática, y Google es su mayor impulsor. En este
número veremos qué se cuece dentro de los gigantes de la informática. POR JOSÉ MARÍA RUÍZ
S
iempre se han escuchado rumores
sobre instalaciones informáticas
descomunales de empresas como
Google, Yahoo!, Hotmail, Amazon o
Microsoft. Se hablaba de sistemas infor-
máticos (muchos de ellos basados en
Linux y en Software Libre) que podían
rondar perfectamente los 50.000 servido-
res. Lo increíble es que en casos como el
de Google el número probablemente se
acerque a ¡¡ 500.000 servidores!!
¿Para qué tantos servidores? Y lo más
importante ¿cómo demonios consiguen
sacar partido a semejantes infraestructu-
ras?
El santo grial de la arquitectura de siste-
mas informáticos ha sido siempre conse-
guir que al introducir nuevos recursos (dis-
cos, memoria, procesadores, o servidores
completos) aumente proporcionalmente la
potencia del sistema. No sólo eso, sino
que además el sistema sea tolerante a
fallos en cascada, pudiendo recuperarse de
forma autónoma de un desastre.
Y lo interesante es que al parecer esta-
mos viviendo una época en la que estos
sistemas al fin están comenzando a ser
creados y usados. Las grandes empresas
de Internet ya ofertan servicios que serían
inimaginables sin estos sistemas. El tér-
mino que se ha acuñado, Cloud Compu-
ting (computación en nube), está empe-
zando a sonar con gran fuerza como el
paradigma de desarrollo y funciona-
miento con el que conviviremos durante
la próxima década.
Por ejemplo, existe un proyecto libre
llamado Hadoop que trata de implemen-
tar procesos distribuidos empleando
ordenadores comunes. Está diseñado
usando los conceptos de los sistemas
MapReduce y GFS de Google.
Como ahora es posible ejecutar Hadoop
sobre el sistema EC2 (Elastic Compute
Cloud) de Amazon empleando el sistema
de almacenamiento S3 (Simple Storage
Service), también de Amazon, el perió-
dico New York Times ha contratado 100
instancias de Amazon EC2 en las que ha
instalado Hadoop y ha creado un sistema
que le permite procesar 4 Terabytes de
imágenes TIFF almacenadas en Amazon
S3 y generar 1 millón de PDFs a partir de
ellas en 24 horas. ¡Y por sólo 240 dólares!
WWW.LINUX- MAGAZINE.ES
BigTable • DESARROLLO
(sí, Amazon EC2 y Amazon S3 son real-
mente baratas). Ver referencia [1].
No es sorprendente, por tanto, que los
mejores clientes de los sistemas Cloud de
Microsoft, Google o Amazon sean gran-
des farmacéuticas y bancos.
Cambio de Paradigma
Google, Amazon, Yahoo, Microsoft, Face-
book, Hotmail, todas estas empresas ofre-
cen servicios a través de Internet y nece-
sitan hacerlo a una cantidad enorme de
clientes. Los sistemas tradicionales de
servidores se quedan cortos, y de hecho
no son recomendables.
El primer problema es la fiabilidad.
Hasta ahora hemos considerado a los
ordenadores como máquinas perfectas en
las que se ejecutaba software imperfecto.
Pero a día de hoy la fiabilidad ha tomado
otra dimensión. Ahora mismo las empre-
sas de Internet suelen necesitar miles de
equipos trabajando al unísono, y con tan-
tos, el fallo de uno de ellos en cualquier
momento está prácticamente garanti-
zado. Da igual lo fiables que sean, siem-
pre fallará alguno.
Número 39 47
DESARROLLO • BigTable
Figura 1: Esquema de GFS.
El segundo problema es el ancho de
banda. Un ordenador puede tener un pro-
cesador muy potente, pero al final los
datos que pasan por él deben salir de una
memoria y puede que de un disco duro.
Los caminos que los datos siguen hasta el
procesador son muchísimo más lentos
que éste. Es imposible sacar más ancho
de banda de un solo servidor cuando sus
buses ya están saturados.
El tercer problema es el consumo eléc-
trico. Si tu principal activo son los miles
de ordenadores que posees, entonces tu
principal gasto es la electricidad. Los
equipos domésticos consumen menos
que los servidores más potentes. Google,
por ejemplo, compra equipos cuyas pla-
cas base han sido específicamente dise-
ñadas para él entre otras cosas para elimi-
nar componentes inútiles. Incluso ha
patentado su propia unidad de alimenta-
ción de bajo consumo.
Estos tres problemas llevan a la
siguiente conclusión: necesitamos
muchos equipos, poco potentes e inter-
cambiables, compuestos por piezas de
ordenadores domésticos baratas y fáciles
de encontrar, y que consuman poco.
¿Cómo podemos hacer que un sistema
con estas características, una auténtica
pesadilla para los ingenieros hardware,
pueda dar los servicios que se demandan
a día de hoy?
Sólo existe una solución: hacer que el
software sea el que reine, y desterrar el
hardware como solución.
Google File System: La
Nube en el Horizonte
La arquitectura de nube es diferente.
Consiste en una gran cantidad de equi-
pos con características más parecidas a
las de un “Personal Computer”, pero que
sólo son parte de un sistema que los
engloba. Ninguno de ellos es esencial,
son indistinguibles, como células en un
organismo.
Google fue de los primeros en hacer
uso de una infraestructura así. Pero el
simple hecho de poner un montón de PCs
48 Número 39
juntos no te permite explotar su potencia.
Crearon su propia versión modificada de
Linux sobre la que diseñaron un sistema
de ficheros llamado Google File System
(GFS). El objetivo de GFS era poder alma-
cenar información sobre un sistema de
ficheros distribuido de forma segura y
que soportase una gran carga de trabajo.
GFS es un sistema distribuido que no
guarda todos los datos de un fichero en
un solo disco duro ni en un solo ordena-
dor, sino que emplea toda una red de
ordenadores para hacerlo. GFS divide los
datos en trozos, y hace al menos 3 copias
de cada trozo. Cada copia irá a un orde-
nador diferente dentro de la basta red de
Google.
Se emplean dos tipos de servidores, los
Master y los Chunkservers. Los primeros
almacenan la situación física de los tro-
zos, “chunks”, que componen los fiche-
ros, así como la jerarquía de ficheros y
directorios, lo que llamamos los metada-
tos. Para no saturar los Masters, los clien-
tes que acceden a ellos cachean, almace-
nan temporalmente los datos relativos a
qué Chunckservers contactar para un
determinado fichero, ver Figura 1.
Los Chunkservers almacenan los trozos
en sí. Los ficheros en GFS son un poco
especiales. Normalmente son ficheros
muy grandes, más de 100MB, y hay unos
cuantos millones de ellos. No se pueden
sobrescribir, sólo es posible añadir
(append) datos al final del fichero. La
operación append es atómica, por lo que
no es necesario poseer un sistema de blo-
queos muy sofisticado. Si un fichero está
realizando un append, el resto debe espe-
rar. Los ficheros serán leídos completa-
mente o por partes. Existen Chunkservers
primarios y secundarios que almacenan
las copias de los chunks del primario.
Cuando se escribe en un fichero, el
cliente solicita la escritura al Chunkserver
primario, manda los datos a todas las
réplicas y éstas los almacenan a la orden
del primario. El primario asigna a los
datos a escribir unos números de serie y
realiza la escritura. Entonces solicita a los
WWW.LINUX- MAGAZINE.ES
secundarios que ejecuten la escritura con
el número de serie. El objetivo es que en
el peor de los casos la escritura se realice
en el primario y en algunos de los secun-
darios.
Para no saturar la red, uno de los obje-
tivos de todo este sistema, los datos se
envían a los Chunkservers de forma
lineal, es decir, se envían al primero, que
conforme los recibe los envía al siguiente,
como si fuese una cuerda que va pasando
por varios aros.
GFS además es capaz de asignar más
recursos a aquellos ficheros que más se
emplean, de forma que cuanto más
importante es un fichero, más copias de
seguridad se harán de sus trozos, lo que
protege mejor esa información y además,
al haber más copias disponibles, acelera
el acceso.
GFS no está integrado en el sistema
operativo, sino que es accesible a través
de librerías, de forma que puede ser
empleado desde distintos sistemas opera-
tivos.
Bigtable
Tener un sistema de ficheros masiva-
mente distribuido, fiable y potente está
muy bien, pero lo que realmente necesi-
tan las aplicaciones es una base de datos,
y Bigtable es esa base de datos.
Google decidió crear Bigtable porque
los sistemas de bases de datos tradicio-
nales no le permitían crear sistemas lo
suficientemente grandes. Las bases de
datos relacionales, como pueden ser
MySQL, PostgreSQL, Firebird u Oracle se
diseñaron pensando que se ejecutarían
en una solo servidor con mucha poten-
cia. Jamás se pensó en la posibilidad de
que estuviesen distribuidas en miles de
servidores.
Google creó Bigtable para que fuese,
sobre todo, una base de datos en la que
se almacenaría una cantidad de informa-
ción enorme, del orden de Petabytes. Para
ello, cada tabla está dividida en “tablets”
que pueden llegar a ocupar 200 Megaby-
tes. Si superasen ese tamaño serían auto-
máticamente divididas y comprimidas
para ser enviadas a más máquinas
usando un sistema de compresión propie-
tario de Google.
Bigtable posee muchas peculiaridades.
Para comenzar, aunque se parece mucho
a una base de datos relacional, rompe
con algunas de sus premisas. Por ejem-
plo, las tablas se dividen en conjuntos de

columnas y éstos en columnas. Es posible
añadir columnas a una tabla en cualquier
momento y no es posible borrar filas, sólo
podemos reemplazarlas por unas nuevas
que ocultan las anteriores. Los datos se
localizan empleando tres llaves: la fila, la
columna y un timestamp (la fecha y la
hora). Así, acceder a filas “borradas” con-
siste en hacer referencias a ellas con un
timestamp de la fecha anterior al
borrado.
Cada celda almacena una cadena de
texto sin tipo, por consideraciones de ren-
dimiento se suelen almacenar los datos
de forma binaria, es decir, como volcados
de la memoria que los contenían. Como
crear columnas es tan sencillo, la
columna en sí es un nuevo almacén.
Por desgracia Bigtable es software pro-
pietario de Google, y no tenemos posibili-
dad de emplearlo ni hacer pruebas con él.
Existen varias alternativas libres en
desarrollo para poder hacer uso de esta
tecnología. La principal es la combina-
ción de Hadoop e Hypertable.
Hadoop
Hadoop, ver Referencia [2], surgió como
una necesidad del proyecto libre Nutch
de Doug Cutting. Nutch es un proyecto
que implementa un buscador web libre.
Cutting leyó el artículo publicado por
Google donde se explicaba cómo fun-
ciona su sistema MapReduce así como
GFS. Sorprendido por las técnicas emple-
adas, y viendo que Nutch necesitaba algo
parecido, se puso manos a la obra y creó
Hadoop.
Hadoop se compone de dos sistemas, el
propio Hadoop, que realiza las tareas de
MapReduce, y HDFS, que realiza las
tareas de GFS.
MapReduce es el sistema que Google
creó para poder procesar cantidades enor-
mes de información usando un enfoque
totalmente distribuido. Para ello, la con-
sulta a los datos se divide en dos fases.
En la fase Map se crea una función que
asigna a cada dato algún valor especial.
En la fase Reduce se recogen listas con
los datos y los valores asignados por la
función Map y se filtran usando una
nueva función, para dejar sólo aquéllos
que cumplan cierta restricción. Tanto
Map como Reduce pueden ejecutarse en
máquinas diferentes, y por tanto pode-
mos hacer uso de una red de servidores.
Para ello se emplea el sistema de fiche-
ros HDFS, que como GFS, almacena los
BigTable • DESARROLLO
datos en distintos
servidores usando
chunks, y volvemos
a tener servidores
de metadatos y ser-
vidores de chunks.
Al igual que en GFS,
los chunks se repli-
can en distintas
máquinas.
Hypertable
El proyecto Hyper-
table, ver Referencia
[3], surgió como un
desarrollo dentro de
la empresa Zvents,
pero a día de hoy es
software libre.
Hypertable des-
cansa sobre Hadoop
y está programado Figura 2: Ejemplo de tabla Hypertable.
en C++.
En lugar del lenguaje SQL disponemos values (‘2008-05-01 23:59:59’,U
de una versión especial llamada HQL. “www.linuxmagazine.es”,U
HQL no dispone de todas las sentencias “refer-url”, ”www.google.com”);
que posee SQL y además introduce nue-
vas. La creación de tablas tiene un poco de
Para comenzar, las filas en Hypertable truco, tanto la fila ROW como TIMES-
no se comportan de la misma manera que TAMP son implícitas, por lo que no las
en SQL. En SQL, normalmente, dispone- creamos. Hemos creado una tabla con
mos una fila que se suele denominar id, tres columnas, pero al contrario que con
que es de tipo numérico y que empleamos SQL, no indicamos el tipo de las mis-
para realizar enlaces entre tablas. En HQL mas. Después hemos insertado en la
no existe ese tipo de fila, entre otras razo- tabla un solo dato ¿Uno solo? Sí, los dos
nes porque no existe el tipo numérico. primeros valores que damos son el
Las columnas están agrupadas por TIMESTAMP y el ROW, después indica-
familias. Una columna cualquiera será mos un nombre de columna y por
accesible mediante el nombre último el dato a insertar, en este caso
“familia:nombre_columna”. En la Figura “www.google.com”.
[2] podemos ver varias columnas que Como dijimos antes, en Hypertable o
pertenecen a la familia cliente:. BigTable se emplean tres valores para
Como en Bigtable, todos los datos indicar una celda, por lo que para insertar
almacenados son cadenas. En cambio un datos necesitaremos esos tres valores
existen siempre dos filas implícitas en de nuevo. Vamos a borrar la fila insertada:
toda tabla Hypertable: ROW y TIMES-
TAMP, ver Figura [2]. hypertable> delete * fromU
La primera sería la llave de la tabla, y Paginas where ROW =U
por tanto debe ser única. Puede ser una “www.linux-magazine.es ”;
url, un número o lo que queramos, siem- delete: row=U
pre que se cumpla esta restricción. ‘www.linux-magazine.es’U
TIMESTAMP se genera automáticamente family=0 ts=0
cada vez que realicemos una inserción. hypertable> select * fromU
Veamos cómo podemos trabajar con ellas: Paginas where ROW =U
“www.linux-magazine.es”;
hypertable> create tableU hypertable>
Paginas (fecha, ”refer-url”,U
“http-code”); Todo funciona como estamos acostum-
hypertable> insert into PaginasU brados a que funcione, la diferencia apa-
WWW.LINUX- MAGAZINE.ES Número 39 49
DESARROLLO • BigTable

rece cuando ejecutamos el siguiente 23:59:59’; yecto libre bastante moderno, pensemos
comando: delete: row=U que Hadoop está aún en la versión
‘www.linux-magazine.es’ family=U ¡0.16!
hypertable> select * fromU 0 ts=2146031999000000001 Por desgracia, para los programadores
Paginas where ROW =U hypertable> select * fromU Python como yo, Hypertable aún no
“www.linux-magazine.es”U Paginas where ROW =U posee enlaces para lenguajes diferentes a
DISPLAY_TIMESTAMPS; “www.linux-magazine.es”; C++, aunque es un proyecto en estudio
2008-05-01 23:59:59.000000000U hypertable> y puede que en unos meses sea posible
www.linux-magazine.org U emplear Python o Perl.
refer-url www.google.com Si nos fijamos de nuevo en la Figura 2
veremos que aparecen varias filas para el HBase
¿Pero no habíamos borrado ya esa fila de mismo ROW, y que en cada una de ellas El proyecto HBase es parte de Hadoop y
la tabla? No, habíamos borrado toda refe- hay alguna columna cambiada. Hyperta- busca implementar Bigtable en Java. A
rencia de la fila en la tabla, pero las filas ble sólo almacena las columnas con día de hoy es usable. Implementa las
anteriores, con TIMESTAMP anteriores datos, mientras que el resto se calcula en mismas operaciones que Hypertable, y
siguen en la tabla. Si queremos eliminar- base al último valor asignado. Así, el es programable desde Jython. Veamos
las habrá que especificar el TIMESTAMP contenido de la última columna en la un ejemplo (ver Listado 1).
que tienen: Figura 2 sería: (“linux-magazine”, Este ejemplo es realmente simple: cre-
“2008-03-18 12:07”, “José Ruiz”, “jose- amos una tabla, y una vez creada intro-
hypertable> delete * fromU ruiz”, “jose.ruiz@gmail.com”) ducimos en ella una fila para después
Paginas where ROW =U Al contrario que en SQL, por el recuperarla y borrar la tabla. El proceso
“www.linux-magazine.es”U momento hay un montón de limitacio- no es complicado (uno de los objetivos
TIMESTAMP ’2008-05-01U nes en HQL. Al fin y al cabo es un pro- de todos estos sistemas es la simplici-
dad).
Listado 1: Bigtable.py Imaginemos por un momento todo lo
que ocurre en este proceso. Creamos una
01 import java.lang 19
tabla sobre Hbase que trabaja sobre
02 admin.deleteTable(tablename_te
HDFS, y por tanto estará almacenando
03 from org.apache.hadoop.hbase xt)
los datos de forma distribuida, guardando
import HBaseConfiguration, 20 admin.createTable(desc)
varias copias en distintos Chunkservers.
HBaseAdmin, HTableDescriptor, 21
Y todo ello con unas poca líneas de
HColumnDescriptor, HTable, 22 tablas = admin.listTables()
código.
HConstants 23 tabla = HTable(conf,
04 nombre_tabla_text)
Conclusión
05 from org.apache.hadoop.io 24
El mundo de la computación en nube
import Text 25 # Insertamos una fila
avanza a pasos agigantados, pero el soft-
06 26 fila = Text(“fila_x”)
ware libre le sigue los pasos apoyado por
07 conf = HBaseConfiguration() 27 lock_id =
empresas como Yahoo! Hadoop ha conse-
08 table.startUpdate(fila)
guido una gran relevancia estando aún en
09 nombre_tabla = ”test” 28 table.put(lock_id,
su versión 0.16 y ha demostrado ser
10 nombre_tabla_text = Text(“contenido:”), ”¡Hola
capaz de rendir en sistemas con miles de
Text(nombre_tabla) mundo cruel!”)
servidores.
11 29 table.commit(lock_id)
El software libre no puede quedarse
12 desc = 30
atrás en esta batalla, porque es ahora
HTableDescriptor(nombre_tabla_ 31 # Nos traemos los datos recien
cuando se está definiendo el futuro de la
text) introducidos
informática. Si con Linux fue posible
13 32 data = table.get(row,
soñar con conquistar el escritorio, espere-
desc.addFamily(HColumnDescript Text(“content:”))
mos que proyectos como Hadoop nos
or(“contenido:”)) 33 data_str =
permitan soñar con no acabar en manos
14 java.lang.String(data, ”UTF8”)
de dos o tres empresas de cuya tecnología
desc.addFamily(HColumnDescript 34 print ”The fetched row
no podremos disponer. ■
or(“enlace:”)) contains the value ’%s’” %
15 admin = HBaseAdmin(conf) (data_str)
16 35 RECURSOS
17 # Borramos la tabla si ya 36 # Borramos la tabla con la que [1] http://open.nytimes.com/2007/11/01/
existe trabajamos self-service-prorated-super-computin
18 if 37 g-fun/
admin.tableExists(tablename_te admin.deleteTable(desc.getName [2] http://hadoop.apache.org/
xt): ()) [3] http://www.hypertable.org

50 Número 39 WWW.LINUX- MAGAZINE.ES


El Día a Día del Administrador de Sistemas
LA CORRIENTE
¡Biiip y se apagó! Las grandes pantallas y los rápidos microprocesadores eliminan aparentemente los benefi-
cios que aportan los avances en la tecnología de las baterías. PowerTOP ayuda a los glotones del consumo
eléctrico a mantener sus portátiles en funcionamiento sin tener que enchufarlos a la pared.
POR CHARLY KÜHNAST
L
inux presentó el denominado “tic-
kless kernel” en la versión 2.6.21
(o 2.6.23 para las máquinas de 64
bits); es decir, se elimina del kernel el
tradicional temporizador fijo de 250Hz.
Teóricamente, de esta forma se debería
incrementar el tiempo de duración de la
batería de los portátiles, ya que el micro-
procesador puede permanecer más
tiempo en el modo ahorro de energía.
En la realidad, el kernel no es el único
factor: los controladores, los servicios y
las aplicaciones también pueden estro-
pear la estrategia de ahorro de energía,
haciendo que la nueva contribución del
kernel sea virtualmente inútil.
Conozca a PowerTOP
Damos la bienvenida a un nuevo jugador
que entra desde Silicon Valley, y cuya
contribución a la comunidad del código
abierto merece numerosos elogios: Intel
no sólo hace que los usuarios de Linux
sean más felices con los controladores de
las tarjetas gráficas, sino también con
herramientas como PowerTOP [1].
PowerTOP sólo funciona con distribucio-
nes recientes. En otro caso habrá que
configurar y compilar un kernel nuevo.
Salida
La salida de PowerTOP de la Figura 1
muestra los estados C en la esquina
superior izquierda. Cuanto mayor sea
SYSADMIN
Nmap Scripting . . . . . . . . . . . . . . .52
Pruebas de intrusión automatizadas.
Zarafa . . . . . . . . . . . . . . . . . . . . . . . .57
Una alternativa a Microsoft Exchange.
Puppet . . . . . . . . . . . . . . . . . . . . . . .64
Controla multiples servidores.
La Columna de Charly • ADMINISTRACIÓN
este número, menor será la
potencia consumida por la
máquina.
A la derecha pueden obser-
varse los estados P; este valor
muestra los diferentes niveles
de consumo de la CPU que
regula sus velocidades de reloj
para ajustarse a la carga actual.
La línea de abajo es importante,
ya que indica la frecuencia con
la que el sistema despierta a la Figura 1: PowerTOP no sólo monitoriza el consumo eléc-
CPU por segundo, es decir, trico del kernel y de las aplicaciones, sino que también
desde un estado C. Intel ofrece a los usuarios consejos útiles.
informa de que se puede redu-
cir este número a menos de 20 con muy larlas por mí mismo para asegurarme de
poco esfuerzo. que dejen dormir tranquila a la CPU. Las
Una línea más abajo PowerTOP enseña modificaciones para Firefox, Gaim, Evo-
el medidor de potencia y predice el lution y otras aplicaciones más se
tiempo que durará aproximadamente la encuentran disponibles en [3].
batería. Inferiormente muestra un ran- A pesar de todo no hay que esperar
king de los módulos más activos, y por milagros. Incluso si sigue estos consejos
último proporciona a los usuarios prácti- y aplica los parches, es improbable que
cos consejos para mejorar el ahorro de la vida de la batería se dispare. Además,
energía. Las configuraciones más efecti- los parches software no pueden lidiar
vas están relacionadas normalmente con con glotones del consumo eléctrico tales
el kernel. Por ejemplo, PowerTOP reco- como la pantalla del portátil. Por otro
mienda habilitar CONFIG_USB_SUS- lado, una hora de tiempo de batería extra
PEND, un modo de ahorro de energía del podría ser la diferencia entre la frusta-
puerto USB que permite ahorrar del ción de perder un vuelo o el diverti-
orden de un vatio. En Internet hay dispo- miento de un hotspot del aeropuerto.
nible más trucos y consejos [2]. ¡Feliz cacería de glotones! ■
Glotones del Consumo RECURSOS
Eléctrico
[1] PowerTOP: http://www.lesswatts.org/
Trastear con el kernel es fácil, pero ¿qué
projects/powertop/
hay de las aplicaciones? X.org lidera la
[2] Consejos y Trucos: http://www.
lista de los grandes consumidores en la
lesswatts.org/tips/
mayoría de los sistemas, aunque en reali-
dad es una víctima inocente, ya que, son [3] Parches con control de ahorro de
aplicaciones como Firefox y Gaim las energía para las aplicaciones están-
dar: http://www.lesswatts.org/
que disparan el servidor X. Para mante-
projects/powertop/known.php
nerlas a raya decidí parchearlas y compi-
WWW.LINUX-MAGAZINE.ES Número 39 51
ADMINISTRACIÓN • NMap y NSE

Pruebas de intrusión con el nuevo motor para scripting de Nmap.

SCAN TIME

Nmap está trabajando en un nuevo motor de scripting para investigar

automáticamente las posibles vulnerabilidades que aparecen en los

escaneos de seguridad. Mostramos cómo proteger nuestra red con

Nmap y NSE. POR ERIC AMBERG

N
map es la herramienta que
buscábamos para las pruebas
de intrusión [1]. Los expertos
la usan para buscar agujeros de segu-
ridad y escanear servicios de red
abiertos. Pero, ¿qué ocurre cuando
encontramos un problema? Muchos
investigadores prefieren continuar y
hacer más pruebas. Por ejemplo, si
Nmap encuentra un servicio http,
¿por qué no hacerle peticiones hasta
averiguar su versión?
Es más, muchos administradores
escriben sus propios scripts que ana-
lizan los archivos de salida de Nmap,
un proceso lento y tedioso. Reciente-
mente el proyecto Nmap ha decidido
que es el momento de introducir un
motor de scripting para que los usua-
rios puedan automatizar las funcio-
nes de Nmap. Fyodor, el líder del pro-
yecto Nmap, pasó el desarrollo del
motor al habilidoso Diman Todorov.
El resultado ha sido NSE (Nmap Scrip-
ting Engine) [2], parte integral ya de
Nmap desde su versión 4.21.
NSE amplía la funcionalidad del
núcleo del escáner, proporcionando
información detallada con servicios
como NFS, SMB o RPC. También pode-
mos usar NSE para buscar sistemas
activos mediante consultas de domi-
nios, búsquedas de Whois, u otras
técnicas de descubrimiento de redes.
Para la detección de puertas traseras,
NSE comprueba cada cadena obtenida
de las versiones con una serie de
expresiones regulares, una opción útil
para quienes se dedican a las pruebas
de intrusión y quieren comprobar vul-
nerabilidades mediante la ejecución
de exploits. De cualquier modo, los
desarrolladores apuntan que Nmap
no persigue competir con el entorno
de trabajo Metasploit [3].
NSE ofrece unos medios sencillos
para la elaboración de soluciones
automatizadas con Nmap. La opción

52 Número 39 WWW.LINUX-MAGAZINE.ES
 NMap y NSE • ADMINISTRACIÓN

de NSE funciona bien en redes peque-

ñas y medianas. Otras herramientas,
como Nessus [4], GFI LANguard [5] o
ISS Internet Scanner [6] podrían ren-
dir más en escaneos a gran escala.
Puede descargarse el código fuente de
NSE desde el servidor del proyecto
[1], o puede estar incluido como
binario en el repositorio de nuestra
distribución.
NSE está hecho en lenguaje inter-
pretado Lua [7]. Lua fue diseñado
para trabajar con software escrito en
otros lenguajes, como C o C++. Lua,
basado en ANSI C, conserva su flexi-
bilidad, hasta tal punto que muchas
de sus funciones están disponibles en
forma de librerías. Así es más fácil
ampliar la funcionalidad, vinculando
los módulos necesarios. Incluso jue-
gos comerciales (entre los que se
encuentra World of Warcraft) hacen
uso de Lua.
El núcleo de NSE lo conforma un
intérprete de Lua (ver Figura 1).
Cuando Nmap detecta una máquina o
un puerto llama al intérprete de Lua
con el script correspondiente para
aunar las posibilidades del intérprete
y las de las funciones de la librería de
NSE. La librería de NSE proporciona
funcionalidades adicionales, como Figura 1: Una combinación de scripts NSE, librerías de Nmap y nuevas llamadas Lua amplían el
herramientas para la evaluación y alcance habitual de la clásica herramienta Nmap.
manipulación de direcciones IP o la
manipulación de URLs, mediante el se planea publicar una extensión que Por ejemplo, si el escáner descubre el
uso de expresiones regulares de Perl. permitirá al usuario enviar paquetes puerto 80 abierto y el script prefabri-
Lua hace un uso intensivo de personalizados. cado showHTMLTitle.nse se encuentra
estructuras de datos en tablas. Las Nmap comienza comprobando si se disponible, entonces hace la llamada
tablas contienen pares atributo-valor, pueden alcanzar determinados puer- al script. El script realiza peticiones al
aunque también pueden contener tos en una máquina dada. De tratarse servidor web y muestra la cabecera
subtablas. Por ejemplo, NSE usa las de un escaneo TCP, la herramienta (ver Figura 2). Hay varios scripts pre-
tablas host y port para acceder a los comprueba el estado del puerto, que fabricados en /usr/share/nmap/
resultados del escaneo de Nmap. Por podría ser abierto, cerrado o filtrado. scripts.
encima de los scripts reside una tabla Cuando Nmap detecta un puerto,
de registro que todos pueden leer y suponiendo que NSE ha sido habili- Categorías
escribir. Este diseño permite el inter- tado previamente mediante la opción NSE organiza los scripts en categorías
cambio de datos entre los distintos -sC, el subsistema trata de localizar el para un control granular mayor. Las
scripts. script correspondiente para la categorías de script definidas son safe
prueba. o intrusive, malware, version, disco-
NSE en Acción Las reglas de scripting determinan very y vulnerability. Los scripts clasifi-
Nmap y NSE usan la API de Nmap si Nmap va a ejecutar o no un script cados como safe por NSE es muy poco
para el intercambio de información, NSE. Estas reglas especifican las con- probable que causen problemas en el
incluyendo el nombre de host del diciones bajo las cuales se inicia el objetivo del escaneo. Los de la catego-
objetivo, el sistema operativo, la script. ría intrusive es poco probable que cau-
dirección IP, el número de puerto o el Podemos elaborar nuestros propios sen daño, pero intentarán hacer uso de
estado del puerto. La API permite scripts o usar los scripts prefabrica- contraseñas predeterminadas para
también al usuario llamar a las fun- dos incluíidos con NSE. Estos scripts acceder al sistema, por lo que es
ciones de socket de Nmap para las prefabricados se encargan de tareas mucho más probable que generen
comunicaciones de red. En un futuro asociadas tradicionalmente a Nmap. registros de seguridad en el objetivo.

WWW.LINUX-MAGAZINE.ES Número 39 53
ADMINISTRACIÓN • NMap y NSE
Figura 2: Con el nuevo modo script (opción -sC), Nmap hace llamadas a scripts externos.
Nmap ha detectado que el puerto 80 está abierto, por lo que la herramienta comienza a inda-
gar sobre la cabecera del sitio y presenta los resultados. La imagen muestra cómo NSE
detecta los nombres de NetBIOS de un objetivo.
Los scripts de las categorías mal-
ware y vulnerability buscan malware
y vulnerabilidades conocidas en el
objetivo. La categoría version juega
un papel especial: los scripts de esta
categoría, habilitados mediante la
opción -sV, amplían la capacidad de
detección de versiones de Nmap. Su
salida no es diferente de la salida
estándar de Nmap; no se hace men-
ción del script en el reporte gene-
rado por el escaneo. La categoría
discovery incluye scripts diseñados
para indagar más a fondo en el obje-
tivo, interrogando a los distintos ser-
vicios (incluidos SNMP o LDAP).
El argumento --script especifica las
categorías, los directorios y los
scripts individuales para que NSE
los integre e inicie. Puede tratarse de
un listado de elementos separados
por comas. Nmap comienza bus-
cando una categoría por el nombre
dado; si la búsqueda falla busca un
directorio del mismo nombre y
añade cualquier script que contenga
acabado en .nse.
Si esta búsqueda también falla,
busca entonces un script individual
que se llame así. Por ejemplo, la
opción --script discovery,malware de
la línea de comandos añade las cate-
gorías discovery y malware.
Hay un archivo de base de datos
llamado script.db, en el subdirec-
torio scripts, que traza un mapa
de los scripts a las categorías
individuales. El administrador
54 Número 39
Nuestros Propios Scripts
NSE
Nos ayudaremos de un ejemplo para
comprender la estructura de un script
NSE. La mayoría de los scripts prefa-
bricados son simples, normalmente
menores de 100 líneas incluyendo los
comentarios. El script ripeQuery.nse
del Listado 1 nos da una idea sobre
cómo funciona NSE. Hace peticiones
sobre una entrada del sistema de
registro de red RIPE [8] a una direc-
ción.
Un script NSE consta de tres com-
ponentes: la cabecera define el nom-
bre del script en la salida de Nmap, la
categoría y el nivel de ejecución. La
regla especifica las condiciones bajo
las cuales se ejecuta el script. La
acción llama a las funciones que ver-
daderamente realizan las tareas. Los
puede actualizar el archivo introdu- autores pueden implementar las tres
ciendo --script-updatedb después de secciones en Lua.
añadir nuevos scripts. Si ponemos la Cada script NSE tiene una cabecera
opción -sC, sólo se ejecutan los scripts que comprende cuatro detalles des-
de las categorías safe e intrusive. criptivos. El campo id contiene el
Listado 1: ripeQuery.nse
01 require ”ipOps” 22
02 23 while true do
03 id = ”RIPE query” 24 local status, lines =
04 description = ”Conecta a la socket:receive_lines(1)
base de datos RIPE, 25
05 extrae y muestra la entrada de 26 if not status then
la IP.” 27 break
06 author = ”Diman Torodov 28 else
<diman.todorov@gmail.com>” 29 result = result .. lines
07 license = ”Ver COPYING para la 30 end
licencia” 31 end
08 32 socket:close()
09 categories = {“discovery”} 33
10 34 local value = string.
11 hostrule = function(host, match(result,
port) ”role:(.-)\n”)
12 return not 35
ipOps.isPrivate(host.ip) 36 if (value == ”see
13 end http://www.iana.org.”) then
14 37 value = nil
15 action = function(host, port) 38 end
16 local socket = 39
nmap.new_socket() 40 if (value == nil) then
17 local status, line 41 value = ””
18 local result = ”” 42 end
19 43
20 44 return ”La IP pertenece a: ”
socket:connect(“whois.ripe.net .. value
”, 43) 45 end
21 socket:send(host.ip .. ”\n”)
WWW.LINUX-MAGAZINE.ES

nombre del script y se usa en la salida
de Nmap; el campo description con-
tiene una breve descripción; y author
contiene el nombre del autor. El intér-
prete no procesa el campo license.
Un script sólo se iniciará bajo deter-
minadas condiciones. Las reglas port
y host controlan su comportamiento.
El ejemplo del Listado 1 define una
función que espera que se le pasen
las tablas host y port de Lua de las
líneas 11 a 13. Las tablas contienen
valores detectados por Nmap en el
transcurso del escaneo. Por ejemplo,
host.ip proporciona direcciones IP,
mientras que port.number el puerto
del escaneo actual.
La función hostrule llama a la fun-
ción de la librería ipOpts.isPrivate a
fin de comprobar si el objetivo de la
IP actual es una dirección privada tal
y como se definen en el RFC 1918 (un
test RIPE no tiene sentido con una
dirección privada). NSE ejecuta
entonces el cuerpo del script, la fun-
ción de la acción que comienza en la
línea 15.
Si no se está interesado en investigar
la máquina, sino simplemente algún
servicio en particular, lo más lógico es
usar una línea como la que sigue:
portrule = shortport. U
port_or_service(21, ”ftp”)
Para hacerlo habilitamos la extensión
shortport de Lua, llamando a require
shortport.
La función espera de nuevo que se
le pasen el host y el puerto como
argumentos. En la línea 16, el script
crea primero un nuevo socket TCP/IP
que define el estado de las variables
locales, la línea y el resultado. La
línea 20,
socket:connect U
(“whois.ripe.net”, 43)
le dice al script que conecte a la base
de datos RIPE, que responde a las
peticiones al puerto TCP 43. El servi-
cio de Whois espera una dirección IP
en formato de puntos entrecomilla-
dos. El código socket:send(host.ip ..
“\n”) envía la dirección IP. La línea
de petición debe acabar con un carác-
ter de nueva línea. Para que esto
suceda, el operador de concatenación
NMap y NSE • ADMINISTRACIÓN
Tabla 1: Atributos de las Tablas Host y Port
Atributo Tipo Significado
Atributos de la Tabla Host
host.os String Contiene una cadena con el nombre del sistema ope-
rativo detectado si se inició Nmap con la opción -O
host.ip String Contiene la dirección IP del host de destino actual
host.name String Contiene los nombres de host devueltos en una bús-
queda inversa
host.mac_addr String Contiene la dirección MAC del objetivo actual
Atributos de la Tabla Port
port.number Integer El puerto que está siendo escaneado
port.protocol String O tcp o udp
port.service String Contiene un nombre de servicio si Nmap ha sido
capaz de encontrarlo durante la detección de versión
port.state String El estado del puerto puede ser abierto o abierto | fil
trado; el script no se ejecuta con puertos cerrados y
puertos filtrados
.. añade \n a la dirección IP del obje- pre deben comprobar los valores
tivo escaneado de host.ip. Dentro de devueltos.
un bucle infinito que comienza en la
línea 23, La API de Nmap
La API de Nmap permite que los
local status, lines = U scripts NSE se comuniquen con
socket:receive_lines(1) Nmap. Las tablas host y port de Lua
proporcionan acceso a valores críticos
lee la respuesta de la base de datos como la dirección IP, el puerto, el ser-
RIPE hasta que la entrada de datos vicio o el estado del puerto. La tabla
acaba. La variable booleana status host devuelve los valores mostrados
indica si la conexión está aún en la Tabla 1, suponiendo que Nmap
enviando datos o no. los haya recolectado; de lo contrario,
Si no es así, el break de la línea 27 devuelve una cadena vacía. Esto es
termina el bucle. La respuesta anali- aplicable a los detalles de los puertos
zada está disponible en lines. result activos, que se almacenan en la tabla
va acumulando la entrada. Después port de Lua junto con los atributos del
de que se han leído todas las líneas, protocolo, el servicio y el estado.
socket:close() cierra el socket. El ejemplo muestra cómo llamar a
Las siguientes líneas fueron diseña- estos valores e integrarlos en un
das para detectar qué contiene la script NSE. Para comunicarse con
entrada de la dirección IP enviada. El otros sistemas, los scripts NSE necesi-
servidor de Whois devuelve un tan una interfaz. Una API hace posi-
número elevado de líneas de res- ble el uso de la librería Nsock (que
puesta; nuestro ejemplo simplemente Nmap usa también internamente).
busca las líneas que comienzan por
role:. Para hacerlo, el script llama a la Programación del Socket
función string.match() de Lua. Las comunicaciones siempre han
La línea usado el método del socket. El
siguiente código crea un nuevo socket
local value = string.match U hacia el host en el puerto especifi-
(result, ”role:(.-)\n”) cado.
El protocolo es opcional, pudiendo
busca en la variable result las líneas ser tcp, udp o ssl:
coincidentes.
La línea comienza por role:; aunque sock = nmap.new_socket()
la función sólo devuelve el resto de la sock:connect(Host, Port U
línea entre paréntesis. Para simplifi- [, Protocol])
car el ejemplo hemos editado un
script distribuido con Nmap. Para que El código sock:send(request) ya puede
sean más robustos, los scripts siem- enviar una petición debidamente ela-
WWW.LINUX-MAGAZINE.ES Número 39 55
ADMINISTRACIÓN • NMap y NSE
borada al host de destino. La semán-
tica de la línea,
status, value = U
sock:receive_lines(lines)
que lee datos desde el socket, no es
muy intuitiva.
Si las líneas solicitadas, o un
número menor de líneas terminadas
con fin-de-línea, llegan antes del fin
de la espera, se almacenan en la
variable value. De todas maneras, si
el búfer de red contiene más líneas
que se han anticipado, la API también
envía más líneas, tal y como se des-
cribe en la documentación [2].
Si todo ha ido bien, status contiene
true. Finalmente, sock:close() cierra el
socket. La API de Nmap ofrece mucha
más funcionalidad, aunque los casos
más comunes se explican en los ejem-
plos proporcionados.
Manejo de Excepciones
La API de Nmap implementa también
un mecanismo para el manejo de
excepciones, la captura de errores y la
cancelación de scripts que pudieran
proporcionar resultados equívocos
debido a condiciones erróneas.
El manejo de excepciones es algo
importante para la elaboración de
scripts robustos. Con servicios esca-
neados a través de la red se suelen
obtener respuestas inesperadas. Si
echamos un vistazo al script
finger.nse mostrado en el Listado 2,
podemos ver el funcionamiento del
manejo de errores.
Cuando ocurre un error en el sis-
tema objetivo o la conexión expira, el
manejador de excepciones cierra el
socket correctamente.
El script comienza con la llamada a
una función cuyo único propósito es
Extensiones Lua
Mientras que Nmap API controla las
comunicaciones entre Nmap y los
scripts NSE, las extensiones Lua aña-
den funcionalidad significativa a NSE.
Los módulos se localizan en el subdi-
rectorio nselib. Un script NSE une los
módulos a través de require Modula-
name. La Tabla 2 lista las extensiones
disponibles. No importa si los múdulos
se unen antes o después del encabeza-
miento.
56 Número 39
Tabla 2: Extensiones Lua para NSE
Extensión Función
bit Soporta operaciones de bit; por ejemplo, bit.lshift(a, b) realiza un desplaza
miento a la izquierda de b bits sobre a.
pcre Se refiere a Expresiones Regulares Perl-Compatible y soporta su uso. Permite
a los scripts extraer cadenas de búsqueda de las respuestas de los servicios.
ipOps Soporta operaciones relacionadas con direcciones IP. Tal y como se muestra
en el script de ejemplo, ipOps.isPrivate(address) comprueba si la dirección IP
especificada es una dirección IP según la definición del RFC 1918.
shortport Proporciona pruebas estándar para reglas de puertos. Muchos scripts usan
esta opción y ejecutan shortport.portnumber(port) para comprobar el puerto.
listop Lista el procesamiento como lo hacen otros lenguajes como Lisp o Haskell.
Los desarrolladores consideran a la extensión como experimental.
strbuf Soporta ciertas operaciones con cadenas; por ejemplo, strbuf.eqbuf(string1,
string2) compara dos cadenas.
url Amplia la capacidad de manipulación de URLs de Lua, añadiendo funciones
que crean o analizan listas de parámetros.
cerrar un socket en caso de error. El librería de extensiones NSE son perfec-
manejador se crea con la línea: tos para ampliar la funcionalidad
básica del lenguaje de script Lua sub-
try = nmap.new_try() yacente. La API de Nmap proporciona
al programador la capacidad de refe-
La anterior línea espera que se le pase renciar las tablas host y port y de anali-
un argumento a la función zar los contenidos. La API añade ade-
err_catch(), que cierra el socket. más numerosas opciones de comunica-
Cuando una función devuelve un ción para scripts.
error, el intérprete cancela la función
sin comentario alguno. La función, Conclusiones
pasada como argumento, especifica Los scripts NSE están conquistando
las acciones a llevar a cabo en ese rápidamente los antiguos dominios de
caso. herramientas de seguridad como Nes-
NSE es una extensión potente y fle- sus. No hay una versión estable de NSE
xible que los administradores pueden en el momento de escribir estas líneas.
usar para diseñar escaneos personali- Nmap 4.21 incluía las versiones alfa
zados con Nmap. Los módulos de la y el 4.22 era parte del “Google’s Sum-
mer of Code”.
Listado 2: finger.nse La versión estable Nmap 4.5 incluye
(Fragmento) NSE, que definitivamente tiene el
potencial para convertirse en parte
01 local err_catch = function()
indispensable de Nmap. ■
02 socket:close()
03 end
RECURSOS
04
05 local try = [1] Nmap: http://www.insecure.org/
nmap/
nmap.new_try(err_catch())
06 [2] Documentación de NSE: http://www.
07 socket:set_timeout(5000) insecure.org/nmap/nse/
08 try(socket:connect(host.ip, [3] Sitio web de Metasploit Project: http://
09 port.number, www.metasploit.org/
10 port.protocol)) [4] Proyecto Nessus: http://www.nessus.
11 try(socket:send(“\n\r”)) org
12 [5] GFI LANguard: http://www.gfi.com/
13 status, results = languard
socket:receive_lines(100) [6] ISS Internet Scanner: http://www.iss.
14 socket:close() net/products/Internet_Scanner/
15 if not(status) then product_main_page.html
16 return results [7] Lua: http://www.lua.org/
17 end
[8] RIPE: http://www.ripe.net/
WWW.LINUX-MAGAZINE.ES

Servidor de Software Colaborativo de Linux da servicio a Clientes Outlook
INTERCAMBIO
Zarafa reemplaza a Microsoft Exchange en un servidor Linux y colabora
con Outlook gracias a su soporte nativo de MAPI.
POR SEBASTIAN KUMMER Y MANFRED KUTAS
L
a mayoría de los servidores Linux
funcionan en entornos heterogé-
neos, sirviendo a clientes Windows
que utilizan MS Outlook para las funcio-
nes de correo y agenda. Incluso si se pre-
senta un nuevo sistema de software cola-
borativo, el uso tan extendido de los clien-
tes Windows hará que Outlook sea una
alternativa inevitable. Desafortunada-
mente, Outlook utiliza el Interfaz de Pro-
gramación de Aplicaciones de Mensajería
(MAPI) nativo de Windows, y el cliente
Outlook está diseñado para dialogar con
un servidor Windows Exchange. Esta pre-
ferencia por Exchange hace que la integra-
ción con los sistemas de software colabo-
rativos de Linux sea difícil.
Las aplicaciones de software colabora-
tivo como Scalix, Kolab y Open Exchange
utilizan un conector de Outlook para inte-
grarse con los clientes Windows que utili-
zan Outlook. Estas herramientas convier-
ten las consultas MAPI de Outlook a otros
protocolos parcialmente propietarios.
Aparte de esto, el procesamiento se basa
en servicios tales como WebDav. En
muchos casos, cada función tiene que ser
configurada de forma separada en el lado
del cliente, lo que lleva a una sobrecarga
de administración. Además, esta clase de
integración sólo cubre una pequeña por-
ción de la funcionalidad de Outlook.
El servidor de software colaborativo
Zarafa [1] toma una solución diferente. En
vez de convertir las peticiones de Outlook,
Zarafa ofrece una exhaustiva interfaz
compatible con Microsoft MAPI para
entornos Linux. Ya no es necesario reali-
zar complejas conversiones de las peticio-
nes, ya que el servidor Zarafa “habla”
MAPI, específicamente MAPI4Linux.
Zarafa es un servidor de software cola-
borativo comercial que se ejecuta en
Linux. Como se comunica directamente
con los clientes Windows utilizando una
variante de MAPI, proporciona compatibi-
lidad de alto nivel con Outlook con una
configuración mínima de los clientes.
Véase el cuadro titulado “Compra de
Zarafa” para un resumen de los precios
ofrecidos por su sitio web. Aunque estos
precios son realmente caros comparados
WWW.LINUX- MAGAZINE.ES
Zafara • ADMINISTRACIÓN
www.onlinebc werbng.de, Fotolia
con las alternativas libres como Kolab, el
coste de Zarafa es comparablemente más
favorable que el coste de Microsoft
Exchange, y como el servidor se ejecuta
en Linux, pueden evitarse muchos de los
problemas asociados con los sistemas
Windows. Contacte con la empresa para
más información sobre los precios y las
opciones de soporte.
MAPI4Linux
MAPI4Linux es la contrapartida Linux
compatible de Exchange. Zarafa engloba
la librería MAPI4Linux, que controla el
acceso al almacen MAPI, como núcleo, y
una colección de herramientas periféricas.
Se utiliza una base de datos MySQL para
el almacenamiento, lo que hace que las
copias de seguridad y la replicación de los
datos sea mucho más sencilla.
MAPI4Linux controla las operaciones
de lectura y escritura. No se recomienda el
acceso directo a la base de datos, ya que
podría corromper la caché y afectar al
tiempo de respuesta.
Interfaces Abiertos
Zarafa se basa en interfaces abiertos y en
componentes de servidor probados y vali-
dados; utiliza Postfix, por ejemplo, para
enviar el correo electrónico y Apache
como servidor web, haciendo que sea más
Número 39 57
ADMINISTRACIÓN • Zafara
fácil la integración en entornos que ya
implementen estos servicios.
La Figura 1 muestra los principales
componentes del servidor Zarafa. El
núcleo MAPI está rodeado por diversos
conectores. La figura muestra la ruta que
un correo electrónico toma desde su
recepción física por el Agente de Transfe-
rencia de Correo (MTA) hasta el almacén
de Zarafa. El MTA puede complementarse
con diversas herramientas, como filtros
antispam o antivirus. Cuando un mensaje
de correo entrante esté listo para entre-
garse al destinatario, el MTA lo pasa al
Agente de Entrega de Zarafa. Este proceso
está controlado por la variable
mailbox_command en
/etc/postfix/main.cf:
mailbox_command = U
/usr/bin/zarafa-dagent ”$USER”
Para Qmail hace falta el fichero ~/.qmail:
| /usr/bin/zarafa-dagent U
-q user_name
La opción -q le indica al Agente de
Entrega que utilice los códigos de error de
Qmail en su respuesta. El agente pasa
entonces el correo a MAPI4Linux, que lo
convierte en un objeto de almacena-
miento MAPI para almacenarlo en la base
de datos.
Compra de Zarafa
La página web de Zarafa lista los
siguientes precios:
• Precio base para hasta 5 usuarios:
300fl (439$ US)
• Cada 5 usuarios adicionales: 150fl
(219$ US)
• Más de 100 usuarios: 5% de des-
cuento
• Más de 250 usuarios: 10% de des-
cuento
• Más de 1000 usuarios: 15% de des-
cuento
Los municipios se pueden beneficiar
de un 25% de descuento. Una versión
educativa para colegios puede benefi-
ciarse de un 25% de descuento del pre-
cio base, con grandes descuentos dis-
ponibles para grandes volúmenes.
Para las actualizaciones y mejoras des-
pués del primer año habrá que pagar
una tasa anual del 20% del precio que
aparece en el listado.
58 Número 39
Conexión Outlook
El proveedor MAPI de Zarafa pro-
porciona a los clientes Windows
que sólo hablan el lenguaje nativo
del servidor Microsoft Exchange
acceso al almacén MAPI. La
Figura 2 muestra el menú de
configuración.
Los mensajes SOAP manejan las
comunicaciones entre el provee-
dor MAPI y la cuenta de Outlook
en el servidor. Un proxy o un ser-
vidor web Apache anuncian de
forma transparente este servicio
en las Intranets o en Internet. Para
permitir que esto suceda hay que
tener las siguientes líneas en la
configuración de Apache:
<IfModule mod_proxy.c>
ProxyPass /zarafa U
http://127.0.0.1:236/
ProxyPassReverse U
/zarafa U
http://127.0.0.1:236/ Figura 1: Resumen de los principales componentes de
<Location /zarafa> servidor Zafara.
Order Allow,Deny
Allow from all despacharse por medio de la puerta de
</Location> enlace, parecería en un principio un des-
</IfModule> perdicio de recursos; sin embargo, los
beneficios en términos de compatibilidad
Con esto se soportan los accesos de con cualquier componente valen la pena.
Outlook sin acceder a una VPN o sin tener Las aplicaciones de agenda alternativas
que reenviar puertos en el cortafuegos. como Mozilla Sunbird están soportadas
Las conexiones entre el servidor y el gracias a la interfaz iCalendar de Zarafa. El
cliente son simples conexiones web. Utili- interfaz iCal emula los perfiles de servidor
zando las herramientas propias de Apache para permitir que Sunbird funcione con
pueden habilitarse tanto las conexiones datos en vivo desde el almacén de Zarafa.
estándar como las conexiones SSL. Ade- Los cambios o las citas nuevas se refle-
más, los administradores pueden restrin- jan inmediatamente en el almacén MAPI,
gir el acceso a subredes específicas. La donde estarán disponibles en tiempo real
Figura 3 presenta la correspondencia entre para todos los usuarios por medio de
Outlook y MAPI4Linux. todos los interfaces soportados.
Se Permiten Aplicaciones
Alternativas
Se pueden continuar utilizando clientes
POP o IMAP como Mozilla Thunderbird.
Una puerta de enlace POP/IMAP permite
el acceso a las carpetas de correo, que son
fáciles de configurar, ya que lo único que
hay que hacer es especificar los servicios y
los puertos a habilitar en /etc/zarafa/gate-
way.cfg. La puerta de enlace convierte los
correos desde el formato MAPI al formato
normal de texto plano antes de que llegue
al cliente. La doble conversión del correo,
en el formato MAPI para el correo entrante Figura 2: Menú de configuración del provee-
y de nuevo al formato original antes de dor MAPI.
WWW.LINUX- MAGAZINE.ES

Grandes Sistemas
Una configuración multiservidor es útil
para las grandes instalaciones con miles
de usuarios. Aunque no se pueda insta-
lar el núcleo de Zarafa en múltiples siste-
mas, la arquitectura basada en servicios
permite la siguiente configuración:
• Servidor 1: Base de Datos MySQL
• Servidor 2: El núcleo de Zarafa
• Servidor 3: MTA + antispam/antivirus
• Servidor 4: Servidor Web
La configuración del núcleo del servidor
Zarafa define la conexión entre la base
de datos y el núcleo de Zarafa, que es la
única entidad con la que tiene que dialo-
gar. El resto de los componentes pueden
utilizar el puerto 236 para acceder al
núcleo del servidor.
El servidor MTA entrega el correo
entrante al Agente de Entrega, que se
ejecuta en el servidor MTA y utiliza un
certificado SSL para autenticarse con el
servidor donde está el núcleo de Zarafa.
El servidor web sigue una solución simi-
lar para comunicarse con el núcleo de
Zarafa y de este modo vincular los com-
ponentes web con el almacen MAPI.
Si el volumen de spam es particular-
mente alto, será lógico distribuir el soft-
ware MTA y el de antispam o antivirus
entre varios servidores.
Este escenario también muestra cómo
ejecutar el servidor web en la DMZ,
mientras que la base de datos y el núcleo
de Zarafa residen en la red interna
segura.
Importación de Datos
Zarafa ofrece varias opciones para
importar conjuntos de datos al almacén.
Utilizando la herramienta de código
abierto imapsync [2] se pueden migrar
los datos desde otros servidores IMAP.
Para ello, los usuarios administradores
deberían crear un usuario en Zarafa y
luego, utilizando la puerta de enlace
IMAP de Zarafa, realizar el proceso de
sincronización.
Si se tienen que migrar múltiples usua-
rios, los scripts son la respuesta. Para los
sistemas Outlook existentes, ya sean
sueltos o con un servidor Microsoft
Exchange, Zarafa ofrece su propia herra-
mienta de migración (véase la Figura 4)
para importar los ficheros .pst. Esta
herramienta debe ejecutarse en un sis-
tema Windows; posee un modo desaten-
dido y puede manejar cerca de 7GB de
datos por hora.
Notificaciones
Una de las características más importante
de MAPI es su mecanismo de notificación,
que los servidores pueden utilizar para
mandar mensajes a los clientes. Los cam-
bios se hacen visibles en el sistema tras un
corto intervalo de tiempo menor a un
segundo y no requieren de la interacción
del usuario.
A menudo, las topologías de red no per-
miten que los servidores lleguen a los
clientes directamente cuando se envían
mensajes de esta clase. Para solucionar este
problema el cliente abre una petición http
larga (máximo 60 segundos), a la espera de
resultados relevantes para el cliente. Una
vez que este intervalo haya expirado, la
conexión termina; la petición comienza de
nuevo entonces. Cada cliente Outlook esta-
blece cuatro o cinco conexiones de esta
clase para evitar las interrupciones.
Si se poseen muchos clientes, tendrá
sentido incrementar el número máximo de
Figura 3: Correspondencia entre Outlook
MAPI4Linux.
WWW.LINUX- MAGAZINE.ES
Zafara • ADMINISTRACIÓN
conexiones paralelas del servidor web.
Apache restringe este valor a 100 por
defecto. Como las peticiones sólo generan
unos cuantos bytes de tráfico de red, no
son ningún problema.
Gestión de Usuarios
La gestión interna de los usuarios es ade-
cuada para entornos pequeños. Actual-
mente esto implica una herramienta de
línea de comandos con soporte para
OpenLDAP y Active Directory. El adminis-
trador simplemente añade los atributos
requeridos a un fichero de configuración.
Como los cambios en el servicio de directo-
rio no disparan ningún evento para actuali-
zar los datos, Zarafa autentica a cada usua-
rio en el momento de la conexión.
Los cambios tienen efecto inmediato en
el almacén. Por ejemplo, Zarafa creará los
buzones de correo para los usuarios nue-
vos. Los administradores pueden utilizar
políticas y scripts para indicar al sistema
cómo reaccionar ante otros tipos
de cambios (como cuando se
modifican los grupos a nivel del
servicio de directorio).
Copias de Seguridad
La utilidad de copias de seguridad
de Zarafa realiza lo que su nombre
indica. La utilidad crea dos fiche-
ros: Uno que contiene los datos, y
otro que contiene un índice. Crear
una imagen consistente del alma-
cén completo sin bloquear la base
de datos no es posible, lo que
implica que los elementos que
cambien o que se creen durante el
proceso de la copia de seguridad
no se incluirán dentro de ésta.
La versión actual 5.20 de Zarafa
presenta opciones de copias de
seguridad avanzadas. Las nuevas
características incluyen el soporte
de copias de seguridad “brick-
level”. Los almacenes individua-
les, incluyendo el almacén
público, pueden copiarse ahora
completamente o incremental-
mente. La copia de seguridad
“brick-level” permite en estos
momentos que los administrado-
res restauren el almacen com-
pleto, los mensajes individuales o
los directorios.
Como no almacena los metada-
y tos, este método no es útil a la
hora de realizar una restauración
Número 39 59
ADMINISTRACIÓN • Zafara
Figura 4: La herramienta de migración de
Zafara puede manejar 2GB de datos por
hora.
tras un desastre. Si se realiza una restaura-
ción completa desde la copia de seguridad
“brick-level”, se utilizarán todas las confi-
guraciones de vista, de reglas, de usuarios
y de IDs almacenados. Los administrado-
res deben crear también los perfiles de
usuario MAPI desde cero en Windows.
En línea [3] hay disponible más infor-
mación sobre otras características, como
las herramientas de sincronización para
PDAs (por medio de SyncML), la gestión
de privilegios vía ACLs o la interfaz web
móvil para los móviles con soporte HTML.
Afortunadamente Zarafa no sólo
soporta las distribuciones Linux comercia-
les, como RedHat y Novell SLES, sino tam-
bién Debian y Ubuntu. Además, Zarafa 5
está ahora disponible para los sistemas de
64 bits.
MAPI vía PHP
Muchas aplicaciones en línea están pro-
gramadas en PHP, un lenguaje de progra-
mación que es una elección obvia debido
a su rápido potencial de desarrollo y su
extendido uso.
Las características de Zarafa programa-
das en PHP incluyen la interfaz web,
Webaccess. Webaccess se asemeja al
cliente Outlook y se comunica directa-
mente con la capa MAPI4Linux por medio
del módulo PHP-MAPI. PHP-MAPI posee
opciones útiles para añadir funcionalida-
des de software colaborativo a soluciones
de código abierto en áreas tales como
CRM (Gestión de Relaciones con los Clien-
tes), ERP (Planificación de Recursos
Empresariales), sistemas de gestión de
documentos o wikis.
El módulo es un fichero .so precompi-
lado. El fichero de configuración de PHP,
php.ini, carga el módulo de la siguiente
manera: extensión= mapi.so. Los desarro-
lladores pueden acceder a este módulo
60 Número 39
para implementar funcionalidades MAPI
desde PHP. Zarafa también ofrece una
descripción detallada de la interfaz en
línea [4]; puede encontrarse información
general sobre MAPI en [5].
Aunque Zarafa almacena los datos en
una base de datos MySQL, se recomienda
el uso de PHP-MAPI para acceder desde
las aplicaciones web al almacen MAPI. La
Figura 5 muestra la integración con un
servidor web PHP-MAPI.
Z-Push
Antes, la única forma que había para sin-
cronizar los datos con una PDA era
conectarla a un PC y utilizar una herra-
mienta como SyncML. En Abril de 2007,
Zarafa presentó Z-Push, una implemen-
tación de código abierto del protocolo de
Microsoft ActiveSync.
Las PDAs con Windows Mobile 2003,
2005 y 6.0 pueden sincronizar sus con-
tactos locales, correos electrónicos, citas
y diversas tareas con el servidor en línea
GPRS o UMTS.
Z-Push de Zarafa está basada en
WBXML (WAP Binary XML), como
Microsoft AirSync, que es el original;
consiste en una clase ligera de XML para
anchos de banda escasos.
Los usuarios no tienen que instalar
ningún software adicional en la PDA, ya
que Z-Push se encarga de la sincroniza-
ción de forma nativa. Antes, los servido-
res integraban Zarafa y MailDirs. Gracias
a su soporte completo de la descripción
de la interfaz, Z-Push puede comuni-
carse con cualquier sistema de software
colaborativo. Además, Z-Push soporta
ahora IMAP, proporcionando servicios
Figura 5: Integración del servidor web PHP-MAPI.
WWW.LINUX- MAGAZINE.ES
de IMAP a teléfonos móviles de forma
gratuita [6].
La Tecnología PHP-MAPI
Las empresas utilizan diversas aplicacio-
nes de Intranet que se benefician de la
posibilidad de mostrar y modificar citas o
contactos del sistema de software colabo-
rativo. PHP-MAPI ofrece la capacidad de
integrar la funcionalidad MAPI con las
aplicaciones web existentes.
Básicamente hay dos opciones para
acceder al servidor Zarafa desde una apli-
cación PHP: por medio de un socket UNIX,
$zarafaserver = U
“file:///var/run/zarafa”
o por medio de la interfaz SOAP,
$zarafaserver = U
“http://url_zum_zarafaserverU
:236/zarafa”.
Para facilitar la conexión con el servidor
por medio de un socket se puede hacer
que el usuario que ejecute la aplicación
sea un administrador de Zarafa, con lo
que se puede tener acceso al almacén sin
tener que introducir la contraseña. Con
ello se consigue que cualquier programa
PHP tenga acceso administrativo al servi-
dor, aunque este método no se reco-
mienda por razones de seguridad.
Ejemplo de una Aplicación
PHP-MAPI
El Listado 1 es un ejemplo de una agenda
que muestra cómo funciona la integración
con MAPI:
 Zafara • ADMINISTRACIÓN

Listado 1: Ejemplo de Aplicación PHP-MAPI

01 <?
02 // Fichero de definici̳n propio
03 require “mapidefs.php”;
04
05 // Se conecta al almacen y obtiene las propiedades de la agenda
06 $store = mapi_openmsgstore_zarafa(“john”, “”, “file:///var/run/zarafa”);
07
08 $receivefolder = mapi_msgstore_getreceivefolder($store[0]);
09 $rcvFProps = mapi_getprops($receivefolder, Array(PR_IPM_APPOINTMENT_ENTRYID));
10
11 // Obtiene entryid de la agenda en formato binario
12 $entryID = $rcvFProps[PR_IPM_APPOINTMENT_ENTRYID];
13
14 // Obtiene la carpeta de la agenda
15 $folder = mapi_msgstore_openentry($store[0], $entryID);
16
17 // Obtiene el contenido de la carpeta de la agenda
18 $contents = mapi_folder_getcontentstable($folder);
19
20 // guids para la agenda
21 $guid = makeguid(“{00062002- 0000- 0000- C000- 000000000046}”);
22 $guid2 = makeguid(“{00062008-0000- 0000-C000-000000000046}”);
23
24 // Obtiene los ids de las propiedades
25 $namedproperties = mapi_getIdsFromNames($store[0], array(0x820D, 0x820E, 0x8223, 026 0x8216, 0x8205,
0x8214, 0x8215, 0x8506, 0x8217, 0x8235, 0x8236, 0x8208, 0x8233),
26 array($guid, $guid, $guid, $guid, $guid, $guid, $guid, $guid2, $guid, $guid, $guid, $guid, $guid));
27
28 // Genera los ids mapi y los almacena en el array
29 $props[0] = mapi_prop_tag(PT_SYSTIME, mapi_prop_id($namedproperties[0])); // Comienzo
30 $props[1] = mapi_prop_tag(PT_SYSTIME, mapi_prop_id($namedproperties[1])); // Fin
31 $props[2] = mapi_prop_tag(PT_BOOLEAN, mapi_prop_id($namedproperties[2])); // Recurrente
32 $props[3] = mapi_prop_tag(PT_BINARY, mapi_prop_id($namedproperties[3])); // Datos recurrentes
33 $props[4] = mapi_prop_tag(PT_LONG, mapi_prop_id($namedproperties[4])); // BusyStatus - [Free,
Temporarily Occupied, Occupied, Not Available]
34 $props[5] = PR_ENTRYID; // ID único de la cita
35 $props[6] = PR_DISPLAY_TO; // Receptores
36 $props[7] = PR_SUBJECT; // Asunto
37 $props[8] = mapi_prop_tag(PT_LONG, mapi_prop_id($namedproperties[5])); // label
38 $props[9] = mapi_prop_tag(PT_BOOLEAN, mapi_prop_id($namedproperties[6])); // Eventos del dÃ&a
39 $props[10] = mapi_prop_tag(PT_BOOLEAN, mapi_prop_id($namedproperties[7])); // privado
40 $props[11] = mapi_prop_tag(PT_LONG, mapi_prop_id($namedproperties[8])); // encuentro
41 $props[12] = mapi_prop_tag(PT_SYSTIME, mapi_prop_id($namedproperties[9])); // Comienzo
42 $props[13] = mapi_prop_tag(PT_SYSTIME, mapi_prop_id($namedproperties[10])); // Fin
43 $props[14] = mapi_prop_tag(PT_STRING8, mapi_prop_id($namedproperties[11])); // localizaci̳n
44 $props[15] = mapi_prop_tag(PT_BINARY, mapi_prop_id($namedproperties[12])); // datos del huso horario

WWW.LINUX- MAGAZINE.ES Número 39 61

ADMINISTRACIÓN • Zafara

mapi_openmsgstore_zarafaU
Listado 1: Continuación (string $user , U
45 $props[16] = PR_BODY; string $password, U
46 string $server)

47 // Array de restricciones
Este ejemplo utiliza un socket para realizar
48 $restriction = Array(RES_OR, la conexión. Téngase en cuenta que la apli-
49 Array( cación se conecta al almacen MAPI como
un usuario administrador y por ello no se
50 // OR
requiere una contraseña para autenticarse.
51 // (item[start] >= start && item[start] <= end)
52 Array(RES_AND,
Éxito en la Conexión
Una conexión con éxito devuelve un array
53 Array(
con dos almacenes: el almacén privado
54 Array (RES_PROPERTY, Array(RELOP => RELOP_GE, ULPROPTAG del usuario con datos del propio PIM del
=> $props[0], VALUE => $start)), Array (RES_PROPERTY, Array(RELOP usuario, y el almacén público con datos
=> RELOP_LE, ULPROPTAG => $props[0], VALUE => $end)) compartidos.
Los almacenes MAPI poseen una estruc-
55 )
tura en forma de árbol. Para acceder a una
56 ), rama o a una hoja hay que conocer su
57 // OR dirección. Para ello existen propiedades.
La función mapi_prop_tags() crea direc-
58 // (item[end] >= start && item[end] <= end)
ciones a partir de un tipo y de un ID.
59 Array(RES_AND, El fichero mapitags.php, en la carpeta
60 Array( {webaccess}/mapi (en Zarafa 5) o en
61 Array(RES_PROPERTY, Array(RELOP => RELOP_GE, ULPROPTAG =>
{webaccess}/incluye/mapi (en Zarafa 4),
contiene una lista de constantes.
$props[1], VALUE => $start)), Array(RES_PROPERTY, Array(RELOP =>
Por otro lado, pueden utilizarse herra-
RELOP_LE, ULPROPTAG => $props[1], VALUE => $end))
mientas como OutlookSpy [7] para buscar
62 ) propiedades. Si el programador utiliza
63 ), como incluye los ficheros MAPI de los
directorios anteriormente mencionados,
64 // OR
no hay que crear las direcciones.
65 // (item[start] < start && item[end] > end) Una vez establecida la conexión con el
66 Array(RES_AND, almacén, se puede abrir la bandeja de
entrada del usuario para acceder a todos
67 Array(
los objetos del almacén:
68 Array(RES_PROPERTY, Array(RELOP => RELOP_LT, ULPROPTAG =>
$props[0], VALUE => $start)), Array(RES_PROPERTY, Array(RELOP => mapi_msgstore_getreceivefolder U
RELOP_GT, ULPROPTAG => $props[1], VALUE => $end)) (mapimsgstore $store);
69 )
La función mapi_getprops() lee las propie-
70 ),
dades del objeto requerido. En este caso es
71 ) una entrada ID para la agenda.
72 ); // OR global mapi_msgstore_openentry() permite crear
un puntero a la agenda y acceder a otras
73
propiedades del objeto agenda. mapi_fol-
74 $start = mktime(0, 0, 0, 9, 1, 2007); der_getcontentstable() abre la carpeta de
75 $end = mktime(23, 59, 59, 9, 30, 2007); mensajes.
Antes de poder empezar a leer las citas de
76
la agenda hay que generar los IDs para las
77 // Obtiene los elementos requeridos de la agenda propiedades requeridas (comienzo, fin, loca-
78 $rows = mapi_table_queryallrows($contents, $props, $restriction); lización, etc) utilizando mapi_prop_tag() y
mapi_getIdsFromNames().
79 foreach ($rows as $appointment) {
80 /* hacer algo */ Restricciones
81 } El ejemplo sólo muestra las citas del mes
de Septiembre; para ello utiliza las restric-
82 ?>
ciones MAPI.

62 Número 39 WWW.LINUX- MAGAZINE.ES

 Zafara • ADMINISTRACIÓN

El array restriction contiene una marca Ahora ya se sabe dónde se encuentra la La función mapi_table_queryallrows()
de tiempo para el inicio y la finalización carpeta con las entradas de la agenda, qué almacena las entradas relevantes en un
del periodo requerido. Luego, el array se propiedades de las citas se desean consul- array de resultados, proporcionando la
pasa en la petición MAPI. tar y a qué restricciones están sujetas. posibilidad de mostrarlo.

Listado 2: Fichero de Definición Conclusiones

01 <? Zarafa es un servidor de software colabora-
02 /* Definiciones de Objetos */ tivo robusto que se integra fácilmente con
03 define (‘PT_LONG’, 3); /* Valor de 32-bits con signo */
los entornos Linux existentes. Otros com-
plementos de código abierto, como Apache,
04 define (‘PT_BOOLEAN’, 11); /* Booleano de 16-bits (Distinto de
Postfix o MySQL, suplementan el núcleo.
cero: true) */
Además del acceso nativo de Outlook,
05 define (‘PT_SYSTIME’, 64); /* FILETIME 64-bit int w/ número de
los clientes pueden beneficiarse de las
períodos de 100ns desde el 1 de Enero de 1601*/
interfaces POP3, IMAP o iCalendar. PHP-
06 define (‘PT_STRING8’, 30); /* Cadena de caracteres de 8-bits
MAPI proporciona a los desarrolladores
terminada en null */
un acceso rápido a los datos y la posibili-
07 define (‘PT_BINARY’, 258); /* Sin interpretar (array de bytes) */
dad de manipular los datos del almacén.
08 define (‘PT_TSTRING’, PT_STRING8); /* Nombre de tipos de Webaccess viene con una interfaz AJAX
propiedades alternativos para facilitar el uso */
y funciones nuevas. Como las característi-
09 cas son similares a las de Outlook,
10 /* Definiciones de etiquetas de propiedades para las propiedades muchos usuarios comenzarán a utilizar de
estándar de los objetos MAPI */ forma exclusiva Webaccess.
11 define (‘PR_SUBJECT’, mapi_prop_tag( PT_TSTRING, 0x0037)); Z-Push proporciona acceso continuo a
12 define (‘PR_BODY’, mapi_prop_tag( PT_TSTRING, 0x1000)); las PDAs a los últimos datos.
13 Los interfaces abiertos y bien documen-
14 /* Propiedades de mensajes no transmitibles */ tados facilitan la integración de Zarafa con
los sistemas existentes. Por ahora Zarafa
15 define (‘PR_DISPLAY_TO’, mapi_prop_tag( PT_TSTRING, 0x0E04));
está trabajando en la integración servidor-
16 define (‘PR_NORMALIZED_SUBJECT’, mapi_prop_tag( PT_TSTRING,
servidor con sistemas CRM tales como
0x0E1D));
SugarCRM y vTiger, además de proporcio-
17
nar los mismos datos a todos estos siste-
18 /* Propiedades comunes a múltiples objetos (incluyendo objetos mas en tiempo real.
mensajes); Zarafa es un producto comercial, pero
19 * — Estos ids se encuentran en el rango no transmitible */ es una solución de software colaborativo
20 define (‘PR_ENTRYID’, mapi_prop_tag( PT_BINARY, 0x0FFF)); completa a un buen precio, y su desarrollo
21 se encuentra en continua expansión. ■
22 /* Propiedades extras */
23 define (‘PR_IPM_APPOINTMENT_ENTRYID’, mapi_prop_tag RECURSOS
( PT_BINARY,0x36D0)); [1] Zarafa: http://www.zarafa.com/
24 [2] ImapSync: http://freshmeat.net/
25 /* Restricciones */ projects/imapsync
26 define(‘RES_AND’, 0); [3] Características de Zarafa: http://
27 define(‘RES_OR’, 1); zarafa.com/features.html

28 define(‘RES_PROPERTY’, 4); [4] PHP-MAPI: http://download.zarafa.

com/zarafa/en/zarafa_php_ext_5.00.
29
pdf
30 /* Restricciones Comparables */
[5] MSDN-MAPI: http://msdn.microsoft.
31 define(‘RELOP_LT’, 0); com/library/default.asp?url=/library/
32 define(‘RELOP_LE’, 1); en-us/mapi/html/
33 define(‘RELOP_GT’, 2); ef00004c-893c-4136-8cd4-89b729b7
401e.asp
34 define(‘RELOP_GE’, 3);
35
[6] Z-Push: http://z-push.sourceforge.
net
36 /* Valores para el índice del array de restricciones */
[7] Listados de Programas: http://www.
37 define(‘VALUE’, 0); // propval
linux-magazine.es/Magazine/
38 define(‘RELOP’, 1); // método de comparación Downloads/39/Zarafa
39 define(‘ULPROPTAG’, 6); // propiedad [8] OutlookSpy: http:// www.
40 ?> dimastr.com/outspy

WWW.LINUX- MAGAZINE.ES Número 39 63

ADMINISTRACIÓN • Puppet
Gestionamos nuestras máquinas con Puppet
MOVIENDO HILOS
Mostramos cómo ahorrar tiempo en la administración de nuestro sistema con la ayuda de Puppet, una herra-
mienta de gestión y centralización de configuraciones. POR JULIET KEMP
P
uppet es una herramienta de cen-
tralización de configuraciones
que usa una especificación de
lenguaje multiplataforma. Para usarlo
iniciamos un servidor Puppet central, el
puppetmaster, y los demonios puppet de
cada máquina a administrar. Las opcio-
nes de configuración de todas las máqui-
nas cliente se definen en el puppetmas-
ter, desde donde se propagan luego los
cambios en las configuraciones hacia los
clientes. Puppet nos permite gestionar
archivos (propietario, modo, contenido y
existencia), usuarios, grupos, paquetes y
servicios desde una localización central.
Podemos ejecutar comandos o scripts, e
incluso gestionar
crontabs, mon-
tajes de sistemas
de archivos o
hacer configura-
ciones de red. Cada
elemento gestionado
se conoce como recurso,
los cuales se organizan en
tipos (como archivo, paquete,
servicio, cron…). Puppet se
encuentra actualmente en
desarrollo, por lo que se añaden regu-
larmente nuevos tipos, incluso pode-
mos crear el nuestro propio
¿Por Qué Usar Puppet?
Los tres motivos principales son:
• 1. Puppet guarda un registro de la
configuración del cliente. Si un cliente
cae, podemos generar una
configuración idéntica en un nuevo
sistema basándonos en la información
almacenada en el Puppetmaster
• 2. En caso de tener más de una
máquina, podemos configurarlas de
forma idéntica (o usar el mismo sis-
tema base y aplicar luego modificacio-
nes individuales).
• 3. Nos facilita la gestión de múltiples
sistemas desde una sola localización.
64 Número 39
Otra ventaja de Puppet es el uso de una Debian tratado en este artículo. El
herramienta llamada Facter. Facter archivo de configuración principal, muy
define variables por-host (como el nom- simple, se encuentra en /etc/puppet/pup-
bre de host, la dirección IP o el sistema petmaster.conf; por ejemplo:
operativo) automáticamente, permitién-
donos modificar configuraciones especí-
ficas en clientes determinados mante-
niendo las ventajas de una configuración
distribuida.
Instalación y Configuración
El código fuente de Puppet se encuentra
disponible en el sitio web del proyecto
[1]. Los paquetes de Puppet están inclui-
dos en los repositorios de varias distribu-
ciones Linux. En Debian, el paquete del
servidor de Puppet es puppetmaster.
Además, son necesarios ciertos paquetes
de Ruby, que podemos instalar con apt-
get. Puppet se encuentra disponible tam-
bién para otras distribuciones,
pudiéndose
compilar además
desde el código
fuente.
Paulus Rusyanto, Fotolia
Nótese que el paquete
actual para Debian stable
está en su versión 0.20.1,
mientras que los fuentes actua-
les van por la v0.24.1. Por este
motivo, las últimas funcionalidades
no están disponibles en el paquete
WWW.LINUX-MAGAZINE.ES
 Puppet • ADMINISTRACIÓN

ción del manifiesto de sitio master. El cliente se parará si el certifi-

Figura 1: Una ejecución algo más complicada de Puppet del
lado del cliente. Nótense los facts cargados en el inicio y los
servicios en proceso de actualización en rojo.
[puppetmasterd]
# Nos aseguramos de que U
todos los mensajes de registro U
se envían al directorio correcto
# Puppet debe tener permisos U
de escritura en ese directorio
user logdir=/var/log/puppet
vardir=/var/lib/puppet
rundir=/var/run
Necesitamos también la configuración
del servidor de archivos, en /etc/puppet/
fileserver.conf, para guardar los conteni-
dos de los archivos. El ejemplo muestra
la ruta al almacenamiento de archivos del
puppetmaster y permite el acceso a todas
las máquinas del dominio ejemplo.com:
[files]
path /etc/puppet/archivos
allow *.ejemplo.com
# deny *.excluido.ejemplo.com
# allow 192.168.0.0/24
Además, podemos denegar el acceso a
máquinas o dominios determinados,
pudiendo especificar direcciones IP si lo
preferimos. Para crear los archivos de
Puppet bajo los que se ejecuta el servi-
dor iniciamos el demonio de Puppet por
primera vez con la opción mkusers.
Como aún no hemos creado definiciones
de nodo, necesitaremos además la
opción —nonodes:
/usr/bin/puppetmasterd U
—mkusers —nonodes
Receta Básica
Ahora que ya tenemos el servidor inicial
instalado, comenzamos con la instala-
y la gestión de las configu-
raciones. Por defecto, el
manifiesto de sitio inicial de
Puppet se encuentra en
/etc/puppet/manifests/
site.pp. Lo que hay en este
archivo se ejecutará en cada
cliente. Para comenzar,
podemos probar a poner la
siguiente receta; el archivo
sudoers es muy útil:
file { ”/etc/sudoers”:
owner => ”root”,
group => ”root”,
mode => ”440”
} Tras la ejecución, comprobamos /etc/
Así nos aseguramos de que este archivo
sudoers tiene esas propiedades en el
cliente.
Para las pruebas, ejecutamos puppet-
masterd —verbose, que envía la salida a
la pantalla en vez de hacerlo a los regis-
tros, con lo que podemos ver inmediata-
mente qué está sucediendo.
Instalación de un Cliente
Lo siguiente será iniciar el puppetmaster
y añadir un cliente para poder hacer
pruebas. En los clientes necesitamos el
paquete puppet. Definimos el nombre
del servidor de nuestro sitio editando el
archivo /etc/puppet/puppetd.conf,
server = U
servidorpuppet.ejemplo.com
luego cambiamos los modos o propieta-
rios del archivo /etc/sudoers del cliente
de manera que difieran con lo definido
en el site.pp del puppetmaster. Ya pode-
mos iniciar el cliente por primera vez
con el comando puppetd --waitforcert 60
--test.
Los clientes se autentifican mediante
una petición de certificado al puppet-
Listado 1: Tarea Cron para Reiniciar Puppet
01 cron { restart-puppet:
02 command => ’if [ -e /var/run/puppetd.pid ];
03 then ps uw -p `cat /var/run/puppetd.pid`
04 | grep -q ’ ruby /usr/sbin/puppetd’
05 || (rm /var/run/puppetd.pid; /etc/init.d/puppet start); fi’,
06 user => root,
07 minute => ’0’,
08 }
cado no existe, hasta que le digamos al
puppetmaster que firme el certificado
del cliente. Con el comando puppetca -
-list se muestran todos los clientes que
están esperando la firma. Con pup-
petca --sign cliente.ejemplo.com firma-
mos el certificado de
cliente.ejemplo.com, y con puppetca --
sign --all se firman todos los certifica-
dos. Pasados 60 segundos, el cliente
coge el certificado firmado y se inicia.
La opción test hace que el cliente se
ejecute en modo verbose.
La Figura 1 muestra un ejemplo lige-
ramente más complicado ejecutándose
en uno de nuestros clientes.
sudoers; los modos deben ser los que
especificamos en el puppetmaster.
Además de gestionar estos atributos,
también podemos gestionar los conteni-
dos de los archivos usando Puppet
como servidor de archivos. Primero cre-
amos un archivo sudoers de muestra y
lo ponemos en /etc/puppet/files/
sudoers.
Luego editamos site.pp de nuevo, de
forma que la receta para sudoers quede
así:
file { ”/etc/sudoers”:
owner => ”root”,
group => ”root”,
mode => 440,
source => U
”puppet://servidorpuppet.U
ejemplo.com/files/U
sudoers”,
}
Editamos el archivo del cliente para
poder diferenciarlo (añadiendo algún
comentario, por ejemplo) y ejecutamos
Puppet en él con puppetd --test. Vemos
cómo el contenido del archivo cambia.
Con la gestión de archivos puede com-
probarse si existen determinados enlaces

WWW.LINUX-MAGAZINE.ES Número 39 65
ADMINISTRACIÓN • Puppet

simbólicos o directorios. Este trozo de Puppet es capaz de gestionar multitud • Cron. Gestiona tareas de cron. Un
código muestra también cómo usar un de tipos: posible uso es rearrancar Puppet en
contenedor de archivo simple { } para • Paquetes: Puppet interactúa con la los clientes cuando ha fallado, como
varios recursos de archivo. mayoría de los sistemas de paquetes se muestra en el Listado 1.
existentes, asegurando que se instalan Para optimizar la impresión, el comando
file { paquetes determinados, algo particu- se muestra dividido en varias líneas,
”/star”: larmente interesante en la instalación aunque en realidad debe ser una sola.
ensure => link, de una nueva máquina: Podemos definir la hora y el día en que
target => ”/soft9/star”; queremos llevar a cabo la tarea cron, así
”/test/dir”: package { ”slapd”: U como el usuario bajo el cual se debe eje-
ensure => directory; ensure => installed; } cutar. El comando se añade al crontab
} del usuario.
• Exec: Ejecuta comandos internos. El • Mount: Puntos de montaje y ensure. Si
Nótese el punto y coma del final de cada comando subscribe es útil aquí. Por se define el parámetro ensure como
especificación de recurso. ejemplo, esta parte actualiza exim4 present, el sistema de archivos se
cuando cambia algún archivo de incluye en la tabla, pero no se monta.
Dependencias configuración. Si el parámetro se define como moun-
Los recursos interactúan los unos con los ted, el sistema de archivos se incluye
otros. Por ejemplo, determinados paque- exec { ”exim4-update”: en la tabla y además se monta. Si el
tes pueden ser necesarios para determi- command => U parámetro se define como absent, el
nados servicios. También podríamos ”/usr/sbin/U sistema de archivos se elimina de la
desear que un servicio se reiniciara cada update-exim4.conf”, tabla.
vez que se modifica un archivo dado. user => ”root”, • También se dispone de otros atributos
Puppet usa dependencias, principal- subscribe => U de red: hosts, interfaces, listas de
mente require y subscribe, para definir File[“update-exim4”], correo, alias de correo o claves de host
estas interacciones. refreshonly => true, de SSH.
El ejemplo de más abajo usa el tipo } En el sitio web del proyecto de Puppet
service, que podemos usar para exim, podemos encontrar un listado completo
Apache o cualquier otro demonio que • Usuarios y grupos: Este tipo está orien- de tipos.
queramos mantener ejecutándose: tado sobre todo a la gestión de usua- Se están desarrollando nuevos tipos
rios de sistema, más que a usuarios continuamente, aunque hay que actuali-
service { ”slapd”: regulares. Es posible gestionar el direc- zar a la última versión de Puppet para
ensure => running, torio de inicio (por ejemplo para cre- poder usarlos.
hasrestart => true, arlo), así como otros atributos:
require => U Predeterminado
Package[“slapd”], user { ”manager”: Se pueden definir valores predetermina-
subscribe => U ensure => present, dos para todos los recursos. Por ejemplo,
[File[“ldap.conf”], U home => U si la mayoría de nuestros archivos son
File[“/etc/ldap/schema”]], ”/local/manager”, propiedad de root y tienen el chmod en
} managehome => true, 644, lo siguiente establece esos valores
gid => ”systemusers”, como lo predeterminado con todos los
La opción hasrestart hace saber a Puppet } archivos:
si el servicio se reinicia con stop/start o
con restart. require simplemente propor- Listado 2: Varias Clases y Herencia
ciona una interrelación ordenada; garan-
01 class base { 13 include latex
tiza que el recurso al que se hace refe-
02 # Básico 14 include gnome
rencia, que en este caso es el paquete
03 include autofs 15 # etcétera
slapd, se gestione antes.
04 include cron 16 }
subscribe es una dependencia de tipo
05 include puppet 17
reactivo. Si el recurso especificado cam-
06 include ssh 18 class server inherits base {
bia, se actualiza. Los tipos exec, service y
07 # etcétera 19 # De nuevo, todo lo de la
mount soportan esta dependencia.
08 } clase base se incluye
Nótese el modo en que definimos los
09 automáticamente
recursos de Puppet en este contexto:
10 class desktop inherits base { 20 # Y ahora las cosas
usando el nombre del tipo en mayúscu-
11 # Todo lo de la clase base específicas del servidor
las y dando el nombre del recurso. Ade-
se incluye aquí 21 include nfs
más, estos recursos se deben especificar
automáticamente 22 # etcétera
en algún sitio más, de lo contrario se
12 # Luego también podemos 23 }
produce un error.

66 Número 39 WWW.LINUX-MAGAZINE.ES
 Puppet • ADMINISTRACIÓN

File { (p.e., apt.pp, configuración de la configuración básica

owner => ”root”,
group => ”root”.
mode => ”644”
} cada clase; nosotros recomendamos esto
Si queremos obviarlo, podemos definir
otros valores para un recurso en particu-
lar. Nótese que los valores predetermina-
dos sólo afectan a su propio ámbito
(clase) o cualquier otro por debajo de él;
si queremos que sean aplicables de
forma global, hemos de situarlos fuera
de cualquier clase, por ejemplo, en
site.pp.
El Directorio de Puppet
En el sitio web del proyecto se sugieren
algunas formas de organización de archi-
vos y manifiestos. Independientemente
de cuáles use nuestro sistema, debemos
asegurarnos de que sean lo suficiente-
mente comprensibles y actualizables.
Nuestro sistema presenta el siguiente
aspecto:
- Dir. principal de Puppet:
|- Archivos
|- Aplicaciones
- Usuarios
|- Manifiestos
|- site.pp
|- Nodos - dir. con
varios
manifiestos de nodo -
ver siguiente sección
|- Clases - directorio
con
varios manifiestos de
clase, de acuerdo
con el programa
apache2.pp) o predeterminada ( Listado 2 ).
|- Definiciones Podemos definir todas las clases en un
|- Plantillas único archivo, o tener un archivo por
Los subdirectorios contienen todos archi- último para facilitar la gestión de la
vos de clase (ver más abajo) y, para que configuración.
se incluyan éstos, site.pp quedaría así:
Facter, Plantillas, Variables
import ”classes/*” Una característica muy útil de Puppet es
import ”definitions/*” que viene con Facter, una utilidad que
import ”nodes/*” define varios facts (características) dada
import ”users/*” una determinada máquina. Los facts
comprenden el nombre de host, la direc-
ción IP, la arquitectura, el sistema opera-
Nodos tivo, la clave de SSH, la información
Hasta ahora sólo hemos tenido en cuenta sobre el procesador, la información sobre
la configuración para una sola máquina, memoria, etc.
pero el verdadero potencial de Puppet se Para ver el listado completo de facts
demuestra cuando existen múltiples predeterminados introducimos facter en
máquinas. Si son todas idénticas, sólo la línea de comandos. Podemos hacer
tenemos que definir una configuración, referencia a estos facts mediante $fact-
la predeterminada. name. Estos facts tienen dos usos impor-
tantes: la creación de estructuras condi-
# site.pp cionales y su uso en plantillas.
default {
include sudo Condicionales
} Puppet tiene tres tipos de condicionales:
1. Los selectores que se usan dentro de
Si ésta es la única configuración, se eje- una declaración; por ejemplo:
cutará en cada cliente Puppet que se
conecte al puppetmaster. package {
Puede que queramos una ”krb-clients”:
configuración diferente para cada ensure => U
máquina, o una configuración base que $operatingsystem ? {
hereden todas o se incluya en la ubuntu => absent,
configuración del nodo. Por ejemplo, es debian => U
posible que tengamos una configuración installed,
para un servidor muy básico que difiere default => undef
de la configuración de nuestro escritorio, };
pero que ambas hereden su }

Listado 3: iptables.erb Aquí, si $operatingsystem está definido

como ubuntu, el paquete no se instala; si
01 *filter
está definido como debian, sí se instala.
02 :INPUT DROP [0:0]
Por defecto no se define el atributo.
03 :FORWARD DROP [0:0]
Nótese la ausencia de coma en la línea
04 :OUTPUT ACCEPT [0:0]
final.
05 -A INPUT -d 127.0.0.0/255.0.0.0
2. case, que proporciona un método
06 -i ! lo -p tcp -j DROP
para la aplicación condicional de clases:
07 -A INPUT -d <%= ipaddress %> -m state —state RELATED,ESTABLISHED -j
08 ACCEPT
case $operatingsystem {
09 -A INPUT -i lo -j ACCEPT
ubuntu: { include ubuntu }
10 -A INPUT -s 104.198.153.0/255.255.255.0 -d <%= ipaddress %> -j
debian: { include debian }
11 ACCEPT
default: { include basic }
12 -A INPUT -d <%= ipaddress %> -p tcp -m tcp —dport 22 -j LOG
}
13 —log-prefix ”ssh:”-A INPUT -d <%= ipaddress %> -p tcp -m tcp
14 —dport 22 -j ACCEPT
Aquí se incluye la clase específica de
15 COMMIT
cada sistema operativo, dependiendo del

WWW.LINUX-MAGAZINE.ES Número 39 67
ADMINISTRACIÓN • Puppet

valor de $operatingsystem. Se pueden (“/etc/puppet/templates/U ENV[‘HOME’]

definir varias condiciones usando la iptables.erb”), end
coma. } end
3. La estructura if/else simple; por
ejemplo: Mientras los archivos necesitan la sinta- La próxima vez que se ejecute Puppet en
xis los clientes, se sincronizará este fact y se
if $unejemplo { puppet://servidorpuppet.ejemplo.com, las podrá usar en cualesquiera recetas que
file { U plantillas no. elaboremos.
”/usr/local/ejemplo”: U
ensure => present } Facts Personalizados Otras Variables
} Los facts predeterminados están disponi- Las variables son útiles también en otras
else { bles de forma automática en todos los situaciones. Una variable definida en
file { ”/usr/local/test”: U clientes. De cualquier modo, si escribi- site.pp está disponible en el resto de
ensure => present } mos facts personalizados, querremos manifiestos o clases. Por lo que, por
} conservarlos en el puppetmaster y luego ejemplo, si tenemos un juego estándar
hacer que los clientes sincronicen sus de usuarios a quienes se les permite
Actualmente sólo es posible determinar facts con el servidor. ingresar en nuestros servidores y quere-
si una variable está definida o no, pero Se añade una sección a /etc/puppet/ mos editar /etc/ssh/sshd_config de
no distinguir entre los valores que pueda fileserver.conf en el puppetmaster, acuerdo a este escenario, podemos
contener. Para hacerlo hay que usar las hacer algo como lo, mostrado en el Lis-
declaraciones case o selector. [facts] tado 4.
path /etc/puppet/facts Instalar el servidor de archivos a partir
Plantillas allow *.ejemplo.com de una variable puede ser también
Las plantillas usan Ruby para colocar las buena idea; si el servidor cambia no hay
variables en un archivo fuente. Dicho de y en cada cliente, se añade una línea a que ir cambiando los archivos uno por
otro modo, es como proporcionar un /etc/puppet/puppetd.conf: uno.
archivo central que puede mutar depen-
diendo de la máquina a la que se destina. factsync = true Conclusión
Un buen ejemplo de uso de un fact en Con esta breve introducción no pode-
una plantilla es la definición de una polí- Después reiniciamos puppetmasterd en mos más que vislumbrar la posibilida-
tica de ipchains. Por ejemplo, el archivo el servidor y puppetd en los clientes. Ya des que nos brinda Puppet. Las versio-
iptables.erb (ERB es la sintaxis para las podemos poner facts personalizados en nes más recientes del software nos per-
plantillas de Ruby) mostrado en el Lis- /etc/puppet/facts para hacer que se pro- miten organizar nuestra instalación en
tado 3 emplea $ipaddress. Luego pode- paguen. Por ejemplo, para instalar un módulos, con lo que podemos obtener
mos referenciar esta plantilla: fact que define $home como la variable incluso más flexibilidad. En caso de
de entorno $HOME, creamos el archivo estar usando LDAP para almacenar la
file { ”iptables_config”: /etc/puppet/facts/home.rb: información de los usuarios y la
name => U máquina, podemos tomar de ahí nues-
”/etc/sysconfig/iptables”, Facter.add(“home”) do tras definiciones de nodo.
content => template U setcode do Teniendo los contenidos de los archi-
vos en un solo lugar se facilita también
Listado 4: Uso de Variables en la Instalación de SSH el uso de Subversion (u otro sistema de
control de versiones). Recomendamos
01 # en site.pp
encarecidamente hacerlo de este
02 $server_ssh_users = ”root jkemp admin”
modo.
03
Para más información, o ayuda adi-
04 # en ssh.pp o donde quiera que lo queramos conservar
cional, se puede consultar el sitio web
05 file { ”sshd_config”:
de Puppet, la wiki [2] o la lista de
06 name => ”/etc/ssh/sshd_config”,
correo [3]. ■
07 allow_users => ’AllowUsers $server_ssh_users’,
08 template => ”/etc/puppet/templates/sshd_config.erb”,
09 } RECURSOS
10 [1] Proyecto Puppet: http://
11 # parte relevante de sshd_config.erb reductivelabs.com/projects/puppet/
12 LoginGraceTime 600 [2] Wiki de Puppet: http://reductivelabs.
13 PermitRootLogin without-password com/trac/puppet/wiki
14 StrictModes yes [3] Listas de Correo de Puppet: http://
15 reductivelabs.com/trac/puppet/wiki/
16 <%= allow_users %> GettingHelp#mailing-list

68 Número 39 WWW.LINUX-MAGAZINE.ES
LINUX USER • Gnash
Reproductor libre para películas Flash
¡ACCIÓN!
Ferenc Szelepcsenyl, Fotolia
Hasta muy recientemente, el formato Flash ha sido del dominio particu-
lar de Adobe. Gnash introduce un reproductor Flash libre para Linux y
BSD con un diseño de pretensiones mucho más ambiciosas que las del
rey de Adobe. POR ERIK BÄRWALDT
S
hockwave Flash se ha establecido
como el estándar para contenido
multimedia en Internet, haciendo
que los usuarios de plataformas de TV o
vídeo como YouTube y Lulu.tv disfruten
de películas Flash. Pero además, tam-
bién está conquistando rápidamente el
campo de las materias educativas y mul-
timedia profesionales.
Este formato, originalmente desarro-
llado por Macromedia, es el preferido
por los desarrolladores web porque
soporta elaboradas animaciones gráficas,
permitiéndoles realzar el diseño de una
página web. Las capacidades de strea-
ming del formato Flash lo hacen perfecto
para una conexión a Internet de banda
estrecha, evitando las típicas esperas que
conlleva la descarga de una película en
un formato tradicional.
70 Número 39
Estas propiedades, adaptadas a las
necesidades de la edad de Internet, han
ayudado a Flash a establecerse en un
tiempo récord; sin embargo, el formato
posee una importante desventaja: Como
software propietario no se encuentra dis-
ponible libremente, estando su
desarrollo actualmente en manos de una
sola compañía, Adobe.
Flash en el Navegador
El software reproductor más generali-
zado para animaciones Flash también es
de Adobe, y sólo se encuentra disponi-
ble como plugin para algunos navegado-
res web, no como reproductor indepen-
diente. La desventaja de esto es que, por
ejemplo, los vídeos de formación sólo se
ejecutarán en un navegador web. Adobe
ofrece variantes de su reproductor Flash
WWW.LINUX- MAGAZINE.ES
para Linux como descarga libre [1]. El
plugin soporta cualquier navegador
reciente basado en Mozilla, como pue-
den ser Firefox o Seamonkey, y también
Opera.
Para permitir a los usuarios Linux ele-
gir un reproductor Flash libre, la Free
Software Foundation lanzó el Proyecto
Gnash [2]. Su nombre resulta de la com-
binación de las palabras “GNU” y
“Flash”. El reproductor libre Gnash no
sólo ambiciona proporcionar la misma
funcionalidad que el reproductor Adobe
como plugin para navegadores web
populares, sino también añadir capaci-
dades de reproducción independientes
que hagan que sea más fácil el uso de
películas Flash en escenarios educativos.
El software se encuentra aún en alfa,
pero el desarrollo está progresando muy
bien. Tanto los archivos del código
fuente como la documentación en distin-
tos formatos se encuentran disponibles
en la web [3]. La compilación de un
binario desde las fuentes puede ser toda
una experiencia, incluso para los usua-
rios Linux más versados, debido a la
gran cantidad de dependencias que hay

que resolver. Afortunadamente, los
paquetes binarios Gnash se encuentran
ahora disponibles para casi cualquier
distribución y sus derivadas (ver [4], [5]
y [6]). Además del reproductor en sí,
también necesitamos descargar las libre-
rías Libgnash0 y Libgtkglext1 para com-
pletar las dependencias. Si queremos eje-
cutar Gnash Player como un plugin para
un navegador, también deberemos insta-
lar el paquete mozilla-plugin-gnash en
nuestro sistema.
Figura 1: Estos pececillos se sienten obvia-
mente bastante felices con Gnash en el nave-
gador.
Una vez hayamos completado la insta-
lación, encontraremos Gnash en el menú
Aplicaciones | Entretenimiento en
Gnome. Buscamos la entrada Gnash SWF
Viewer. Si pulsamos en la entrada del
menú, en principio no pasará nada más.
Si pulsamos con el botón derecho en un
fichero SWF almacenado localmente, y
luego seleccionamos el Gnash Player,
aparecerá una ventana con apariencia
espartana y se reproducirá el contenido
del fichero.
Hasta ahora la única manera de con-
trolar Gnash es pulsando con el botón
derecho en la ventana del programa, lo
cual nos permite pasar hacia adelante o
hacia atrás la película, y nos da acceso a
funciones típicas como Reproducir/
Parada, Pausa, Cerrar y Salir. En estos
momentos Gnash carece de menú.
Funcionalidad
El Flash Player libre me dejó con una
impresión ambivalente, pues aunque el
plugin del navegador en nuestro labora-
torio reprodujo varios ficheros de vídeo y
ejemplos de YouTube sin ningún pro-
blema, el reproductor independiente no
pudo reproducir ninguna de las anima-
ciones Flash que le introduje, a pesar de
no arrojar ningún mensaje de error
(Figura 1).
O bien existían problemas relaciona-
dos con aspectos visuales de la película
o con el sonido, que estaba distorsio-
nado, o incluso se iba. Déficits atribui-
bles a la naturaleza propietaria del for-
mato Flash. Aquellos que deseen
desarrollar un reproductor libre para
ficheros SWF no pueden esperar que
Adobe les revele las especificaciones
Flash. La única opción que tenemos es
reconstruir laboriosamente el códec, un
arduo proceso de prueba y error.
Para colmo, Adobe habitualmente
introduce nuevas tecnologías con cada
nueva versión del formato, por lo que no
es suficiente con desarrollar un códec
para una versión del formato Flash. Al
contrario, los desarrolladores se ven for-
zados a seguir cada paso que da Adobe,
razón por la que la Free Software Foun-
dation está intentando no solamente
soportar la versión 4 del formato de
Adobe con Gnash, sino implementar el
juego de funcionalidades completo de la
última versión 7.
Algo destacable de Gnash es lo rápida-
mente que la película aparece en el plu-
WWW.LINUX- MAGAZINE.ES
Gnash • LINUX USER
gin del navegador, lo cual se debe a las
excelentes capacidades de streaming del
reproductor. La calidad de la reproduc-
ción de sonido es buena incluso para los
requerimientos más exactos. Después de
todo, Gnash usa OpenGL para soporte
3D basado en hardware. Otro punto posi-
tivo es la carencia de problemas de esta-
bilidad con las dos versiones de Gnash
que probé, la 0.7.2 y la 0.8.1. La CPU
cargada también estaba dentro de unos
límites aceptables.
Conclusiones
Gnash ha conseguido finalmente que
las cosas funcionen con su reproductor
Flash. El software, que actualmente se
encuentra en fase alfa, se está desarro-
llando rápidamente gracias al empuje de
la Free Software Foundation para sumi-
nistrar una alternativa libre a Flash Pla-
yer de Adobe.
Gnash posee algunas ventajas concep-
tuales comparado con su homólogo pro-
pietario de Adobe; por ejemplo, el repro-
ductor también está diseñado como una
aplicación independiente y no depende
de un navegador web. Además, comien-
zan a brillar las increíbles capacidades
de streaming de Gnash.
Como mantiene la carga del sistema
agradablemente baja, este reproductor
es apropiado para usarlo en máquinas
de menor potencia, siendo destacable
además su excelente calidad de imagen.
Los ciclos de edición corta muestran
que Gnash es un proyecto de alta priori-
dad, debiéndose resolver cuanto antes
los fallos en la actual versión alfa. En
resumen, todo indica que Gnash será
pronto una alternativa genuina a Adobe
Player. ■
RECURSOS
[1] Descarga: http://www.adobe.com/
shockware/download/download.
cgi?P1_Prod_Version=ShockwaveFlas
h
[2] Gnash: http://www.gnu.org/software/
gnash
[3] Fuentes Gnash: http://www.gnu.org/
software/gnash/#downloading
[4] Paquetes para Fedora/RHEL: http://
dag.wieers.com/rpm/packages/gnash
[5] Paquetes para Ubuntu: http://
packages.ubuntu.com
[6] Paquetes para Mandriva, openSUSE:
http://rpm.pbone.net
Número 39 71
 LINUX USER • ImageMagick

Procesado de imágenes en la consola

PÍXEL PERFECTO
Timbec, photocase.com

GIMP no es la única opción para la manipulación de fotos. ImageMagick, una colección de programas de la

línea de comandos para el procesamiento de imágenes, puede ayudarnos a procesar un lote de fotos de una

sola pasada. POR TIM SCHÜRMANN

L
as vacaciones han acabado y nues-
tra nueva cámara digital está ates-
tada hasta arriba. Antes de crear
una galería de fotos en nuestra página
web necesitaremos clasificarlas y reunir-
las. Normalmente arrancaríamos GIMP, repitiendo todo el proceso hasta tener
abriríamos una foto, la procesaríamos, todas nuestras fotos clasificadas. Este
definiríamos su
tamaño y al final
la guardaríamos,

Tareas Típicas
El programa ImageMagick está especialmente indicado para los
siguientes tipos de tareas:
• Conversión de fotos a distintos formatos de imagen
• Cambiar el tamaño de la imagen
• Rotar, escalar y cortar secciones con una precisión de píxel
• Usar filtros y efectos
• Creación de animaciones para la web
• Creación de imágenes simples usando formas geométricas
básicas o copiando y pegando pequeños fragmentos de gráfi-
cos
• Generación de thumbnails y marcos
Figura 1: Pulsando con el botón izquierdo del ratón sobre la foto abri-
• Unir distintos dibujos o fotos (por ejemplo, un póster, collage
mos el menú; la ventana reducida ayuda a navegar en imágenes
o una galería fotográfica)
sobredimensionadas.

72 Número 39 WWW.LINUX- MAGAZINE.ES

 ImageMagick • LINUX USER

Figura 3: Para ver información más detallada acerca de nuestra foto,

Figura 2: El comando “display” crea una perspectiva de las fotos
que no se han abierto aún.
método podría llevarnos horas de nuestro
tiempo libre.
Afortunadamente, ImageMagick
incluye una colección de herramientas de
la línea de comandos para nuestras imá-
genes. Podemos acceder a ellas casi
exclusivamente desde la consola y nos
permite procesar un paquete de imáge-
nes fácilmente como si de una linea de
ensamblaje se tratara. Por ejemplo, aña-
dir un marco a cada una de nuestras 451
fotos solamente requiere un único
comando.
Saldos
En primer lugar, el programa display
puede ayudarnos a clasificar todas nues-
tras imágenes (Figura 1). El comando dis-
play *.jpg, por ejemplo, presenta todas
incluyendo resolución, color y tamaño.
las imágenes JPG en el
directorio actual. Pul-
sando la barra espaciadora nos movere-
mos desde una imagen a la siguiente.
Podemos generar una perspectiva de
nuestras fotos actuales (Figura 2)
mediante el comando display vid:*.jpg,
que también podemos salvar pulsando
Ctrl + S.
El comando identify imagen.jpg nos da
información más detallada de la foto
(Figura 3), incluyendo alguna informa-
ción un tanto críptica.
El ejemplo mostrado en la Figura 3
concierne a un fichero JPEG con una
resolución de 3264x2448 píxeles, donde
cada canal de color contiene 8 bits de
información de color. Usando tres cana-
les de color (rojo, verde y azul) da como
resultado una profundidad de color de 24
bits. El último valor suministra informa-
ción acerca del tamaño del fichero. La
información Exif oculta en muchas fotos
la obtenemos a través del parámetro -ver-
bose:
$ identify -verbose image.jpg
Después de haber determinado las fotos
que no deseamos y de borrarlas, ha lle-
gado el momento de preparar las que nos
quedan para nuestra web.
Las cámaras normalmente generan
fotos en formato JPEG, el cual tiene una
seria desventaja. Para conseguir una
compresión alta, JPEG tiende a eliminar
información de la imagen por todas par-
tes, lo cual se hace evidente tan pronto
como comenzamos a aplicar filtros y
efectos. Estos cambios pueden dejar arte-
factos no deseados en la imagen. Si aún
así deseamos procesar las fotos de nues-

Figura 4: El efecto de solarización genera una imagen en negativo. Figura 5: … aunque los resultados finales pueden quedar bastante
Los beneficios prácticos de la mayoría de los filtros son un tanto bien. En este ejemplo, el efecto remolino mete la imagen en una bati-
limitados… dora.

WWW.LINUX- MAGAZINE.ES Número 39 73

LINUX USER • ImageMagick

tras vacaciones, deberemos convertirlas Filtros

primero a un formato no comprimido. Determinado número
Por ejemplo, los fotógrafos prefieren el de efectos y filtros
formato TIFF, que está generado por el pueden cambiar o real-
comando convert imagen.tiff. zar nuestras imágenes.
En muchos casos es
Conversión de Ficheros útil el filtro sharpen
Si disponemos de un número elevado de (realzar):
ficheros, el comando de la shell que sigue
nos ayudará a convertirlos de una sola convert
vez: -sharpen 6
imagen.tiff U
$ for i in *.jpg; do convert U scharf.tiff
$i $(basename $i .jpg).tiff; U
done El número que sigue al
parámetro -sharpen
En cada fichero que acaba en .jpg, la indica la fuerza del
shell elimina el final del nombre del efecto del filtro. Usando Figura 6: Aquí puedes ver a Tux flotando sobre la foto como un
fichero, lo reemplaza por .tiff, y llama a convert, rápidamente logo, aunque resulta un poco grande
convert con los resultados. podremos aclarar fotos
que están muy oscurecidas: Este comando extrae el canal rojo en la
Extensiones de Ficheros imagen y convierte los valores de inten-
Al igual que todos sus compañeros en el $ convert sidad a una escala de grises en la imagen
paquete ImageMagick, convert detecta imagen.tiff final.
independientemente el formato del -sigmoidalU
fichero por su extensión. Cada aplicación -contrast 4,0% U Efectos Divertidos
sabe automáticamente que una foto imagen-clara.tiff Además de estos efectos básicos, existen
denominada image.jpg es una foto JPEG. unos cuantos efectos divertidos. Para
Si el fichero convertido necesita un Si una imagen no transmite realmente la convertir un foto a un dibujo a carbonci-
final exótico por alguna razón, por ejem- atmósfera que esperábamos, debería- llo haríamos:
plo, exot.exo, simplemente colocamos el mos intentar convertirla a blanco y
formato al comienzo del nombre del negro: $ convert imagen.tiff U
fichero: - charcoal 5 U
$ convert imagen.tiff U imagen-carboncillo.tiff
$ convert imagen.jpg U colorspace gray U
TIFF:exot.exo blanco-negro.tiff El valor detrás de -charcoal determina la
oscuridad del “lápiz de carboncillo”.
Vueltas y Vueltas Sin embargo, los resultados de este tipo El parámetro -solarize (Figura 4) pro-
El comando mogrify junto con el paráme- de conversiones pueden resultar bastante duce un negativo, con -swirl se genera
tro -rotate rota las imágenes situadas de aburridos en algunos casos. una espiral (Figura 5), y -implode implo-
lado a una posición vertical. Con el siona una imagen.
siguiente comando podremos rotar nues- Canales de Color
tras imágenes: Si ocurre esto, un truco muy popular es Filigranas y Marcas de
usar un canal de color: Agua
$ mogrify -rotate ”90>” U Antes de cargar los resultados finales en
imagen.tiff rotado.tiff $ convert imagen.tiff U nuestra web deberíamos invertir un poco
-channel R U más de trabajo en prevenir que cualquier
Este comando rota imagen.tiff 90 grados -separate blanco-negro.tiff merodeador pueda robarnos nuestras
en sentido contrario a las agujas del reloj.
Obsérvese que necesitamos las comi- Listado 1: Convert
llas; de lo contrario, la shell interpretaría
01 $ convert -font @/home/tim/fonts/font.ttf -pointsize 20 -fill black
el símbolo “mayor que” (>) como una
draw ”text 100, 150 ’Vacaciones en la montaña’” imagen.tiff pie.tiff
redirección y borraría imagen.tiff.

Consejo Listado 2: Añadir un Marco

En vez del nombre del fichero, también 01 $ convert -font @/home/tim/fonts/font.ttf -pointsize 20 -fill red
podemos usar el nombre de la fuente, -stroke black -strokewidth 3 -draw ”text 100,150 ’Vacaciones en la
por ejemplo, Courier. montaña’” imagen.jpg pie.tiff .

74 Número 39 WWW.LINUX- MAGAZINE.ES

 ImageMagick • LINUX USER

imágenes. Para ello les, aplicaremos una En KDE y

marca de agua. Gnome se rea-
Para aplicarla, creamos primero un lizan búsque-
logo y lo situamos, por ejemplo, en la das para las
esquina superior izquierda: fuentes usando
motores de
$ composite -geometry +100+100 U búsqueda
logo.png foto.tiff U como Tracker
foto_logo.tiff o Beagle. En
este momento
Este comando copia la imagen de podemos vol-
logo.png a la posición (100, 100) en la ver a usar con-
imagen foto.tiff y sitúa los resultados en vert de nuevo,
el fichero foto_logo.tiff (Figura 6). el cual se pasa
Un logo insertado de esta manera detrás de -font,
indica efectivamente el origen de la ima- donde se loca-
gen; sin embargo, esto no parece una liza la fuente.
marca de agua típica. El parámetro El Listado 1
-watermark se creó específicamente para muestra el un
ocuparse de este problema: tanto largo, Figura 7: La opción -polaroid permite crear imágenes que parecen haber
aunque com- sido tomadas con una cámara Polaroid.
$ composite -watermark 30% U pleto,
- gravity south logo.png U comando. Jugando con los Bordes
foto.tiff marca-de-agua.tiff El símbolo @ antes del nombre de Si nos gusta decorar nuestros álbumes de
fichero le dice a convert que está tratando fotos, podemos colocar marcos alrededor
En él, el porcentaje indica lo visible que con una fuente True-Type. El resto del de las imágenes fácilmente con lo
debería ser la marca de agua. El comando comando coloca el texto Vacaciones en la siguiente:
composite no sólo integra logos y marcas montaña (-draw) en la posición (100,
de agua, sino que crea collages fácil- 150) en negro, con un tamaño de puntos $ convert -bordercolor blue U
mente. Por ejemplo, podríamos añadir de 20 píxeles (-pointsize 20), en la fuente -border 10x10 imagen.tiff U
una flecha desde una foto que tiene un font.ttf. Introducimos el nombre del color marco.tiff
pequeño refugio para esquiadores en el en inglés después de -fill, por ejemplo,
fondo a otra foto del refugio. red, o bien los valores RGB correspon- El comando genera una imagen con un
También puede ser una buena idea dientes directamente. En el segundo caso borde (-border) con una anchura de
añadir un pie de foto. seleccionamos entre anotaciones decima- 10x10 píxels. El color de este borde se
les, por ejemplo, rgb(255,0,0,) o hexade- especifica con el parámetro bordercolor,
Pie de Fotos cimales, ”#FF0000”, que ya debemos azul en este ejemplo.
Un pie de foto puede indicar el lugar pre- conocer por programación HTML. La opción adicional polaroid curva la
ciso en el que fue tomada o quién es la En ambos casos deberíamos ver el imagen de manera que parece una foto
gente que aparece en ella. Para añadirlos color rojo. El comando convert -list color que se ha pegado y que tiene ligeras
necesitaremos primero un fichero con la lista todos los nombres de los colores ondas (Figura 7):
fuente que deseamos usar, preferible- conocidos y sus valores RGB.
mente en un formato TrueType (acabado $ convert -bordercolor snow U
en .ttf). Marcos de Texto -background black +polaroid U
Ésta no es una lista imagen.tiff foto-polaroid.tiff
Tabla 1: Visión del Programa de todo lo que Ima-
geMagick puede Para crear un filo con efecto tridimensio-
Programa Función
hacer con texto. nal configuramos el parámetro -frame, el
convert: Convierte la imagen original a otro formato; en el
Por ejemplo, pode- cual también añade un borde a la ima-
proceso, los filtros o efectos usados se aplican
solamente a la imagen resultante. mos añadir tam- gen, aunque permite un ajuste más fino
mogrify: Cambia la imagen directamente, a diferencia de bién un marco alre- que -border. Con la opción -mattercolor
convert. dedor del texto y
composite: Reviste múltiples imágenes. rellenarlo de verde Consejo
montage: Combina imágenes en un póster, panorama o en usando el paráme-
una perspectiva. Algunos parámetros se usan por más de
tro -stroke para el
import: Crea capturas de pantalla. una herramienta de ImageMagick. Esto
borde y -stroke
identify: Proporciona información sobre un fichero imagen. significa que composite produce texto
width para estable-
display: Muestra imágenes en una ventana. usando los mismos procesos que con-
cer el grosor de este
animate: Ejecuta una animación. vert, por ejemplo.
borde (Listado 2).

WWW.LINUX- MAGAZINE.ES Número 39 75

LINUX USER • ImageMagick
podemos establecer el color del filo. Por
ejemplo:
$ convert -mattercolor peru U
-frame 9x9+3+3 imagen.tiff U
imagen-con-3D-bordmen.tiff
Los números tras el símbolo + determi-
nan la anchura del borde interior y exte-
rior de la imagen.
La Increíble Foto
Menguante
Una vez que tengamos los efectos desea-
dos procesamos las fotos para publicarlas
online. En primer lugar deberíamos esca-
lar su tamaño un poco. Las imágenes
gigantes con una resolución de
3264x2448 píxeles sólo muestran una
pequeña esquina en la mayoría de los
monitores, además se comen innecesaria-
mente todo el espacio en disco. Si desea-
mos disminuir el peso extra usaremos la
opción -resize:
$ convert -resize 200x200 U
foto.tiff mini-foto.png
Este comando reduce la foto a un tamaño
de 200x200 píxeles, o al menos lo intenta.
Para evitar distorsiones, convert lo limita
sólo a las dimensiones especificadas. Una
imagen que tenía originariamente
3264x2448 píxeles acabó en 320x100. Si
es imprescindible que la imagen mida
200x200 píxeles, incluso aunque corra-
mos el riesgo de deformarla (Figura 8),
colocaremos un signo de exclamación
detrás del tamaño:
$ convert -resize
200x200! U
foto.tiff
mini-foto.png
Alternativamente,
podemos trabajar con
porcentajes. El ejemplo
que sigue reduce un
75% el tamaño original: Figura 8: La casa ha sido reducida tra en la Figura 9.
a 200x200 píxeles.
$ convert -resize
75%
foto.tiff U
mini-foto.png
La shell siguiente puede ayudarnos a
convertir fácilmente todas las fotos de
nuestras vacaciones en thumbnails que
76 Número 39
salvan espacio de
una sola vez:
$ for i inU
*.tiff; do U
convert U
$i -resize U
800x600 U
$(basename U
$i.tiff).png;U
done
El comando
reduce el tamaño
de las imágenes a
una amigable con
el monitor de
800x600 píxeles, Figura 9: La opción montage crea esta perspectiva y también reduce
convirtiéndolas automáticamente las fotos.
simultáneamente
también a un económico formato PNG. pequeñas previsualizaciones de imáge-
nes que representan la foto correspon-
Thumbnails diente cuando se pulsa sobre ellas. Pode-
Los futuros visitantes de nuestra web mos crear un directorio visual usando
posiblemente no querrán ver todas nues- convert vid:*.png midir.vid, cuyos resul-
tras fotos, por lo que les será de gran tados se abren con display midir.vid. Para
ayuda una previsualización (thumbnail). ver una foto abrimos el menú de contexto
Ésta también es útil cuando deseamos y seleccionamos Load. Con el comando
imprimir cualquiera de nuestras imágenes
al permitir localizarlas más fácilmente. convert ’vid:*.png’ U
La recopilación de todas las fotos se HTML:index.html
realiza con la opción montage, que, de
hecho, prefiere trabajar con thumbnails: el directorio visual puede generar una
página de previsualización completa para
$ montage -label nuestra web, resultando en múltiples
’%f’ *.png U ficheros.
-frame 5 index.png contiene la vista gráfica
overview.png actual y index.html la enlaza y notifica al
navegador qué foto está detrás de la ima-
Este comando añade un gen previsualizada.
borde a cada previsuali- Para trabajar apropiadamente coloca-
zación de imagen, mos ambos ficheros juntos con las fotos
escribe el nombre del correctas en el servidor web. Tan pronto
fichero en la parte infe- como los visitantes soliciten index.html,
rior (-label ‘%f’) y empa- verán todas las fotos disponibles. Pul-
queta los aspirantes en el sando sobre una de las previsualizacio-
fichero overview.png. El nes de las imágenes se carga la foto a su
resultado es un gran pós- tamaño actual en el navegador.
ter como el que se mues-
Conclusión
Las herramientas disponibles en el
Ha Nacido una paquete ImageMagick usan una sintaxis
Estrella bastante críptica a la que cuesta acostum-
Debería ser posible obtener la foto com- brarse, aunque la curva de aprendizaje
pleta al pulsar sobre la imagen previa en merece la pena si tenemos que manipular
nuestra web. Esta tarea no supone nin- un elevado número de imágenes. Ade-
gún problema para ImageMagick, incluso más, los scripts de la shell ofrecen opcio-
si se desvía ligeramente usando directo- nes casi ilimitadas para la automatiza-
rios visuales. Estos directorios contienen ción. ■
WWW.LINUX- MAGAZINE.ES
 Funambol • LINUX USER

Sincronización de código abierto, simplificado

FUNAMBOL
Mantener los datos del calendario y de contacto en dispositivos y aplicaciones sincronizados no es un pro-

blema nuevo, aunque no por ello deje de ser un problema. Funambol ofrece una solución de sincronización
de código abierto. POR DMITRI POPOV

F
unambol es software de código
abierto de calidad comercial que
proporciona una solución de sin-
cronización potente y elegante. Para
demostrar lo que Funambol [1] puede
hacer por nosotros examinaremos un
escenario simple en el que usaremos una
combinación consistente en el cliente de
correo Mozilla Thunderbird y el módulo
de calendario Lightning como herramienta
principal para administrar contactos y
datos del calendario en una máquina
escritorio o portátil. Mientras estemos de
aquí para allá, querremos acceder a estos
datos desde nuestro móvil a través de su
agenda y aplicaciones calendario integra-
das.
También querremos ver y administrar la
agenda y calendario en la web. Debería
sonar como si se tratara de un problema
difícil de resolver, pero Funambol lo hace
posible. De hecho, suministra dos cami-
nos hacia el nirvana de la sincronización
perfecta.
Portal myFUNAMBOL
El Portal myFUNAMBOL [2] es un servicio
de alojamiento que sirve de escaparate
para las habilidades de Funambol (Figura
1). La ventaja obvia de usar este servicio
alojado es su comodidad, ya que no tene-
mos que perder tiempo instalando el ser-
vidor ni pensar en cómo configurarlo.
Además, myFUNAMBOL puede pasar
opciones de configuración a nuestro telé-
fono móvil, por lo que no necesitaremos
hacerlo manualmente.
La ventaja más importante es una inter-
faz web que nos permite administrar
nuestra agenda y calendario a través del
navegador. La interfaz web de myFU-
NAMBOL es dura de roer; el calendario,
por ejemplo, ofrece solamente una frac-
ción de las funcionalidades encontradas
en Google Calendar. Sin embargo, hay que
recordar que esta interfaz no intenta com-
petir con servicios web dedicados, en su
lugar ofrece una manera de buscar un
número de teléfono o introducir una cita
con el menor lío posible.
Cuando creamos una cuenta myFU-
NAMBOL, nos preguntará por el modelo
de nuestro móvil y nos pedirá que intro-
duzcamos el número de teléfono. El servi-
cio usa esta información para enviar un
fichero de configuración a nuestro telé-
fono móvil. Una vez hayamos aceptado y
guardado las opciones de configuración,
podemos sincronizar el móvil con el portal
myFUNAMBOL. Para ver las instrucciones

WWW.LINUX- MAGAZINE.ES Número 39 77

LINUX USER • Funambol
Figura 1: El Portal myFUNAMBOL presenta una simple y funcional
interfaz web.
sobre cómo hacerlo debe comprobarse el
manual del teléfono.
Para mantener los datos sincronizados,
myFUNAMBOL usa SyncML, de modo
que podemos utilizar el servicio con vir-
tualmente cualquier teléfono móvil
moderno sin la instalación de software
adicional (puede verse una lista de dispo-
sitivos compatibles en la página web de
Funambol [3]). myFUNAMBOL también
dispone de plugins para otros dispositivos
móviles, incluyendo Pocket PCs, iPods y
smartphones basados en Mobile Win-
dows.
Una utilidad que nos permita sincroni-
zar datos entre myFUNAMBOL y Mozilla
Thunderbird es la única pieza que nos
falta. Afortunadamente, el plugin
Funambol Mozilla [4] ocupa ese vacío
muy bien (Figura 2). Éste puede sincro-
nizar datos de contacto y calendario
almacenados en la agenda integrada de
Thunderbird y en el módulo de calenda-
rio Lightning. [5]. Para instalar el plugin
Funambol en Thunderbird descargamos
la extensión, arrancamos Thunderbird,
elegimos Tools | Adds-on, pulsamos el
botón Install y seleccionamos el fichero
.xpi descargado.
Para activar el plugin, reiniciamos
Thunderbird. Como podemos usar el plu-
gin Funambol para sincronizar datos con
myFUNAMBOL, deberemos configurarlo.
Elegimos Tools | Funambol Plugin, pulsa-
mos Options y cambiamos a la sección
Account. Aquí introducimos http://my.
funambol.com/sync en el campo Server
URL, y escribimos nuestro nombre de
usuario y contraseña en los campos apro-
piados.
78 Número 39
Figura 2: El plugin Mozilla Funambol permite sincronizar datos entre
un servidor Funambol y Thunderbird.
En la sección Synchronization podemos
especificar las agendas y calendarios que
debería usar el plugin. Por ejemplo, para
sincronizar datos podemos elegir Libreta
de Direcciones Personal y el calendario Tra-
bajo. Una vez estemos satisfechos con
nuestras opciones, cerramos la ventana de
diálogo Options y pulsamos el botón
Synhronize para sincronizar los datos. El
plugin también incluye la funcionalidad
Recover, que nos permite restaurar los
datos de contacto y de calendario en el
caso de que algo vaya mal. Para realizar
una sincronización de sentido único que
sustituya los datos en Thunderbird o en
myFUNAMBOL, pulsamos el botón Reco-
ver.
Ahora ya tenemos los datos de las direc-
ciones y del calendario en nuestro telé-
fono móvil y en Thunderbird. Aunque
myFUNAMBOL tiene aún algo más que
mostrarnos, ya que podemos usar el servi-
Figura 3: La web de demostración del servi-
dor Funambol es sencilla.
WWW.LINUX- MAGAZINE.ES
cio como un servicio intermediario para
recibir y enviar correo electrónico a través
de una aplicación cliente basada en Java
Funambol instalada en nuestro móvil. A
pesar de que la mayoría de los teléfonos
móviles vienen actualmente con un
cliente de correo integrado, deberíamos
darle a la aplicación de Funambol la opor-
tunidad de que nos muestre algunas de
sus funcionalidades más interesantes,
tales como la habilidad de marcar mensa-
jes, su soporte IMAP y la integración con
los datos de las direcciones almacenadas
en myFUNAMBOL. Para habilitar la fun-
ción de correo de myFUNAMBOL usamos
la sección Set Up Email, donde podremos
configurar una cuenta de correo. A conti-
nuación myFUNAMBOL envía un enlace
de descarga a nuestro teléfono móvil. Ins-
talamos el cliente de correo basado en
Java y ya estaremos listos para ponernos
en marcha.
El Servidor Funambol
Como con cualquier servicio hospedado,
la mayor comodidad de myFUNAMBOL
está en su flexibilidad. Si preferimos tener
mayor control y la posibilidad de ajustar el
servicio a nuestro gusto, podemos sacar
nuestra propia solución de sincronización
basada en Funambol instalando el servi-
dor Funambol en una máquina local.
Mejor aún, utilizar y administrar nuestro
propio servidor Funambol es relativa-
mente fácil, así que puede usarse por
usuarios individuales y por grupos de tra-
bajo con pericia y recursos limitados. Los
requerimientos del hardware del servidor
también son modestos: sólo necesitamos
una máquina con un procesador de

Figura 4: La Funambol Administration Tool proporciona una interfaz faz es básica. Para
gráfica para la administración del servidor Funambol.
1.8GHz, 512 MB de RAM y 200 MB de
espacio en disco duro libre. De hecho, no
existe razón alguna por la que no poda-
mos instalar el software de Funambol en
nuestra máquina de producción junto con
Thunderbird, es decir, convertirla en una
solución de sincronización personal.
Lo primero que hay que hacer, evidente-
mente, es descargar e instalar el paquete
software del servidor Funambol. Este
paquete incluye mucho más de lo que
necesitamos realmente, incluidos los com-
ponentes PIM y de correo, el software del
servidor requerido y de la base de datos y
las herramientas de administración. Para
instalar el paquete descargado, simple-
mente ejecutamos como root el comando
sh funambol-x.x.x.bin y seguimos las ins-
trucciones.
Para iniciar el servidor cambiamos al
directorio /opt/Funambol/tools/bin y eje-
cutamos el comando sh funambol.sh start.
Para comprobar que se ha iniciado, seña-
lamos nuestro navegador a http://local-
host:8080/funambol, y deberíamos ver la
página Funambol por defecto. El servidor
viene como una web de demostración
Figura 5: El servidor Funambol puede controlar servidores de correo podemos usarlo para
y enviar correo al teléfono móvil del usuario.
Funambol • LINUX USER
muy limitada (http:// a nuestro móvil a través del cliente de
localhost:8080/ correo Funambol basado en Java (véase la
webdemo), que pode- Figura 5).
mos probar registrán- El servidor Funambol viene con GMail
donos como “guest” preconfigurado, Yahoo! y servidores de
como nombre de correo AOL. Para administrar los servido-
usuario y contraseña res nos vamos a Modules | Email | Funam-
(Figura 3). bolEmailConnector, y pulsamos el botón
Aunque Funambol Search para visualizar una lista con los
es una solución de servidores de correo disponibles. Luego,
sincronización, no es con el botón Add configuraremos otros
un PIM basado en servidores de correo.
web, así que su inter- Asociar uno de los servidores de correo
con un usuario ya existente es igual de
añadir un nuevo con- fácil. En la sección Accounts, pulsamos
tacto o cita rápida- Add, luego Search para ver una lista de los
mente y comprobar el calendario, la inter- usuarios disponibles y hacemos un doble
faz resulta muy útil. clic en la cuenta de usuario que necesita-
Una vez que el servidor está habilitado mos. Introducimos los detalles de inicio de
y ejecutándose, podemos configurar nues- sesión y seleccionamos el servidor de
tro teléfono móvil y Thunderbird para que correo deseado de la lista desplegable Mail
trabaje con él. Esto es muy sencillo: sim- server. Para añadir uno que no se encuen-
plemente introducimos el servidor URL tre en la lista, seleccionamos Custom de la
correcto (http://locaslhost:8080/ lista Mail server y especificamos las opcio-
funambul/ds) y las credenciales en la sec- nes requeridas. Finalmente, el usuario
ción Options | Account del plugin Funam- debe configurar las opciones de la cuenta
bol. Los pasos exactos para configurar el en el teléfono móvil, algo que puede
teléfono dependen del modelo, así que hacerse en la sección Options | Account
deberemos comprobar el manual para del cliente de correo Funambol.
más detalles.
Una de las ventajas principales que Conclusión
supone ejecutar nuestro propio servidor Gracias a Funambol, mantener los datos
Funambol es la posibilidad de adminis- sincronizados entre distintas plataformas y
trarlo. La herramienta Funambol Adminis- aplicaciones ya no es una quimera. Con
tration Tool es la que nos permite hacerlo myFUNAMBOL puedes permitir que el ser-
(Figura 4). Para iniciarla, cambiamos al vicio hospedado realice el trabajo sucio y
directorio /opt/Funambol y ejecutamos el sincronice nuestros datos sin tener que
comando admin/bin/funamboladmin, preocuparnos de la parte técnica del
luego nos registramos usando las creden- asunto. Si preferimos nuestra propia solu-
ciales por defecto. ción de sincronización, podemos hacerla
Para editar las cuentas de usuario prede- instalando el servidor Funambol en una
terminadas y añadir otras nuevas vamos a máquina local. No importa qué camino eli-
la sección Users, pulsamos el botón Search jas, Funambol hace la magia de la sincroni-
para listar todos los zación igual de bien en ambos casos. ■
usuarios existentes, y
a continuación, con RECURSOS
el botón Edit, las edi-
[1] Página web de Funambol: www.
tamos. Para añadir un
funambol.com
nuevo usuario, pulsa-
mos el botón Add y [2] Portal myFUNAMBOL: http://my.
funambol.com
completamos los
campos relevantes. [3] Dispositivos compatibles con Funam-
Al igual que el Por- bol: http://www.funambol.com/
solutions/devices.php
tal myFUNAMBOL, el
servidor Funambol [4] Plugin Funambol Mozilla: http://
sourceforge.net/projects/sync4mozilla
puede manejar cuen-
tas de correo, así que [5] Extensión Lightning Calendar para
Thunderbird: http://www.mozilla.org/
projects/calendar/lightning/
enviar y recibir correo
WWW.LINUX- MAGAZINE.ES Número 39 79
LINUX USER • Educación: Olivar
Software educativo para actividades bilingües
OLIVAR
Con Olivar se pueden crear actividades educativas bilingües en cuestión de minutos. Con unas cuantas imá-
genes y muy poco esfuerzo ya se pueden configurar toda clase de actividades.
POR ORLANDO SOLDÁN POZO
O
livar tiene su origen, como cual-
quier aplicación informática, por
necesidad. No existía ningún pro-
grama para trabajar en el aula con alum-
nos de educación infantil y que fuese
adaptable a las necesidades de este tipo de
alumnos, es decir, que se pudiese configu-
rar para aquello que se estaba estudiando.
Un grupo de dos maestras, un profesor de
inglés y yo como director del proyecto nos
presentamos a las ayudas a proyectos para
la elaboración de materiales de apoyo al
desarrollo del currículo en soporte infor-
mático o para su utilización en la red en la
convocatoria del 2006, resultando apro-
bado por la Consejeria de Educación de la
Junta de Andalucía. Nos pusimos a traba-
jar. Lo que surge de las distintas reuniones,
así como la programación posterior fue el
programa que puede descargarse gratuita-
mente desde [1]. En esa dirección, además
de compartir el proyecto, podremos des-
cargarnos las aplicaciones Olivar alumno,
Olivar profesor y consultar los manuales
on-line.
Los Comienzos
Finalizando la primavera de 2007, cuando
sólo estaba desarrollado una parte del pro-
grama, nos vimos en la necesidad de pro-
barlo. ¿Y si era demasiado complicado
para los niños? ¿Tendría mucha compleji-
dad para un aula de niños de 3 a 5 años de
edad? Lo que a nosotros nos parecía muy
fácil, pudiera no serlo para un niño. Con
80 Número 39
esta idea tomamos lo que llevábamos reali-
zado del proyecto y nos fuimos al Colegio
Olivar de Quintos (Dos Hermanas- Sevi-
lla). Además, con la ayuda del Centro de
Profesorado de Alcalá de Guadaira, monta-
mos un aula con guadalinex. El programa
toma el nombre del Centro donde se probó
por primera vez. Por ese aula pasaron
niños de tres a cinco años y las conclusio-
nes muy resumidas son las siguientes:
• El grado de atención con los alumnos en
el nuevo medio (los ordenadores) sor-
prendió a todos los profesores, ya que
no se aburrían y no se cansaban de utili-
zar el ordenador.
• Pese a la complejidad de algunas de las
actividades propuestas, los alumnos, en
contra de lo que nos parecía a los docen-
tes, resolvieron las actividades sin difi-
cultad.
• Los grupos de alumnos no eran homo-
géneos, es decir, se eligieron algunos a
los que incluso no les gustaba el medio,
y aun así la respuesta fue muy positiva.
• La solución de los alumnos a las activi-
dades propuestas, así como la soltura en
el uso del ratón sorprendieron a los pre-
sentes en la prueba. Por ejemplo, nadie
pensaba que pudiesen resolver el
puzzle ni dibujar con el ratón como lo
hicieron.
Cómo Utilizarlo
La materia prima es bien sencilla de obte-
ner: Con sólo imágenes y la creación de un
WWW.LINUX- MAGAZINE.ES
texto descriptivo y, si lo deseamos, sonidos
(si bien estos son opcionales) podremos
crear nuestras actividades. Además, como
cualquier aplicación escrita en Java, nece-
sitamos JRE (Java Runtime Enviroment)
y/o el JDK (Java Development Kit) para
ser ejecutada. Para la versión 0.1.4 de Oli-
var Alumno se necesitan tener instaladas
al menos las versiones 1.6 de JRE y JDK.
Ambos productos son propiedad de Sun
Microsystems y podemos obtenerlos gra-
tuitamente de su página web o bien de los
repositorios de su distribución. Olivar pro-
fesor funciona en cualquier sistema opera-
tivo, pero Olivar alumno sólo funciona en
distribuciones Linux.
¿Sólo para Niños?
La respuesta tras el uso de casi seis meses
es que no. Puede ser usado por cualquier
persona que tenga la necesidad de utilizar
una de las actividades que pueden reali-
zarse con el programa. Así en cualquier
ámbito de la educación infantil y primaria,
y como herramienta para alumnos de com-
pensatoria y de necesidades educativas
especiales.
Cuando empezamos con Olivar pensa-
mos en realizar una herramienta que fuese
bilingüe, por ello todos los enunciados
sonarán por los altavoces en dos idiomas,
primero en castellano y posteriormente en
inglés. Además tendremos la posibilidad
de trabajar con textos y sonidos en dos
idiomas.

Olivar Profesor.
Antes de usar Olivar profesor debemos
instalarlo. La instalación es muy sencilla
desde un terminal. En el lugar donde nos
descargamos el programa escribimos:
$java -jar InstallU
OlivarProfesor.jar
La aplicación arrancará, y tras unos senci-
llos pasos podremos ejecutarla. Para ello
nos situaremos en el directorio en el que se
instaló. Normalmente en /home/usuario/
Olivar/profesor. Reemplazaremos usuario
por el nombre de usuario, con lo cual
escribiremos:
$cd /home/usuario/Olivar/U
profesor/bin
$java -jar OlivarProfesor.jar
Ahora seleccionaremos Proyecto-Nuevo e
indicaremos la ubicación, el nombre del
proyecto y el (los) autores del mismo.
Con esto debemos tener la imagen de la
Figura 1. En ella podemos observar dos
partes.En la superior seleccionamos las
imágenes con las que deseamos configurar
las actividades, el lugar para escribir el
texto y el fichero de sonido (opcional).
Además, como se comentó anteriormente,
es bilingüe, por lo que el texto descriptivo
y el sonido pueden ser insertados en el
segundo idioma.
Actividades.
Hemos repetido varias veces que sólo
necesitamos imágenes y texto, y así es. El
texto es meramente descriptivo y sólo es
necesario escribir algo en una actividad,
pero todo es muy sencillo. Para el formato
de las imágenes podemos usar las habitua-
les JPG, GIF o PNG.
Con las pestañas de actividades configu-
raremos las actividades que serán usadas.
Sólo las que se configuren en Olivar profe-
sor se activarán posteriormente en Olivar
Alumno. Si bien tenemos dieciocho activi-
dades, tan sólo tenemos dieciséis pestañas
para configurarlas, ya que en dos de ellas
se configuran dos actividades.
Rellenemos la parte superior: Imagen,
Sonido 1 idioma, Texto 1 idioma y pulsa-
mos el botón de Agregar. Esto realiza dos
cosas: la primera añade a la tabla de la
parte inferior la información que acaba-
mos de rellenar, la segunda añade el texto
a los distintos desplegables que tenemos
en las distintas pestañas de las actividades.
Educación: Olivar • LINUX USER
Para modificar cualquier texto o
imagen que hayamos añadido bas-
tará con hacer clic con el ratón en
la tabla sobre lo que pretendemos
modificar. Para eliminarla debere-
mos estar situados sobre ella y pul-
sar el botón de Eliminar (está junto
al de Agregar). Es obligatorio relle-
nar al menos Imagen, Texto 1
idioma, siendo opcional el resto.
Lo que vamos a realizar con Oli-
varprofesor es una configuración
de las distintas actividades que
deseemos utilizar, posteriormente Figura 1: Programa Olivar profesor.
en OlivarAlumno se usarán aqué-
llas que se encuentren aquí configuradas,
y algo muy importante: las actividades se
generan de forma aleatoria, por lo que el
resultado en dos ordenadores es total-
mente distinto.
Habíamos comentado antes que cada
vez que añadíamos una imagen con su
texto, ésta se añadía a todos y cada uno de
los desplegables que tienen las distintas
pestañas de las actividades. Pasemos,
pues, a configurar las actividades teniendo
en cuenta las características y las restric-
ciones de cada una de ellas. Tan sólo están
visibles ocho pestañas de actividades. Para
que aparezcan más debemos pulsar sobre
la flecha que aparece en la parte de dere-
cha de la pantalla junto a Adivinan…
Lo más importante es que lo que se estu-
die en un proyecto debe ser homogéneo,
es decir, podemos realizar un proyecto
sobre cualquier cosa, pero es importante
que se estudie lo mismo a lo largo de las
distintas actividades que nos permita el
proyecto. Vamos a desarrollar un proyecto
suponiendo que deseamos estudiar el fút-
bol, y realizaremos la configuración de las
actividades para que el objetivo sea el fút-
bol.
Actividad Vocabulario.
Partimos desde el programa del profesor.
Esta pestaña es una de las que configuran
dos tipos de actividades. La parte
izquierda configura una especie de presen-
tación, en la que pasarán las imágenes,
tres veces. Es una especie de programa de
presentaciones integrado en el programa
de alumno.
Aquí vamos a configurar el vocabulario
que deseamos que el alumno conozca.
Para ello reconocerá la grafía, asociándola
con el sonido. Éste puede ser en dos idio-
mas. Para un segundo idioma usaríamos
Texto2, y sonido2. En este caso el vocabu-
WWW.LINUX- MAGAZINE.ES
lario puede ser el habitual del fútbol:
campo de juego, equipo, árbitro, portería,
etc. Introduciendo las imágenes correspon-
dientes y recomendablemente el sonido.
Debemos configurar cómo deseamos las
pasadas de la presentación, que siempre
serán tres, y dependiendo de la
configuración que realicemos además de la
imagen (que siempre se muestra), se mos-
trará el texto y/o escucharemos los soni-
dos.
La parte derecha es una actividad de
relacionar el texto con la imagen, y debe-
mos seleccionar tres imágenes distintas.
Esta configuración nos dará como resul-
tado en OlivarAlumno que podamos reali-
zar las dos actividades dentro del rincón
de vocabulario.
La primera que hemos configurado reali-
zará las pasadas en formato presentación
tal y como se hayan indicado en el pró-
grama de profesor. La segunda actividad
nos permitirá relacionar el texto a la ima-
gen (pinchando y arrastrando el texto
hacia la imagen) y, si tiene sonido, tendre-
mos la posibilidad de escucharlo. Aquí
podremos observar si el alumno sabe rela-
cionar la gráfia con el dibujo.
Actividad Colores En OlivarProfesor
esta actividad se realiza para que se distin-
gan los diferentes colores. Tenemos que
seleccionar diez imágenes, e indicaremos
el color de cada una. Por ejemplo, para
esta actividad podemos seleccionar varios
equipos de fútbol cada uno con un color
claramente definido, e indicar cual es el
color de dichas equipaciones en el desple-
gable de al lado. De igual forma podríamos
añadir las equipaciones arbitrales como
color negro.
Olivaralumno eligirá aleatoriamente el
color que debe marcar el alumno. La per-
sona que use este programa deberá marcar
el color que aparezca en el recuadro.
Número 39 81
LINUX USER • Educación: Olivar
Figura 2: Menú principal de Olivar alumno.
Actividad Rodea la Imagen En el pro-
grama de profesor debemos indicar lo que
se estudia en el proyecto. Cada proyecto es
para estudiar algo: “insectos”, “medio
ambiente”, “historia”, “los piratas”, “el
cuerpo humano” y, en nuestro caso, “el
fútbol”. Debemos indicar algo que se
encuentre dentro del proyecto que desea-
mos estudiar, por ejemplo una portería de
fútbol, una equipo… y además tendremos
que indicar algo que se encuentre fuera del
proyecto y que esté poco relacionado con
el mismo, por ejemplo, una imagen de una
canasta de baloncesto. Señalando la
opción como correcta le indicamos si per-
tenece al proyecto, y con la opción de inco-
rrecto le indicamos si está fuera del
mismo.
Posteriormente, el programa de alumno
en esta actividad nos pedirá que marque-
mos aquéllo que hemos estudiado, y con-
siste en arrastrar el círculo verde a lo que
hayamos marcado como correcto y el cír-
culo rojo a lo que hemos marcado como
incorrecto.
Actividad Cuenta Partes La idea tras
esta actividad es que se cuenten cuántas
partes tiene un determinada imagen. Para
que quede correctamente definida necesi-
tamos la imagen principal y las imágenes
secundarias que, como máximo, serán
tres. Por ejemplo, la imagen principal
puede ser una persona, un futbolista en
nuestro caso, y las secundarias brazos o
piernas, de forma que el alumno tenga que
contar cuántos brazos o piernas aparecen
en la imagen. Además de la imagen princi-
pal se necesitan las imágenes secundarias,
es decir, imágenes de los brazos o de las
piernas, y la cantidad de cada una de ellos
en la imagen principal. Existe la opción de
que, en lugar de números, el alumno
pueda señalar palitos (tantos como se indi-
quen). Esto permite que los alumnos que
no conozcan la grafía de los números pue-
82 Número 39
dan realizar esta actividad. La
opción de activar o desactivar nos
permite que la imagen secundaria
se muestre o no.
Actividad Completar Palabras
En esta actividad se debe seleccio-
nar la imagen con el desplegable y
escribir al lado la palabra que dese-
amos completar. En nuestro caso
podemos tomar tres objetos rela-
cionados con el fútbol, como el
balón, la portería y el banderín del
córner. Rellenamos las tres imáge-
nes y colocamos las palabras aso-
ciadas.
Posteriormente, en el programa alumno,
eliminará aleatoriamente una de las letras
de cada una de las palabras. En la parte de
abajo aparecerán distintas letras para que
el alumno las arrastre y complete las pala-
bras.
Actividad Cuento Esta actividad es la
más creativa. Lo único que requiere son
seis imágenes diferentes en el programa
Olivarprofesor. En nuestro caso puede ser
la secuencia de un partido de fútbol, en
una serie de seis imágenes.
Posteriormente, en el programa Olivara-
lumno se podrán ordenar como se deseen,
no existiendo en este caso una respuesta
correcta o incorrecta, ya que se permite
que el alumno use la secuencia de imáge-
nes que él desee para inventar su propio
cuento o historia. A pesar de ello, existe la
posibilidad de que le contemos un cuento
al alumno y éste tenga que ordenar la
secuencia de imágenes en función de la
historia que le hemos contado.
Actividad Sílabas En esta actividad el
profesor ha de indicarle mediante números
las sílabas de cada una de las imágenes en
el programa de profesor. Podemos, por
ejemplo, seleccionar la imagen de un
balón (2), futbolista (4) y bota (2).
En el programa de alumno aparecerán
los números desde el 1 hasta el 10,
y el alumno deberá arrastrarlos
indicando el numero de silabas de
cada uno de las palabras de las
imágenes seleccionadas anterior-
mente.
Actividad Adivinanza Podemos
escribir en dos lenguas la adivi-
nanza, y se puede grabar con dos
sonidos. Debemos indicar la ima-
gen que se asocie con la solución
de la adivinanza. Posteriormente,
en el programa de alumno se nos
dará la posibilidad de escuchar las Figura 3: Rincón lógico matemático de Olivar alumno.
WWW.LINUX- MAGAZINE.ES
adivinanzas, leerlas y marcar la correcta
de entre tres opciones. Las otras dos imá-
genes las coge el programa de alumno ale-
atoriamente entre las cargadas en el pro-
grama.
Actividad Relaciona Texto e Imagen
En el programa Olivar profesor deberemos
escribir el texto que deseamos asociar a la
imagen, teniendo en cuenta que debemos
seleccionar tres imágenes distintas y escri-
bir la descripción. Para esta actividad
basta con seleccionar alguna de las imáge-
nes anteriores, como por ejemplo, portería
o balón, teniendo que escribir nueva-
mente su grafía. Es similar a una actividad
que anteriormente hemos visto, la diferen-
cia es que en este caso el alumno cuando
use Olivaralumno no escuchará sonidos,
sino que deberá reconocer la grafía y pin-
char y arrastrar la misma a la imagen
correcta. Hay que tener en cuenta que sólo
se muestran en el programa de alumno
dos imágenes de las tres seleccionadas.
Éstas se eligen en cada turno de manera
aleatoria.
Actividad Creativo En esta pestaña se
configuran dos actividades. La primera es
una imagen que debe ser de fondo trans-
parente. Ésta puede ser la de un futbolista
o un campo de fútbol. Posteriormente en
el programa de alumno se mostrará la ima-
gen para que el alumno la dibuje seleccio-
nando el grosor del pincel y el color del
dibujo.
La segunda actividad es una imagen
para que el alumno la complete, bien por-
que le falte algo o un dibujo por simetría.
Aquí podemos seleccionar el dibujo de una
portería incompleta, o un campo de fútbol
al que le falte una parte del dibujo. Las
paletas y los colores son similares en el
programa de alumno a las comentadas
anteriormente.
Actividad Memory Aquí basta con
seleccionar seis imágenes distintas en los

seis desplegables. Podemos, por ejemplo,
cargar seis equipaciones de fútbol.
En el programa de alumno se mostrará
posteriormente el juego de Memory con
las equipaciones como si fuesen cartas, de
forma que el alumno deba encontrar las
parejas de entre las doce cartas que se
muestran.
Actividad Laberinto En el programa de
profesor se nos solicita la imagen inicial y
la final para crear el laberinto, en este caso
podemos seleccionar un balón como ima-
gen de inicio y la portería como imagen de
final.
Posteriormente en el programa de
alumno aparecerán las imágenes de inicio
y de fin. Junto a la imagen de inicio apa-
rece el numero uno (1) y habrá un camino
de números hasta la imagen final. No
sabemos cuántos números habrá, ya que
el camino será aleatorio. El alumno debe ir
marcando los números que forman parte
del camino. No importa que no los marque
en orden, pero cada vez que los marque
correctamente el numero se coloreará en
verde, y cuando lo haga de forma inco-
rrecta se coloreará en rojo.
Actividad Puzzle En el programa de
profesor se debe seleccionar la imagen que
deseamos que se realice, el puzzle y el
tamaño del mismo, es decir 2x2 o bien
3x3. En nuestro caso podemos coger la
imagen de un estadio de fútbol.
El programa de alumno nos mostrará el
puzzle dividido en el numero de piezas
que se configuraron antes y el patrón de
muestra. El juego consiste en arrastrar y
soltar, colocándose la otra pieza en su
sitio.
Actividad Número y Cantidad En este
caso seleccionamos cuatro imágenes dis-
tintas de los desplegables y se realizará la
actividad. Las imágenes podrían ser cual-
quiera de las cargadas, como por ejemplo,
cuatro equipaciones de fútbol de distintos
colores.
Posteriormente, en el programa de
alumno aparecerán tres de las imágenes
una serie de veces y el numero para que
éste sea asociado al numero de veces que
aparece la imagen.
Actividad Cuenta Objetos En esta acti-
vidad basta con que seleccionemos cuatro
imágenes distintas de las que hemos car-
gado. Éstas podrían ser un balón, un
equipo de fútbol, la portería y el árbitro.
Posteriormente aparecerán en el pro-
grama de alumno tres imágenes aleatoria-
mente seleccionadas de los cuatro que
Educación: Olivar • LINUX USER
hayamos introducido en el pro-
grama del profesor. Se mostrarán
un cierto numero de veces, presen-
tándose también la grafía del
numero. A diferencia de la anterior
actividad, que muestra todas las
imágenes iguales juntas, en ésta se
mezclan las distintas imágenes en
la pantalla. De esta forma el
alumno deberá asociar el número
de veces que aparecen cada una de
las imágenes a la imagen que se
muestra en la parte inferior.
Actividad Serie Consiste en Figura 4: Olivar alumno. Memory.
seleccionar cuatro imágenes y el
tamaño que deben tener cada una de las
series. Las series pueden contener 2 ó 3
imágenes. Para configurar las series es
suficiente con seleccionar cuatro de las
imágenes de las que se han cargado pre-
viamente de, en nuestro caso, fútbol. Por
ejemplo, podemos seleccionar el balón, el
árbitro, etc.
Posteriormente el programa de alumno
creará automáticamente dos series de los
tamaños configurados, y los alumnos las
completarán arrastrando cada una de las
imágenes que nos muestran.
Los ficheros usados, tanto imágenes
como sonidos, son renombrados (interna-
mente por parte de la aplicación) durante
el uso de la misma, por lo que es normal
que en lugar del nombre original observe-
mos números.
Creando las Actividades
Una vez configuradas las actividades pul-
samos en el botón de Generar. Sólo queda
llevarnos o usar el proyecto en Olivara-
lumno. El tamaño final del proyecto
dependerá del tamaño de las imágenes y
de los ficheros de sonido. Y puede ocupar
unos pocos de kilobytes o bastantes
megabytes. Para llevar las actividades a
Olivaralumno copiaremos la carpeta que
hemos creado en el proyecto con todo el
contenido hasta el ordenador en el que se
ejecutará Olivaralumno. Este paso nos lo
podremos saltar si la aplicación de alum-
nos se ejecuta en el mismo ordenador que
el del profesor.
Olivar Alumno.
La instalación del programa de los alum-
nos es similar a la comentada para el del
profesor, con la única diferencia que debe
realizarla el usuario root del sistema y que,
lógicamente, el programa que hay que ins-
talar es el fuente OlivaAlumno.jar.
WWW.LINUX- MAGAZINE.ES
El programa de alumno siempre reali-
zará una respuesta a la actividad bien
mediante señales sonoras, bien mediante
un símbolo verde o rojo, indicando que
todo va bien o que se ha producido algún
fallo.
Esta aplicación está pensada para que
funcione en el ordenador tal y como los
alumnos de la etapa de infantil tienen
organizada el aula: por rincones. Así las
actividades se agruparán dentro de los
siguientes rincones:
• Rincón de Vocabulario.
• Rincón del Explorador.
• Rincón del Escritor.
• Rincón de Biblioteca.
• Rincón Creativo.
• Rincón Lógico-Matemático
Dentro de cada uno de los rincones se
encontrarán las actividades que hemos
configurado en Olivarprofesor. Aquellas
actividades que no hemos configurado
aparecerán desactivadas. En la parte infe-
rior de la aplicación tendremos tres boto-
nes que nos permitirán volver a la pantalla
anterior, reiniciar la actividad y pasar a la
actividad siguiente.
Una vez abierta la aplicación, ésta nos
mostrará una pantalla solicitándonos el
nombre del proyecto. Debemos seleccio-
nar únicamente la carpeta en la que hemos
almacenado el proyecto, y los alumnos
podrán empezar a trabajar en las tareas.
Los creadores de Olivar os animamos a
probar el programa y a que compartáis los
proyectos que realicéis. En breve podréis
subirlos a la web que se indica en el apar-
tado subir tu proyecto. ■
RECURSOS
[1] Página del Proyecto Olivar: http://
www.juntadeandalucia.es/averroes/
olivar
Número 39 83
LINUX USER • Línea de Comandos: Uso de Udev
Uso de udev
JUNGLA DE
DISPOSITIVOS
Aprende a crear tus propias reglas udev y a utilizar las herramientas
de la línea de comandos para monitorizar y controlar eventos udev
que despejen el camino a través de la jungla de dispositivos de Linux.
POR HEIKE JURZIK
E
n los últimos años Linux ha progre-
sado en el campo de la detección y
administración de hardware. Los
días en los que los ficheros de dispositivo
estáticos se apiñaban bajo el directorio /dev
hace tiempo que se han ido. También
Devfs está obsoleto. Desde el kernel 2.6,
udev [1] ha sido responsable de la manipu-
lación tanto del sistema de ficheros de dis-
positivo como de Hotplug, el cual incluye
las configuraciones de los ficheros requeri-
dos, configuraciones de permisos y opcio-
nalmente el arranque de determinados pro-
gramas.
Espacio de Usuario
En contraste con sus predecesores, udev se
ejecuta en espacio de usuario, es decir,
como un programa normal. Esto supone
algunas ventajas, incluyendo la liberación
del kernel bajo la responsabilidad de la
administración y el nombramiento de dis-
positivos adjuntados, los cuales facilitan la
configuración.
Udev tiene más beneficios para los usua-
rios. Por ejemplo, podemos elegir nuestros
nombres de dispositivo y las asignaciones
de hardware son siempre únicas.
Para que todo se mantenga ejecutándose
sin problemas, udev necesita reglas que
84 Número 39
www.sxc.hu
refieran cómo descubrir el nombre de dis- sitivo. Sólo tiene sentido que el nombre de
positivo y cómo manejarlo. un dispositivo desaparezca cuando desco-
nectamos el hardware correspondiente. Lo
Garaje de Dispositivos que mantiene al directorio limpio y diná-
El “repositorio” udev es el directorio /dev, mico, evitando al mismo tiempo que el
en el cual residen los ficheros de dispositivo usuario se confunda sobre el cambio de los
que permiten a las aplicaciones el acceso al nombres de dispositivo, son las reglas udev.
hardware. Si miramos dentro de la carpeta,
podremos ver no sólo los nombres de los Listado 1: Reglas
ficheros de nuestros discos duros y particio- 01 $ ls -la /etc/udev/rules.d/
nes (por ejemplo, sda, as en sad1, sda2),
02 ...
sino también ficheros para dispositivos tipo
CD y DVD (un symlink a cdrom normal- 03 lrwxrwxrwx 1 root root 20
mente apunta hacia un dispositivo 2007-05-09 23:40 020_
“genuino”, por ejemplo, hdc), puertos serie permissions.rules -> ../
(por ejemplo, ttySO, ttyS1), etc. (Figura 1). permissions.rules
El sistema operativo almacena el conte-
lrwxrwxrwx 1 root root 19
nido de la carpeta /dev en un sistema de
fichero temporal, tal y como puede verse 2007-05-10 00:39 025_
listando el RIS montado: libgphoto2.rules -> ../
libgphoto2.rules
$ mount 05 lrwxrwxrwx 1 root root 16
...
2007-05-10 00:39 025_libsane.
udev on /dev type tmpfs (rw,mode
=0755) rules -> ../libsane.rules
... 06 ...
07 lrwxrwxrwx 1 root root 12
Linux siempre configura los ficheros en /dev 2007-05-10 00:36 z99_hal.rules
en el tiempo de arranque, aunque también
-> ../hal.rules
lo hace cuando se conecta un nuevo dispo-
WWW.LINUX- MAGAZINE.ES

Figura 1: El garaje donde aparcan los dispositivos Linux está localizado en la
carpeta /dev.
Reglas Udev
Varios ficheros de reglas, localizados en
/etc/udev/rules.d/, controlan el comporta-
miento de udev. Algunas distribuciones,
como Debian, usan enlaces simbólicos en
este último directorio para señalar a las
reglas en /etc/udev/.
Como puede verse en el Listado 1, las
reglas se enumeran o comienzan con una
letra porque udev recorre el directorio en
GLOSARIO
Devfs: El predecesor de udev. A partir
del kernel 2.4, el sistema de ficheros de
dispositivo fue responsable de la admi-
nistración de ficheros en el directorio
/dev. Las tareas Devfs incluían la
creación y borrado de ficheros de dis-
positivos para medios renovables. Por
encima de esto, Devfs fue responsable
de los derechos de administración y de
esta manera controlaba el acceso de los
usuarios a los dispositivos.
Hotplug: El sistema Hotplug controla la
inicialización hardware, lo que significa
cualquier hardware descubierto en el
curso del proceso de arranque además
de los dispositivos que se añaden y
eliminan en el momento de ejecución.
Espacio de Usuario: Área de memoria
reservada para las aplicaciones usuario
(por ejemplo, para programas y datos
que no están directamente relacionados
con el kernel).
HAL: Hardware Abstraction Layer. El
demonio HAL suministra los detalles de
dispositivos disponibles a programas
(por ejemplo, información del driver,
tipos de dispositivos, etc).
Línea de Comandos: Uso de Udev • LINUX USER
orden alfa- Paso a Paso
bético Evidentemente, podríamos conectar el disco,
cuando ocu- esperar hasta que esté correctamente mon-
rre un tado, descubrir a continuación los puntos de
evento. Este montaje y arrancar un script para realizar la
método ase- copia para completar el trabajo. Gracias a
gura que las udev podamos ahorrarnos unos cuantos
reglas críti- pasos. Para hacerlo necesitamos crear una
cas se pro- regla que asigne automáticamente el mismo
cesen pri- nombre de dispositivo al disco duro. Si lo
mero. El deseamos, podemos añadir un comando
último sitio montador a la regla o ejecutar un script shell
donde se para iniciar la copia.
apea es nor- En primer lugar necesitamos alguna infor-
malmente mación del dispositivo. Para averiguarlo
en el demo- podemos usar el programa lsusb (Listado 2).
nio HAL Es aconsejable anotar los detalles que siguen:
(udev noti- iVendor, idProduct o Serial, necesarios para
fica el identificar únicamente el dispositivo.
demonio del
nuevo dispositivo). Creando Nuestra Propia
Si ojeamos detenidamente un fichero- Regla
regla descubriremos una o múltiples ins- Ahora necesitamos escribir un nuevo fichero
trucciones en una única línea (sin interrup- regla, que residirá en /etc/udev/rules.d. Como
ciones en ella). Las instrucciones contienen root, arrancamos nuestro editor favorito para
varias condiciones separadas por coma y crear el fichero.
comandos de control. Usamos un solo número para insertar la
Soporta comodines de estilo shell, como regla en la secuencia existente y añadimos el
*, ?, […], etc. Además se usan típicamente prefijo .rules. En mi sistema de prueba Debian
varios operadores (Tabla 1). La Tabla 2 Etch, asigné el nombre z98_usb-platte.rules al
muestra una perspectiva de las constantes fichero, y luego añadí el siguiente contenido:
y variables más frecuentemente usadas. La
página man (man udev) también dispone SUBSYSTEM==”block”,
de una lista completa de operadores, cons- SYSFS{idProduct}==”2338”,
tantes y variables. SYSFS{idVendor}==”152d”,
La creación de reglas udev propias, es NAME=”backup”
decir, la extensión de la funcionalidad de
detección de hardware, es bastante fácil. Si Aparte de decir que el dispositivo es un dis-
usamos dispositivos de memoria USB positivo de bloques, la regla declara la
externos, se les asignarán nombres dife- información idProduct y idVendor descu-
rentes dependiendo del orden en el que los bierta ejecutando lsusb y luego especifica el
conectemos. En este caso, asumiremos que nombre del fichero de dispositivo.
tenemos un disco duro en el que grabamos Ejecutando como root el comando
copias de seguridad de nuestros datos regu-
larmente. udevcontrol reload_rules
Tabla 1: Operadores
Operador Tipo Significado
== Comparación Verdadero si la segunda expre
sión es idéntica
!= Comparación Verdadero si las dos expre
siones no son idénticas
= Asignación Asigna el valor de la derecha a
la expresión a la izquierda
:= Asignación Como =, protege la parte
izquierda de los últimos cam
bios
+= Asignación Añade el valor de la derecha al
de la izquierda
WWW.LINUX- MAGAZINE.ES Número 39 85
LINUX USER • Línea de Comandos: Uso de Udev

DEVNAME=/dev/backup /dev/backup /media/backup ext3

Listado 2: Isusb ... users, atime, noauto, rw, nodev,
01 $ lsusb -v exec, nosuid 0 0
02 ... Si chequeamos rápidamente el directorio
/dev veremos que udev ha creado realmente Esto nos permitiría añadir el comando de
03 Bus 003 Device 010: ID
un fichero de dispositivo /dev/backup, tal y montaje al script de backup para asegurar
04 152d:2338 como se le ordenó. Si desconectamos el que el disco externo se ha montado antes
Device Descriptor: disco USB, la entrada desaparece de nuevo. de hacer la copia de los datos. En la regla
05 ... udev, a continuación sustituiríamos ”/
¿Montaje o Script? bin/mount… por la ruta al script de back-
06 idVendor 0x152d
Tal y como muestra la Tabla 2, podemos up
07 idProduct 0x2338 usar RUN para definir el programa a ejecu-
08 bcdDevice 1.00 tar en nuestro fichero regla. ..., RUN+=”/home/chicken/bin/ U
09 iManufacturer 1 Si queremos montar /dev/backup en un backup.sh”
solo paso, podemos extender la regla de la
10 iProduct 2 Evitando el Caos de NIC
siguiente manera
11 iSerial 5 Si nuestro ordenador tiene una única tar-
12 bNumConfigurations 1 SUBSYSTEM==”block”, jeta Ethernet, probablemente se le domine
SYSFS{idProduct}==”2338”, con el nombre de eth0. Si añadimos una
13 ...
SYSFS{idVendor}==”152d”, segunda, como un dispositivo WLAN, a la
NAME=”backup”, RUN+=”/bin/mount máquina, la tarjeta podría ser ath0 o eth1,
reanaliza las reglas. Alternativamente, /dev/backup /media/backup” dependiendo del driver. Si preferimos que
podemos desconectar nuestro dispositivo todas nuestras tarjetas de red usen los mis-
USB y volverlo a conectar luego. La herra- Debemos asegurarnos de introducir la ruta mos nombres, deberíamos crear una regla
mienta udevmonitor nos muestra lo que completa al programa (/bin/mount, en este para reforzar este comportamiento. En vez
está pasando detrás. En combinación con caso), aunque necesitamos crear primero el de idProduct o de idVendor escribimos la
la opción - -env se hace más prolija y mues- punto de montaje /media/backup con el dirección MAC para nuestro NIC, como se
tra varios detalles relacionados con la regla comando mkdir como root: muestra después de SYSFS{address}. Para
en la máquina de prueba: descubrir el MAC, podemos ejecutar ifcon-
$ mkdir /media/backup fig:
# udevmonitor —env
... A continuación podemos arrancar el pro- $ /sbin/ifconfig
ACTION=add grama copia de seguridad manualmente. eth0 Protocol:Ethernet
DEVPATH=/block/sda/sda1 Como alternativa, podríamos crear una Hardware Address
SUBSYSTEM=block entrada para el dispositivo en nuestro 00:10:A7:21:36:7C
... fichero /etc/fstab como sigue: ...
ath0 Protocol:Ethernet Hardware
Tabla 2: Udev: Constantes y Variables Address 00:00:c0:77:D8:F5
...
Nombre Significado
ACTION Evento, o add o remove
El Listado 3 muestra cómo crear una regla
SUBSYSTEM Dispositivo tipo, por ejemplo, usb_device, block, etc
de coincidencia. ■
BUS Dispositivo del sistema bus, por ejemplo, ieee1394 o
usb
ID Dispositivo ID (en relación al bus) Listado 3: Regla de
NAME Nombre del dispositivo de red (eth0, eth1, etc) o el Coincidencia
fichero de dispositivo en /dev 01 KERNEL==”eth*”,
KERNEL Nombre de dispositivo de acuerdo al kernel SYSFS{address}==”00:10:
SYSFS{Datos} Usa información de varios ficheros en /sys (contiene A7:21:36:7C”, NAME=”eth0”
detalles hardware); máximo de 5 constantes SYSFS
por regla KERNEL==”eth*”,

OWNER Propietario (nombre de usuario o UID) SYSFS{address}==”00:00:C0:77:

GROUP Grupo (nombre o GID) D8:F5”, NAME=”wlan0”
MODE Permisos (número octal)
RUN Ejecuta el programa especificado
SYMLINK Crea un enlace simbólico que señala al nombre pro RECURSOS
pio de dispositivo [1] Página de inicio de udev: http://www.
GOTO Salta a una etiqueta específica kernel.org/pub/linux/utils/kernel/
LABEL Nombre de etiqueta hotplug/udev.html

86 Número 39 WWW.LINUX- MAGAZINE.ES

 Juegos: MUDs III • LINUX USER

Multi-User Dungeons al descubierto (III)

EL COFRE DORADO
Completamos nuestra serie de artículos sobre MUD’s con esta tercera entrega. En ella pretendemos dar a

conocer una herramienta más avanzada de creación que nos permitirá añadirle a nuestra obra interactividad,

misiones, y en definitiva darle ese toque personal que lo diferenciará del resto: el lenguaje MUSHcode.

POR VICENTE CARRO

E
s posible que el lector más ave- @create vaso; marcaría para ser destruido “después”.
zado se haya dado cuenta de que @adrop vaso=: se resbala cuandoU Si probamos a dejar el vaso…
con el uso de los comandos admi- lo estas dejando... y se
nistrativos que se vieron en la anterior rompe;U drop vaso
entrega de esta serie de artículos sólo se @recycle
puede conseguir crear un mundo con me;@recycle me; Vemos cómo aparece el texto adecuado y
posibilidades muy limitadas. Para solucio- el vaso se destruye, ya no está.
nar esta limitación únicamente existen
dos alternativas, que los expertos llaman Con Retraso
softcoding y hardcoding. Podemos retrasar (re)acciones en
El harcoding consiste en progra- el tiempo. Para ello usaremos el
mar directamente la modificación comando @wait segundos= que
deseada en el código del servidor detendrá la secuencia durante
MUD, lo cual requiere una destreza tantos segundos como se le indi-
programando que pocos lectores ten- que. Veamos un ejemplo:
drán. El softcoding en cambio es un
lenguaje de scripting (algo similar a la @create rosa
programación, pero mucho más sim- @adrop rosa=
ple) asequible a cualquiera que @pemit %#=
invierta algún tiempo en aprender. DejasU
En el servidor pennmush, el que la rosa
se usa en estos artículos, se utiliza el cuidadosamente
lenguaje MUSHcode[1], que vamos a en elU
presentar a continuación. suelo.;@wait
3=@pemit
Un Mínimo de Teoría %#=PeroU
Antes de empezar con la programación En la segunda línea, @adrop vaso= es un es tan bonita la
hay que conocer unos “sustitutos” que se comando que define que la acción que rosa queU
usarán luego. Cada acción realizada en un activará la reacción será drop vaso. Des- quieres recogerla de nuevo;U
MUD tiene un enactor y un objeto. El pués aparecerá el
enactor es el jugador que realiza la acción, texto : se resbala… Tabla 1: Sustituciones
mientras que el objeto se refiere al objeto/ …rompe, además
persona/habitación sobre el que se realiza tenemos que saber código Qué representa
la acción (ver la Tabla 1: Sustituciones). que los : se traducirán %N el enactor, nombre del personaje
%n igual pero en minúsculas
NOTA: Las tres últimas sustituciones de por el nombre del
%l el identificador numérico de habitación de la
la lista pueden dar problemas en idiomas objeto. A continua-
acción
que no sean el inglés. ción aparece un ; que
%# identificador numérico del enactor
separa diferentes
Acción y Reacción acciones. Y por
%! el objeto accionado
%0 el primer trozo del comando ejecutado, existen
Casi toda la programación MUSHcode se último dos @recycle
del %0 al %9
basa en el principio de acción-reacción. me. Esto es un truco
%s artículo relativo al objeto
Una secuencia de acciones (reacción) se para destruir comple- %o pronombre objeto (del inglés) relativo al objeto
ejecutará cuando pase algo concreto tamente un objeto. %p posesivo relativo al objeto
(acción). Por ejemplo: Hacerlo una vez lo

WWW.LINUX- MAGAZINE.ES Número 39 87

LINUX USER • Juegos: MUDs III
Listado 1: Creación de la Llave y la Naranja
01 @create llave (#4)
02 @desc llave=Preciosa llave dorada que encaja en la cerradura de la
palanca.
03 give llave to viejo
04
05 @create naranja (#6)
06 @desc naranja=Jugosa y gran naranja.
07 @asucc naranja = @emit ”El viejo te dice -Traeme esa naranja,
viajero. Ten esto a cambio.”; @wait 2 = { @emit ”Se la das y te
lanza una llave que acaba en el suelo.”; @tel #4=#10}
08 drop naranja
@wait 6=@emit ¡NecesitasU
esa rosa!
Ahora no usamos : porque no queremos
que aparezca la palabra “rosa” al princi-
pio. En su defecto usaremos @pemit para
enviar un mensaje únicamente al jugador
(%#, ver Tabla 1: Sustituciones). Este
código muestra un mensaje. A los 3
segundos aparecerá otro, y finalmente
otros 3 segundos más tarde un último
mensaje.
Obsérvese que el wait 6 empieza a con-
tar desde el principio de la ejecución del
comando, no desde que termina el ante-
rior wait 3.
Agrupando Acciones
A veces necesitaremos que una serie de
acciones se agrupen, especialmente
cuando van a ir retrasadas en el tiempo o
cuando sean parte de una condición. Para
ello únicamente hay que agruparlas entre
llaves: { acciones;acciones;acciones }.
Hagamos el ejemplo del vaso un poco
más dramático:
@adrop vaso=@emit alU
dejarlo se te resbala;@waitU
2=@emit Y toca el suelo;@waitU
6={@emit ¡y se rompe!;@recycleU
me;@recycle me}
Cuando hayan pasado los 6 segundos del
segundo wait aparecerá un mensaje y se
destruirá el objeto.
Condicionando
El comando switch valor= nos permite
realizar diferentes acciones dependiendo
del valor dado. Se verá más fácilmente
con un ejemplo:
88 Número 39
elementos del comando (aunque la
forma de separarlos puede cambiar de
un comando a otro). Y si antes (en las
sustituciones) comentamos que %0 era
el primer elemento de una cadena,
entonces %1 será el segundo. Es decir
@switch %1 reaccionará de acuerdo a la
orden que le den al perro.
La forma de usar un switch es: @switch
variable=valor,accion,valor,accion,valor
,accion… Así en nuestro ejemplo “sién-
tate”,“da vueltas” y “hazte el muerto”
son las distintas órdenes posibles que le
podemos dar al perro. A continuación de
cada una, y separadas por comas, ven-
drán las acciones asociadas a esa orden.
@create perro Lo probamos:
@listen perro=*”perro, *”
@ahear perro=@switchU drop perro
%1=sientate,:se sienta.,daU “perro, hazte el muerto
vueltas,:da vueltasU Dices ”perro, hazte el muerto”
felizmente.,hazte el muerto,:U perro se hace el muerto
se hace el muerto.
¿Está Vivo?
@listen perro= permite que el objeto La diferencia entre un objeto y un ser “vivo”
oiga, pero sólo las frases de cualquier puede ser tan simple como que se le haya
persona (*) que empiecen por “perro, . dado la capacidad de oír, como al perro del
La tercera línea va a definir reacciones ejemplo anterior. Además también conta-
cuando el perro escuche (@a hear mos con atributos, unos valores libres que
perro=”). Pero como las acciones van a podemos configurar para cada sujeto. La
ser condicionales, entonces tenemos manera más sencilla de hacerlo es usando
que usar el comando @switch. Cuando @_atributo objeto=valor. Por ejemplo:
alguien le diga algo al perro, el comando
que usará será similar a este: “perro, @_hambre perro=1
salta. Si nos fijamos, vemos que el pri-
mer espacio está a continuación de la Con esto hemos creado un atributo ham-
coma. Este espacio es lo que separa los bre con valor 1 en el objeto perro. Para
Listado 2: Creación del Sello y la Palanca
01 @create sello (#18)
02 @desc sello=Un bonito sello real de plata y con joyas engarzadas.
03
04 @create palanca (#8)
05 @desc palanca=Una gran maquina que esta incrustada parcialmente en
la pared. Parece que su cometido es mantener el cofre cerrado y asi
permanecera hasta que se pueda mover la palanca. Pero esta es de
recio metal y no puede forzarse. Al lado hay una cerradura y una
ranura donde entran una llave y un sello real respectivamente.
06 @lock/use palanca = +#18 & +#4
07 @ufail palanca=No se va a mover hasta que consiga desbloquear la
cerradura.
08 @use palanca=No sin esfuerzo la palanca empieza a moverse hacia
abajo y escuchas a toda la maquinaria ponerse en funcionamiento.
09 @ause palanca=@pemit %#=Finalmente el cofre se abre iluminando la
cueva con la dorada luz del oro. Enhorabuena, has superado esta
misión!!!;
10 drop palanca
WWW.LINUX- MAGAZINE.ES

comprobar el valor de un atributo se usa
get_eval(persona/atributo).
Reacciones Aleatorias
A veces necesitaremos reacciones aleato-
rias. Esta aleatoriedad se puede lograr con
el uso de la funcion rand(), el cual es muy
simple. Cuando escribamos rand(numero)
se sustituirá por un número del 0 a ese
número menos 1. Generalmente el rand
irá asociado a un switch.
@create dado
@ause dado=@switch rand(5)=0,U
{@emit %N se para mostrando unU
valor de 1},1, {@emit %N seU
para mostrando un valor de 2},U
2, {@emit %N se para mostrandoU
un valor de 3},3, {@emit %N seU
para mostrando un valor de 4},4U
, {@emit %N se para mostrandoU
un valor de 5},5, {@emit %N seU
para mostrando un valor de 6}
Así, cuando usemos el dado se generará
un valor aleatorio del 0 al 5 y, de acuerdo
a este valor, nos devolverá un texto con el
valor del dado.
Una Misión Básica
Todas las herramientas anteriores se pue-
den usar para crear misiones, uno de los
pilares de los MUDs. Vamos a diseñar una.
El objetivo de la misión será abrir el
cofre del tesoro. Éste está unido a una
máquina con una palanca y dos cerradu-
ras que hacen imposible abrirlo sin
mover la palanca. La cerradura se abre
con una llave y un sello. La llave nos la
dará un viejo, y el sello está en una man-
zana.
NOTA: Hemos indicado el número de
objeto creado después de algunos coman-
dos para facilitar la compresión del
código. No hay que teclearlos.
@dig cueva (#10)
@tel #1=#10
@create cofre (#9)
@desc cofre=Cofre de metalU
sujeto al suelo firmemente y aU
una maquinaria que lo mantieneU
cerrado.
drop cofre
Hemos creado (dig) la cueva de la misión.
También hemos creado el cofre del tesoro
con su descripción y lo hemos soltado en
la habitación.
Juegos: MUDs III • LINUX USER
@create viejo (#7)
@listen viejo=*”viejo, *
@_saludo viejo=0
@ahear viejo=@switchU
get_eval(viejo/saludo)=0,U
{say ”Hola viajero. No puedoU
moverme y tengo un poco deU
hambre”; @_saludo viejo=1},1,U
{say ”Quiero una naranja. Si,U
una jugosa naranja.”}
drop viejo
Hemos creado un “viejo”. Le hemos aña-
dido un atributo personalizado saludo
que usamos para ver si es la primera vez
que hablamos con él. También consegui-
mos que pueda comunicarse, enten-
diendo las frases que se dirijan a él como
“viejo, lo-que-sea. Hemos usado el
@switch get_eval(viejo/saludo) para
escoger la respuesta dependiendo del atri-
buto “saludo”.
En el Listado 1 hemos creado una llave
y una naranja que, cuando se coge, activa
una serie de acciones que acaban
dejando la llave #4 en el suelo #10. Tam-
bién hemos usado @emit para que lo que
dice el viejo lo escuchen todos los juga-
dores.
En el Listado 2 se crea el sello real y
después creamos la palanca. Ésta tiene
un “cierre de uso” |ock/use para que sólo
pueda usarla quien lleve la llave y el sello
(#18 y #4). También hemos tenido que
añadir un mensaje de error ufail para
cuando alguien intente usarlo sin éxito.
Por fin, el mensaje de uso con éxito,
ause, nos felicitará por completar la
misión. Se usa @pemit %#= para enviar
este mensaje sólo al jugador que lo haya
logrado.
@create manzana (#3)
@desc manzana=Manzana podridaU
con muy mal aspecto.
@ause manzana=@pemit %#=TeU
comes la manzana sorprendidoU
por su buen sabor. Y de suU
interior se cae un sello deU
plata.; @tel #18=#10
drop manzana
Cuando se usa la manzana, @ause man-
zana, aparecerá(@tel) en la sala #10 el
sello real #18.
@create loro (#5)
@desc loro=Un feo loro verdeU
que guarda silencio. Quizas siU
WWW.LINUX- MAGAZINE.ES
Figura 1: Nuestra humilde creación no se ve
mejor (ni peor) que MUDs de renombre como
Balzhur.
insistes te diga algo.
@listen loro=*”loro, *
@ahear loro=@switch rand(4)=0,U
{say ”Come la manzana, usala,U
usala.!!!”}
drop loro
Cuando le hablemos a nuestro nuevo loro
tenemos un 25% de posibilidades
(@switch rand(4)=0,) de que nos revele
una pista importante.
@lock cofre=#1
@lock palanca=#1
@lock viejo=#1
@lock loro=#1
Con estos cuatro últimos locks evitamos
que un jugador pueda mover objetos
que no debería (solo One #1 podría
hacerlo).
Para Finalizar
Ciertamente MUSHcode no es el más
avanzado de los lenguajes de programa-
ción, y puede hacer titánicas algunas
tareas que podrían parecer sencillas, pero
dedicándole tiempo nos servirá para dotar
de vida a nuestros mundos.
No queríamos terminar este artículo sin
comentar que existe un tipo de MUD más
violento, basado en combates, que se
denomina MUF (y similares). Nuestro ser-
vidor Pennmush no es un MUF, y por
tanto no soporta combates, razas, profe-
siones, etc. De hecho, casi todos los (mal
llamados) MUD que hay activos en la
actualidad son derivados de MUFs con
infinidad de opciones de personalización,
algo de lo que carece nuestro robusto pero
limitado Pennmush. ■
RECURSOS
[1] Tutorial MUSH incluyendo MUSH-
code: http://www.mux.net/~bele/
mushman.html
Número 39 89
COMUNIDAD
COMUNIDAD ·· Konsultorio
Konsultorio
Klaus Knopper es el creador de
Knoppix y co-fundador de la
LinuxTag Expo. En la actuali-
dad trabaja como profesor,
programador y consultor. Si
tiene algún problema de
configuración, o simplemente
quiere conocer mejor cómo
funciona Linux, no dude en
escribir sus preguntas a:
klaus@linux-magazine.com
Discos SATA
La pregunta del artículo del número
37 “Reemplazar Windows” me hizo
mucha gracia. Yo también estoy en la edad
de jubilación y comencé en los viejos tiem-
pos del DOS. Soy, sin embargo, un converso
a Linux al 95%. Estoy de acuerdo con que
Linux no es un reemplazo para Windows. Yo
hubiera aconsejado al lector que probara
una configuración multiarranque. Se trata de
mantener XP mientras que te acostumbras a
Linux. Uso Windows para jugar al Chess-
master 10000 y para ejecutar el True Image
de Acronis, que por alguna razón tiene pro-
90 Número 39
EL
KONSULTORIO
DE KLAUS
blemas con mi P5K Deluxe MB al usar el
disco de arranque de True Image.
Ahora mi pregunta: tengo dos discos
duros SATA de 250GB que funcionan en
modo compatible IDE. Tengo instalado Win-
dows XP en la primera partición del Disco 1,
Fedora en la segunda partición, y Ubuntu en
la tercera, controlando el MBR. Tengo dos
particiones más y un par de particiones
NTFS para las copias de seguridad del Acro-
nis True Image.
Me gustaría juguetear con las otras distri-
buciones de Linux, pero esto causa cambios
en las IDs de las particiones. Y entonces
tengo problemas para arrancar Ubuntu y
Fedora.
Normalmente soy capaz de arrancar
Ubuntu, ejecutar blkid y editar fstab para
arreglarlo. Con Fedora puede costar un poco
más. Me han aconsejado que mire man 2ext,
pero no tengo claro qué hacer. ¿Tiene alguna
sugerencia? ¿Qué tal un fstab configurado
para aceptar cambios en las IDs de las parti-
ciones?
Otra cosa que podría ser útil es un CD
autoarrancable de emergencia, desde donde
se pueda acceder a las distintas particiones y
editar fstab tras ejecutar blkid.
Gracias Klaus. Disfruto realmente con tu
sección. Le adjunto la información de los dis-
cos en el Listado 1.
Antes de contestar directamente a
su pregunta comenzaré con una
breve descripción de algunos conceptos
importantes. Linux usa nombres específicos
para las particiones, bien con nombres de
archivo de dispositivo de bloques creados
estáticamente en dev, o bien creados dinámi-
camente (por udevd).
El acuerdo general para nombrarlos es hd
para IDE y sd para discos o almacenamiento
WWW.LINUX-MAGAZINE.ES
SCSI, USB o SATA, seguidos de una letra que
indica el disco (a para la primera, en orden
alfabético), y a continuación, si no estamos
usando el disco completo, un número que
indica la partición, donde 1-4 son particiones
primarias y a partir de la 5 son particiones
lógicas (con tabla de partición extendida).
Por tanto, /dev/sdb9 sería la novena parti-
ción del segundo disco SATA, USB o SCSI
conectado al sistema. Al contrario que con
IDE, donde hdb es siempre el “disco esclavo
conectado al primer controlador”, el disposi-
tivo sd* toma su nombre según la secuencia
en su detección, por lo que puede depender
de la secuencia de drivers que se carguen
cuando un dispositivo flash USB aparezca de
repente con el nombre de un disco duro
SATA que teníamos con anterioridad.
Muchas distribuciones, sin embargo, cargan
los drivers SATA antes que los USB, por lo
que es poco probable que ocurra un cambio
de disco inesperado.
La partition ID normalmente significa el
“tipo” de partición, que será un número en
la tabla de particiones que se fija o cambia
por fdisk, cfdisk, gparted o programas de
particionado similares.
La ID de partición indica a la BIOS si se
puede usar esa partición para arrancar, si
está marcada como espacio libre, o si está
siendo usada por particiones “lógicas”.
La ID también indica al sistema operativo
el tipo de contenido que tiene a priori (en
Linux, sin embargo, el tipo de partición real-
mente no importa. Es decir, podríamos mon-
tar un sistema de archivos en una partición
marcada como NTFS o Swap, pero obvia-
mente, no es muy recomendable).
La ID 82 es “Linux swap”, la ID 83 es
“Linux filesystem”, etc. (véase la Tabla 1
sacada de fdisk). El contenido real de la par-
tición, sin embargo, no tiene nada que ver

con esta ID. De hecho, la ID ni siquiera cam-
bia si reformateamos o destruimos el conte-
nido de la partición, ya que no se ubica en la
propia partición, sino dentro de la tabla de
particiones.
Un UUID es un identificador único uni-
versal para un sistema de archivos nativo
de Linux, como ext* o reiserfs. El UUID
está contenido en la cabecera del sistema
de archivos de la partición. Puede usarse
para buscar e identificar un sistema de
archivos en /etc/fstab mediante la palabra
clave UUID= en lugar de por el nombre de
la partición. Las UUIDs se suponen únicas.
Un sistema de nomenclatura automático
asegura que sólo existe una partición con
un UUID dado en nuestro sistema. Este
valor puede fijarse durante la creación del
sistema de archivos, y puede cambiarse
más tarde mediante tune2fs -U o reiserfs-
tune -uuid.
La etiqueta label es similar al UUID, pero
generalmente se usa para dar al sistema de
archivos un nombre legible como Root o
incluso nombres de puntos de montaje
como var_log, de manera que podamos
hacernos una idea de su contenido. Esta eti-
queta puede usarse para buscar e identificar
un sistema de archivos en /etc/fstab
mediante la palabra clave LABEL=. Una eti-
queta no tiene por qué ser única en un sis-
tema.
/etc/fstab es el archivo de configuración
para mount. La sintaxis general de fstab es:
partition mountpoint U
filesystem filesystem-options U
backup check
donde partition hace referencia a un disposi-
tivo de bloques, archivo, recurso de red, o en
general, un recurso que contiene la informa-
ción física que va a ser accedida. mountpoint
es la ubicación donde un directorio/archivo
se va a mostrar tras un montaje con éxito.
Listado 1: Información de Disco
01 # /etc/fstab: static file
system information.
02 #
03 # <file system> <mount point>
<type> <options> <dump> <pass>
04 proc /proc proc default 0 0
05 # /dev/sda5
06
UUID=54a4d859-f595-40f4-b139-e
f30e21237d9 / ext3
defaults,errors=remount-ro 0 1
filesystem es la parte del driver que indica a
mount de qué manera se va a organizar la
información, mientras que options son fun-
cionalidades que pueden activarse para ese
sistema de archivos. La secuencia backup
sequence raramente se usa por ningún pro-
grama de copias de seguridad, pero debe
estar presente en /etc/fstab por razones de
compatibilidad. El último campo, filesystem
check order, indica qué sistema de archivos
debería verificarse y repararse automática-
mente en caso de aparecer problemas al
arrancar.
La mayoría de las entradas de /etc/fstab
tienen una sintaxis muy flexible, que se des-
cribe en parte con man 5 fstab, man 8
mount, y en distintos manuales específicos
de sistemas de archivos en línea, como man
ntfs-3g.
Ahora, volvamos a la pregunta inicial. En
la entrada partition de /etc/fstab tenemos
que dar una descripción de un recurso para
mount, de manera que encuentre la informa-
ción para acceder. Para sistemas de archivos
ubicados en particiones de discos duros
puede hacerse, en el caso más sencillo, indi-
cando el nombre de la partición, o con una
etiqueta de sistema de archivos, o UUID (que
se buscará en todas las particiones conoci-
das, véase /proc/partitions).
Por lo que parece, su mejor opción es
montar buscando una partición específica y
constante, en lugar de un UUID, para encon-
trar automáticamente la partición que con-
tiene un sistema de archivos.
En teoría, el UUID no debería cambiar, a
menos que haya una reinstalación completa
del sistema de archivos, cosa que puede ser
el problema en este caso, si lo que desea es
experimentar con distintas distribuciones.
Mi recomendación para este caso sería no
usar UUID=, sino escribir directamente los
nombres de partición como fuente de los dis-
positivos de bloques. Por ejemplo, su línea
/etc/fstab
07 # /dev/sda1
08
09 UUID=1201DEF75EAE43A9
/media/sda1 ntfs
defaults,umask=007,gid=46 0
1
10 # /dev/sda3
11
UUID=2d9d00d3-4809-4f57-b65d
-97f70d497dbd /media/sda3
ext3 defaults 0 2
WWW.LINUX-MAGAZINE.ES
Konsultorio ·• COMUNIDAD
Konsultorio COMUNIDAD
Tabla 1: Algunos Tipos de
Partición Conocidos por
Linux
ID Descripción
0 Vacío
1 FAT12
4 FAT16 <32M
5 Extendido
6 FAT16
7 HPFS/ NTFS
b Win95 FAT32
c Win95 FAT32 (LBA)
e Win95 FAT16 (LBA)
82 Linux swap
83 Linux
8e Linux LVM
fd Linux raid auto
# /dev/sda3
UUID=2d9d00d3-4809-4f57-b65d-U
97f70d497dbd /media/sda3 U
ext3 defaults 0 2
cambiaría a
/dev/sda3 /media/sda3 U
ext3 defaults 0 2
Muchas Live CDs de recuperación también
usan /dev/nombreparticion en lugar de eti-
quetas de sistemas de archivo para crear
automáticamente /etc/fstab. Pero podemos
usar también el script del Listado 2 para
crear automáticamente entradas basadas en
UUID para copiar y pegar.
Si usted quiere hacer copias de seguridad
con frecuencia y restaurar instalaciones de
Linux en diferentes particiones, distintas de
las que se habían instalado en primer lugar,
su método original para /etc/fstab es mejor,
ya que en este caso los nombres de parti-
ción cambian realmente, mientras que el
UUID debería permanecer constante al estar
contenido en la imagen con la información
de la partición. Sin embargo, en caso de que
ni el nombre de la partición ni el UUID del
sistema de archivos permaneciese cons-
tante, tenemos un problema. En este caso,
lo mejor que puede hacer es mantener su
fstab actual constante y volver a fijar el
UUID y/o la etiqueta tras una restauración.
Por ejemplo,
tune2fs -U 2d9d00d3-4809-U
4f57-b65d-97f70d497dbd
/dev/sda3
restaura el UUID usado en fstab. ■
Número 39 91
COMUNIDAD · Linux Legal
Jose María Lancho, abogado, contesta a las dudas legales de los lectores.
LINUX LEGAL
■ Tengo el Mandriva PowerPack 2008 que
se regalaba con el número 35 de Linux
Magazine. Veo que viene con una aplica-
ción llamada “LinDVD” que sirve para ver
los DVDs de vídeo cifrados… vamos,
todos los DVDs comerciales de un tiempo
a esta parte. Según la web de Mandriva,
usar Lin DVD es la manera “legal” de ver
DVDs en Linux. Entonces ¿qué pasa?
¿Hasta ahora ver los DVDs que había com-
prado con mi dinero gracias a libdvdcss
era ilegal?
■ La mayoría de los DVDs comerciales contie-
nen una tecnología DRM de cifrado denomi-
nada CSS (Content Scramble System). Esta
tecnología se ha convertido en un estándar
industrial de facto. Con la excusa de salva-
guardar de copias ilegales los contenidos digi-
tales multimedia, se constituyó la “DVD Copy
Control Association” (DVD CCA), que es la
asociación que “licencia” la tecnología CSS de
cifrado tanto a productores de contenidos que
se vayan difundir en DVD como a fabricantes
de lectores y reproductores de DVD.
En este contexto, es cierto que la empresa
desarrolladora de LinDVD tiene una licencia
de CSS (Content Scramble System) para ese
producto, y cualquier distribución que incluya
LinDVD no va a tener ningún problema. La
cuestión legal es si es necesario obtener una
licencia para poder decodificar el contenido de
un DVD que ya he adquirido legalmente, o
también: ¿cuántas veces hay que pagar por
tener acceso al mismo contenido?
Debemos partir de que sobre la tecnología
CSS se ha pretendido constituir un monopolio
definitivo, una forma de control de la difusión
de información que, en su pretensión de
dominar el acceso al contenido a través de
controlar el formato, resulta casi utópica. Su
difícil defensa propició una actitud legal muy
agresiva por parte de la gran industria aso-
ciada a la “DVD Copy Control Association”,
con resultados diversos. El 27 de diciembre de
1999 la DVD CCA inició su gran caza de bru-
jas particular. En unos 11 países del mundo al
mismo tiempo demandó hasta 500 personas y
entidades por hacer accesible una tecnología
libre, la DeCSS, un programa informático
libre, logrado por medio de ingeniería inversa
y que era capaz de desencriptar el contenido
de los DVDs que estuvieran codificados por
tecnología CSS. El meollo de la demanda era
92 Número 39
la apropiación indebida de secreto industrial
de los socios de la DVD Copy Control Associa-
tion a través de burlar la encriptación, y que
ese programa, puesto al conocimiento del
público, podía servir para la violación de dere-
chos de propiedad intelectual. La capacidad
de demandar por parte de la industria sobre
este monopolio de información estaba muy
incrementada con la Digital Millennium
Copyright Act fruto de su inmensa labor de
lobby. De esta forma la industria cosechó
algunos éxitos que sin embargo entornaban la
puerta de cara al futuro, así en UNIVERSAL
CITY STUDIOS, INC., PARAMOUNT PICTU-
RES CORPORATION, METRO-GOLDWYN-
MAYER STUDIOS INC., TRISTAR PICTURES,
INC., COLUMBIA PICTURES INDUSTRIES,
INC., TIME WARNER ENTERTAINMENT
COMPANY, L.P., DISNEY ENTERPRISES
INC., TWENTIETH CENTURY FOX FILM
CORPORATION contra ERIC CORLEY y 2600
ENTERPRISES INC. La resolución en apela-
ción de la UNITED STATES COURT OF APPE-
ALS para el 2º Circuito, sentencia de 28 de
noviembre de 2001, supuso técnicamente una
victoria pírrica para las industrias del audiovi-
sual, puesto que la Sala decidió sobre la evi-
dencia de que los demandados tenían la
intención principal de proveer el DeCSS al
público con el fin de copiar DVDs protegidos y
no, en cambio, la intención de distribuir
DeCSS para permitir el visionado de DVDs en
múltiples plataformas. La utilización de la
Digital Millennium Copyright Act como
comodín de la industria multimedia tradicio-
nal se vio también limitada por otra sentencia,
la Chamberlain v. Skylink, 381 F.3d 1178 (Fed.
Cir. 2004), en la que también se eludió una
medida tecnológica, se burló un mecanismo
de encriptación por medio de ingeniería
inversa efectuada por un consumidor final,
que había adquirido un objeto con un soft-
ware incorporado (en concreto una puerta de
garaje que se alzaba automáticamente) que
estaba codificado. El demandado, a los efec-
tos de servirse más cómodamente del objeto
adquirido, decodificó las claves del software
pero con un fin legítimo. El Tribunal le dio la
razón al demandado sosteniendo que la Digi-
tal Millennium Copyright Act no proveía de
un segundo derecho de propiedad al titular de
un copyright y, en cualquier caso, debe
demostrar que cuando se eluden las medidas
WWW.LINUX-MAGAZINE.ES
tecnológicas de protección se pretenden vul-
nerar los derechos de propiedad intelectual,
cosa que en aquel caso desde luego no fue
posible. Tampoco prosperaron las acciones
penales contra el programador Jon Lech
Johansen por su implicación en este programa
de decodificación, precisamente porque nadie
tiene derecho a decirnos qué debemos hacer,
dentro de la legalidad, con nuestra propiedad.
Aunque no es fácil encontrar una distribu-
ción libre que incluya el programa DeCSS, no
obstante el programa es fácil de conseguir en
la red, y jurídicamente es casi imposible de
objetar que un consumidor pueda utilizar este
programa para poder ver sus DVDs adquiridos
legalmente, donde le parezca.
En cuanto a la posibilidad de considerar a
“libdvdcss” como un programa ilegal, mi res-
puesta es un no rotundo. Por un lado,
“libdvdcss” opera de una manera distinta a
DeCSS, no es ingeniería inversa y jamás ha
provocado una acción ante los tribunales. En
Estados Unidos desde luego no lo es, pues la
Sección 1201(f) de la Digital Millennium Copy-
right Act autoriza los actos de elusión de medi-
das tecnológicas de protección con propósitos
de interoperabilidad del software, y en
España, el artículo 100 de la Ley de Propiedad
Intelectual establece los límites para el titular
de los derechos de explotación de un pro-
grama de ordenador aún más amplios.
El derecho al uso, el derecho a aprender y el
derecho a interoperar por el usuario legítimo
están previstos en el artículo 100 de la LPI, y la
Jurisprudencia ha dejado claro que el usuario
final no tiene que soportar las medidas técni-
cas de protección cuando quiere dar un uso
legítimo al bien del que es propietario (por
ejemplo: Audiencia Provincial de Valencia,
Auto de 7 de Marzo de 2008 – Sección 5ª Nº
Recurso: 58/2008, sobreseyendo el caso de la
supresión no autorizada o la neutralización de
dispositivos técnicos de una videoconsola,
pues no estaba probado que fuera para utili-
zarla con juegos “pirateados”, sino que podía
servir como un ordenador).
La guerra de los DVDs ha concluido, pero
los nuevos formatos están abriendo sus pro-
pios frentes, disfrazando bajo la apariencia de
más y mayor servicio al consumidor o usuario
el asalto hacia el control total de las obras inte-
lectuales por medio del monopolio sobre su
formato.. ■
PRÓXIMO NÚMERO

EN EL NÚMERO 40 DE LINUX MAGAZINE

SEGURIDAD
Para un usuario final, no existe el exceso de seguridad.
Cuando hemos de confiar hasta la información más
sensible, ya sea personal o corporativa, a nuestras
máquinas, no podemos permitirnos el lujo de que por
falta de conocimientos se comprometa.
Sin embargo, también tenemos que mantener un
compromiso con las restricciones que impongamos a
los usuarios del sistema, evitando convertir su existen-
cia en un laberinto de contraseñas, permisos y producti-
vidad perdida. Para ello, el mes que viene examinamos
una tecnología que permite abrir el cortafuegos sólo a
ciertos paquetes de ciertos usuarios.
Siguiendo con nuestra sección de portada, veremos
cómo impedir que nos roben la contraseña con sistemas
de fuerza bruta que utilicen diccionarios, para, a conti-
nuación, aprender a conseguir un sistema de permisos
más granular utilizando listas de control de acceso.
Terminaremos nuestro especial con un taller en pro-
fundidad de SELinux, la potentísima infraestructura de
seguridad de Red Hat/Fedora.
En el número 39, seguridad en serio en Linux Maga-
zine.

SIOX ¿Ruby o Java?

El veterano programa de retoque de imágenes y manipula-
ción de fotografías, The GIMP, ha sufrido un completo lavado
de cara en su última versión, la 2.4. Y los cambios no sólo
afectan a la superficie.
Lo último en The GIMP es SIOX, un sistema que permite
extraer de manera sencilla objetos del fondo de una imagen.
Veremos cómo sacarle todo el jugo a esta funcionalidad en el
próximo número de Linux Magazine.
Ruby es un lenguaje cada vez más popular para aplicaciones
y servicios de software online. Sin embargo, es sobre Java
donde se ejecutan la gran mayoría de los programas de ges-
tión hoy en día.
Para tener la flexibilidad de Ruby y no perder el soporte de
los antiguos programas en Java, presentamos JRuby, un intér-
prete que permite programar y ejecutar aplicaciones en
ambos lenguajes.

A LA VENTA: JULIO 2008

98 Número 3
39 WWW.LINUX- MAGAZINE.ES