Distrito 9 (2009) y 12 hombres sin piedad (1957) han sido, cada una en su estilo, las dos mejores películas que he visto durante este mes de enero. La primera usa el método de cámara en primera persona o cámara en mano (del que tanto se está abusando ya, todo hay que decirlo) para contar una fábula acerca de un asentamiento de refugiados extraterrestres hacinados en un gueto de Sudáfrica y, a través de ello, el rechazo inconsciente e irracional que los seres humanos sentimos hacía lo diferente. Curiosamente, 12 hombres sin piedad nos habla, con un enfoque absolutamente distinto (interpretación pura y dura, sin concesiones y sin más escenarios ni efectos que un despacho y un cuarto de baño donde los miembros de un jurado se encierran a deliberar) de otro de nuestros grandes problemas: los prejuicios. Y lo hace a través de las reflexiones de un jurado popular que tiene que declarar culpable o inocente a un acusado de asesinato.

Cerquita, cerquita, les siguen dos de las películas de la llamada Trilogía del dólar de Sergio Leone y Clint Eastwood: Por un puñado de dólares (1964) y La muerte tenía un precio (1965). Historias épicas, frases redondas, poses chulescas y todos esos ingredientes que deberían de componer una simple película de serie B sin más transcendencia y que, sin embargo, aquí funcionan. Un verdadero misterio.

Dónde viven los monstruos (where the wild things are, 2009) ha sido el único estreno que he ido a ver este mes. Me fascina casi todo lo que viene de la factoría de Henson y no podía perdérmelo. Sin embargo la historia, un cuento onírico acerca de la difícil intersección entre el mundo de los niños y el de los adultos, no me llegó demasiado. Tal vez me cogió en un mal momento.

Quo Vadis (1951) ha sido la peli “de tradición”. Una de esas viejas joyas de temática bíblica que a fuerza de ver en Navidades y Semana Santa durante toda tu vida luego acabas echando de menos en estas épocas. No tenédmelo en cuenta… y a ver si alguien me encuentra La túnica sagrada para dentro de un par de semanas

Elegy (2008) no es lo mejor de Coixet, pero se deja ver y Penélope Cruz no lo hace del todo mal a pesar de que la sacan del papel de arrabalera chillona que parece ser su único perfil bueno y que tantos éxitos le está haciendo cosechar. Sicko (2007) es otro de esos didácticos (y, seguro, un “pelín” tendenciosos) documentales a los que Moore nos tiene tan acostumbrados y que desgraciadamente se ven muy poco en su país que es donde realmente podrían servir como herramienta de sensibilización. El luchador (2008) cuenta, efectivamente, con una maravillosa interpretación protagonista por parte del renacido Mickey Rourke, pero nada más. La historia es plana y muy predecible casi desde los títulos de crédito. Por cierto ¿Sabe alguien por qué les gustan tanto las historias de “viejas glorias” a los yankees? Por que llevamos una racha, que…

The Spirit (2008) ha sido una gran decepción. No es tan impactante como Sin City aunque la copia estéticamente en absolutamente todo, ni resucita nada del espíritu del entrañable personaje creado por Will Eisner. En la misma línea podemos meter a El grito (2004), una burda copia de The ring y que no aporta nada nuevo al género. 28 días después (2002) es una película igualmente intrascendente sobre zombies infectados y que me dejó totalmente indiferente. La vi sólo y casi de madrugada y me acosté tan pancho, sin nada, nada de miedo. Una verdadera lástima.

Y el premio a lo peor del mes se lo lleva, sin lugar a dudas, y con un gran margen respecto a las demás, La montaña embrujada (2009). Un bodrio infumable de esos que te colocan en el AVE y que debería de ir acompañado de un descuento en el billete.

Continuamos hoy con otros dos métodos de autenticación en Apache. El primero que vamos a ver recupera los problemas de gestión de usuarios y contraseñas pero soluciona el problema de la transferencia de contraseñas en claro sin necesidad de usar SSL. Consiste en usar la autenticación mediante digest. El procedimiento, como veréis, es muy similar al visto el otro día con la autenticación básica pero cambiando algunas de las directivas y usando la utilidad htdigest en lugar de htpassword para crear el fichero de contraseñas. El módulo de autenticación necesario suele venir con Apache pero no habilitado por defecto. Para activarlo usamos la utilidad a2enmod y, a continuación reiniciamos el servidor Apache:

$ sudo a2enmod auth_digest
$sudo /etc/init.d/apache2 restart

Luego incluimos una sección como esta en el fichero de configuración de nuestro Virtual Host:

<Directory "/var/www/miweb/privado">
     Order deny,allow
     AuthType Digest
     AuthName "dominio"
     AuthUserFile "/etc/claves/digest.txt"
     <Limit GET POST>
          Require valid-user
     </Limit>
</Directory>

Como vemos, es muy similar a la configuración necesaria en la autenticación básica. Sólo dos notas: el fichero donde se dejan las contraseñas se indicaba con la directiva AuthDigestFile hasta la versión 2.2 de apache. Ahora, como veis en el ejemplo, es AuthUserFile. Y dos: la directiva AuthName que en la autenticación básica se usaba para mostrar un mensaje en la ventana que pide el usuario y contraseña, ahora se usa también para identificar un nombre de dominio (realm) que debe de coincidir con el que aparezca después en el fichero de contraseñas. Dicho esto, vamos a generar dicho fichero con la utilidad htdigest:

# htdigest -c /etc/claves/digest.txt dominio josemaria
Adding password for josemaria in realm dominio.
New password:
Re-type new password:

Al igual que ocurría con htpassword, la opción -c (create) sólo debemos de usarla al crear el fichero con el primer usuario. Luego añadiremos los restantes usuarios prescindiendo de ella. A continuación vemos el fichero que se genera después de añadir un segundo usuario:

josemaria:dominio:8d6af4e11e38ee8b51bb775895e11e0f
gemma:dominio:dbd98f4294e2a49f62a486ec070b9b8c

El último método que vamos a ver usa una base de datos de mySQL como repositorio de contraseñas. Esto nos permitirá preparar de forma fácil unas páginas para gestionarlas por personal no experto o, incluso, permitir al propio usuario final que haga cambios por si mismo, crear algún método de recuperación automático por email, etc. Esto, combinado con un cifrado SSL, nos proporciona un método cómodo, flexible y suficientemente seguro para la mayoría de los casos. Lo primero que debemos de hacer es instalar el módulo que nos proporciona este modelo de autenticación, activarlo y reiniciar nuestro apache:

$ sudo apt-get install libapache2-mod-auth-mysql
$sudo a2enmod auth_mysql
$sudo /etc/init.d/apache2 restart

A continuación necesitamos crear una base de datos adecuada en el servidor mysql. Los únicos campos imprescindibles son los dos correspondientes al usuario y contraseña, tal y como se muestran en la siguiente imagen. El resto, a nuestro gusto y dependiendo de si planeamos hacer alguna página para gestionarlos y las funcionalidades que queremos que tenga (nombre completo, dirección de email, etc.)

Necesitaremos, además, un usuario de mySQL con acceso a estas tablas para que Apache pueda usarlo. Con concederle privilegios de lectura (SELECT) nos basta:

Añadimos un par de registros a nuestra base de datos para hacer pruebas:

Y, por último, editamos la sección correspondiente en la configuración de nuestro Virtual Host y pedimos a apache que haga un reload de la misma:

<Directory "/var/www/miweb/privado">
     AuthType Basic
     AuthName "Zona Privada"
     AuthBasicAuthoritative Off
     AuthUserFile /dev/null
     AuthMYSQL on
     AuthMySQL_Authoritative on
     AuthMySQL_DB httpdauthmysql
     Auth_MySQL_Host localhost
     Auth_MySQL_User apacheauth
     Auth_MySQL_Password 4pache3Sql
     AuthMySQL_Password_Table usuarios
     AuthMySQL_Username_Field login
     AuthMySQL_Password_Field pwd
     AuthMySQL_Empty_Passwords off
     AuthMySQL_Encryption_Types Plaintext
     Require valid-user
</Directory>

El significado de los campos a personalizar para nuestra configuración es fácilmente distinguible:

• AuthMySQL_DB y Auth_MySQL_Host determinan los nombres de la base de datos y el servidor donde esta reside, que usaremos para la autenticación de usuarios.
• Auth_MySQL_User y Auth_MySQL_Password son los datos del usuario que apache usará para leer de la base de datos anterior.
• AuthMySQL_Password_Table, AuthMySQL_Username_Field y AuthMySQL_Password_Field describen, respectivamente, la tabla donde se guardan las credenciales de los usuarios con permiso de acceso y los campos que usaremos para almacenar sus usuarios y contraseñas.

El campo Auth_MySQL_Encryption_Types, por último, nos permite definir la forma en que la contraseña se guarda en nuestra base de datos y admite múltiples formas. Tal y como está en el ejemplo anterior, indicamos que la contraseña se guardará en texto plano. Si queremos hacerlo un poco más serio y no guardar la contraseña así podríamos, por ejemplo, almacenar un hash de la misma. Existen diversos métodos para esto, pero lo más sencillo es variar el valor de este campo por lo siguiente:

AuthMySQL_Encryption_Types Crypt

Esto nos permitirá usar las mismas firmas generadas por la utilidad htpasswd que vimos aquí o, en general, las creadas a partir de la llamada a la función crypt(). Copiamos el hash al campo pwd de la base de datos antes generada, volvemos a hacer un reload a nuestro apache y listo.

“Que un director de periódico diga que tiene un vídeo sobre la verdad no es cierto. El tendrá un vídeo, pero al menos tiene dos. Alguno con un protagonista en corsé”

Pilar Manjón, presidenta de la Asociación 11-M de afectados del Terrorismo refiriéndose a Pedro J. Ramírez, director de El Mundo, y a su famoso vídeo con Exuperancia Rapú (que tiene club de fans en Facebook y todo..) en unas declaraciones a la Cadena Ser. ¿Es necesario perder los papeles con tanta facilidad para tratar de demostrar que se tiene razón en algo?¿La gente “pública” se cree que preferimos las patochadas y las salidas de tono a los argumentos válidos? Así nos va…

El servidor web Apache puede acompañarse de distintos módulos para proporcionar diferentes modelos de autenticación. Hoy vamos a echarle un vistazo a la configuración básica de dos de los más utilizados y sencillotes. Vamos allá.

La primera forma que veremos es la más simple. Usamos para ello el módulo de autenticación básica que viene instalada “de serie” con cualquier Apache. La configuración que tenemos que añadir en el fichero de definición del Virtual Host a proteger podría ser algo así:

<Directory "/var/www/miweb/privado">
     Order deny,allow
     AuthUserFile "/etc/apache2/claves/passwd.txt"
     AuthName "Palabra de paso"
     AuthType Basic
     <Limit GET POST>
          Require valid-user
     </Limit>
</Directory>

La información a personalizar está marcada en negritas. En Directory escribimos el directorio a proteger, que puede ser el raíz de nuestro Virtual Host o un directorio interior a este. En AuthUserFile ponemos el fichero que guardará la información de usuarios y contraseñas que debería de estar, como en este ejemplo, en un directorio que no sea visitable desde nuestro Apache. Ahora comentaremos la forma de generarlo. Por último, en AutnName personalizamos el mensaje que aparecerá en la ventana del navegador que nos pedirá la contraseña. Existen otras directivas adicionales o modificaciones a estas útiles para personalizar el acceso: AuthGroupFile, Require user, Require group, etc. Ya sabéis: Google es vuestro amigo

El fichero de contraseñas se genera mediante la utilidad htpasswd. Su sintaxis es bien sencilla. Para añadir un nuevo usuario al fichero operamos así:

# htpasswd /etc/apache2/claves/passwd.txt carolina
New password:
Re-type new password:
Adding password for user carolina

Para crear el fichero de contraseñas con la introducción del primer usuario tenemos que añadir la opción -c (create) al comando anterior. Si por error la seguimos usando al incorporar nuevos usuarios borraremos todos los anteriores, así que cuidado con esto. Las contraseñas, como podemos ver a continuación, no se guardan en claro. Lo que se almacena es el resultado de aplicar una función hash.

josemaria:rOUetcAKYaliE
carolina:hmO6V4bM8KLdw
alberto:9RjyKKYK.xyhk

Para denegar el acceso a algún usuario basta con que borremos la línea correspondiente al mismo. No es necesario que le pidamos a Apache que vuelva a leer su configuración (/etc/init.d/apache2 reload) cada vez que hagamos algún cambio en este fichero de contraseñas, pero si lo es después de hacer los cambios en el fichero de definición del Virtual Host.

La principal ventaja de este método es su sencillez. Sus inconvenientes: lo incómodo de delegar la generación de nuevos usuarios en alguien que no sea un administrador de sistemas o de hacer un front-end para que sea el propio usuario quien cambie su contraseña. Y, por supuesto, que dichas contraseñas viajan en claro a través de la red. Si queremos evitar esto último podemos crear una instancia Apache con SSL.

El segundo método que vamos a tocar usa PAM, el propio sistema de autenticación de la máquina donde está instalado nuestro servidor de Apache. Si ya tenemos alguna herramienta de gestión de usuarios y contraseñas en la misma este sistema nos ahora el engorro de tener que generar otro tipo de usuario. En caso contrario no ganamos mucho en este sentido y seguimos teniendo el problema de que las contraseñas viajan en claro con el agravante adicional de que ahora se trata de usuarios de la máquina… así que ya sabéis: o configuráis ssl o usáis el truco que comentamos el otro día por aquí para deshabilitar la conexión remota.

Usaremos para ello el módulo mod_auth_pam y lo primero que tenemos que hacer es instalarlo:

# sudo apt-get install libapache2-mod-auth-pam

En el fichero de configuración del Virtual Host tendríamos que incluir algo así:

<Directory "/var/www/privado">
     AuthType Basic
     AuthName "Palabra de paso"
     AuthPAM_Enabled On
     AuthBasicAuthoritative Off
     AuthUserFile /dev/null
     Require user josemaria gemma fernando araceli
</code>

Si en este caso la directiva usada fuese Require valid-user se permitiría el acceso a cualquier usuario con cuenta en la máquina. Ah, y no olvides hacer un reload de apache después de este cambio.

Sólo nos quedan un par de pasos. Primero, añadir el usuario www-data (el que usa apache) al grupo shadow para que pueda verificar las contraseñas:

usermod -a -G shadow www-data

Y dos, hacer un enlace como el que sigue. Ignoro la causa, pero el motivo de que esto sea necesario es debido a que apache (en los binarios de Debian y Ubuntu, al menos) pretende leer del archivo /etc/pam.d/http mientras que el módulo de autenticación ha creado el archvo /etc/pam.d/apache2. El módulo auth_pam hace años que no está soportado e imagino que esto tiene algo que ver, pero no lo se a ciencia cierta. Simplemente lo leí por ahí...

ln -s /etc/pam.d/apache2 /etc/pam.d/httpd

Y con esto está todo listo. No lo he probado nunca pero también he leído que la autenticación se hace contra el directorio activo si Apache está instalado en una máquina windows configurada en un dominio. Existe también un módulo para autenticar contra un ldap (mod_auth_ldap) que si que he probado y que ya veremos otro día

Dos puntos de vista diferentes para un lunes en el que, por fin, parece que el tiempo acompaña…

Attached Media: audio/mpeg (4 159 ko)

audio/mpeg (4 585 ko)

Hoy vamos a dejar por aquí un paso a paso para montar un servidor de correo de la forma más sencilla posible y con acceso a través de IMAP y de webmail. Partimos, para ello, de un servidor Debian recien instalado y disponemos de un dominio y de un servicio desde el que gestionar los registros de nuestro DNS. Para la instalación usaremos Postfix como SMTP, Dovecot como servidor IMAP y Squirrel como servicio de Webmail.

Lo primero que debemos de hacer es planificar los nombres que necesitamos dar de alta en el DNS para hacerlo cuanto antes y dar tiempo a que se propaguen. Realmente un único registro A y otro MX nos valdrían ya que todo va a funcionar en la misma máquina, pero por aquello de que quede bonito y pensando en futuros cambios en los que el servicio crezca y necesitemos usar máquinas diferentes para cada cosa, deberíamos de crear un registro A diferente para cada uno de los servicios. Algo así:

smtp IN A 99.99.99.99
mail IN A 99.99.99.99
webmail IN A 99.99.99.99
@ IN MX 10 mail.midominio.com

Donde, lógicamente, hemos de cambiar midominio.com por el nombre de dominio que vamos a usar y 99.99.99.99 por la IP de nuestra máquina.

En segundo lugar debemos de instalar los paquetes que necesitamos. Dejaremos el webmail para el final y nos centraremos en el resto. Para ponerlo en funcionamiento necesitamos instalar, además de postfix y dovecot, los paquetes necesarios para realizar la autenticación mediante el protocolo SASL:

# apt-get install postfix-tls libsasl2-2 sasl2-bin libsasl2-modules dovecot-imapd

El archivo de configuración principal de postfix es /etc/postfix/main.cf. Lo siguiente que tenemos que hacer es editarlo y añadir las siguientes líneas a su contenido:

smtpd_sasl_local_domain = midominio.com
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_security_options = noanonymous
home_mailbox = Maildir/

En la primera línea debemos de sustituir la cadena en negritas por el dominio cuyo correo queremos recibir. El resto de los parámetros determinan el tipo de autenticación que vamos a realizar, el servicio que se encargará de la autenticación (dovecot en este caso) y las restricciones de acceso más comunes al servidor. Tienes información detallada de todas ellas en este enlace.

Con el parámetro home_mailbox, muy importante, indicamos a Postfix que queremos usar el formato de correo Maildir y que la ubicación de las carpetas donde se almacenará este será un directorio denominado Maildir en el raiz del directorio home de cada usuario. Si no lo especificamos así, el correo se almacenará en un único fichero con el nombre de la cuenta de cada usuario y bajo el directorio /var/mail.

Una de las operaciones que se realiza durante la instalación de Dovecot es crear la estructura necesaria para albergar los buzones de correo en el directorio /etc/skel que es el que sirve de plantilla para generar el home de los nuevos usuarios. Eso quiere decir que los usuarios que tengamos previamente creados antes de hacer esta instalación no dispondrán de dichos directorios y, por tanto, no funcionaran correctamente. Para remedir esto tenemos que copiar manualmente dicha estructura. Supongamos que queremos copiar la estructura de buzones al usuario josemaria, ya creado antes de esta instalación. La operación sería la siguiente:

# cp -r /etc/skel/Maildir /home/josemaria
# chown -R josemaria:josemaria /home/josemaria/Maildir
# chmod -R 700 /home/josemaria/Maildir

La configuración de dovecot la realizamos en el fichero /etc/dovecot/dovecot.conf. Así como el archivo de configuración de postfix es sencillito y asequible (apenas tiene 20 líneas), el de dovecot es un engendro de más de 1000 líneas. Casi todas son comentarios, si, pero aun así asusta bastante…

Los dos primeros cambios son para determinar el protocolo que vamos a usar y habilitar la autenticación mediante texto plano. Busca las siguientes líneas y asegúrate de que no están comentadas y de que sus valores son estos:

protocols = imap
disable_plaintext_auth = no

El siguiente cambio va encaminado a configurar el identificador único que usaremos para cada email. Para que exista compatibilidad con algunos de los clientes de Microsoft es necesario que se defina de esta forma:

pop3_uidl_format = %08Xu%08Xv

Y ya sólo nos resta por definir los parámetros relativos al mecanismo de autenticación que hemos elegido. Lo hacemos con el siguiente bloque:

auth default {
     mechanisms = plain login
     passdb pam {
     }
     userdb passwd {
     }
     socket listen {
          client {
               path = /var/spool/postfix/private/auth
               mode = 0660
               user = postfix
               group = postfix
          }
     }
}

Ahora necesitamos hacer unas pequeñas modificaciones para permitir la comunicación entre postfix y sasl. Puesto que el daemon de postix se ejecuta mediante chroot en el directorio /var/spool/postfix, crearemos un enlace allí al que podrá acceder el daemon de sasl:

# mkdir -p /var/spool/postfix/var/run/saslauthd
# rm -r /var/run/saslauthd/
# ln -s /var/spool/postfix/var/run/saslauthd /var/run
# chgrp sasl /var/spool/postfix/var/run/saslauthd
# adduser postfix sasl

Y, finalmente, debemos de reiniciar los tres servicios involucrados para que lean los cambios hechos en sus respectivas configuraciones:

#/etc/init.d/saslauthd restart
#/etc/init.d/postfix restart
#/etc/init.d/dovecot restart

Para quién la autenticación mediante usuario y contraseña con texto plano se le quede corta, puede echarle un vistazo a este tutorial donde explican como realizarla mediante TLS.

Vamos ahora con la instalación de Squirrel Mail que es mucho más sencilla. Para ello necesitamos instalar apache, php y el propio squirrel:

# apt-get install apache2 libapache2-mod-php5 php5-cli php5-common php5-cgi squirrelmail

En el directorio /etc/squirrelmail tenemos un archivo llamado apache.conf con la configuración necesaria para crear la instancia de apache que nos permitirá acceder a Squirrel. Debemos de editarlo para modificar los datos correspondientes al Virtual Host que queremos crear:

<VirtualHost *:80 >
     DocumentRoot /usr/share/squirrelmail
     ServerName webmail.midominio.com
</VirtualHost>

Luego creamos un enlace a este archivo en el directorio sites-availables de apache:

# ln -s /etc/squirrelmail/apache.conf /etc/apache2/sites-available/squirrelmail

Y, por último, habilitamos el sitio y pedimos a Apache que vuelva a recargar su configuración:

# a2ensite squirrelmail
# /etc/init.d/apache2 reload

La configuración de squirrel se realiza a través de un sencillo programa en modo consola que permite seleccionar, desde el idioma por defecto o el icono de la página de login, hasta la ubicación de carpetas por defecto o los plugins disponibles. Dicho programa se lanza con el siguiente comando:

# /usr/sbin/squirrelmail-configure

Con esto tenemos nuestro servidor de correo perfectamente operativo. Para crear una nueva cuenta de correo basta con que creemos un nuevo usuario en la máquina. Si creamos una cuenta llamada paquito, automaticamente se creará un buzón de correo para paquito@midominio.com cuyos mensajes se almacenaran en un directorio llamado Maildir que colgará del home de nuestro nuevo usuario.

Un par de ajustes finales. Si nuestra máquina permite el acceso por ssh y sólo queremos dar acceso de correo pero no permitir que estos usuarios accedan a la consola de la misma, lo mejor es que creemos un grupo con los usuarios que tendrán acceso de ssh y lo indiquemos así. Además, recordad que la autenticación de las cuentas de correo la estamos haciendo en texto plano, con lo cual cualquiera podría “escucharlas” y disponer de una cuenta de acceso a nuestra máquina. Podríamos, por ejemplo, tener un grupo llamado ssh_permitido al que pertenecerían los usuarios con permiso de acceso e indicarlo en el fichero /etc/ssh/sshd_config con la siguiente directiva:

AllowGroups ssh_permitido

Otro posible “extra” sería permitir que los usuarios con cuenta de correo pudieran modificar sus contraseñas a través de la web. En Unixcraft nos cuentan como hacer un script PHP para permitirlo.

Ya sabéis que yo soy más de drama, pero esto hay que ir a verlo…

• Chuletas de nmap y hping. Desde Security by Default inician una serie de post dedicados a publicar chuletas con las opciones más usuales de algunas de las principales herramientas de seguridad. Muy prácticas.
• Bluefish 2.0. Después de años estancados en la versión 1.0.x, mi editor favorito lanza por fin una nueva versión estable con muchas mejoras y novedades. Visto en iyanmv.com. En la misma liga, Codelite también ha lanzado recientemente su versión 2.2.
• FlightGear. Un simulador de vuelo open source que estrena su nueva versión 2.0. Mirad, mirad que pantallazos.
• Easy Firewall Generator for IPTables. Las IPTables son, probablemente, una de las herramientas Linux más usada, útil… y coñazo de configurar. Easy Firewall Generator es un asistente web que nos permite generar un script con las opciones más habituales. Y para los que quieran hacer virguerías con ellas, aquí está la referencia de Unixcraft.
• Comparativa de herramientas para copias de seguridad. Javier Cantos analiza en profundidad las características de SBackup, Back in Time y Grsync.
• 18 tutoriales para Gimp en formato PDF y procedentes de la revista Linux Format. Didácticos paso a paso perfectamente ilustados que van desde la aplicación de efectos de texto, fuego o realzados 3D hasta técnicas para mejorar la impresión en color.
• GNU Linux Advanced Administration. 545 páginas gratuitas en formato PDF que engloban desde una configuración básica, hasta configuración de clusters.

Los programas del servicio de rtve “a la carta” dejan de estar visibles en su web después de una semana aunque si conservamos el enlace que apunta a ellos podamos verlos a través de Internet durante mucho más tiempo. Si prefieres descargarlos a tu ordenador para verlos en local, sin conexión, en tu tele desde un disco duro multimedia, etc. puedes hacer lo siguiente

Los videos en el servicio de “a la carta” tienen un identificador numérico visible en la URL (la dirección de tu navegador) cuando haces click en ellos para verlos. Por ejemplo, en el vídeo que referenciaba hace un par de días sobre las secuelas de la guerra de Vietnam, la dirección que aparece en la barra de direcciones de mi navegador mientras lo veo es la que copio a continuación. El identificador del vídeo aparece en negritas:

http://www.rtve.es/alacarta/todos/temas/informativos.html?page=5#693589

Con ese identificador “componemos” la siguiente dirección, la copiamos en la barra de direcciones del navegador y pulsamos Intro:

http://www.rtve.es/alacarta/player/693589.xml

El navegador nos mostrará una única línea de texto sin formato similar a la siguiente en el la que se nos revelará la ubicación real del vídeo (marcado en negrillas):

En portada. Vietnam, la guerra inacabada... ALACARTA ...akamai
rtmp://stream.rtve.es/stream/resources/alacarta/flv/4/4/1266188806444.flv
/resources/jpg/9/8/1266188795689.jpg... INFO ...


El vídeo que nos interesa está en la siguiente dirección:

http://www.rtve.es/resources/alacarta/flv/4/4/1266188806444.flv

Para descargárnoslo desde Linux podemos, por ejemplo, usar wget o, en la mayoría de los casos, símplemente copiando de nuevo la línea en la barra de direcciones del navegador y pulsando Intro.

El formato del vídeo es flash (flv). Para convertirlo a mpeg, avi, o algún otro formato más usual en reproductores caseros podemos usar, por ejemplo, ffmpeg.

Si hay un hecho histórico que marca el descenso a los infiernos de los Estados Unidos ese es, sin duda, la guerra de Vietnam. Un conflicto justificado sólamente por sus eternas paranoias para detener la expansión de las ideas comunistas y del que, aun hoy, se sufren las consecuencias debido sobre todo a la utilización del llamado agente naranja, un herbicida contaminado con productos cancerígenos que provoca terribles malformaciones a los descendientes (hasta la cuarta generación, por el momento) de quienes estuvieron expuestos y cuyos efectos siguen activos debido a la alta contaminación provocada en cauces de agua y tierras de cultivo. El documental retransmitido hace unos días en el programa En Portada (que puede recuperarse gracias al excelente servicio a la carta de rtve) hace un amplio y terrible resumen de la situación que allí se vive:

Sorprende especialmente la falta de responsabilidad mostrada por los estadounidenses hacía una situación de la que son los únicos responsables: Obama promete 100 millones de dolares de ayuda a Haiti y su país se gasta 20 millones de dólares al año en tratar de recuperar los restos de los militares fallecidos en Vietnam, pero sólo ha compensado económicamente a los vietnamitas con 6 millones de dólares (3 en 2007 y otros tantos en el 2009) y sus tribunales niegan continuamente la responsabilidad de las empresas químicas que fabricaron el agente naranja.

Y luego aún se preguntan que por qué no nos gustan los yankees…

En las páginas de kde.org no hay aún ningún anuncio oficial, pero después de la actualización de ayer domingo la versión de kde aparece ya como 4.4.00 y no como 4.3.9x, así que imagino que se acabaron las “release candidates” y ya tenemos una versión final.

El que quiera probarla desde Fedora y aún no se haya atrevido, puede echarle un vistazo a esto.

ACTUALIZACIÓN: kde.org ya ha hecho el anuncio con un resumen de las novedades de esta versión.

No es uno de los mejores temas del Barón, pero si uno de los más divertidos… Y que queréis que os diga, yo lo recuerdo con mucho cariño:

Ya, ya, no es ni siquiera de ayer pero… ¿Qué esperabais encontrar por aquí? Si buscáis cosas alternativas tenéis que pasar por lo nuevo de kade. Y si no sabéis lo que buscáis… pues hoy es lunes. Lo mismo hasta tenéis suerte y todo

Attached Media: audio/mpeg (10 36 ko)

La dama y la muerte es un excelente corto nominado este año tanto en los Goya como en los Oscar como el mejor corto de animación. Pixar no está nominada este año en la categoría y eso da posibilidades, pero tenemos una nueva entrega de “Wallace and Gromit”, así que ya veremos… Ojalá que al final los granadinos puedan subirse al estrado ¿Aún no lo has visto? Puedes hacerlo desde youtube o, con mejor calidad, en su propia web.

Hace ya muchos años que uso Thunderbird como cliente de correo electrónico y Google Calendar como gestor de citas y eventos, pero como muchos de los que hemos echado los dientes con el Outlook siempre he echado de menos un calendario integrado en el cliente de correo electrónico y ni Evolution ni Kmail despiertan mis simpatías. Además, el recordatorio gratuito por SMS de Google Calendar es, hoy por hoy, insustituible. Ahora podemos tener lo mejor de ambos mundos gracias a dos extensiones disponibles para thunderbird: Lightning y Provider for Google Calendar.

Una vez instaladas ambas Lightning proporciona un calendario integrado perfectamente con Thunderbird y Provider for Google Calendar la sincronización con uno o varios calendarios creados previamente en Google Calendar. Partiendo de que ya has instalado ambas extensiones y tienes ese (o esos) calendario creado en el sistema de Google, configurar la sincronización entre ambos es tan sencillo como seguir estos pasos:

1. Una vez instalado lightning tendremos disponibles dos pequeños iconos en la parte superior derecha de nuestro thunderbird y bajo la caja de filtros de búsquedas. Pulsamos el primero de ellos para entrar en la vista de calendario y esta se nos abrirá en otra solapa. El atajo de teclado es Ctrl+May+C y la opción de menú se encuentra bajo el nuevo item etiquetado como “Events and Tasks”.

2. Ya dentro de la vista de calendario, creamos uno nuevo pulsando con el botón derecho del ratón sobre el panel izquierdo y eligiendo la opción de “New Calendar”.

3. A continuación se nos abre una sencilla ventana de diálogo en la que debemos de elegir si el nuevo calendario que queremos crear se almacenará en local o estará ubicado en la red. Elegimos la segunda opción y pulsamos Intro.

4. En el siguiente diálogo se nos pedirá la ubicación en la red de dicho calendario, así que necesitamos que google calendar nos proporcione esos datos. Lo abrimos, elegimos el calendario que queremos sincronizar con Lightning y, pulsando sobre el pequeño icono a su derecha, escogemos la opción de “Configuración de Calendario”.

5. Ya en la página de “Configuración del calendario”, nos vamos al apartado de dirección de calendario y pulsando con el botón derecho sobre el botón de XML elegimos la opción de “Copiar dirección de enlace”.

6. Volvemos a thunderbird-lightning y en el diálogo siguiente elegimos el formato de Google Calendar y en la caja de Localización copiamos la dirección que hemos obtenido en Google Calendar. Al pulsar siguiente, y si es el primer calendario que sincronizamos, se nos pedirá usuario y contraseña para validar la conexión con los servicios de Google.

7. Y ya casi estamos. Finalmente elegimos un nombre y un color distintivo para los eventos de nuestro calendario (muy útil si, como yo, separas los eventos por categorías en diferentes calendarios) y pulsamos el botón de Siguiente.

El resultado final, una vez repetida la operación con todos nuestros calendarios, debería de mostrarnos algo así:

La sincronización desde ambos extremos es perfecta e, incluso, tareas como la configuración de avisos por SMS procedentes de Google se pueden realizar perfectamante desde el propio Thunderbird:

Mi servicio de hosting me proporciona casi 1000 Gbytes de espacio en disco (750 de base más algunos extras por referencias) de los que estoy usando unos 800 Mbytes y cerca de 120 GBytes de transferencia diaria de la que apenas aprovecho un par ¿Por qué no usar estos recursos extra para hacer backups incrementales de mis datos locales? Yo uso para este fin un sencillo script que usa rdiff-backup el cual me permite conexión con una máquina remota a través de ssh, pero no de ftp. Y mi hosting no me da conexión por ssh. Una solución sencilla a esto podría ser montar mi servidor ftp sobre un directorio local usando FUSE y, a partir de ahí, usar mi script de la forma habitual.

Para seguir esta chuletilla necesitas tener instalado curlftpfs, una utilidad que permite el uso de curl sobre FUSE disponible entre los paquetes estables tanto de Fedora como de Ubuntu y de Debian. Una vez instalado, sólo debes de ejecutar lo siguiente con privilegios de root:

# curlftpfs -o allow_other ftp://user:pass@ftp.server.com /mnt/ftp

Donde user y pass son los datos de tu cuenta de ftp, ftp.server.com el nombre de tu servidor ftp y /mnt/ftp el directorio local donde quieres montarlo. Fácil ¿verdad? Bueno, vamos a mejorarlo un poco…

Si queremos que el montaje se realice de forma más cómoda, sólo tenemos que incluir esta línea en nuestro fichero /etc/fstab:

curlftpfs#user:pass@ftp.server.com /mnt/ftp fuse allow_other,rw,user,noauto 0 0

El directorio no se montará de forma automática en el arranque del sistema como el resto de las unidades (gracias al parámetro noauto) pero a partir de ahora montarlo y desmontarlo será tan fácil como ejecutar mount /mnt/ftp o umount /mnt/ftp respectivamente.

Por último, si nos preocupa que el usuario y la contraseña de nuestra cuenta de ftp sea visible dentro de un archivo legible por todos los usuarios del sistema (o, también, visualizando la lista de procesos en ejecución) podemos guardar estos datos en un fichero llamado .netrc dentro del directorio del usuario root. El formato del fichero sería este:

machine ftp.server.com
login user
password pass

Y ahora la línea en nuestro fichero fstab quedaría así

curlftpfs#ftp.server.com /mnt/ftp fuse allow_other,rw,user,noauto 0 0

Dos apuntes finales. Recuerda que tus datos viajarán en claro a través de la red, así que si guardas información especialmente sensible procura cifrarla antes y trata de usar en todo momento la línea de comandos para acceder a esta nueva unidad. La utilidades gráficas no son eficientes para este tipo de accesos.

Como veis, muchos clásicos este mes y un sólo estreno: Celda 211 (2009), una película que, como otras en los últimos años, rompe con lo que encontramos habitualmente en el cine español y presenta un producto que casi parece traído de Hollywood. El clima creciente de tensión durante toda la película está muy bien logrado y Luis Tosar y Carlos Bardem se meten tan bien en sus personajes que a mi me daría pánico encontrármelos mañana en un callejón poco iluminado. Lo peor, a mi juicio, lo poco creíble que resulta la transformación de Juan (Alberto Ammann). Los girasoles ciegos (2008) ha sido, aparte de la anterior, lo único español que he visto durante el mes y, muy a pesar de sus actores, es bastante floja. No está mal para pasar un rato pero es perfectamente prescindible.

¡Olvídate de mi! (Eternal Sunshine of the Spotless Mind, 2007) y La última noche (25th hour, 2002) son dos películas que no vi en su momento y que he disfrutado una barbaridad. Sobre todo la primera que es una verdadera obra maestra y que, debido a mis prejuicios contra el señor Carrey y sus detestables gestitos me he negado a ver hasta el momento. Craso error.

Lo peor del mes ha sido Paycheck (2003), uno de esos bodrios infumables a los que Ben Affleck ( nominado este año como peor actor de la década en los premios Razzie) nos tiene tan acostumbrados y Tykho Moon (1996), la segunda película como director de mi admirado dibujante de cómics Enki Bilal. La película deja patentes exactamente las mismas obsesiones que Bilal plasma en las historias que tan bien dibuja, pero está tan mal resuelta en la pantalla y el ritmo es tan irregular que, al menos a mi, me queda claro que para él existe un abismo insalvable entre ambos medios. Zapatero a tus zapatos, vaya.

Revolutionary road (2008) se deja ver pero me esperaba más. Love Actually (2003), sin embargo, es tal y como me la imaginaba: simplona, falsa y demasiado empalagosa para mis gustos.

En cuanto a los clásicos, Charlie Chaplin no ha sido capaz de arrancarme jamás ni media sonrisa, pero tengo claro que es problema mío y viendo algunas escenas de La quimera del oro (1927) no cabe más que reconocer su maestría. Cantando bajo la lluvia (1952), sin embargo, es una película que siempre consigue cambiarme el estado de ánimo. “Make ‘Em Laugh”, “Good Morning” o el número que le da nombre a la película están ya tan metidos dentro de nuestra cabeza que es imposible dejar de tararearlas y mover los pies apenas después de escuchar las primeras notas. Y que decir de Lo que el viento se llevó (1939)… Posiblemente Scarlett sea uno de los primeros precedentes de esos personajes odiosos y detestables pero que, sin razón aparente, nos cautivan y nos hacen tenerles simpatía.

De entre los muertos (Vertigo, 1958) y La ventana indiscreta (1954) cierran la lista del mes. Los personajes de muchas de las películas de Hitchcock resultan ahora en exceso inocentes pero, aún así, siempre merecerá la pena volver a verlas.

• Servicios disponibles en el arranque de Fedora/RedHat/CenOS. Una buena guía para saber que es lo que hacen los diferentes servicios en el arranque de nuestras máquinas y cuales son prescindibles. Orientado a Fedora/Red Hat y derivadas pero con muchas cosas extrapolables a otras distribuciones.
• Gordon: flash sin flash. Proyecto que pretende reproducir archivos flash mediante javascript, es decir, usando tecnología que incluyen todos los navegadores y prescindir así del plugin de Adobe.
• Puredyne. Nueva distribución basada en Ubuntu y especializada en la edición de audio y vídeo en tiempo real.
• Chromium OS Zero. Clónico del sistema operativo de Google para netbooks con importantes mejoras: elimina ciertas restricciones de hardaware, permite el soporte de extensiones, etc.
• Skype 2.1 beta para Linux. Nueva beta de Skype para sistemas Linux con una mayor integración con el escritorio (soporta los temas de KDE4), mejoras en el soporte de PulseAudio, posibilidad de compartir el escritorio con tu interlocutor, etc.
• MariaDB 5.1. Disponible para descargas la primera Release Candidate del esperado fork de MySQL.
• 3outube.com. Cambia la ‘y’ por un ‘3′ en la URL de cualquier video de youtube, pulsa intro y elige si lo quieres en formato flv o mp4. La forma más fácil de descargarte un vídeo de youtube.

• 500 gr. de soja verde
• 1 pimiento verde.
• 1/2 pimiento rojo
• 1 cebolla.
• 1 zanahoria
• 2 dientes de ajo.
• 125 ml. de tomate frito.
• 1 chorizo.
• 1 morcilla
• sal y pimienta negra molida.
• aceite de oliva.

Si sabes hacer unas lentejas casi que no tienes que seguir leyendo esto: un potaje de soja verde se hace casi igual con la importante salvedad de que, si no la has tenido en remojo, la soja requiere mucho más agua durante la cocción que sus otras primas y tienes que echar más agua en el guiso o estar pendiente de añadirla durante la cocción si no quieres que se te quemen o resequen en exceso.

Picamos a nuestro gusto la cebolla, el pimiento y los dientes de ajo y lo sofreímos en la misma olla donde vamos a hacer el guiso. Luego añadimos el tomate frito, le damos un par de vueltas y a continuación incluimos también la soja, la zanahoria cortada en rodajas finitas el chorizo y la morcilla. Cubrimos de agua, añadimos sal y la pimienta molida y dejamos cocer vigilando que no falte agua. Si hemos tenido la soja en remoja durante 12 o 20 horas antes del guiso bastaran con 20 minutos de cocción a olla abierta y fuego medio-bajo. En este caso conviene que ablandemos previamente la zanahoria metiéndola en el microondas con un poquito de agua durante unos minutos. Si no hemos tenido la soja en remojo el guiso tardará alrededor de una hora y la zanahoria tendrá tiempo de guisarse correctamente así que la añadiremos cruda.

No abuses con el chorizo y la morcilla: la soja es, de por si, una legumbre muy, muy grasa y eso se nota mucho. De hecho se puede prescindir totalmente de la carne y seguro que está igualmente rico.

Apropiada ¿verdad? Y para los que prefieran algo más a la moda:

Attached Media: audio/mpeg (3 967 ko)

audio/mpeg (4 438 ko)

Durante las navidades he estado probando de nuevo alternativas para mi netbook (UNR 9.10, Fedora Moblin, etc.) pero al final he vuelto a Jolicloud y, sinceramente, a pesar de sus carencias y defectos (que los tiene) no creo que haya ahora mismo en el mercado nada que pueda hacerle la competencia. Desde hace un mes, además, abandonaron la fase alpha para la que eran precisas invitaciones y están en un periodo que llaman de pre-beta y ya permiten la descarga de forma libre. Mantienen el instalador a traves de una memoria USB del que hablamos por aquí hace ya unos meses y añaden uno nuevo al que llaman Jolicloud Express y que parece ser un derivado de Wubi que, al igual que este, permite realizar la instalación directamente desde Windows creando un doble arranque para ambos sistemas. Una opción muy inteligente para llegar al gran público ahora que parece que hemos vuelto a lo de siempre y ya prácticamente nadie ofrece netbooks con Linux preinstalado salvo a través de Internet y en contadas ocasiones.

Hay pocas novedades que puedan apreciarse a simple vista en esta nueva versión respecto a la anterior alpha aunque en su blog prometen haber mejorado el rendimiento para el chipset GMA500 que es el que traen de serie más del 95% de los netbooks actualmente en el mercado. Lo que si ha seguido creciendo es la oferta de aplicaciones de su particular App Store que ahora incluye cosas como DimDim, Boxee o Quake Live y que tenemos disponibles tras un sólo click y haciendo del todo transparente al usuario si se trata de una aplicación de escritorio convencional o una “en la nube” que se instala mediante Prism y, en ocasiones, algún plugin especial para Firefox.

Pero ¿cuáles son sus puntos débiles? Por un lado esconder lo que para mi es una de sus grandes ventajas: ser un híbrido perfecto entre el concepto en el que se basa Google Chrome OS, (un sistema basado en exclusiva en la ejecución de programas en Internet a través de un navegador) y un Linux convencional con un gran soporte para netbooks. Aunque por debajo tenemos una Ubuntu Jaunty plenamente funcional el icono de synaptic no aparece en el menú de administración (aunque esta aplicación viene instalada por defecto) y, quién no esté familiarizado con Linux, verá limitadas las aplicaciones que puede instalar y usar a las disponibles en la App Store de Jolicloud mientras que tiene a su alcance, aunque “ocultas”, las centenares de otras muchas del repositorio de Ubuntu Jaunty. Imagino, claro, que en el fondo es de esto de lo que se trata, claro, pero no me parece “jugar limpio” con el usuario.

La posibilidad de conmutar a un escritorio convencional tampoco viene disponible “de serie” y eso que puede arreglarse rápidamente con sólo instalar la aplicación desktop-switcher a través de apt-get en la línea de comandos o del ya mencionado synaptic.

Y por último, otra cosa que no acabo de ver clara es ese tímido intento de darle funcionalidades de red social permitiéndote añadir contactos que usan esta distribución y que lo único que te permite compartir con ellos (al menos por el momento) son las aplicaciones que cada uno instala en su equipo. Pobre competencia en el sofisticado mundo de las redes sociales del momento, la verdad. Imagino que en un futuro añadirán algo más pero ¿Merece la pena?¿No sería mejor una aplicación que centralizara la información de otras redes como hace Moblin?