EDITORIAL

Nos sentimos orgullosos de nuestros

ESA orígenes como publicación, que se

remonta a los primeros días de la
revolución Linux. Nuestra revista
hermana, la publicación alemana
Linux Magazine, fundada en 1994, fue

QUIMERA
la primera revista dedicada a Linux en
Europa. Desde aquellas tempranas
fechas hasta hoy, nuestra red y
experiencia han crecido y se han
expandido a la par que la comunidad
Linux a lo ancho y largo del mundo.
Como lector de Linux Magazine, te
hí va una bonita historia: Habí- mencionamos antes. Todo unes a una red de información

A ase una vez un inventor, un

inventor tan grande y famoso,
que, durante generaciones, se le adoró
como el arquetipo de inventor de éxito,
un ejemplo de inteligencia, perseveran-
cia y capacidad gestora. Fundó un empo-
rio donde ideas nuevas surgían como
bombillas de cómic de su enorme (en
más de un sentido) cabeza. Inventó
muchos aparatos fenomenales, mejoró
otros y “tomó prestado” algunos más.
Thomas Alva Edison, porque de Edison
hablamos, fue sin duda uno de esos hom-
bres capaces de modificar él solito la tra-
yectoria de la historia y lo hizo a través
de la innovación tecnológica (o debería
de decir “INNOVACIÓN tecnológica”, así
con mayúsculas, para no confundirlo con
ese sucedáneo de concepto/muletilla que
tanto prostituyen los políticos en sus dis-
cursos triunfalistas). Emprendedor y
visionario más allá de cualquier Gates,
Jobs o Ellison, fue pionero en la aplica-
ción de I+D+I como modelo de nego-
cio.
Sin embargo, también fue empresario
despiadado y un control freak de las
ideas, fuesen suyas o de otros. Ya que,
por ejemplo, la bombilla eléctrica, cabe
recordar, no fue invento suyo, sino que
hasta 22 inventores llegaron a crear ver-
siones del cacharro con anterioridad,
empezando por Sir Humphry Davy, que
produjo la primera lámpara incandes-
cente en el año 1800 – ochenta años
antes de que Edison lo reinventara… y
patentara. No hay nada de malo en ello:
para que haya progreso, hay que poder
utilizar los inventos de otros. De hecho,
Graham Bell tampoco inventó el telé-
fono, ni Louis Pasteur descubrió la
vacuna contra la rabia. El libre trasiego
de ideas ha alimentado el desarrollo
desde los inicios de la civilización.
Pero hete que aquí, en su enfermiza
obsesión por el control, es donde se ini-
cia la verdadera “bonita” historia que
comienza en 1895…
El ambicioso y brillante Edi-
son inven… borra eso…
dedicada a la distribución del
conocimiento y experiencia técnica.
No nos limitamos a informar sobre el
movimiento Linux y de Software Libre,
_coge prestada_ la idea del sino que somos parte integral de él.
kinetografo o, tal y como se le
conoce hoy en día, la cámara de cine. A
pesar de que no fue el artífice original
(todo el mundo conoce la historia de los
hermanos Lumiere ¿no? – aunque tam-
poco fueron ellos los que inventaron la
cámara de cine, pero esa es otra historia),
Edison inmediatamente patentó y, a dife-
rencia de los hermanos de Lyon, sí vio el
potencial filón de las imágenes en movi-
miento (nadie dice que era estúpido).
Rápidamente se alió (léase “chantajeó”)
a empresas que vislumbraban el mismo
filón que él para formar una suerte de
alianza de oligarcas que ejerciesen un
férreo control sobre la industria.
El grupo se llamó la Motions Picture
Patents Company y se dedicó a, aparte
de producir y distribuir películas, a per-
seguir inmisericordemente a los denomi-
nados independientes, productoras que
se atrevieran a crear cine sin antes pasar
por caja. A todos los efectos, Edison y
sus lacayos se convirtieron, sin ser los
primeros ni, por desgracia, los últimos,
en patent trolls de libro.
Pero las restricciones combinan mal
con la creatividad y muchos indepen-
dientes decidieron migrar al oeste, a la
soleada California, donde un clima
excepcional y la lejanía de las garras
extorsionadoras de Edison & Co. hacía
más llevadero y rentable el convertir
movimiento en arte. Exacto: los abuelos
de Paramount, Fox, United Artists y
Metro Goldwyn Mayer, principales accio-
nistas de la RIAA (la SGAE made in USA)
hoy, esquivaron en su día la imposición
del canon de su época.
Mas, volvamos con Edison y su cama-
rilla de litigantes compadres. Tan con-
centrada estaba la MPPC en la protec-
ción de su propiedad intelectual, indus-
trial, de ideas o como quiera llamarse,
que se olvidó de que el invento era un
medio a un fin y no el fin en sí mismo.
Fatal error: un par de malas estrategias
comerciales, juicios antitrust y aplicacio-
nes de la ley Sherman más tarde, el con-
sorcio de abusones fue obligado a des-
membrarse, dañando de paso casi irre-
versiblemente la industria del cine en la
costa este de los Estados Unidos.
Resumiendo, la actitud depredadora
sobre las ideas que mantenía la MPPC no
sólo no trajo beneficios duraderos para
sus miembros, sino que se llevó por
delante en su derrumbe (al menos en la
zona geográfica sobre la que tenía
influencia) una industria que podría
haber generado riqueza para miles de
americanos, tal y como lo hace en Holly-
wod hoy en día.
A pesar de los enormes logros de Edi-
son, su mala cabeza en este asunto
queda como testimonio de que la protec-
ción para la explotación exclusivista de
las ideas para unos pocos no repercute
directamente en el beneficio de la socie-
dad. Es más, la posibilidad de que llegue
a repercutir positivamente de manera
indirecta alguna vez es también alta-
mente improbable y el exceso de celo
puede hasta ser nocivo para los mismos
guardianes del ingenio.
Aplíquese la moraleja directamente allí
donde proceda. ■
Paul C. Brown
Director

WWW.LINUX- MAGAZINE.ES Número 45 3

DVD LINUX MAGAZINE
… Y en el DVD de Linux Magazine
FEDORA 10 :
32 Y 64 BITS
F
edora, heredera de la versión gra-
tuita de Red Hat Linux, se ha con-
vertido a lo largo de los años en
una de las más sólidas y recomendables
distribuciones de entre las mayoritarias.
En este número de Linux Magazine trae-
mos lo último de la comunidad Fedora:
Fedora 10 Cambridge.
Novedades
El proceso de instalación es completa-
mente gráfica, pudiéndose escoger los
valores predeterminados que sugiere
Fedora en el caso de una instalación sobre
un equipo virgen. Durante el proceso
existe la opción de añadir repositorios a
los que vienen por defecto, por lo que
inmediatamente podemos aprovecharnos
del gran número de paquetes disponibles
en Internet, aparte de los incluidos en el
DVD. Ver el cuadro Más Cosas para tu
Fedora para más información.
Fedora viene con Plymouth, un nuevo
sistema de arranque gráfico. Es más atrac-
tivo y esconde los mensajes del arranque
(en caso de ser necesario, podemos seguir
Figura 1: Pantalla de inicio de la instalación. Para más opciones se
pulsa F1, F2 ó F3.
6 Número 45
Más Cosas para tu Fedora
Tal y como se menciona en el cuerpo del artículo, por razones legales, muchas distros no
pueden incluir software con licencias restrictivas o que infrinja patentes y, en este sen-
tido, Fedora no es una excepción.
El tipo de software que se excluye suele ser codecs de vídeo y audio (necesarios para
reproducir películas o música en formatos propietarios, como .avi o .mp3), librerías de
descifrado de DVD (necesario para ver cualquier DVD comercial moderno) y plugins pro-
pietarios (como el Flash).
Afortunadamente, la comunidad que surge alrededor de cada distro, de manera altruista
y sin ánimo de lucro, suele compensar estas carencias montando sus propios reposito-
rios, en sus propios servidores y poniendo a disposición de los demás el software fal-
tante.
En el caso de Fedora, el repositorio independiente más completo es Livna, y podemos
incluirlo directamente durante el proceso de instalación (también recomendamos mar-
car los repositorios Fedora 10 y Fedora 10 updates para poder disponer de todo el soft-
ware oficial de esta distro).
En la pantalla de Agregación de Repositorios, pulsamos en “Agregar repositorios de
software adicional”. En el diálogo introducimos, en el cuadro de texto Nombre, “Livna”,
y en URL del Repositorio, http://livna-dl.reloumirrors.net/fedora/10/i386/ si nuestro sis-
tema es de 32 bits, o http://livna-dl.reloumirrors.net/fedora/10/x86_64/, si es de 64 bits.
También podemos incluir estos repositorios utilizando los rpms que proporciona Livna y
que automatizan completamente el proceso. Nos bajamos los ficheros rpm de [2] y,
como root, hacemos:
# rpm -i livna-release-10.rpm
(Puede que el nombre del fichero rpm cambie según el sistema que se esté ejecutando).
Inmediatamente dispondremos del repositorio configurado en nuestro sistema.
Figura 2: Durante la instalación podremos añadir nuevos repositorios
a los existentes.
WWW.LINUX- MAGAZINE.ES

el proceso a través de los mensajes si pul-
samos Esc), que también es ahora más
rápido gracias a la tecnología Readahead:
con Readahead se leen todos los búfers de
disco de antemano, lo que acorta de
manera sustancial el tiempo de arranque.
El escritorio predeterminado es Gnome
2.24, pero si deseamos podemos escoger
KDE 4.1.2, escritorio éste que trae la nueva
versión de Plasma que incluye mejoras de
estabilidad y más funcionalidades.
En el apartado de software para produc-
tividad tenemos disponible el nuevo GIMP,
versión 2.6, con sus cambios en interfaz y
soporte de espacios de color. OpenOffice
Figura 3: El escritorio predeterminado es Gnome 2.24, que es sencillo
y funcional…
3.0 y Firefox 3 se instalan de manera pre-
determinada. El sistema de mensajería ins-
tantánea de serie es ahora Empathy, aun-
que se sigue incluyendo Pidgin para garan-
tizar la compatibilidad hacia atrás.
El sistema ofrece un mejor soporte para
Webcams, habiéndose mejorado el driver
UVC, introducido por primera vez en
Fedora 9. Con ello se consigue que se reco-
nozca sin problemas un mayor número de
cámaras, entre ellas todas las que lleven el
logotipo de compatibilidad con Windows
Vista.
El sistema de seguridad de Fedora es
SELinux, que presenta numerosas mejo-
Figura 4: … Aunque también podremos escoger el espectacular KDE
4.1.
WWW.LINUX- MAGAZINE.ES
DVD LINUX MAGAZINE
ras, permitiendo una configuración de los
permisos más granular.
Multimedia
Entre los reproductores de medios
encontramos los sospechosos habi-
tuales: Totem, RhythmBox, K3B,
etc. en sus últimas versiones. Hay
que notar que no se incluyen de
manera predeterminada ni codecs
ni plugins sujetos a licencias res-
trictivas o que puedan violar
patentes de terceros. Sin
embargo, Fedora 10 incluye
Packagekit, que se activa cuando
un usuario intenta reproducir un
medio que requiera software no
soportado inicialmente. Con un par
de clics, el usuario puede instalar los
ficheros necesarios y disfrutar inmediata-
mente de sus películas y música. Ver cua-
dro Más Cosas para tu Fedora para apren-
der cómo añadir los repositorios requeri-
dos.
Con todo, Fedora es una distro profesio-
nal, completa y muy agradable de utilizar,
tanto en el entorno profesional como en el
doméstico. Su hincapié en la seguridad y
estabilidad lo hacen especialmente indi-
cado para entornos corporativos.
¡Pruébala! ■
RECURSOS
[1] Página principal del proyecto Fedora:
http://fedoraproject.org/
[2] Página de inicio del proyecto de repo-
sitorios Livna: http://rpm.livna.org/
rlowiki/
Número 45 7
INSEGURIDADES
Protegiendo nuestro sitio y a nuestros clientes
SEGURIDAD WEB
Aprendemos más sobre cómo proteger nuestro sitio web con NoScript, ModSecurity y Site Security Police.
POR KURT SEIFRIED
A
l igual que muchas otras áreas
relacionadas con la seguridad, la
World Wide Web presenta dos
tipos de problemas muy diferentes con
soluciones muy distintas. De una parte,
la mayoría de nosotros usa un navegador
web de manera habitual y deseamos evi-
tar que nuestros clientes web ejecuten
código de un atacante que le permita
hacerse con el control de nuestra
máquina. Por otra parte están los servi-
dores web, a los que no deseamos que se
vean comprometidos por ataques cons-
tantes (XSS, inyección SQL, etc.). Así
que ¿Cuál es la respuesta? Pues bien no
existe una única respuesta. Necesitamos
seguir una serie de pasos para proteger
tanto a los clientes como a los servido-
res, ya que no importa lo escrupuloso
8 Número 4
45
que seamos de la seguridad, pues siem-
pre interactuaremos con servidores y
clientes menos seguros.
JavaScript y NoScript
Para el navegador web Firefox, más de
196 avisos de seguridad, 62 listaban des-
habilitar JavaScript como una solución
provisional. Adicionalmente, las vulne-
rabilidades basadas en JavaScript tien-
den a ser unas de las que permiten la
ejecución de código arbitrario, de modo
que cualquier medida preventiva de
seguridad que tenga relaciones con ellas
tendrán un efecto significativo.
La seguridad de los clientes web con-
tra ataques es relativamente simple; sin
embargo, algunos sitios web no funcio-
nan adecuadamente. Deshabilitar Java-
WWW.LINUX- MAGAZINE.ES
script por completo es una opción, aun-
que muchos sitios utilizan JavaScript
para presentar contenidos, formularios,
etc.
Un método más grnaular se encuentra
disponible con el plugin NoScript de
Firefox [1]. La opción por defecto es blo-
quear la ejecución de JavaScript, y
entonces podemos elegir si permitir que
JavaScript se ejecute temporalmente o
bien permanentemente. O podemos
marcar un sitio permanentemente como
de poca confianza para evitar cualquier
JavaScript que se esté ejecutando desde
aquel sitio (Figura 1).
El inconveniente principal de este
plugin es que necesitamos prestar aten-
ción a la barra de información que apa-
rece en la parte inferior de la pantalla
cuando está bloqueado JavaScript
(Figura 2) y decidir si permitirlo o no. Si
no lo permitimos, nos encontraremos,
como me pasa a mí, mirando fijamente
un sitio web preguntándonos por qué
está en su mayor parte blanco, o por
qué un formulario online no funciona
correctamente.
Adicionalmente, NoScript posee pro-
tección contra el scripting multi-sitio
básico: URLs con caracteres como “>”
en ellos generan un aviso y darán al
usuario la posibilidad de bloquear su
carga.
Asegurando el Servidor
Como administrador de servidores no
puedes forzar a tus clientes a asegurarse,
pero puedes proteger tu propio servidor
y aplicaciones basadas en web de ata-
ques. Protegiendo el servidor también
puedes evitar los clientes rotos o usua-
rios que hayan visitado sitios hostiles de
acciones de ataque que pudieran dañar
sus cuentas o de datos alojados en nues-
tro sitio, saboteando por ejemplo, un
ataque de scripting multisitio que inter-
actúa con la cuenta del usuario para
cambiar la contraseña de su cuenta en
nuestro sitio.

Figura 1: NoScript bloquea a JavaScript de manera soporta también pueden pro- Figura 2: Una barra de información en la parte infe-
predeterminada y podemos seleccionar de una lista vocar gran variedad de accio- rior de la pantalla dice que JavaScript estaba blo-
de opciones lo que queremos ejecutar.
Apache ModSecurity
Al igual que muchos proyectos de seguri-
dad, ModSecurity comenzó como un
proyecto de código abierto, licenciado
bajo GPL v2, cuyo objetivo era añadir
una capa de seguridad al servidor web
de Apache [2]. El proyecto parece haber
sido comercializado con éxito; sin
embargo, como muchas aplicaciones de
seguridad de código abierto, las versio-
nes libres aún se encuentran disponibles.
El beneficio principal de ModSecurity
es que podemos usarlo para proporcio-
nar seguridad a cualquier aplicación que
esté ejecutándose en nuestro sistema. La
la otra cara de la moneda es que debe-
mos poder insertar un módulo a medida
en Apache, lo que significa que hemos
de tener el control sobre el servidor, y
tener bastante potencia de CPU para
manejar el procesamiento adicional
requerido por este módulo, lo cual puede
ser importante. El módulo ModSecurity
permite peticiones al servidor para que
Regla de Ejemplo
Un ejemplo simplista para detectar y
bloquear cualquier número de 12 dígi-
tos en páginas web salientes:
SecRule RESPONSE_BODY U
“[0-9]{12}” \ U
“phase:4,t:none,ctl:auditLogPa
rtsU
=+E,deny,log,auditlog,U
status:500,msg:U
‘a 12 digit number’U
,id:’1’,tag:U
‘LEAKAGE/ERRORS’,severity:’1’”
INSEGURIDADES
sean examinadas en varios
estados del proceso: cuando
el encabezamiento de la peti-
ción se procesa primero,
cuando el cuerpo de la peti-
ción se procesa, cuando los
encabezamientos de la res-
puesta se crean, cuando el
cuerpo de la respuesta se pro-
cesa y en la fase de logging.
Otra ventaja de ModSecu-
rity es que soporta Perl-Com-
patible Regular Expressions
(PCRE), y las reglas que
nes, incluyendo el bloqueo de queado.
una petición o permitiéndola,
dejando caer la conexión enviando un web, tales como Squid, que protejan a
paquete FIN, o ejecutando un programa todos los clientes web que se encuentran
externo. Por ejemplo, esto permite a los detrás de ellos de acciones potencial-
administradores del sitio filtrar caracteres mente inseguras en sitios que eligen
como “<” y “>” de las peticiones (un soportar el estándar Site Security Policy.
probable indicador de un ataque scripting
multisitio) o buscar información personal Conclusión
como cadenas de números de tarjetas de La seguridad web no tiene una única
12 dígitos entre las peticiones salientes solución. No importa lo duro que preten-
(por ejemplo, provocado por un ataque damos ser, los chicos malos o ejecutarán
de inyección SQL) y bloquear los datos servidores web hostiles o compromete-
que están siendo servidos al atacante. rán otros servidores web. En el lado
Véase el cuadro “Regla de Ejemplo”. cliente, las cosas son básicamente un
Como podemos imaginar, toda esta desastre. Si ejecutas Linux, sin embargo,
potencia y flexibilidad conlleva un coste las posibilidades son bastantes bajas de
de complejidad; sin embargo, esto se ha que te conviertas en un blanco y es bas-
aliviado porque un potente juego de tante probable que mantendrás tu soft-
reglas predeterminadas se han hecho ware actualizado, porque casi todas las
disponibles para que sean libres (licen- distribuciones actualizan automática-
ciadas bajo la GPL v2), el cual puede mente por defecto, lo que te da ventaja
usarse como punto de entrada para la en el juego del ratón y el gato.
mayoría de los sitios. Tapando los agujeros cuando son iden-
tificados y aplicando medidas de seguri-
Site Security Policy dad adicionales, como NoScript y Mod-
Site Security Policy es un interesante Security, podemos mejorar las posibili-
método que aún se encuentra en estado dades de tener servidores y clientes
de desarrollo [3]. La idea es que un ser- “saludables”.
vidor web aloja un fichero que especifica A la larga, esto reduce el tiempo y la
cómo debería interactuar un cliente con energía que debemos gastar en limpiezas
el servidor, previniendo, por tanto, inter- repetitivas, algo que todo el mundo
acciones inseguras tales como ataques desea, de todos modos. ■
de scripting multisitio (XSS) o ataques
de suplantación de peticiones multisitio. RECURSOS
En el lado del cliente, hay o soporte
[1] Plugin NoScript para Firefox: http://
estándar integrado para este estándar, o noscript.net/
un plugin (disponible para Firefox) que
[2] ModSecurity para Apache:http://
permite al cliente descargar y analizar el
www.modsecurity.org/
fichero de políticas antes de interactuar
[3] Site Security Policy: http://people.
con el servidor web.
mozilla.com/~bsterne/
Un efecto lateral interesante a este
site-security-policy/
método es la posibilidad de tener proxies
WWW.LINUX- MAGAZINE.ES Número 45 9
NOTICIAS DEL KERNEL

NOTICIAS DEL
KERNEL
Estado del Driver HGA resultante pueda distribuirse legalmente mucha gente tenía opiniones muy diferen-
Framebuffer bajo su licencia), pero no cree que este tipo tes, con numerosas razones que las susten-
El driver HGA Framebuffer ha dejado de de cosas deban incluirse en el kernel. Está taban. En cuanto a qué podría pasar con los
mantenerse. Roland Kletzing confirmó que trabajando en crear una rama git separada parches de David Woodhouse, yo esperaría
el mantenedor oficial, Ferenc Bakonyi, no para todos ellos. algún tipo de compromiso. La eliminación
disponía de hardware relevante desde el Esto generó unas cuantas réplicas que del firmware es algo que prefieren los puris-
año 2001. Por tanto, la entrada en MAIN- disentían de esta política. La mayor parte de tas del software libre, y además también
TAINERS estaba completamente desactuali- la gente estaba a favor de aislar el firmware sería preferible por razones prácticas y lega-
zada y Roland ha posteado un parche para en una única ubicación, pero sacarlo fuera les. En ese caso, gente como David Miller
eliminarla. ■ de la rama parecía excesivo, debido a que podría perder la batalla: esperemos que esto
esto podía generar problemas en paquetes no les cause muchos inconvenientes. ■
¿Drivers de Cosecha de firmware y otros requerimientos que
Propia? algunos no querían enfrentar. Ayuda a la Compilación
Michael Buesch ha estado diseñando y La oposición más notable a la idea de Automática del Kernel
construyendo sus propios dispositivos hard- David la ofreció David S. Miller, que ya lle- Clifford Wolf ha escrito un nuevo objetivo
ware y preguntó recientemente si debía vaba un tiempo luchando contra ella, espe- de makefile, no2modconfig. Generalmente,
suministrar los drivers para ese hardware o cialmente en el caso del driver tg3, al que cuando configuramos nuestro kernel para
si simplemente debía mantenerlos como consideraba integrante necesario de la rama compilar, toda opción en la que tecleemos N
parches independientes. La respuesta principal. David Miller comentó que si dis- no se compilará. Con no2modconfig, estos
mayoritaria fue “¡envía los drivers!”. Apa- tribuciones como Debian querían evitar los elementos se compilan en módulos. Apa-
rentemente, en tanto en cuanto Michael (u datos binarios en el kernel, era cosa de ellos rentemente, esto es útil para autogenerar
otra persona) esté dispuesto a documentar escribir y mantener los parches necesarios kernels.
cómo se puede construir el hardware, los fuera de la rama. Resultó que Sam Ravnborg tenía algunos
drivers de ese hardware serán bienvenidos David Woodhouse respondió que él ya parches que hacían lo que Clifford quería,
en el kernel. Con este tipo de iniciativas, había tomado los pasos necesarios para de manera que usaban la configuración del
pronto veremos cómo aparece una gran asegurar que, incluso sin eliminar el firm- objetivo de compilación allmod existente
variedad de drivers para hardware especí- ware, sus cambios aún serían útiles, aun- con un archivo de configuración base pre-
fico. ■ que tenía la sensación de que sería mejor determinado. En respuesta al post de Clif-
sacarlos por completo. Llegados a este ford, Sam comentó que intentaría tener lista
Eliminar Firmware de la punto, los participantes derivaron sus dis- su propia solución a corto plazo para que
Rama del Kernel cusiones a aspectos técnicos de cómo debe- pudiera revisarse. ■
David Woodhouse quiere eliminar todo el ría implementarse esta idea. Sin embargo,
firmware de terceros fuera de la rama del no estaba claro si algunas de las ideas eran Escritura bajo CramFS,
kernel. David está a favor de permitir que el sugerencias reales o sólo cavilaciones SquashFS y Otros
kernel cargue elementos arbitrarios de acerca de si sería posible en caso de que la Arnd Bergmann añadió soporte para escri-
código firmware (siempre que el binario gente lo pidiese. Lo que estaba claro era que tura a CramFS… o algo parecido. Ahora el
usuario puede modificar los archivos en un
sistema en uso, aunque éstos no se escriben
La lista de correo del kernel de Linux comprende lo principal en disco: los cambios simplemente se man-
de las actividades de desarrollo de Linux. El volumen del
tienen en memoria, y un reinicio devuelve
tráfico es inmenso, alcanzándose a menudo los diez mil
al sistema a su estado original. Phillip Lou-
mensajes semanales. Mantenerse al día de todo lo que
gher comentó que está planeando imple-
sucede en el desarrollo del kernel es casi imposible para
una sola persona. mentar este tipo de solución para SquashFS.
Generalmente, los intentos anteriores impli-
Sin embargo, Zack Brown es uno de los pocos valientes que
lo intentan, y a partir de ahora podrá leerse lo último de las
caban el uso de UnionFS para revestir la ins-
discusiones y decisiones con respecto del kernel de Linux tancia TmpFS del sistema de archivos en
llevados de la mano de este experto. cuestión. Arnd señaló que UnionFS actual-
Zack ha publicado un resumen online semanal llamado
mente no es la mejor solución y que es pre-
“The Kernel Traffic Newsletter” durante cinco años. Linux ferible codificar la funcionalidad directa-
Magazine te trae ahora la quintaesencia de las actividades mente en CramFS, en lugar del complicado
del kernel de Linux del mayor especialista en el tema. UnionFS. Phillip añadió que el soporte de

10 Número 45 WWW.LINUX- MAGAZINE.ES

NOTICIAS DEL KERNEL
sistemas de archivo apilable pertenecía en
realidad a VFS, que actualmente no lo
soporta.
Mucha gente aconsejó usar (o al menos
arreglar) UnionFS, generándose una discu-
sión técnica acerca de cómo podría hacerse.
Arnd y Phillip comentaron que les gustaría
comprometerse en caso de que UnionFS (o
AUFS) pudiesen hacer lo que se necesita sin
un esfuerzo excesivo, pero la discusión fina-
lizó sin conclusiones. Para los chicos del ker-
nel, parece claro que el soporte de pseudo-
escritura para CramFS y SquashFS (y posi-
blemente ISO 9660 también) ayudaría a los
usuarios, y las funcionalidades podrían
soportarse de una manera u otra. ■ sos requerimientos del sistema, pero los
El Rumbo de 2.4
Tras un largo paréntesis, Willy Tarreau ha
lanzado últimamente más versiones del ker-
nel 2.4 De igual manera, ha hecho algunos
esfuerzos para recoger algunas estadísticas
acerca de quién usa el kernel y por qué no
actualizan al kernel 2.6. Con sólo 22 res-
puestas, las cifras de Willy tienen un mar-
gen de error considerable, pero aún así son
interesantes. Cerca de la mitad de los
encuestados señalaron que confiaban en
2.4 para servidores de propósito general en
12 Número 45
los cuales un apagón o problemas con la
actualización podrían generar inconvenien-
tes a bastantes personas, por lo que no les
preocupaba actualizar a 2.6 y preferían man-
tener el último 2.4. Cerca del 20% de los
encuestados usaban 2.4 para servidores de
aplicaciones específicas, que suelen ser ser-
vidores “críticos”, en los cuales un apagón,
incluso para actualizar al kernel 2.4 más
reciente, podría suponer un gran problema.
Aproximadamente un 10% de las perso-
nas que respondieron usaban 2.4 para rou-
ters, cortafuegos y otras aplicaciones de
redes. En estos casos, actualizar a 2.6 podría
ser relativamente sencillo debido a los esca-
encuestados no estaban seguros de cómo
actualizar con éxito, por lo que simple-
mente se mantienen con lo que conocen.
Otro 10% usaban 2.4 en productos de
tipo sistemas embebidos. En este caso, sus-
pender los sistemas para una actualización
sería algo visible para el cliente y requeriría
cambios sustanciales en los procesos esta-
blecidos por la empresa.
El resto de los encuestados, aproximada-
mente otro 10%, ejecutaban 2.4 en sus siste-
mas personales, bien porque no querían
intentar configurar un nuevo kernel para su
WWW.LINUX- MAGAZINE.ES
hardware o bien porque estaban acostum-
brados a trabajar con su equipo tal cual
estaba y no deseaban ningún tipo de cambio.
Willy llevó a cabo su encuesta en parte
para averiguar cómo incentivar a más gente
a que actualicen desde 2.4 de manera que
esta rama pudiese desaparecer en paz. La
recomendación principal de Willy hacia el
equipo de 2.6 es que elaboren una descrip-
ción clara de las diferencias funcionales
entre 2.4 y 2.6, de modo que los usuarios no
tengan que averiguar lo que no va a funcio-
nar por su cuenta. También recomendó des-
tacar que se puede regresar a 2.4 de manera
sencilla en caso de que la actualización no
haya ido bien.
Otra razón para realizar la encuesta fue
para hacer ajustes en el esquema de lanza-
mientos del kernel 2.4 por parte de Willy. A
este respecto señaló: “efectuaré lanzamien-
tos estables un poco más a menudo para
que los usuarios obtengan los arreglos de
manera rápida, pero incrementaré progresi-
vamente el intervalo entre lanzamientos
mayores”. Continuó comentando que los
lanzamientos mayores sólo se efectuarán
con nuevas IDs de PCI, actualizaciones
importantes de drivers y soporte de compi-
lación, por ejemplo. ■
NOTICIAS

NOTICIAS
Acusaciones en Base Cero referencia a datos objetivos o fuentes En el artículo también se menciona
Pocas veces una noticia ha removido del estudio que menciona Frutos en un supuesto decremento de la crea-
a tantos portales de noticias y nave- sus declaraciones. ción de riqueza directamente en las
gantes de internet como la del estu- Todo lo anterior hace pensar que se autonomías, ya que se alega que el
dio de BSA y las polémicas declara- trata nuevamente de un informe software que no se compra no se
ciones de su presidente. encargado a consultoras “amigas” y crea, llegando a afirmar que en estas
En estas declaraciones, Luis Frutos que se basa en cifras aleatorias com- autonomías han llegado a perder 104
(presidente del Comité Español de putadas de manera interesada. Así millones de euros [5], como si el
BSA), acusa a una gran mayoría de vuelven a conseguir que los números beneficio que se genera con la venta
usuarios, mencionando expresa- justifiquen sus campañas de descré- de software propietario revirtiera en
mente a extremeños y andaluces, de dito contra el software libre. su totalidad en los habitantes de
cometer la ile- dichas comunidades.
galidad de usar La asociación Andalibre [6], la
software pirate- Asociación de Empresas de Software
ado. Y no con- Libre de Andalucía, ha denunciado
tento con acu- las declaraciones del señor Frutos
sar sin funda- con una esclarecedora nota de
mentos al 60% prensa [7] y promueve su propia
de la población campaña de “Legal y Rentable” que
andaluza y incide en la rentabilidad y la seguri-
extremeña, dad legal de informatizar una
declara que el empresa con software libre, en una
sistema opera- posición diametralmente opuesta a
tivo Linux es la de la BSA. ■
“una vía de
entrada para RECURSOS
software
[1] Declaraciones de Luis Frutos: http://
pirata” [1].
www.abcdesevilla.es/20081118/
También hace
andalucia-actualidad/
referencia a la
andalucia-comunidad-pirateria-infor
campaña que se
matica-200811181416.html
está empren-
diendo para [2] Metodologia del 2007: http://global.
que incluyan en bsa.org/idcglobalstudy2007/studies/
la polifacética methodology_globalstudy07.pdf
“educación para la ciudadanía” un Desde un punto de vista mercado- [3] Web de la BSA: http://w3.bsa.org/
tema en el que se hable de su parti- técnico, es perfectamente lógico: las espana/
cular visión de los derechos de autor. dos comunidades mencionadas en [4] Ahorro de costes en Andalucia:
En Linux Magazine nos ha sido sus declaraciones son (casualmente) http://www.softwarelibre.net/
imposible acceder a la fuente original en las que más inversión e implanta- category/andalucia
de la noticia (bien porque el estudio ción de software libre se ha realizado [5] Reducción en la creación de riqueza
no se halla disponible o bien porque en los últimos años, cosa que a una (según la BSA): http://www.
directamente no existe, no lo sabe- empresa que representa los intereses europapress.es/extremadura/
mos), sí habiendo conseguido encon- de los principales fabricantes de soft- noticia-extremadura-situa-segunda-r
trar la metodología del estudio que ware propietario no interesa dema- egion-pirateria-software-tasa-57-cien
se usó para elaborar el informe del siado. El software libre ha permitido to-bsa-20081119124239.html
año anterior, el del 2007 [2], algunas un ahorro de 180 millones de euros
[6] Web de Andalibre: http://www.
de cuyas premisas son, como poco, desde su implantación a la comuni-
andalibre.org/
bastante discutibles desde el punto dad autónoma andaluza [4], dinero
de vista estadístico. En la propia que han dejado de percibir los clien- [7] Andalibre denuncia las declara-
página web de la BSA [3] y a día de tes de la BSA. Con estos datos sobre ciones de Frutos: http://andalibre.
hoy no aparece ninguna noticia pos- la mesa se empieza a vislumbrar la org/prensa/
terior a mayo del 2008 ni ninguna razón de este ataque. 20081121-respuestaPirateriaBSA.pdf

14 Número 45 WWW.LINUX- MAGAZINE.ES

 Acceso Inteligente • PORTADA

Técnicas para gestionar la identidad de los usuarios en Linux

ACCESO
INTELIGENTE
Posiblemente la seguridad de las contraseñas no sea perfecta, pero la mayoría de las redes dependen de ella.

Este mes examinaremos algunas herramientas para una autenticación más versátil e inteligente.

POR JOE CASAD

ras años de constante innovación la integración con tecnologías propieta- y LDAP, y mostraremos cómo crear una

T de alta tecnología, la contraseña

se mantiene como una caracterís-
tica fundamental de la mayoría de las
rias. Nuestro siguiente artículo describe
cómo el servicio Windbind de Samba
permite a los clientes Linux participar en
solución de autenticación a medida en
Perl.
En el último artículo describiremos
redes. Diversas herramientas nos permi- entornos de Directorio Activo de Micro- cómo utilizar el servicio OpenID como
ten consolidarlas, cifrarlas, sanearlas y soft. un único sistema de autenticación para
sincronizarlas, pero a no ser que nuestra También revisaremos algunas opcio- múltiples cuentas web. Continúe leyendo
compañía invierta masivamente en tarje- nes para crear páginas protegidas para descubrir algunas técnicas estupen-
tas inteligentes o en cualquier otra tecno- mediante contraseña en sitios web. Vere- das para la gestión de identidades de
logía de la nueva era, tendremos que mos cómo el servidor Apache maneja la usuario en Linux. ■
ingresarla en algún sitio de tanto en autenticación, examinaremos alternati- ■
tanto. Este mes veremos algunas técni- vas para la autenticación basada en SQL
cas para permitir, asegurar y simplificar
la autenticación de usuarios en Linux.
Nuestro primer artículo examina algu-
nas herramientas para la autenticación
de usuarios con contraseñas de un solo
uso. Aprenderemos por qué muchas
organizaciones prefieren cambiar de
contraseña cada vez que se ingresa al
sistema. A continuación echaremos un
vistazo a OPIE y OTPW, un par de solu-
ciones de código abierto para autentica-
ción mediante contraseñas de un solo
uso.
Es probable que muchos usuarios de
Linux no hayan pensado nunca en
Microsoft, pero parte de nuestra misión
es ofrecer a nuestros lectores el conoci-
miento de las herramientas libres y de
fuentes abiertas que permitan fácilmente

EN PORTADA
Contraseña de usar y tirar . . . . . . . . . .18

Active Directory . . . . . . . . . . . . . . . . . .25

OpenID . . . . . . . . . . . . . . . . . . . . . . . . .31

Autenticación Web . . . . . . . . . . . . . . . .34

WWW.LINUX- MAGAZINE.ES Número 45 17

PORTADA • Contraseñas de Usar y Tirar

Autenticación segura con contraseñas de un solo uso

Nikolay Okhitin, Fotolia

USAR Y TIRAR
Una contraseña de un solo uso no compromete la seguridad si cae en manos equivocadas. Opie y OTPW lle-

van la seguridad de las contraseñas de un solo uso a Linux. POR UDO SEIDEL KARSTEN REICH

A
pesar del auge de la biometría, las
contraseñas siguen siendo los
medios de autenticación más
populares. En ambientes hostiles, usua-
rios renegados intentan rastrearlas o cap-
turarlas. Estos intentos pueden frustrarse
mediante las contraseñas de un solo uso.
Una contraseña de un solo uso se vuelve
obsoleta después de ser usada.
Incluso si un atacante rastrea una con-
traseña en ruta hacia el servidor de
autenticación, la contraseña será inútil.
Para que funcione una contraseña de un
solo uso el cliente debe tener algún
medio para determinar qué contraseña
va a utilizar, y el servidor debe saber
qué contraseña esperar. A continuación
el cliente calcula una respuesta
mediante un método conocido por
ambas partes.
Técnicas
Los expertos en seguridad han desarro-
llado varias técnicas para generar contra-
señas de un solo uso. Algunos métodos
obtienen la nueva contraseña a partir de la
manipulación matemática de la contra-

Listado 1: Inicializando OPIE

01 # opiepasswd exit with no password. Then 16 Using MD5 to compute
02 Adding root: run opiepasswd without the -c responses. Enter new secret
parameter.
03 You need the response from an pass phrase: Again new secret
OTP generator. 11 Sorry, but you don’t seem to
pass phrase:
be on the console or a secure
04 New secret pass phrase:
terminal. 17
05 otp-md5 499 te3049
12 # opiepasswd -cf 18 ID root OTP key is 499 te5843
06 Response:
13 Adding root:
19 DANG TOOK HUNT GYM HICK PAW
07 ^C
14 Only use this method from the
08 # opiepasswd -c 20 # cat /etc/opiekeys
console; NEVER from remote.
09 Añadiendo root: If you are using telnet, 21 root 0499 te5843
10 Only use this method from the xterm, or a dial-in, type ^C 6f1dba738c197a64
console; NEVER from remote. If now or exit with no password.
Then run opiepasswd without 22 Feb 16,2008 05:42
you are using telnet, xterm,
or a dial-in, type ^C now or 15 the -c parameter.

18 Número 45 WWW.LINUX- MAGAZINE.ES

PORTADA • Contraseñas de Usar y Tirar
seña anterior; o a partir de la manipula-
ción matemática de la hora actual. Otra
técnica, conocida como desafio-respuesta,
comienza con el envío por parte del servi-
dor de un número aleatorio al cliente.
Después éste calcula una respuesta utili-
zando un proceso que es conocido por
ambas partes.
Por supuesto, un atacante que rastree
un par de estos desafíos y las respuestas
teóricamente podría descubrir el método.
Esta técnica de criptoanálisis, que a
menudo se llama texto conocido, ha sido
descrita en varias publicaciones científi-
cas. Pero si ambas partes aplican una fun-
ción de mezcla tras calcular la respuesta,
a un rastreador le resultará mucho más
difícil descubrir el valor original. El resul-
tado es muy parecido a un número aleato-
rio.
Es complicado realizar este tipo de cál-
culos de cabeza, de modo que los usua-
rios emplean a menudo un dispositivo
Listado 2: pam_opie.so
01 ...
02 auth sufficient pam_opie.so
03 # Se tiene que dejar esta
línea si se está probando
OPIE:
04 auth sufficient pam_unix.so
05 nullok try_first_pass
06 ...
Una contraseña de un solo uso consiste
en un servidor y un generador. Los usua-
rios están obligados a autenticarse con-
tra el servidor, y el generador calcula la
contraseña de un solo uso para este fin.
Las bases matemáticas son proporcio-
nadas por funciones de mezcla (hash) o
algoritmos irreversibles: S/Keys utiliza
MD4 y OTP utiliza MD$, MD5 y SHA. El
algoritmo se asegura de que un atacante
no pueda deducir la siguiente contra-
seña con sólo conocer la anterior.
Los usuarios necesitan inicializar el sis-
tema OTP en el lado del servidor para
elegir una contraseña. El servidor añade
semillas al azar, o definidas por el usua-
rio, a la cadena de la contraseña (Figura
3) y mezcla la cadena resultante n veces
para generar la primera contraseña de
un solo uso. Finalmente, el servidor
almacena el nombre del usuario, la
semilla, la cifra n y la OTP.
20 Número 45
Figura 1: El Digipass Pro 300 de Vasco se
basa en el enfoque desafío-respuesta. El
usuario teclea el desafío mediante el teclado
del testigo y la respuesta aparece en el visor.
electrónico llamado testigo, semejante a
una calculadora de bolsillo. Las Figuras 1
y 2 muestran ejemplos de algunos testigos
populares. Otra opción es configurar un
teléfono móvil o una PDA con el software
necesario para que funcionen como un
testigo basado en hardware.
Soluciones Basadas en
Software
Evidentemente, los testigos son relativa-
mente caros; además, a menudo la tecno-
logía está patentada o bien los mecanis-
mos internos no son totalmente revelados
Comprendiendo S/Key y OTP
Al usuario que quiera autenticarse con-
tra el servidor se le envía la semilla y la
cifra n-1 (Figura 4). El generador local
ayuda al usuario a calcular la contraseña
de un solo uso. Este cálculo es básica-
mente el mismo que el que se realizó en
el lado del servidor durante la inicializa-
ción, con la diferencia de que la mezcla
sólo se ejecuta n-1 veces.
EL usuario envía el resultado al servidor,
el cual, tras mezclar la cadena de entrada
una vez, más compara el resultado con
la contraseña de un solo uso almace-
nada. Si las dos mezclas coinciden, todo
está bien; el servidor almacena la OTP
que le han pasado, en lugar de la OTP
original y decrece n en uno.
Desde el punto de vista técnico, las con-
traseñas manejadas por OTP son de 64
bits. Sin embargo, los usuarios pueden
introducirlas en el formato de palabras
cortas. Un programa convertirá una
WWW.LINUX- MAGAZINE.ES
como medida de seguridad. Si prefiere evi-
tarse el esfuerzo y el gasto de los testigos
hardware, también se puede utilizar una
solución basada únicamente en software.
Los sistemas de contraseñas de un solo
uso basados en software han existido
desde hace varios años y han sido consa-
grados en varios RFCs de Internet. El sis-
tema S/Key , que fue desarrollado en 1995
por Bellcore, está definido en el RFC 1760.
S/Key originalmente se basó en el cifrado
MD4. Su sucesor, OTP, que está especifi-
cado en el RFC 2289, también puede usar
MD5 y hashes SHA.
OPIE Universal
Un par de proyectos de fuentes abiertas,
conocidos como OPIE [3] y OTPW [4] pro-
porcionan herramientas para contraseñas
de un solo uso para Linux. La implemen-
Listado 3: Login SSH con
OPIE
01 $ ssh
root@rechner.example.com
02 otp-md5 498 te5843 ext
03 Respuesta:
04 # cat /etc/opiekeys
05 root 0498 te5843
2b84befd37cacb9f
06 Feb 16,2008 05:58
07 #
entrada como TUSK JOIN ROBE HUNK
HAVE CARL en la representación de bit
interna.
Con OTP se suministran la bases del
cifrado, es sólo una cuestión de integrar
esta estructura con los distintos progra-
mas de autenticación en Linux. Estos
programas incluyen login y sudo, los
gestores de sesión tales como xdm, kdm
y gdm, o servicios externos tales como
el daemon SSH o servidores FTP. Linux
utiliza Pluggable Authentication Modu-
les (PAM, [5]) para suministrar una inter-
faz estandarizada.
Si se utilizan contraseñas de un solo uso
para la autenticación, será necesario
añadir una línea a la sección auth de la
configuración PAM. La bandera de con-
trol necesario depende de la pila auth y
de cómo se desea que se comporte el
sistema.
PORTADA • Contraseñas de Usar y Tirar
Listado 4: Creando 3 OTPs con
opiekey
01 # opieinfo
02 497 te5843
03 # opiekey -5 -n 3 `opieinfo`
04 Using the MD5 algorithm to compute
response.
05 Reminder: Don’t use opiekey from telnet
or dial-in sessions. Sorry, but you
don’t seem to be on the
06 console or a secure terminal.
07 Warning: Continuing could disclose your
secret passphrase to an attacker!
08 Enter secret pass phrase:
09 495: MUSH ACT GRIM SEE MAID LIES
10 496: HAD FED WORD ROY STAB ACID
11 497: IO INK RIG DAME RULE TUM
12 #
Listado 5: Deshabilitando OPIE para
un Usuario
01 user1@rechner$ opiepasswd -d
02 Updating user1:
03 Disable user1’s OTP access? (yes or no)
yes
04 ID user1 is disabled.
05 user1@rechner$ su -
06 Passwort:
07 # grep user1 /etc/opiekeys
08 user1 0359 te2880 ***** Feb 16,2008 08:37
09 #
tación en Linux del software líder OTP
llega por cortesía del proyecto OPIE (One-
Time Password in Everithing).
OPIE es fácilmente instalable desde los
paquetes que existen para muchas distri-
buciones y fácilmente compilable desde el
código fuente. La instalación añade capa-
cidades OTP a los programas login, su y
ftpd, así como la librería pam_opie.so, una
serie de herramientas y la configuración
/etc/opiekeys.
El primer paso es inicializar el sistema
OTP (véase el Listado 1). Los usuarios
pueden gestionar este paso por sí mismos
mediante el ingreso al sistema y ejecu-
tando la orden opiepasswd (Línea 1). A
primera vista el resultado puede parecer
confuso (Línea 3); por omisión, la herra-
mienta asume que el usuario no ha ingre-
sado al sistema localmente en la consola.
Dado que el tráfico de la red es a
menudo rastreable e inseguro, opiepasswd
22 Número 45
espera una OTP. Para evitar el
problema del huevo y la
gallina, los usuarios deben
declarar (mediante la opción
-c) que están trabajando en
una consola segura (véase la
línea 10 en el Listado 1).
Si la orden pilla al usuario
mintiendo, se negará a coo-
perar. Los usuarios que se
tomen muy en serio la seguri-
dad deben evitar la opción-f
(Línea 12), que hace caso
omiso de la advertencia pos-
terior.
Tras completar la inicializa-
ción, se añade una entrada de
usuario al archivo /etc/opie-
keys. Este archivo también
contiene la semilla (te5843 en
este caso), la mezcla
(6f1dba738c197a64), la
recién generada contraseña
de un solo uso y la secuencia
numérica (499 en este ejem-
plo ; línea 18).
Para generar más tarde una
contraseña de un solo uso
válida, el usuario necesita su
propia contraseña, la semilla
y la secuencia numérica. No
hay necesidad de memorizar
todo esto, excepto la contra-
seña del usuario. Las otras
dos credenciales son suminis-
tradas y mostradas por el ser-
vidor.
Red Segura
El siguiente paso es integrar el mecanismo
de autenticación con la pila PAM (véase el
Listado 2). Los módulos pam_unix o
pam_unix2 hacen la mayoría del trabajo.
Estos módulos están etiquetados con una
bandera de control sufficient, pero como
se quiere sustituir la librería pam_unix.so
o pam_unix2.so con la librería
pam_opie.so, se ha de modificar la
configuración de acuerdo a
esto.
Debe tenerse en cuenta que
es posible configurar el sistema
a fin de que, si por cualquier
motivo OPIE falla, los usuarios
puedan seguir utilizando sus
contraseñas anteriores para
autenticarse. Figura 2: El Secur-ID-Token SID700 de RSA/EMC codi-
Una vez modificada la fica la hora del día actual en una clave interna. El visor
configuración PAM, el sistema muestra un PIN diferente cada minuto.
WWW.LINUX- MAGAZINE.ES
Pluggable Authentication
Modules (PAM)
PAM define cuatro categorías para el
proceso de autenticación: auth,
account, password, y session. La cate-
goría auth se ocupa de autenticación
en sí misma, mientras que password
define cuándo y cómo puede cambiar
un usuario su contraseña. PAM utiliza
account para la gestión de acceso
basada en la cuenta de usuario y ses-
sion para manejar el entorno configu-
rado.
PAM tiene una selección de varios
modelos en cada categoría y los orga-
niza en una pila. Cada módulo está eti-
quetado con una bandera de control.
Este enfoque permite al administrador
definir la manera en que PAN reacciona
al procesado satisfactorio o no satisfac-
torio de un módulo. Existen las
siguientes banderas: required, requi-
site, sufficient y optional. Si falla un
modulo marcado como required,
requisite o sufficient, el proceso com-
pleto de autenticación falla. Si el
módulo está marcado como requisite,
PAM detiene el procesado de la pila de
inmediato.
Después de procesar satisfactoria-
mente un módulo marcado como
required, requisite u optional, la biblio-
teca PAM continúa con el siguiente.
PAM considera que la categoría se ha
procesado satisfactoriamente si está
marcada como sufficient
tiene capacidad OTP. Algunos servicios,
tales como el daemon SSH, seguirán nece-
sitando alguna atención manual antes de
que comience a utilizar contraseñas de un
solo uso. En el caso de SSH, se necesita la
siguiente línea en el archivo de
configuración del servidor
/etc/sshd/sshd_config:
ChallengeResponseAuthenticationU
yes

El Listado 3 muestra un ingreso SSH utili-
zando OPIE. Tras una autenticación satis-
factoria, OPIE actualiza el archivo
/etc/opiekeys, añadiendo la nueva secuen-
cia numérica y la mezcla de la última con-
traseña utilizada.
Sembrando y Cosechando
Los usuarios necesitan opiekey para gene-
rar contraseñas de un solo uso. El genera-
dor del Listado 4 espera la contraseña del
usuario, la semilla y la secuencia numé-
rica actual. Para ver esta información pue-
den ejecutar opieinfo. OPIE también tiene
un mecanismo que genera OTPs en el
caso de que el usuario no tenga un gene-
rador. Además de opiekey, existen dispo-
nibles otros generadores. El programa
Java JOTP [6] funcionará en un teléfono
móvil que tenga capacidad Java o en un
sitio Web normal, aunque el sitio web
debe ser digno de confianza. Los propieta-
rios de una Palm pueden ejecutar Palmkey
[7] o Pilotp [8], y los usuarios del escrito-
rio pueden utilizar Optcalc [9].
La orden opiepasswd -d deshabilita una
entrada de usuario en /etc/opiekeys y, por
Contraseñas de Usar y Tirar • PORTADA
tanto, niega al usuario
la entrada al sistema
(Véase el Listado 5). El
sistema sobreescribe la
mezcla de la contra-
seña con una serie de
asteriscos (*), aunque
la secuencia numérica Figura 3: Al comenzar, el generador envía una contraseña al servi-
y la semilla permane- dor. El servidor mezcla la contraseña y la semilla para calcular la
cen visibles. primera contraseña de un solo uso.
La Alternativa OTPW RIPEMD de todas las contraseñas de un
La solución basada en software OTPW no solo uso (junto con un número) en el
utiliza el método especificado por el RFC archivo .otpw bajo el directorio home del
2289, sino que se basa en una versión de usuario. El programa sobrescribe las con-
160 bits de la mezcla RIPEMD. OTPW traseñas utilizadas con guiones, lo que
incluye una versión modificada del pro- impide su reutilización.
grama login (demologin) y un módulo El paquete OTPW es mucho más
alternativo para la integración con la pila pequeño que OPIE; el código fuente sola-
PAM. Los usuarios tienen unas contrase- mente comprende 18 archivos. Un simple
ñas publicadas en forma de lista, similar a make creará los programas demologin y
las listas TAN heredadas publicadas por otpw-gen, así como la librería PAM
los bancos. pam_otpw.so.
Cuando se autentican, los usuarios Para los sistemas Linux con PAM,
teclean una cadena que comprende la OTPW sólo necesita el generador
entrada de la lista y su propia contraseña. otpw-gen y el módulo pam_otpw. El usua-
El servidor OTPW almacena los hashes rio inicializa el sistema OTPW ejecutando
PORTADA • Contraseñas de Usar y Tirar

otpw-gen (Listado 6). Tras introducir una de OTPW con sistemas

contraseña, otpw-gen crea una lista de PAM se siguen los mis-
OTPs y muestra el resultado. mos pasos que con
El parámetro -p1 le indica a otpw-gen OPIE. Según la docu-
que la salida de las OTPs esté formada por mentación, añadir esta
una lista de palabras de cuatro letras, por entrada
ejemplo:
session optional
hare lane fyfe self lucy pam_otpw.so Figura 4: Durante la autenticación, el servidor presenta la semilla
y un contador. El usuario ejecuta un generador para calcular la
Borrando el archivo .otpw se deshabilita el la cual le dice a OTPW contraseña de un solo uso y la devuelve al servidor para que la
uso de las contraseñas de un solo uso para que indique cuántas valide.
la cuenta. OTPs quedan para
Es lógico imprimir la lista. Los usuarios ingresar al sistema. Esta orden no fun- Cuando un usuario intenta ingresar en
son responsables de hacer el seguimiento cionó en nuestro laboratorio. Los pasos el sistema, OTPW crea un enlace simbó-
de cuantas contraseñas de un solo uso para el daemon SSH son similares a los lico para .otpw.lock en el directorio home
conserven. dados para OPIE. del usuario. Si el usuario cancela el
Si se desea ahorrar papel, hay que veri- Los usuarios crean la contraseña de un intento de registro pulsando Ctrl+C, el
ficar el contenido de .otpw cuando se solo uso concatenando sus contraseñas de enlace simbólico se mantiene. El usuario
ingrese al sistema. Las contraseñas usadas usuario con las cadenas de la lista gene- está bloqueado mientras el vínculo existe,
están marcadas con -. Para la integración rada por optw-gen. ya que impide el uso de OTPW.
Además de esto, OTPW normalmente
Listado 6: Configurando OTPW no permite ingresos simultáneos al sis-
tema por razones de seguridad. Según la
01 # otpw-gen -h 5
documentación del programa, en este
02 Generating random seed ... caso el usuario entra una contraseña de
03 un solo uso extendida. La OTP extendida
04 If your paper password list is stolen, the thief should not gain comprende la contraseña del usuario y
access to your account with this information alone. Therefore, you tres cadenas de la lista. No hemos podido
need to memorize and enter below a prefix password. You will have to
comprobar este comportamiento en nues-
enter that each time directly before entering the one-time password
tro laboratorio.
Las contraseñas de un solo uso son úti-
(on the same line).
les en entornos inseguros con peligro de
05 rastreo de contraseñas. Las implementa-
06 When you log in, a 3-digit password number will be displayed. It ciones OPIE y OTPW se integran fácil-
identifies the one-time password on your list that you have to mente con las distribuciones Linux más
append to the prefix password. If another login to your account is populares gracias a PAM. ■
in progress at the same time, several password numbers may be shown
and all corresponding passwords have to be appended after the RECURSOS
prefix password. Best generate a new password list w en you have [1] Digipass 300 Pro: http://www.vasco.
used up half of the old one. com/
07 [2] RSA Secur ID: http://www.rsa.com/
08 Enter new prefix password: [3] Onetime Password In Everything
09 Reenter prefix password: (OPIE): http://www.inner.net/opie

10 [4] One-Time Password (OTPW): http://

www.cl.cam.ac.uk/~mgk25/otpw.
11 Creating ’~/.otpw’.
html
12 Generating new one-time passwords ... [5] Pluggable Authentication Modules
13 (PAM): http://www.kernel.org/pub/
14 OTPW list generated 2008-03-16 10:23 on testvm3.seidelnet.de linux/libs/pam/
[6] Java OTP Calculator (JOTP): http://
15
www.cs.umd.edu/~harry/jotp/
16 000 a7Sj rWoC 001 %URK VvmD 002 EoQa sgon 003 IQhJ kVMG 004 QsS%
[7] Palmkey: http://palmkey.sf.net
H=aU
[8] Generador Pilot OTP: http://www.
17
valdes.us/palm/pilOTP/
18 !!! REMEMBER: Enter the PREFIX PASSWORD first !!! [9] Calculador OTP y S/Key para X-Win-
19 # dow: http://killa.net/infosec/otpCalc/

24 Número 45 WWW.LINUX- MAGAZINE.ES

 Directorio Activo • PORTADA

Autenticación en Linux para Directorio Activo con Kerberos 5

DOMINANDO AL
CERBERO

Henryart, Fotolia
El sistema de Directorio Activo de Microsoft ofrece gestión centralizada de usuarios y un registro individuali-

zado. Si estamos dispuestos a realizar ciertos pasos manualmente, podemos aprovechar con Linux todo este

potencial. POR WALTER NEU

S
on muchas las empresas en las
que por fin Linux y Windows
conviven en paz. Muy a menudo,
en las redes heterogéneas predominan el
software de oficina de Windows y los
servidores al estilo Unix. El servicio de
Directorio Activo, que introdujo Micro-
soft con Windows 2000 Server, se suele
usar para la gestión centralizada de
información de usuarios.
Linux suele hacer uso del típico sis-
tema de /etc/passwd o de una solución
distribuida tal como NIS o LDAP, pero si
estamos interesados en configurar un
determinado número de componentes y
herramientas de libre distribución, pode-
mos integrar fácilmente nuestros siste-
mas Linux en la infraestructura de Direc-
torio Activo.
En este artículo suponemos que se dis-
pone de un servidor de Directorio Activo
que gestiona una estructura de dominio
completa bajo Windows. Partiendo de
aquí, mostraremos cómo configurar
nuestros clientes Linux para autenti-
carse, acceder y hacer uso de la infraes-
tructura del dominio. El plato fuerte de
este menú sobre gestión y registro lo
ponen la funcionalidad de ingreso indivi-
dualizado y la creación automatizada de
los directorios de los usuarios en el lado
del cliente.
El ejemplo de este artículo está basado
en el servicio Winbind del proyecto
Samba y en Kerberos 5 para la autentica-
ción. Por supuesto, Kerberos no lo inven-
taron los ingenieros de software de Red-
mond; Microsoft adoptó este método de
autenticación del mundo Linux. Kerbe-
ros fue desarrollado originalmente en el
MIT (Massachusetts Institute of Techno-
logy) en los años 80. Tanto el proyecto

WWW.LINUX- MAGAZINE.ES Número 45 25

PORTADA • Directorio Activo

Figura 1: Kerberos es un servicio de autenticación por red por tickets
basado en secretos compartidos. En la arquitectura de Kerberos
todos los componentes pertenecen a la zona Kerberos. El corazón de
la zona son la base de datos y el KDC (Key Distribution Center). Los
componentes principales del KDC son el AS y el TGS.
Figura 2: La autenticación en Kerberos es sofisticada a la vez que
flexible: un cliente envía una petición de TGS al KDC(1) y recibe un
ticket temporal(2). El ticket autoriza al cliente a pedir(3) más tickets,
esta vez para los servicios de red kerberizados(5), sin que sea nece-
sario volver a introducir contraseñas.

libre Heimdal [1] como la aplicación de
referencia del MIT [2] ofrecen un soporte
completo para Kerberos 5. Shishi [3] es
otra implementación libre.
Secretos Bien Guardados
Kerberos es un servicio de autenticación
por red basado en tickets que dependen
de secretos compartidos. El sistema
guarda un área, denominado zona, que
puede incluir varios clientes y servicios.
En este ejemplo, tanto los clientes
como un número determinado de servi-
cios, como el de archivos, se ejecutan
bajo Linux. Windows maneja los servi-
cios de directorio y autenticación a tra-
vés del KDC (Key Distribution Center).
El KDC es un componente central en
Kerberos (Figura 1) que comprende el
AS (Servidor de Autenticación) y el TGS
(Ticket Granting Server).028-034_ad-
pam
Al inicio de cada sesión, cada miem-
bro (o el principal) de la zona demuestra
su autenticidad sólo una vez. Para
hacerlo, el principal pide un TGT inicial
(Ticket Granting Ticket) al AS. Usará este
ticket para las peticiones al TGS de los
posteriores tickets de servicio.
Cuando en Kerberos hablamos de ti-
cket nos estamos refiriendo a una cre-
dencial electrónica. Una vez el principal
ha recibido una credencial, se le garan-
tiza el acceso a las aplicaciones “kerberi-
zadas” que requieran de una prueba de
identidad sin necesidad de introducir
una clave. Los usuarios sólo tienen que
introducir la clave a la hora de recibir el usuario, la cifra, y guarda el hash en la
TGT. base de datos principal. El programa de
login, o el kinit, calcula la clave secreta a
¡Sus Tickets, por Favor! partir de la contraseña introducida por el
El programa de login va pidiendo el TGT usuario y descifra el TGT. La contraseña
a los clientes (ver Figura 2). Alternativa- nunca se transmite sin haber sido cifrada
mente, el kinit puede realizar una peti- previamente.
ción después de que el usuario haya Cuando el usuario necesita acceder a
ingresado. El AS busca en el Directorio un servicio kerberizado de una red, pre-
Activo al principal que hace la petición. senta su TGT al TGS y pide un ticket para
Cuando el AS encuentra al principal, el servicio en cuestión. El TGS le propor-
envía un TGT. ciona el ticket en segundo plano. Ahora
Entonces el AS cifra el TGT con la que el cliente dispone de su ticket para el
clave del principal y devuelve el hash a servicio, puede hacer que el usuario
la entidad que hace la petición. Si la enti- ingrese automáticamente en el servicio
dad que hace la petición es un cliente, el solicitado sin que sea necesaria ninguna
KDC extrae la clave de la contraseña del contraseña.
Los tickets de Kerberos tienen un
Listado 1: /etc/kr5b.conf tiempo de vida limitado. El problema del
tiempo hace imprescindible la sincroni-
01 [libdefaults]
zación de la hora del sistema de todas las
02 default_realm = máquinas de la zona. El servidor Kerbe-
KDC.EJEMPLO.ORG ros se negará a proporcionar un ticket
03 dns_lookup_realm = false inicial a cualquier máquina desincroni-
zada en más de cinco minutos.
04 dns_lookup_kdc = false
Aunque podamos cambiar el tiempo
05 [realms] máximo a través del cliente Kerberos o el
06 KDC.EJEMPLO.ORG = { servidor de Directorio Activo, lo más
07 kdc = w2k.kdc.ejemplo.org lógico es instalar un servidor de hora
central con el que sincronizar a los clien-
08 default_domain =
tes.
KDC.EJEMPLO.ORG Los clientes deben, además, ser capa-
09 } ces de resolver el nombre de DNS del
10 [domain_realm] servidor Kerberos. Si fuese necesario,
podríamos añadir una entrada en el ser-
11 .ejemplo.org =
vidor de nombres central o simplemente
KDC.EJEMPLO.ORG mantener el archivo estático /etc/hosts

26 Número 45 WWW.LINUX- MAGAZINE.ES


de cada sistema implicado en el inter-
cambio.
Instalación de Kerberos
Después de atender los requerimientos
relacionados con el tiempo y la resolu-
ción de nombres, ya podemos pasar a
instalar Kerberos en nuestros clientes
Linux desde los paquetes de nuestra dis-
tribución. Para la versión del MIT en
debian instalaremos los paquetes krb5-
user y krb5-config desde los repositorios
o, en caso de usar Fedora, instalaremos
krb5-workstation y krb5-auth-dialog.
Como alternativa, podríamos compilar
las fuentes proporcionadas por el MIT.
Para configurar Kerberos, modifica-
mos el archivo /etc/kr5b.conf. El Listado
1 muestra una configuración mínima,
aunque funcional, del paquete del MIT;
los clientes la necesitarán para estable-
cer una conexión con el servidor Kerbe-
ros. Las otras implementaciones de Ker-
beros emplean más o menos la misma
sintaxis.
Creación de Zonas
La línea default_realm (zona predetermi-
nada) de la sección [libdefaults] define
una zona llamada KDC.EJEMPLO.ORG
como el predeterminado para las aplica-
ciones Kerberos. En caso de estar usando
varias zonas, podemos añadir otra expre-
sión a la sección [realms] (zonas). La
Listado 2: klist Mostrando
los Tickets
01 $ klist
02 Ticket cache:
FILE:/tmp/krb5cc_1000
03 Default principal:
user@KDC.EJEMPLO.ORG
04
05 Valid starting Expires
Service principal
06 03/17/08 11:10:27 03/17/08
21:10 krbtgt/
KDC.EJEMPLO.ORG@KDC.EJEMPLO.O
RG
07 renew until 03/18/08
11:10
08
09 Kerberos 4 ticket cache:
/tmp/tkt1000
10 klist: You have no tickets
cached
Directorio Activo • PORTADA
sección [domain_realm] define el enlace Directorio Activo con la configuración
a nombre de dominio/zona en la librería necesaria para Winbind.
de Kerberos. Si queremos que la librería El parámetro security = ads de la línea
de Kerberos establezca una conexión con 5 indica a Winbind que no ha de buscar
un host remoto, ésta necesitará conocer la contraseña en la base de datos local,
la zona en el que reside el host. Las sino que debe enviar la petición al con-
entradas que comienzan por un punto trolador de dominio del Directorio
asignan todos los hosts con el siguiente Activo. El controlador de dominio decide
sufijo a la zona especificada. Para asegu- entonces si la contraseña es legítima o
rar unas comunicaciones libres de pro- no.
blemas con el servidor Kerberos, es En caso de tener un controlador de
importante usar mayúsculas para los dominio de DA Windows 2003, tendre-
nombres de las zonas. mos que incluir clientschannel = no en
Haciendo uso de esta configuración, la sección [global]. Antes de que el
podemos probar las comunicaciones con cliente se convierta en un miembro del
el servidor kerberos. El comando kinit dominio, el administrador le dice (en la
pide el TGT. Si no se especifica ningún línea 6) a qué zona de Kerberos perte-
parámetro más, el programa intenta nece el principal.
afianzar un TGT para el principal con el
mismo nombre del usuario ingresado. Gestión Centralizada de
Para que esto ocurra, el usuario sólo Usuarios
deberá introducir la contraseña una vez. Ser miembro de un dominio sólo elimina
El programa kinit envía entonces una la necesidad, por parte del sistema
petición TGT sin cifrar al servidor de Linux, de gestionar las contraseñas, pero
autenticación; la petición contiene, entre
otras cosas, el nombre del principal. La Listado 3: smb.conf
respuesta enviada al cliente contiene el 01 [global]
TGT cifrado, que kinit descifra para
02 ; Samba como miembro del
almacenar localmente.
dominio
La salida del comando klist del Listado
2 incluye los datos de validación del TGT 03 workgroup = kdc
recién enviado. Si la salida del comando 04 password server =
muestra el ticket, podemos suponer que srv.kdc.ejemplo.org
la configuración del ciente Linux está 05 security = ads
completa. Para eliminar el TGT de
06 realm = KDC.EJEMPLO.ORG
prueba usamos kdestroy.
07 encrypt passwords = yes
Pertenencia 08
El siguiente paso consiste en añadir el 09 ; no se es el maestro de la
cliente Linux como miembro del domi- red Windows
nio del Directorio Activo. Para ello nece-
10 local master = no
sitamos la versión 3.0.14a de Samba o
posterior, y el paquete del programa 11 os level = 20
Winbind para la gestión centralizada de 12 domain master = no
usuarios en Windows y Linux. Winbind 13 preferred master = no
hace uso de una implementación Unix
14
de las llamadas RPC de Microsoft, los
15 ; Configuración de Winbind
módulos PAM (Pluggable Authentication
Modules) y NSS (Name Service Switch) 16 winbind separator = +
para que los usuarios de clientes Linux 17 idmap gid = 10000-20000
puedan ingresar en el dominio Windows
18 idmap uid = 10000-20000
y trabajar como usuarios locales.
La configuración de Samba se realiza a 19 template shell =
través del archivo smb.conf, que normal- /bin/bash
mente se encuentra bajo el directorio 20 template homedir =
/etc/samba/. En el Listado 3 mostramos /home/%D/%U
una configuración completa a modo de 21 winbind enum users = yes
ejemplo con la que implementamos un
22 winbind enum groups = yes
servidor miembro de un dominio de
WWW.LINUX- MAGAZINE.ES Número 45 27
PORTADA • Directorio Activo
Figura 3: Debido a que el servidor de SSH identifica a más de una sección [global] del
zona, el usuario wane000 necesita el prefijo de dominio ESDB. Los archivo
dos nombres van separados por el carácter +.
no evita que tengamos que validar la
entrada de los usuarios. Los usuarios de
dominios son, en este momento, algo
desconocido para el sistema. Los siste-
mas operativos al estilo Unix necesitan el
demonio winbindd para asegurar la visi-
bilidad. El programa de la suite Samba
hace uso de NSS (Name Service Switch)
para la resolución de las identidades de
los usuarios de dominios y presentarlos
a Linux como si fuesen credenciales
locales.
Mientras se encuentra en ejecución
transfiere temporalmente todos los usua-
rios y grupos del Directorio Activo al sis-
tema Linux. Con esto se reduce sustan-
cialmente la gestión de usuario. La
configuración de Winbind se realiza a
través del archivo smb.conf, en la sec-
ción [global] (líneas 15 a 20).
La instrucción workgroup = kdc de la
línea 3 es especial: Samba usa work-
group para definir tanto un grupo de tra-
bajo como un dominio. El programa
decide en una fase posterior del proceso
de configuración de qué se trata. El
dominio de DA se almacena con sintaxis
de NT4; dicho de otra manera, si tene-
mos un dominio kdc.ejemplo.org, Samba
espera que como workgroup especifique-
mos kdc.
El parámetro de la línea 6 se encarga
de la configuración de la zona; normal-
mente se trata de nombre de DNS del
controlador del dominio, pero en mayús-
culas – o sea, KDC.EJEMPLO.ORG en
este caso.
Separación
El carácter que separa el dominio del
nombre de usuario en Windows es la
barra invertida \, que para la terminal
tiene un significado especial. Para evitar
conflictos, el administrador debería defi-
nir como separador en winbind, de
forma que no se trate de un metacarácter
de la terminal, el signo de suma +,
como se muestra en la línea 16 del Lis-
tado 3.
Si sólo tenemos un dominio, no nece-
sitamos separar el dominio de los nom-
28 Número 45
bres de usuario. Win-
bind ofrece la opción
winbind use default
domain = yes de la
de
configuración. Este
parámetro le dice a
Linux que haga uso de los nombres de
usuario del Directorio Activo sin el domi-
nio. En caso de no incluirlo tendremos
que añadir un prefijo de nombre de
dominio a los usuarios del dominio ser-
vidos por Winbind (ver Figura 3).
En esta situación el sistema Linux es
incapaz de convertir los nombres de
usuario y grupo de dominio a sus corres-
pondientes PID (User Identification)y GID
(Group Identification). Aún así se trata de
algo imprescindible, ya que Linux no usa
nombres internamente, sino que usa UIDs
y GIDs. Por ejemplo, el comando ls ana-
liza el inodo de un archivo para averiguar
el UID de su propietario y traduce este
valor a un nombre antes de mostrar la
información por pantalla.
Linux hace uso de una API universal,
NSS, para la correspondencia de nom-
bres. NSS busca en el archivo /etc/
passwd o, suponiendo que se tenga car-
gado el módulo necesario, hace una peti-
ción al servidor de Directorio Activo.
Esta posibilidad nos permite listar los
usuarios y grupos de la zona de un servi-
dor de DA como si se tratase de cuentas
de usuario locales. Para ello tenemos que
añadir el servicio de nombres winbind a
las bases de datos passwd y group al
archivo de configuración central /etc/
nsswitch.conf:
passwd: files winbind
group: files winbind
Con estas líneas le decimos al servicio de
nombres que comience por buscar en los
archivos locales, como /etc/passwd,
antes de contactar con winbindd. Si ade-
más estamos usando NIS, podemos
poner compat en lugar de files.
Aún se nos queda algo por hacer si
pretendemos que las cosas entre Linux y
el Servicio de Directorio Activo de Win-
dows salgan bien, y es que la máquina
Linux ha de hacerse miembro del domi-
nio para que éste le envíe la información
sobre sus grupos y usuarios.
El parámetro security = ads de la línea
5 convierte a Samba en miembro del
WWW.LINUX- MAGAZINE.ES
Directorio Activo. La transacción se com-
pleta con el comando net ads, que es
parte de la distribución de Samba (ver
Figura 4). El usuario del dominio, que en
este caso es Administrador, debe estar
autorizado para añadir al dominio la
máquina Linux. net nos insta a introdu-
cir la contraseña del usuario autorizado
y, en caso de ser la correcta, crea la
cuenta en el controlador del dominio. A
partir de ese momento el cliente Linux
ya es un miembro, en toda regla, de ese
Directorio Activo.
Para comprobar que la conexión con el
controlador de dominio funciona correc-
tamente, ejecutamos la herramienta de
diagnóstico wbinfo. Esta herramienta es
parte del paquete Winbind. El parámetro
-u le dice al comando que liste todos los
usuarios del dominio:
KDC+wneu
KDC+mkreis [...]
El dominio que estamos usando aquí se
llama KDC. El nombre de dominio va
seguido por el símbolo configurado
como separador de winbind, + en este
caso, y por el nombre de usuario. Ahora
Linux ya reconoce los nombres propor-
cionados por el Directorio Activo, y pue-
den ingresar en el sistema. Los grupos
definidos en el Directorio Activo se pue-
den obtener mediante el comando
wbinfo -g:
KDC+accounts
KDC+asp [...]
Para tener una vista general de todos
los usuarios del dominio y las bases de
datos locales usamos getent passwd o
getent group. La salida es similar al
contenido de /etc/passwd y /etc/group.
Luego comprobamos si Linux es
capaz de identificar los nombres de
usuario y grupo de nuestro Directorio
Activo: El hecho de que el administra-
dor del sistema Linux pueda definir
como nuevo propietario o grupo de un
archivo del sistema de archivos local a
un usuario o grupo del Directorio
Activo, significa que todo va bien.
Dependiendo del parámetro winbind
use default domain de la configuración
de Samba, root puede especificar el
propietario como Dominio+Usuario y
el grupo como Dominio+Grupo (Lis-
tado 4).
 Directorio Activo • PORTADA

Configuración los usuarios son quienes dicen ser

Figura 4: Para añadir a la máquina local como miembro del parente la petición del TGT al
dominio estándar, el usuario del Controlador de Dominio Servidor de Autenticación.
(DC) necesita privilegios de administración. Después de Para que funcione hay que
introducir la contraseña, el DC añade el nuevo usuario al modificar varias configura-
dominio.
Unimos Kerberos y PAM
El siguiente truco consiste en la integra-
ción de Kerberos, los usuarios de domi-
nio del Directorio Activo y el meca-
nismo de login de Linux. Formalmente,
cada uno de estos servicios espera que
los usuarios se identifiquen, y aplicar
cada uno de ellos sus propios mecanis-
mos de autenticación y autorización
para garantizar el acceso a los servicios
proporcionados. PAM (Pluggable
Authentication Modules) ofrece una
interfaz unificada para dicha autentica-
ción integrada [4].
Cambiar el método de autenticación
de PAM implica que también se tengan
que cambiar y servir ciertos módulos a
los que puedan tener acceso todos los
programas. Dicho de otro modo, PAM
añade una capa de abstracción entre la
autenticación y los servicios reales sin
que sea necesario modificar las aplica-
ciones. Aplicaciones como servidores
FTP o Tel-net se conectan a un servicio
de autenticación llamando a unas fun-
ciones de la librería de PAM disponibles
en forma de librerías compartidas.
Hay disponible una librería de módulo
especial, que sirve para cambiar a Kerbe-
ros el método de autenticación del login
a través de PAM. Los paquetes que con-
tiene están disponibles en la mayoría de
distribuciones más conocidas. El módulo
en sí se llama pam_krb5.so y reside nor-
malmente bajo /lib/security [5].
Listado 4: Cambiando la
Propiedad
01 # ls -l foo.txt
02 -rw-r—r— 1 root root May 02
15:53 foo.txt
03 # chown KDC+wnew foo.txt
04 # chgrp KDC+asp foo.txt
05 # ls -l foo.txt
Individualizada
El módulo no sólo maneja el
login basado en Kerberos,
sino que hace de forma trans- paso finaliza correctamente, entonces
ciones en el directorio /etc/
pam.d/.
Cada aplicación que requiere autenti-
cación y usa PAM necesita su propio
archivo bajo /etc/pam.d/. Las distintas
distribuciones tienden a organizar la
configuración de modos ligeramente
diferentes, importando algunas archivos
compartidos. Entre las líneas de estos
archivos se incluyen el tipo, una bandera
de control, una ruta al módulo en cues-
tión y unos argumentos opcionales sepa-
rados por espacios en blanco (ver Lis-
tado 5). Fedora usa la herramienta auth-
config, OpenSUSE emplea YaST para
manipular la configuración de PAM,
mientras que los usuarios de Debian tie-
nen que arrancar su editor favorito y
modificar manualmente los archivos.
Sección a Sección
Los archivos de configuración están divi-
didos en secciones para cada uno de los
cuatro tipos de módulos PAM: auth,
account, password y session. La sección
auth define dos métodos de autentica-
ción alternativos a fin de determinar si
Listado 5: Configuraciones para PAM
01 # /etc/pam.d/common-auth
02 auth sufficient pam_krb5.so forwardable
03 auth required pam_unix.so nullok_secure use_first_pass
04 auth required pam_deny.so
05
06 # /etc/pam.d/common-account
07 account sufficient pam_krb5.so forwardable
08 account required pam_unix.so
09
10 # /etc/pam.d/common-session
11 session sufficient pam_krb5.so
12 session required pam_unix.so
13
14 # /etc/pam.d/common-password
(líneas 2 y 3). PAM pide una contraseña
al usuario una sola vez y Kerberos com-
prueba las credenciales (línea 2). Si este
pam_krb5.so pide un TGT con un bit que
indica el permiso para ser direccionado,
para usar el ticket con un sistema
remoto.
Si sale bien, el proceso de autentica-
ción considera que con pam_krb5.so
basta y termina por no procesar ningún
módulo más.
Una Segunda Oportunidad
Si la autenticación falla, PAM llama al
segundo módulo, pam_unix.so, para
comprobar si la cuenta de usuario existe
localmente (línea 3). Aunque PAM no
pueda llegar hasta el servidor de autenti-
cación, aún puede ingresar root. El argu-
mento use_first_pass para el módulo
indica que el segundo método de auten-
ticación reutiliza la contraseña introdu-
cida por el usuario en lugar de volver a
pedirla. Gracias a nullok_secure no es
necesario definir ninguna contraseña en
el archivo passwd local. Aunque se
pueda ingresar con una contraseña en
blanco, sólo se podrá hacer desde las ter-
minales especificadas en /etc/securetty.
Después de que PAM haya terminado
de procesar los módulos de tipo auth,
pasa a ejecutar el siguiente include. El
archivo common-account contiene dos
módulos, pam_krb5.so y pam_unix, y es

06 -rw-r—r— 1 KDC+wneu KDC+asp 15 password sufficient pam_krb5.so nullok obscure md5

May 02 15:53 foo.txt 16 password required pam_unix.so nullok obscure md5

WWW.LINUX- MAGAZINE.ES Número 45 29

PORTADA • Directorio Activo
Figura 5: GDM (Gnome Display Manager) muestra tanto los usuarios locales como los del
Directorio Activo como posibles candidatos para el login.
responsable de gestionar el acceso al sis-
tema.
El servicio account de PAM comprueba
la contraseña del usuario para ver si aún
es válida o si el acceso por parte del
usuario al sistema tiene algún tipo de
restricción en cuanto a tiempo, uso de
recursos o localización.
Si el usuario existe y tiene permiso
para ingresar, PAM pasa a la siguiente
lista de módulos, definida en el archivo
common-password. Estos módulos ofre-
cen al usuario la posibilidad de cambiar
su contraseña. A diferencia del proceso
normal en Linux, que sólo permite al
usuario cambiar su propia contraseña, el
módulo de Kerberos otorga a cualquier
usuario el poder para cambiar la contra-
seña de cualquier otro usuario. No obs-
tante, para poder hacerlo, el usuario
debe conocer previamente la contraseña
actual de la cuenta que pretende cam-
biar.
Gestión de Sesiones
Finalmente, PAM llama a los módulos
configurados en common-session. El
tipo session es el responsable del resto
de actuaciones relacionadas con la
autenticación. Los pasos restantes van
desde configurar variables hasta mon-
tar directorios. Desde el punto de vista
de este servicio PAM, pam_krb5 se
30 Número 45
encarga de una tarea muy importante:
elimina los tickets de los usuarios
cuando éstos abandonan la sesión.
Después de completar la
configuración, cualquier programa con
capacidad de PAM puede usar PAM
para acceder al Directorio Activo. Por
ejemplo, GDM (GNU Display Manager)
ofrece tanto cuentas de usuario locales
como de dominio, como candidatos
para el login, e inicia la sesión solici-
tada tras la autenticación con el servi-
dor Kerberos (Figura 5).
Como colofón, los usuarios del
Directorio Activo necesitan un directo-
rio de inicio. Si NSS no proporciona
detalles sobre dicho directorio, o si
éste no existe, Linux impedirá el
acceso al usuario (a pesar de haberse
autenticado correctamente) o bien le
enviará al directorio raíz, ya que los
entornos de escritorio (como por ejem-
plo KDE) necesitan leer y escribir
determinados archivos que simple-
mente no existen.
/home, Dulce /home
Los directorios de inicio se configuran en
la línea 20 del archivo smb.conf mos-
trado en el Listado 3: template homedir
= /home/%D/%U. Samba reemplaza
%D por el nombre corto del dominio y
%U por el nombre del usuario del domi-
WWW.LINUX- MAGAZINE.ES
nio. El administrador puede crear direc-
torios individuales para cada usuario o
automatizar el proceso llamando al
módulo pam_mkhomedir, que es tam-
bién parte de la distribución de PAM y se
configura en la sección session:
# /etc/pam.d/common-session
session required U
pam_mkhomedir.so silent U
skel=/etc/skel/ umask=0022
session sufficient pam_krb5.so
session required pam_unix.so
Con esta configuración le decimos al
módulo que cree dinámicamente los
directorios de inicio que no existan. El
argumento silent suprime los mensajes
provocados por la copia del directorio
skel. El último argumento le dice a PAM
que defina 0022 como umask predeter-
minada para los permisos de archivos y
directorios. Con esto, los programas que
se ejecuten en la sesión podrán crear
directorios con los permisos rwxr-xr-x y
archivos con rw-r—r—.
Como alternativa a los directorios loca-
les en clientes kerberizados, podemos
usar directorios de inicio de un servidor
de archivos central. Podemos hacerlo
con un módulo de PAM, pam_mount.so.
También podemos hacer que se ejecute
cualquier comando que queramos tras el
login añadiéndolo a los scripts de inicio
de /etc/profile.
Totalmente Integrado
Son varios los pasos a realizar para que
sea posible automatizar el ingreso al
Directorio Activo y la configuración de
los directorios de inicio en máquinas
Linux, pero con Kerberos, NSS, PAM y
Samba, este proyecto de integración nos
permitirá conservar la amistad con nues-
tros vecinos de Redmond. ■
RECURSOS
[1] Heimdal Kerberos: http://www.h5l.
org
[2] MIT Kerberos: http://web.mit.edu/
kerberos/
[3] Shishi Kerberos: http://josefsson.org/
shishi/
[4] PAM para Linux: http://ftp.kernel.org/
pub/linux/libs/pam/
[5] Pam-krb5: http://www.eyrie.org/
~eagle/software/pam-krb5/

Gestión de identidades para la web mediante OpenID
IDENTIDADES
OpenID nos ofrece un estándar abierto para la gestión del acceso a
sitios web protegidos. POR NILS MAGNUS
N
o todo el mundo ve la web 2.0
como la panacea. Uno de los pro-
blemas tiene que ver con la canti-
dad de sitios web protegidos por contra-
seña. Blogs personales, comunidades vir-
tuales (desde Xing a Facebook), o incluso
sitios dedicados a la gestión de gastos o
planes de vacaciones, se basan en aplica-
ciones web con cuentas de usuario priva-
das. Esta enorme cantidad de contraseñas
y diálogos de login hace que muchos
usuarios se pierdan. Algunos navegadores
disponen de herramientas para la gestión
de contraseñas. También existen otras
alternativas (como KDE wallet) que pue-
den resultarnos útiles a la hora de trabajar
con un dispositivo único, local y físico.
Pero el paradigma de la web 2.0 contem-
pla la posibilidad de que un usuario se
desplace y acceda desde distintas localiza-
ciones.
El Método de la Comunidad
Las soluciones para la gestión de identida-
des proporcionan una respuesta más apro-
piada y flexible para simplificar el proceso
de login web. Estas herramientas suelen
confiar en terceros. Algunos gigantes ofre-
cen soluciones de login de terceros com-
probadas a partir de una sola fuente. El
sistema Passport de Microsoft se creó de
acuerdo a este principio. Ahora Microsoft
promociona Passport bajo el nombre Win-
dows Live ID [1]. Pero son muchos los
usuarios reticentes a depender de aplica-
ciones propietarias como ésta.
Pronto surgió una alternativa, llamada
Liberty Alliance Project [2], que ofrecía un
WWW.LINUX- MAGAZINE.ES
OpenID • PORTADA
método más abierto. Pero después de un
desarrollo activo de siete años, Liberty
Alliance aún no ha llegado a ser aceptada
globalmente por considerarse mastodón-
tica. El proyecto OpenID, bajo el auspicio
de la OpenID Foundation [3], está basado
en una funcionalidad más simple que
puede integrarse fácilmente en los siste-
mas de autenticación online.
Cuando elegimos la alternativa Open-
ID, dejamos de identificarnos mediante
un nombre de usuario y una contraseña,
y pasamos a hacerlo mediante un URI
(Uniform Resource Identificator) visuali-
zable en un navegador web. El URI puede
consistir en una dirección web ofrecida
por un servicio OpenID, como http://
nilsmagnus.myopenid.com para Myope-
nid [4]. El tipo de identidad no importa,
mientras el navegador pueda acceder a la
página. La página necesita añadir una eti-
queta que apunte al proveedor del servi-
cio:
Número 45 31
PORTADA • OpenID
OpenID, toma la parte del URI
correspondiente al host.
El consumidor (la wiki de
Amarok, en este caso) le pre-
gunta al proveedor el nombre
asociado al URI. Para hacerlo, se
le redirige al sitio web del provee-
dor, que revela quién ha reali-
zado la petición. El usuario con-
firma entonces la petición intro-
duciendo una contraseña. El pro-
veedor redirige al navegador de
vuelta al sitio del consumidor,
Figura 1: La wiki de Amarok nos permite ingresar con lo que el usuario queda iden-
mediante OpenID. tificado.
Una de las prácticas funciones
<link rel=”openid.server” href=U de OpenID son los distintos atributos que
“http://www.myopenid.com/U podemos asociar a una identidad en un
server” /> proveedor. Por ejemplo, podemos guardar
<link rel=”openid.delegate”U nuestro nombre completo, nuestro idioma
href= “http://U favorito o nuestra fecha de nacimiento
nilsmagnus.myopenid.com/” /> (ver Figura 2). Un
usuario, cuando
El servidor del lado del proveedor especi- recibe una petición
fica la primera relación; el segundo replan- de un consumidor,
tea el nombre de la identidad. Normal- puede especificar
mente, el proveedor instalará una página a cuáles son los
fin de hacer disponible esta información datos que deberían
para los sitios web que pidan información mostrarse a dicho
sobre el login. Un usuario podría también consumidor y qué
incluir los detalles en una página de inicio datos debería reser-
o en un blog. En ese caso, nuestra propia var.
dirección nos podría servir de OpenID. Este proceso de
aprobación es
El Acceso importante para Figura 2: El proveedor especifica los detalles que pretende enviar al
Las aplicaciones con soporte para OpenID prevenir el uso consumidor.
muestran un campo de login para OpenID, inadecuado de un
además de la página de login tradicional. parámetro crítico, como un PIN para una
Por ejemplo, la Figura 1 muestra la auten- cuenta bancaria, que efectivamente pode-
ticación OpenID para la wiki de Amarok. mos guardar con nuestro ID. Algunos pro-
Cuando un usuario introduce el ID veedores permiten al usuario la creación
basado en URI, la aplicación web, cono- de varios perfiles, cada uno de ellos con
cida como consumidor en el idioma de una serie de atributos propios.
Gestión de Identidades y Federation
OpenID no es el único proyecto para la gestión de identidades. Feder ID [9], por ejem-
plo, es un proyecto de código abierto proveniente de Francia. Uno de sus colabo-
radores, Clément Oudot, señalaba en una entrevista reciente en Linux Magazine la
importancia de las identidades digitales en el acceso a recursos web.
Según Oudot, muchos usuarios tienen una identidad para cada sitio web. Esto supone
un problema para las grandes empresas y organizaciones, ya que los usuarios han de
memorizar muchas contraseñas. Feder ID proporciona herramientas para la sin-
cronización de repositorios de identidades. Estos atributos no sólo están disponibles
para una única organización local, sino que pueden ser compartidos por varios socios.
Las herramientas Feder ID son de código abierto y cumplen con la IETF (Internet Engi-
neering Task Force), la OASIS (Organization for the Advancement of Structured Infor-
mation Standards) y los estándares de la Liberty Alliance para la gestión de identi-
dades.
32 Número 45 WWW.LINUX- MAGAZINE.ES
Este método se conoce también como
User-Centric Identity Management,
debido a que cada usuario puede defi-
nir, de forma individualizada, qué infor-
mación debe proporcionar el proveedor
a los consumidores que la soliciten.
Ciertos proveedores de identidad ofre-
cen identidades de forma gratuita. Es el
usuario quien debe decidir en qué provee-
dor debe confiar. A diferencia del método
centralizado empleado por Passport, hay
una colección descentralizada de provee-
dores de OpenID compitiendo los unos
con los otros para ofrecer sus servicios. El
usuario puede incluso crear su propio pro-
veedor.
Quien esté interesado en desarrollar una
solución propia puede usar los paquetes
de código abierto disponibles para lengua-
jes de programación como Perl, PHP,
Ruby, Python o Java [7].
En Cuanto a la Seguridad
Habrá quien se pregunte cómo de seguro
es OpenID si cualquiera puede hacer de
proveedor. ¿Puede un atacante falsear o
secuestrar una identidad? Esto nos
recuerda a un asunto de seguridad bien
conocido: Si podemos manipular un sitio
web, podemos redirigir a la gente a nues-
tro proveedor de identidades o escribir
uno.
Dicho de otro modo, la seguridad está
en manos de quienes ejecutan el sitio.
Considerando la calidad del código de
muchos sitios escritos en lenguajes de
scripting tradicionales, puede que sea
algo a tener en cuenta, pero no un argu-
mento convincente en contra de Open-
ID.
La segunda pregunta es más delicada:
¿Puede un hacker interceptar las comuni-
caciones entre el consumidor y el provee-
dor de identidades para guardar las sesio-
 OpenID • PORTADA

sesiones controlando su
Tabla 1: Proveedores Identidad estado con protocolos que no RECURSOS
Aplicaciones Web poseen dicho control nativa- [1] Passport de Microsoft: http://www.
Proveedor OpenID mente, como ocurre con http, passport.net
AOL http://openid.aol.com/Screenname la base de OpenID. El hecho [2] Liberty Alliance Project: http://www.
blogger http://Blogname.blogspot.com de que varias aplicaciones projectliberty.org
Flickr http://www.flickr.com/photos/Username web hayan sido comprometi- [3] Proyecto OpenID: http://openid.net
Livedoor http://profile.livedoor.com/Username das es un claro indicador de [4] Myopenid (proveedor): http://
Livejournal http://Username.livejournal.com los peligros que nos acechan, myopenid.com
Technorati http://technorati.com/people/technorati/ suponiendo que nos fiamos
Username [5] Extensión Mediawiki para OpenID:
de los resultados de las http://www.mediawiki.org/wiki/
Wordpress http://Username.wordpress.com
encuestas [8]. Extension:OpenID
Yahoo http://openid.yahoo.com
[6] Soporte de Drupal para OpenID:
Práctico y Abierto http://drupal.org/project/openid
nes? Después de todo, el proveedor envía OpenID es un paso más en la dirección
[7] Librerías de Código Abierto para
un mensaje de confirmación en caso de correcta hacia la gestión de identidades.
OpenID: http://wiki.openid.net/
una autenticación satisfactoria. Un ata- Debido a que OpenID implementa un
Libraries
cante podría presentar como credenciales único login, resulta muy adecuado para
para un nuevo login una sesión previa- todo aquel usuario que no quiera recordar [8] “Protegiendo a Clientes y Comer-
ciantes”, Whitepaper, Secure Com-
mente guardada. De todas formas, pode- un gran número de contraseñas. La capa-
puting: http://www.
mos evitarlo habilitando OpenID SSL/TLS cidad de gestión de atributos es mucho
securecomputing.com/webform.
para securizar la conexión y añadir un más potente de lo que pueda parecer en
cfm?id=289&ref=pci
grado de seguridad a cada petición. Con un primer momento.
este método conseguimos que las respues- El número de sitios web que usan Ope- [9] Feder ID: http://federid.objectweb.
org
tas sean válidas una sola vez, evitando nID continúa creciendo exponencial-
que se puedan reciclar fácilmente. mente, aunque algunas aplicaciones real-
A pesar de todo, no es buena idea mente grandes tienen que demostrar toda- racionales y conceptuales en cuanto a
subestimar la complejidad de la gestión de vía que cumplen todos los requisitos ope- confiabilidad y disponibilidad. ■

WWW.LINUX- MAGAZINE.ES Número 45 33

 PORTADA • Autenticación Web
Dotamos de autenticación a nuestros sitios web
PROTECCIÓN DE
PÁGINA
Apache ofrece diferentes opciones para proteger mediante contraseña determinadas áreas de un sitio web.
POR FRANK WILES
S
i se quiere ofrecer un login en
determinadas páginas web de
acceso restringido, no es nece-
saria una cuenta en MySpace, ni tam-
poco un enorme sitio web corporativo.
Apache proporciona varias alternati-
vas para la autenticación de usua-
rios. Aunque para poder dis-
poner de ellas haya que
hacer varias configura-
ciones extra, podemos
proteger fácilmente
Utemov, Fotolia
34 Número 45
nuestras páginas sin necesidad de
aplicaciones propietarias adicionales.
En este artículo describimos algunas
de las técnicas que nos permitirán pro-
teger nuestras páginas web mediante
contraseña.
El servidor web Apa-
che com-
WWW.LINUX- MAGAZINE.ES
prueba si el usuario está autorizado
para visualizar el recurso solicitado a
través de un proceso que comprende
tres fases. En la fase de Acceso se veri-
fica si la dirección IP que solicita el
recurso está autorizada para acceder
al mismo. En la fase de Autenticación
se comprueba que el nombre de usua-
rio proporcionado concuerda con la
contraseña asociada al usuario. La
fase de Autorización suele usarse para
facilitar la administración creando
grupos de usuarios. Veremos cómo se
puede ampliar cualquiera de estas
fases con algo de código de cosecha
propia.
A menos que se trate de una cone-
xión a través de SSL, con cualquiera de
estos métodos se enviarán las contra-
señas sin cifrar. Recomendamos enca-
recidamente usar SSL en cada una de
las páginas que requiera autenticación.
Para los ejemplos de este artículo
hemos usado Apache 2.2.8. En versio-
nes anteriores, algunas de estas
opciones podrían no estar disponi-
bles, o podría variar ligeramente
la configuración.
Autenticación
mediante Archivos
La autenticación mediante archivos, a
la que en ocasiones nos referimos
como Basic Auth o htpasswd auth, es
la técnica más común a la hora de
añadir un login en Apache. Por ejem-
plo, si queremos proteger todas las
páginas de administración de nuestro
sitio web, podemos invocar la autenti-
cación mediante archivos añadiendo
el siguiente código al archivo de
configuración de nuestro Apache:
 Autenticación Web • PORTADA

de/contraseñas
Listado 1: Restricción del Acceso del Usuario AuthBasicProvider file
01 <Location /> 07
Require valid-user
02 AuthType Basic 08 <Location /admin>
09 Require user Manuel Ramón
</FilesMatch>
03 Authname ”Mi Sitio”
04 AuthBasicProvider file 10 </Location>
05 AuthUserFile 11 Además de permitir el acceso a todos
/ruta/al/archivo/de/contraseña 12 <Location /contenidos> los usuarios incluidos en el archivo de
s 13 Require valid-user contraseñas, podemos restringir el
06 </Location> 14 </Location>
acceso a determinados usuarios.
La configuración del Listado 1 con-
<Location /admin> indica a Apache que debe autorizar a cede el acceso a Manuel y Ramón a la
AuthType Basic cualquier usuario válido que aparezca sección /admin mediante la entrada
AuthName ”Páginas deU en el archivo. Require user, seguida del listado de
Administración” Apache viene acompañado con un usuarios separados por espacios. Ade-
AuthUserFile programa llamado htpasswd que nos más, cualquier usuario correctamente
/ruta/al/archivo/U asiste en la creación y actualización de autenticado podrá acceder a /conteni-
de/contraseñas archivos de contraseñas. Primero crea- dos.
AuthBasicProvider file mos el archivo con: Otra funcionalidad útil es la de per-
Require valid-user mitir el acceso a grupos específicos en
</Location> htpasswd -c U lugar de a usuarios individuales. Para
/ruta/al/archivo/de/U hacerlo crearemos un archivo de gru-
La ubicación del archivo de contraseñas <usuario> pos. En el Listado 2 se muestra el
configuración de Apache varía en los ejemplo anterior, esta vez usando gru-
distintos sistemas. En los sistemas Red Después de que se haya creado, si que- pos. El formato del archivo de grupos
Hat/Fedora se encuentra en /etc/httpd/ remos añadir nuevos usuarios o cam- es muy simple:
conf/httpd.conf, mientras que en biar sus contraseñas, usamos el mismo
Debian está en /etc/apache2/ comando htpasswd, sólo que esta vez <nombre del grupo>:
apache2.conf. sin el parámetro -c. Para eliminar un <usuario1>U
En caso de usar Apache 2.0.x, ten- usuario podemos editar a mano el ... <usuarioN>
dremos que eliminar la directiva Auth- archivo mediante un editor de textos
BasicProvider. Después de definir normal o usar el comando htpasswd En nuestro ejemplo, el contenido del
AuthType como Basic, nombramos este con el parámetro -D. archivo sería:
área de modo que los usuarios sepan Además, podemos usar este método
dónde están ingresando. Además, (y otros métodos que veremos más admin: Manuel Ramón
debemos informar a Apache del sitio adelante) con directivas como <Direc-
donde ha de buscar la contraseña para tory>, <DirectoryMatch>, <Loca- Podemos crear de este modo tantos
este área. El último paso lo realizamos tionMatch> o <FilesMatch>. Por grupos como queramos uno por línea.
mediante la directiva Require, que ejemplo, podríamos solicitar una con- El uso de grupos es una forma estu-
traseña para visualizar cualquier penda de reducir el tiempo necesario
Listado 2: Trabajando con archivo .gif de nuestro sitio web con: para el mantenimiento y de simplificar
Grupos las configuraciones, haciéndolas más
<FilesMatch ”\.gif$”> fáciles de leer y comprender.
01 <Location />
02 AuthType Basic AuthType Basic Nótese la importancia de que nues-
03 AuthName ”Mi Sitio” AuthName ”Para las imágenesU tros archivos de contraseñas y grupos
04 AuthBasicProvider file hace falta contraseña” no se encuentren dentro del
05 AuthUserFile DocumentRoot de Apache; de no ser
AuthUserFile/ruta/al/archivo/ /ruta/al/archivo/U así, cualquiera podría descargarlos.
de/contraseñas
06
AuthGroupFile/ruta/al/archivo Listado 3: Autenticación mediante SQL
/de/grupos 01 DBDriver pgsql 09 AuthBasicProvider dbd
07 </Location> 02 DBDParams ”host=localhost 10 Require valid-user
08 03 nombredb=foro usuario=apache
09 <Location /admin> 11
04 password=secreto”
10 Require group admin 12 AuthDBDUserPWQuery ”SELECT
05
11 </Location>
06 <Location 13 password FROM usuarios WHERE
12 /solo_usuarios_del_foro> usuario = %s”
13 <Location /contenidos> 07 AuthType Basic
14 Require valid-user 14 </Location>
08 AuthName ”Sólo Usuarios
15 </Location> del Foro”

WWW.LINUX- MAGAZINE.ES Número 45 35

PORTADA • Autenticación Web

Autenticación con Base de
Datos SQL
Quizá nuestro sitio ya esté usando
algún software que requiera contra-
seña, algún foro por ejemplo, y que,
una vez creados los usuarios, decida-
mos añadir otra sección a la que sólo
puedan acceder los usuarios registra-
dos.
Tener que volver a registrar todos
nuestros usuarios en algún tipo de
autenticación mediante archivos
(como la descrita anteriormente)
podría convertirse en una verdadera
pesadilla, con dos sitios distintos en
los que añadir y modificar usuarios. Es
más, algunos usuarios podrían acabar
teniendo nombres o contraseñas dis-
tintas para según qué parte del sitio
web.
Si nuestro foro hace uso de una base
de datos SQL, guardando allí las con-
traseñas, podemos configurar Apache
para que acceda a dicha base de datos
y extraiga la información relativa a las
contraseñas. El software deberá alma-
cenar las suyas con el mismo tipo de
hash que lo hace Apache, en este
caso, la función crypt(). Además, ten-
dremos que activar dos módulos en
Apache: mod_dbd.so y lugar debemos definir el controlador
mod_authn_dbd, para lo cual añadi-
mos estas líneas al archivo de
configuración de Apache:
LoadModule dbd_module U
modules/mod_dbd.so
LoadModule authn_dbd_module U
modules/mod_authn_dbd.so
El segundo parámetro de cada línea es
una ruta relativa o absoluta al módulo;
el valor exacto podría variar según el
sistema, dependiendo de la distribu-
ción que estemos usando o de cómo
hayamos compilado Apache.
Después de cargar los módulos
debemos configurar Apache para que
pueda funcionar con nuestra base de
datos SQL, de forma que saque de ahí
las contraseñas de los usuarios. En el
Listado 3 se muestra una
configuración aplicable al caso de una
base de datos PostgreSQL. En primer
de la base de datos, que en este caso
será pgsql. Para las bases de datos
MySQL, el controlador se llama mysql.
Apache incluye soporte para bases de
datos Oracle, SQLite2 y SQLite3.
Tras definir el controlador, debemos
pasarle ciertos parámetros relativos a
la conexión con la base de datos. En el
caso de MySQL o PostgreSQL, hemos
de pasarle la máquina, el nombre de la
base de datos, el usuario y la contra-
seña.
Las líneas siguientes deberían resul-
tarnos familiares en este punto; la
única diferencia es que ahora configu-
ramos AuthBasicProvider de manera
que use el módulo dbd. Lo último es

Listado 4: ¡No se Trabaja los Fines de Semana!

01 package AutenDepart; 29 # Comprobar si es fin de 50 SELECT password FROM
02 semana usuarios WHERE usuario = ? AND
03 use strict; 30 my $day_of_week = 51 current_time
(localtime(time))[6]; BETWEEN shift_begin AND
04 use warnings; shift_end });
31 if( $day_of_week == 0 or
05 $day_of_week == 6 ) { 52
06 use Apache2::Access (); 32 return 53 $sth->execute( $user );
07 use Apache2::RequestUtil (); Apache2::Const::HTTP_UNAUTHORI 54 my $db_password =
ZED; $sth->fetchrow;
08 use Apache2::Const -compile
=> qw(OK HTTP_UNAUTHORIZED 33 } 55 $sth->finish;
AUTH_REQUIRED); 34 56
09 35 # Tomar nombre de 57 # Nos aseguramos de
10 use DBI; usuario y contraseña encontrar una contraseña para
11 use Digest::MD5 qw( md5_hex 36 my ($rc, $password) = el usuario.
); $r->get_basic_auth_pw(); 58 # Si no lo encontramos
12 37 my $user = $r->user; es que no existe
13 sub handler { 38 59 if( !$db_password ) {
14 my $r = shift; 39 unless ( $user and 60
$password ) { $r->note_basic_auth_failure;
15
40 61 return(
16 # Ver si se trata de la $r->note_basic_auth_failure; Apache2::Const::AUTH_REQUIRED
petición inicial o no );
41 return(
17 # Si no lo es, sólo hay Apache2::Const::AUTH_REQUIRED 62 }
que resetear el nombre );
63
18 # de usuario 42 }
64 # Comprobamos que la
19 if( !$r->is_initial_req 43 contraseña sea correcta
) {
44 # Conectamos a la base 65 if( md5_hex( $password )
20 de datos y empezamos a ne $db_passwd ) {
21 if( defined $r->prev comparar
66
) { 45 # guardamos las $r->note_basic_auth_failure;
22 $r->user( contraseñas como sumas MD5
67 return(
$r->prev->user ); 46 my $dbhv = Apache2::Const::AUTH_REQUIRED
23 } DBI->connect(‘dbi:Pg:nobmredb= );
admin’, ’apache’, ’secreto’)
24 68 }
47 or die ”No es
25 return posible conectar a la base de 69
Apache2::Const::OK; datos: $!”; 70 return(
26 48 Apache2::Const::OK );
27 } 49 my $sth = $dbh->prepare( 71
28 qq{ 72 }

36 Número 45 WWW.LINUX- MAGAZINE.ES


configurar la petición que obtendrá la
verdadera contraseña del usuario. El
motivo de que haya que indicar a Apa-
che el modo en el que ha de sacar las
contraseñas de la base de datos, es
que cada base de datos puede tener
diferentes nombres de tabla y de
columna.
Autenticación mediante
LDAP
Otro de los módulos más populares
de autenticación es
mod_authnz_ldap, que nos permite
autenticar nuestro sitio web en un
servidor LDAP. La autenticación
LDAP puede resultar muy útil en
entornos corporativos, en los que un
servidor LDAP central se puede
encargar de todas las autenticaciones
que necesite la compañía.
Activamos el módulo LDAP de Apa-
che con
LoadModule authnz_ldap_module
U de que los empleados del primero sólo
modules/mod_authnz_ldap.so
Para decirle a nuestro servidor Apache
que autentifique a los usuarios
mediante LDAP, hay que definir la
URL:
<Location /contenidos>
AuthLDAPURL U
“ldap://ldap1.empresa.com/ou=U
Gente, o=Empresa”
Require valid-user
</Location>
Además, podemos definir servidores
LDAP redundantes para prevenir erro-
res simplemente añadiendo otro servi-
dor a la URL:
<Location /contenidos>U
AuthLDAPURL ”ldap://ldap1.U
empresa.com
ldap2.empresa.com/U
ou= Gente, o=Empresa”
Require valid-user
</Location>
Los módulos LDAP ofrecen varias
opciones. Asignando al usuario cier-
tos atributos LDAP, podemos incluir
información sobre grupos y restringir
el acceso en una variedad de situacio-
nes.
Autenticación Web • PORTADA
Autenticación
Personalizada
Apache es un sistema muy extensible
y tan flexible que puede usarse para
cosas distintas de http. Podemos escri-
bir módulos para ampliarlo. Los pode-
mos escribir en C, como los expuestos
en este artículo, aunque el lenguaje C
lleva mucho tiempo y es laborioso
para muchos administradores web sin
experiencia como desarrolladores de
software que no están familiarizados
con él.
Gracias a módulos como mod_perl o
mod_python podemos escribir nues-
tros propios módulos en otros lengua-
jes versátiles.
Apache ofrece una gran flexibilidad
en cuanto a la gestión de acceso a con-
tenidos, pero adolece de algo básico:
no tiene constancia del tiempo. Para
ilustrar la forma de personalizar la
autenticación de Apache, supongamos
que nuestra empresa tiene dos depar-
tamentos y que queremos asegurarnos
pueden acceder en horario laboral a
las páginas o las aplicaciones. Primero
activamos mod_perl con:
LoadModule perl_module # Finalmente, compara la suma MD5
modules/mod_perl.so
Con mod_perl podemos escribir un
módulo Perl y sustituir una fase deter-
minada del ciclo de vida de Apache.
En nuestro ejemplo, el módulo com-
para nombres de usuario y contrase-
ñas, pero también comprueba que los
empleados tengan autorización para
trabajar en el momento de la petición
(Listado 4). Además, impide el acceso
a todo aquel que intente trabajar en
Sábado o Domingo.
El código lo podemos dejar en cual-
quier ruta incluida en el @INC de Perl,
nombrando al archivo
AutenDepart.pm. Si lo queremos situar
en otro sitio, debemos colocarlo en el
archivo de configuración de Apache:
<Perl>
use lib qw( /ruta/al/U
directorio/con/el/módulo );
</Perl>
Después de cargar los módulos
mod_perl, DBI y las librerías MD5, el
Listado 4 define el manejador.
WWW.LINUX- MAGAZINE.ES
En primer lugar comprobamos si se
trata de la petición inicial o si por el
contrario es algún tipo de redirección
interna. Si no es la petición inicial, es
que el sistema ya ha autenticado la
petición e ignora la información.
Luego comprobamos que el día
actual no cae en fin de semana. Si es
Sábado o Domingo, simplemente
impide el paso a todo el mundo. Lo
siguiente que hace el script es tomar el
nombre y la contraseña del usuario.
Si el nombre de usuario y la contra-
seña no están disponibles, el script
ordena al navegador que vuelva a
mostrar el valor de retorno
AUTH_REQUIRED.
Lo siguiente que debe hacer es
conectar a la base de datos y buscar la
contraseña del usuario. La petición
presupone que los tiempos de inicio y
de fin del departamento del usuario se
encuentran en la tabla usuarios.
Si el usuario no existe o trata de
ingresar fuera del horario de su depar-
tamento, la petición no devuelve nin-
gún dato. En producción, probable-
mente deseemos decirle al usuario la
razón por la cual no puede conectar
para que no siga intentándolo.
de la contraseña con la que hay en la
base de datos.
Si la prueba falla, se le vuelve a solici-
tar a la contraseña. Si es correcta,
devuelve la constante OK, que indica a
Apache que el usuario está autenticado.
Ahora que ya sabemos que el código
funciona, lo siguiente es hacer que
Apache lo use. Lo podemos hacer sus-
tituyendo la fase de autenticación por
nuestro código:
<Location /admin>
AuthType Basic
AuthName ”Páginas deU
Administración”
PerlAuthenHandler AutenDepart
Require valid-user
</Location>
Conclusión
Estos ejemplos nos muestran algunas
formas de proteger nuestras páginas
web configurando Apache adecuada-
mente. Para conocer más opciones,
recomendamos la visita al sitio web de
Apache (http://httpd.apache.org). ■
Número 45 37
EVALUACIÓN • OpenOffice.org 3.0
Un primer vistazo a OpenOffice.org 3.0
UNA OFICINA
NUEVA
Las versiones previas de OpenOffice.org no decepcionaron a nadie, así
que hay grandes esperanzas puestas en la reciente versión 3.0 de una
de las más importantes aplicaciones de código abierto que existen.
Vamos a echarle un vistazo a las bondades que según dicen ofrece esta
nueva versión. POR DIMITRI POPOV
S
i desea probar la última versión
beta de OpenOffice.org 3.0 o si no
desea esperar hasta que su distribu-
ción favorita de Linux incorpore la versión
final, puede instalarse la nueva versión de
esta suite usted mismo. Las buenas noti-
cias son que no interferirá con la instala-
ción actual de su OpenOffice.org 2.x.x, así
que podrá tener ambas versiones al mismo
tiempo.
Comenzamos
Para comenzar, debe descargarse OpenOf-
fice.org [1]. Si se tiene Ubuntu, hay que
obtener la versión deb del programa. Tras
la descarga del paquete será necesario des-
comprimirlo y ejecutar un terminal. Utili-
zando el comando dpkg -i instalaremos los
ficheros .deb en la carpeta DEBS:
sudo dpkg -i DEBS/*.deb
Y eso es todo. Con el comando que sigue
podremos ejecutar OpenOffice.org 3.0:
/opt/openoffice.org3/U
program/soffice
38 Número 45
Mantener las Apariencias
Lo primero que notaremos cuando se eje-
cute OpenOffice.org 3.0 es que ya no vol-
verá a aparecer una pantalla gris comple-
tamente vacía; por el contrario, aparecerá
una nueva pantalla de bienvenida, lla-
mada Start Center, que le permitirá crear
de forma rápida nuevos documentos, abrir
archivos existentes y navegar por las plan-
tillas y los repositorios de extensiones.
Otro elemento que llama la atención es
la estética: OpenOffice.org 3.0 viene con
una nueva serie de iconos por defecto
cuyo tema se denomina Galaxy. El cambio
no es totalmente radical, pero proporciona
una interfaz gráfica nueva más refres-
cante. Sin embargo, puede ocurrir que no
se vea la nueva interfaz gráfica, ya que
muchos proveedores de distribuciones
Linux añaden temas propios que se ajus-
tan al aspecto general de sus distribucio-
nes. En la mayoría de los casos se puede
cambiar al tema Galaxy por medio de
Herramientas | Opciones | OpenOffice.org |
Ver y seleccionando el tema Galaxy del
menú desplegable Estilo y tamaño del
icono.
WWW.LINUX- MAGAZINE.ES
Su
rflifes
,F
oto
lia
Formatos Soportados
De forma similar a las versiones previas de
OpenOffice.org, la última versión utiliza el
formato ODF como formato por defecto.
Sin embargo, OpenOffice.org 3.0 utiliza la
nueva versión 1.2 de ODF, que incluye un
poderoso lenguaje para fórmulas así como
un sofisticado modelo de metadatos
basado en los estándares RDF y OWL de
W3C. El cambio a ODF 1.2 implica que
otras versiones más antiguas de esta suite
presenten problemas a la hora de manejar
los documentos creados con
OpenOffice.org 3.0. Sin embargo, puede
indicarse a OpenOffice.org 3.0 que guarde
los documentos en ODF 1.0 por defecto,
estableciéndose así una solución temporal.
Con respecto a los formatos soportados,
la nueva versión de OpenOffice.org incluye
un filtro para importar los documentos de
Microsoft Office 2007. Esto permitirá ahora
abrir los documentos .docx, .xlsx y .pptx en
OpenOffice.org, aunque no puedan sal-
varse los de Writer, Calc e Impress en el
formato de Microsoft Office 2007.
Writer, Calc e Impress
La funcionalidad Notas en las versiones
previas de OpenOffice.org eran inadecua-
das y muy poco amigables. Las notas en
línea en un documento de texto se mostra-
ban como pequeños rectángulos amarillos,
que eran difíciles de utilizar y se perdían
con facilidad.
Si usted utiliza notas para comentar y
colaborar con documentos Writer, le agra-
dará saber que OpenOffice.org 3.0 viene

Figura 1: OpenOffice.org 3.0 viene con una nueva presentación inicial.
con un sistema de notas totalmente redise-
ñado (Figura 2). Las Notas se muestran
ahora en un lado del documento, y cada
una posee una flecha que apunta al punto
exacto de inserción en el texto. Las notas
creadas por los distintos usuarios se mues-
tran con colores diferentes, y cada una
contiene su fecha y hora de creación así
como el nombre del usuario que la aña-
dió. De esta forma se facilita su uso, con-
virtiéndose en una herramienta eficiente
para utilizarla en los documentos colabo-
rativos.
OpenOffice.org 2.4 presentó la posibili-
dad de aplicar diferentes idiomas a los dis-
tintos segmentos del texto de un docu-
mento de forma sencilla, una funcionali-
dad fundamental cuando se trabaja con
documentos multilingües. OpenOffice.org
3.0 añade una pequeña pero importante
mejora a esta funcionalidad. Los dicciona-
rios ortográficos se tratan en
OpenOffice.org 3.0 como extensiones, y el
comando Herramientas | Idioma | Más dic-
cionarios en línea abre el repositorio de
extensiones que contienen los diccionarios.
Una vez aquí, pueden descargarse los dic-
cionarios que se deseen e instalarlos utili-
zando el Gestor de Extensiones.
El módulo Gestor de Extensiones tam-
bién ha sido mejorado para facilitar su
uso. El nuevo gestor ofrece un resumen
mejorado de las extensiones instaladas y
muestra información detallada de las dis-
tintas extensiones (información incluida
en el interior de las extensiones por los
desarrolladores de las mismas). Los desa-
rrolladores de extensiones también apre-
ciarán la capacidad de integrar la ayuda de
la extensión en el módulo de Ayuda en
línea.
La aplicación Writer también viene con
otra pequeña mejora muy útil: puede utili-
OpenOffice.org 3.0 • EVALUACIÓN
Figura 2: Nueva funcionalidad Notas.
zarse una barra de desplazamiento que se
encuentra en la barra de herramientas de la
parte inferior para ampliar y reducir el
documento así como cambiar entre los dis-
tintos modos de visualización. Esta funcio-
nalidad supone una forma más eficaz de
ver y recorrer documentos extensos que la
opción de Vista Previa que proporcionaba
la versión 2.x.x (Figura 4). El programa de
hojas de cálculo Calc también incorpora
unas cuantas funcionalidades nuevas
(Figura 5). La más notable es el compo-
nente Solver, diseñado para problemas de
optimización. El valor óptimo de una celda
particular se calcula en base a restricciones
proporcionadas en otras celdas.
Otra funcionalidad también novedosa (y
menos esotérica) es la posibilidad de com-
partir las hojas de cálculo con otros usua-
rios. En la versión actual de
OpenOffice.org, cuando un usuario abre un
documento de Writer, Calc o Impress, el
sistema lo bloquea, de modo que el resto
de usuarios no pueden modificarlo. La fun-
cionalidad Compartir en Calc proporciona
a otros usuarios el acceso al documento y
establece un mecanismo simple de resolu-
ción de conflictos. Cuando se activa utili-
zando el comando Herramientas | Compar-
tir documento, los otros usuarios pueden
abrir y editar la hoja
de cálculo compar-
tida. Los cambios
realizados a la hoja
de cálculo se mez-
clan cuando los
usuarios la guardan.
Cuando se realiza
esta operación, el sis-
tema notifica la
modificación a los
usuarios y las resalta
en la hoja de cálculo Figura 3: Gestor de Extensiones rediseñado.
WWW.LINUX- MAGAZINE.ES
compartida. Si dos usuarios modifican la
misma celda, el sistema muestra el cuadro
de diálogos de resolución de conflictos,
proporcionando de esta forma diferentes
opciones a la hora de solventarlo.
El módulo para representar gráficas de
esta nueva versión de OpenOffice.org per-
mite la representación de errores y ecuacio-
nes de regresión. Ahora es posible dibujar
los errores basándose en rangos de error
proporcionados en celdas de la hoja de cál-
culo. Además, pueden mostrarse ecuacio-
nes de regresión así como coeficientes de
correlación.
La aplicación de presentaciones Impress
viene ahora con soporte nativo de tablas
(Figura 6). En las versiones anteriores se
podían insertar tablas sólo como objetos
Calc incrustados, con lo que se complicaba
el uso y era limitado.
La nueva versión de Impress estrena el
soporte nativo de tablas, y la aplicación
suministra todas las herramientas esencia-
les para manipular y darle formato a las
tablas. Cuando se inserta una tabla por
medio del comando Insertar | Tabla, se
puede utilizar la barra de herramientas de
las Tablas para añadir o eliminar filas y
columnas, unir y dividir celdas y ajustar las
propiedades de la tabla. La pestaña Diseño
Número 45 39
EVALUACIÓN • OpenOffice.org 3.0
Figura 4: Vista preliminar en OpenOffice.org.
de Tabla en el panel Tareas también ofrece
varios estilos de tablas predefinidos que se
pueden utilizar para maquillar el aspecto
final de la tabla.
Extensiones
Con una arquitectura robusta de extensio-
nes en su sitio, la integración de funcionali-
dades directamente en OpenOffice.org
dejará de ser la única forma de añadirle
funcionalidad a la suite, como muestra la
extensión Sun Report Builder [2] (Diseña-
dor de Informes de Sun). En vez de rem-
plazar el sistema de informes obsoleto de
OpenOffice.org Base, Sun creó un nuevo
motor de informes como una extensión.
Esta tendencia ha continuado con OpenOf-
fice.org 3.0, en la que ciertas “funcionalida-
des” nuevas han salido como extensiones
separadas. Los ejemplos más notables son
las extensiones Sun PDF Import [3] y Sun
Presenter Console [4]. Tal y como sugieren
sus respectivos nombres, la primera per-
mite importar ficheros PDF en OpenOf-
fice.org, mientras que la segunda propor-
ciona un mayor control sobre las presenta-
ciones. Sun PDF Import es toda una nove-
dad para aquellos usuarios que necesiten
una herramienta ligera para editar y
comentar documentos
PDF. La extensión per-
mite que pueda impor-
tarse un fichero PDF en
la aplicación Draw y uti-
lizar todas las herramien-
tas disponibles para
modificar y comentar el
documento. Luego se
puede guardar de nuevo
el fichero modificado en
formato PDF utilizando
el comando Archivo |
Exportar como PDF. Figura 6: Impress posee soporte nativo de tablas.
40 Número 45
Figura 5: Calc viene ahora con el componente Solver.
Aunque PDF Import realiza un buen tra-
bajo abriendo los ficheros PDF, no reem-
plazará a los editores de PDF dedicados
debido a sus importantes limitaciones. Por
ejemplo, la extensión importa cada línea de
texto del fichero PDF como un bloque de
texto independiente. Esto implica que no se
puede copiar un fragmento de texto y
pegarlo como texto en un documento Wri-
ter, lo que limita la posibilidad de extraer
texto de los ficheros PDF. También, a la
hora de exportar el fichero editado como
PDF no se preservan los marcadores exis-
tentes en el fichero PDF original. Por ello,
PDF Import es útil cuando se necesite reali-
zar un cambio ligero, pero no reemplazará
a los editores PDF dedicados. Es decir, hay
que tener claro que la extensión PDF
Import no ha sido diseñada como una
herramienta para la edición completa de
ficheros PDF.
Ahora las presentaciones creadas con
Impress son más fáciles de realizar gracias
a la extensión Sun Presenter Console. Esta
extensión permite que el usuario pueda ver
la presentación, las notas y el tiempo. Esta
información sólo estará disponible para el
ponente, mientras que la audiencia sólo
verá el pase de la misma.
WWW.LINUX- MAGAZINE.ES
Aunque la idea de extender la funcionali-
dad por medio de extensiones tiene bas-
tante sentido (después de todo, Firefox lo
lleva haciendo desde hace años) presenta
ciertos inconvenientes. Por ejemplo, tras
instalar la versión 3.0, habrá que seguir
descargando diversas extensiones para
añadir algunas de las más interesantes y
útiles, y algunos dirían esenciales, funcio-
nalidades del programa. También, algunos
usuarios podrían encontrar raro el hecho
de que la función para exportar un docu-
mento en formato PDF se encuentre incor-
porada en OpenOffice.org, pero si se desea
importar un fichero PDF, se tendrá que ins-
talar un componente adicional.
Conclusión
Uno de los mayores rasgos del proyecto
OpenOffice.org ha sido siempre su cons-
tante mejora y su conservadora tendencia
a la hora de añadir funcionalidades nue-
vas; la próxima versión de esta productiva
suite no es una excepción. OpenOffice.org
3.0 no va a ser una versión revolucionaria,
pero va a aportar bastantes mejoras y
unas cuantas funcionalidades nuevas que
harán que muchos usuarios deseen actua-
lizarse. ■
RECURSOS
[1] Descarga de la versión beta de Open-
Office.org 3.0: download.openoffice.
org/3.0beta/
[2] Diseñador de Informes de Sun: exten-
sions.services.openoffice.org/project/
reportdesign
[3] Sun PDF Import: extensions.services.
openoffice.org/project/pdfimport
[4] Sun Presenter Console: extensions.
services.openoffice.org/project/
presenter-screen

Benice, Fotolia
Las diez mejores herramientas Top
COMPETIDORES DE
ALTURA
La famosa utilidad de administración de Unix conocida como Top tiene muchos imitadores. Vamos a echarle
un vistazo a las mejores herramientas Top. POR MARKUS FEILNER Y SASCHA SPREITZER
P
icos de carga, problemas de E/S y
comportamientos inexplicables
del sistema son las dificultades
que día a día tienen que afrontar los
administradores. ¿Por qué está la base
de datos utilizando tanta memoria de
intercambio? ¿Por qué se descarga la
batería del portátil tan rápidamente? La
clásica herramienta de la línea de
comandos Top es la utilizada para diag-
nosticar este tipo de comportamientos.
Top fue la primera en una larga serie
de herramientas encargadas de monitori-
zar los recursos del sistema. Ahora
diversos imitadores compiten por llamar
la atención de los administradores. Con
la ayuda del jurado de Linux Magazine,
hemos probado docenas de estos progra-
mas y ahora orgullosamente presenta-
mos a los 10 mejores.
Las herramientas top de esta categoría,
con una sola excepción, tienen algo en
común: muestran los recursos utilizados
por los servicios o los servidores en una
sintaxis similar al clásico programa Top
de Unix. El ranking que mostramos aquí
está basado en cómo es de útil la herra-
mienta a la hora de resolver problemas.
10: Xrestop
Xrestop [1] muestra a los usuarios de
X11 qué programas clientes de las X
WWW.LINUX- MAGAZINE.ES
Top Ten • EVALUACIÓN
están utilizando la mayoría de los recur-
sos, organizando los resultados por el
uso de la memoria pixmap (Figura 1). La
herramienta se basa en la extensión de
recursos X [2] para obtener la informa-
ción de los clientes conectados al servi-
dor X. Las funciones XResQueryClients,
XResQueryClientResources y XresQuery-
ClientPixmapBytes proporcionan los
datos que Xrestop utiliza para generar
una vista al estilo Top.
Xrestop fue originalmente diseñado
para la comunidad X.org para ayudar a
los desarrolladores a localizar los aguje-
ros de memoria y de rendimiento en el
servidor X, pero con el paso del tiempo
Número 45 41
EVALUACIÓN • Top Ten

ha ganado popularidad como una herra- red de una inter-

mienta para el día a día del administra-
dor. Los administradores actualmente
utilizan a menudo Xrestop para localizar
los consumidores indeseados de recur-
sos. Aunque puede localizarse un fallo o
un cuelgue de las aplicaciones X Win-
dow fácilmente, habrá que utilizar otra
herramienta para “matar” al culpable.
Como Xrestop sólo ayuda a localizar los
problemas con las aplicaciones X, pero
no ofrece muchas opciones, esta herra-
mienta sólo ha alcanzado el puesto
número 10 de nuestra lista.
9: Ntop
Ntop [3] es una herramienta de monito-
rización instantánea bastante popular
que proporciona a los administradores
un resumen de las tarjetas de red, su
tasa de transferencia y todas sus cone-
xiones. La cantidad de información que
Ntop recolecta y presenta por medio de
una bonita interfaz web garantiza su
puesto en esta lista. La Figura 2 muestra
algunas estadísticas obtenidas con Ntop.
La herramienta presenta a los admi-
nistradores detalles de las conexiones de
Tabla 1: Atajos de Teclado
de Ptop
Q Muestra la consulta de una entrada
PID.
E El plan de la consulta para el PID.
Las funciones PostgreSQL EXPLAIN y
EXPLAIN_ANALYZE se utilizan para
esto (Figura 4).
L Muestra los bloqueos.
R Muestra las estadísticas.
X Muestra los datos de los
índices.
faz, ordenándolos
por fecha, host,
protocolo u otras
opciones. Los dia-
gramas basados en
RRD les permiten
ver de un solo vis-
tazo los posibles
problemas. Figura 1: Xrestop muestra el uso de la memoria pixmap de las aplica-
Aunque no hay ciones X11. La captura de pantalla fue tomada con Ksnapshot, motivo
que personalizar por el cual Ksnapshot se encuentra a la cabeza de la lista.
Ntop antes de
comenzar, la información que recolecta
es volátil y desaparece completamente si
se reinicia. Para solucionar este inconve-
niente hay que utilizar Ntop junto con
una base de datos, aunque esta solución
implica una configuración más compleja.
Hasta hace poco, Ntop también incluía
la herramienta de la línea de comandos
Intop, que muestra un listado tipo Top
continuamente actualizado de las cone-
xiones de red actuales. La herramienta
Intop, sin embargo, ha desaparecido en
las versiones recientes de Ntop. De
acuerdo con el desarrollador Luca Deri,
la próxima versión de Ntop incluirá Pa-
cket Shell (Pksh [4]), que es más
exhaustiva. Pero hasta que salga, Ntop
no ofrece ningún cliente para la línea de
comandos.
Por ello, a pesar de su gran cantidad
de características, su excelente interfaz
web y la cantidad de información que
recolecta, Ntop se queda en el puesto
número nueve.
8: ApacheTop
ApacheTop [5] es una herramienta que
ofrece información del acceso actual al
servidor web Apache, las páginas que
Apache sirve, el número de accesos por
segundo y muchas otras estadísticas
más. La aplicación encuentra la informa-
ción necesaria en los ficheros access_log
de Apache (Figura 3).
Algunas opciones cambian la aparien-
cia de las consultas: -q mantiene las
“query strings” utilizadas por los scripts
PHP, -l fuerza las minúsculas y -s
número define el número de secciones
numéricas en la URL. Finalmente, -r
resuelve los nombres de los hosts con
sus respectivas direcciones IP.

Tabla 2: Atajos de Teclado

de Dnstop
S Muestra la fuente de la consulta.
D El destino; es decir, el servidor DNS
utilizado.
T Muestra una lista de tipos de con-
sultas DNS enviadas por la máquina.
O Los códigos de operación. Bajo cir
cunstancias normales sólo se verán
aquí las líneas con los tipos de con-
sultas.
1,2,3 Permite a los administradores exten
der la vista de la lista del servidor a
los nombres de dominio de primer,
segundo y tercer nivel, respectiva-
mente.
Ctrl+R Reinicia el contador. Figura 2: ¿A qué hora está más ocupado el servidor VPN? Ntop responde a esta cuestión y a
Crtl+X Se sale del programa. otras muchas más con su bonito interfaz web.

42 Número 45 WWW.LINUX- MAGAZINE.ES


Figura 3: Investigando un servidor web con
está actualmente accediendo a SquirrelMail.
Un administrador web puede utilizar
la línea de comandos para indicarle a
ApacheTop cuanto tiempo debe mante-
ner las estadísticas antes de actualizarlas
y borrarlas. Para ello pueden definirse
un número de accesos (-H accesos) o
especificar un valor en segundos (-T
segundos), así como establecer el retardo
entre dos actualizaciones (-d segundos).
La herramienta pierde algunos puntos,
ya que es bastante antigua y no se ha
mejorado desde 2005. A pesar de los
inconvenientes, los administradores que
han instalado Fam y Portmap en sus ser-
vidores web encontrarán que ApacheTop
es una herramienta fundamental para
realizar análisis prácticos en vivo, junto
con otras muchas aplicaciones en uso en
un entorno productivo.
Desafortunadamente, las opciones
están restringidas a utilizarse desde la
línea de comandos, lo que hace que sea
difícil que ApacheTop mantenga su
puesto frente a otros de sus competido-
res.
7: Ptop
En este listado aparecen dos herramien-
tas para bases de datos. En el puesto
número siete se encuentra Ptop [6]
(véase la Figura 4). Cualquier adminis-
Figura 4: Ptop muestra detalles sobre los bloqueos y estadísticas de
las tablas y los índices individuales. Ptop proporcionará el esquema
de consultas para cualquier consulta que se encuentre activa,
poniendo E de EXPLAIN.
trador que haya
trabajado con Pos-
tgreSQL estará
interesado en esta
herramienta, ya
que Ptop propor-
ciona un resumen
de todos los proce-
sos de la base de
ApacheTop: Un usuario datos, al mismo
tiempo que mues-
tra las sentencias
SQL que se están procesando actual-
mente. Pero eso no es todo: Ptop tam-
bién ofrece detalles de los bloqueos y
estadísticas de las tablas individuales y
los índices (Figura 5).
Para ejecutar Ptop hay que teclear
pg_top -d base_de_datos -U usuario -W
contraseña. El comando lleva al usuario
a una consola interactiva, donde se
encuentran disponibles una serie de ata-
jos de teclado (Tabla 1).
Ptop está disponible para Linux, BSD
y Mac OS. Para ver más capturas de pan-
talla y detalles, visítese la web [7].
6: Dnstop
Dnstop [8] utiliza la librería Pcap para
filtrar todas las consultas DNS de una
interfaz de red de un ordenador y mos-
trarlas. El comando dnstop
dispositivo_red -t -s proporciona una lista
configurable de consultas DNS al estilo
Top. La Tabla 2 muestra algunos accesos
directos de Dnstop.
Cuando se introduce un signo de inte-
rrogación, ?, Dnstop muestra la ayuda en
línea integrada. Al mismo tiempo,
Dnstop presenta dos vistas combinadas
que ofrece a los usuarios varios fragmen-
tos de información simultáneamente. Si
se introduce @ se muestra el origen de
Figura 5: La opción R de Ptop muestra estadísticas, incluyendo
detalles como el número de lecturas y escrituras secuenciales de las
tablas PostgreSQL.
WWW.LINUX- MAGAZINE.ES
Top Ten • EVALUACIÓN
la consulta junto con el dominio de
segundo nivel del destino, con el volu-
men y el porcentaje de todo el tráfico
DNS. Con la opción # se optienen los
mismos resultados, pero con los nom-
bres de dominio de tercer nivel (Figura
6).
Si se utiliza Dnstop en un router, tam-
bién se podrán detectar los túneles DNS
no deseados. Un cliente de una red local
que intercambie grandes volúmenes de
datos por medio de un servidor DNS
será descubierto de forma inmediata.
5: Iftop
Las especialidades de Iftop [9] son las
instantáneas y los resúmenes de todas
las conexiones de red activas. Como Top,
ordena las conexiones por actividad y
ofrece un conjunto repleto de acciones
mientras está en acción (véase la Figura
7).
Los administradores pueden presionar
H para ver la ayuda en línea y configurar
la vista. Las tasas de transferencia no
sólo se muestran como cifras, sino que
también pueden observarse en una grá-
fica de barras. Iftop ajusta la escala al
margen superior de la pantalla para
reflejar la cantidad de ancho de banda
utilizado.
Diversas opciones permiten a los
usuarios desactivar la resolución de
nombres de DNS, ocultar los orígenes,
ocultar los destinos y ordenar por varias
columnas. En el margen inferior de la
pantalla se puede ver la media y la suma
acumulada de los valores del dispositivo
Ethernet clasificados por la entrada y la
salida.
Las opciones de filtrado son realmente
interesantes para los administradores, y
se pueden introducir tanto en modo
Número 45 43
EVALUACIÓN • Top Ten
Figura 6: Introduciendo “#” en Dnstop el administrador obtendrá
un resumen de las consultas al DNS realizadas por un ordenador.
Figura 7: Iftop muestra el proceso de una conexión y distribuye el tivo. C conmuta entre
tráfico de la red entre diagramas de barra individuales. El los comandos nuevos y
resumen se muestra en los márgenes superior e inferior de la el contador de senten-
pantalla.
interactivo (después de introducir iftop -f
opciones) o presionando la tecla F. Por
ejemplo, -f icmp muestra los paquetes
ICMP solamente. El estilo familiar a
Tcpdump puede invertirse haciendo una
selección. Por ejemplo: not port ssh.
La opción -F le indica a Iftop que filtre
automáticamente los hosts individuales,
o redes completas, dejando sólo los que
se ajusten a la máscara de red seleccio-
nada: iftop -F 192.168.0.0/24 es un ejem-
plo de red local. Para mayor información
sobre las diversas opciones, consúltense
las páginas man en línea [10].
4: Mytop
La segunda herramienta para las bases
de datos es Mytop [11], que está escrita
en Perl y muestra información de las dos
sentencias estándar de MySQL, SHOW
PROCESSLIST y SHOW STATUS a interva-
los periódicos.
Mytop es muy adaptable, listando
información como el número de senten-
cias SELECT, INSERT, UPDATE y
DELETE perdidas. Una cabecera en la
parte superior de la pantalla muestra la
eficiencia de los índices de las claves,
junto con la entrada y salida por
segundo.
La mejor solución consiste en ejecutar
Mytop introduciendo mytop -u usuario
-p contraseña -h nombre_de_host -P
44 Número 45
puerto -d
base_de_datos. Los
parámetros pueden
también almacenarse
en un fichero de
configuración: Si se
ejecuta sin ninguna
opción, la herramienta
busca en ~/.mytop. Se
utilizan signos de
igualdad para separar
los parámetros de sus
nombres:
user=sspreitzer
host=192.168.0.222
pass=miclavesecreta
Con el uso de atajos de
teclado se puede cam-
biar al modo interac-
cias.
Los recursos se iden-
tifican fácilmente con una E; esto le indica
a la herramienta que descubra la senten-
cia MySQL tras el hilo seleccionado.
H sirve para mostrar u ocultar la línea
de encabezamiento de la pantalla. Pul-
sando Shift + I permite obtener un
informe completo del estado del motor
Inno DB, K finaliza un hilo y P hace una
pausa. O cambia el orden de clasifica-
ción y R (de Reiniciar) envía una senten-
cia FLUSH STATUS al servidor.
Figura 8: La lista de procesos de Atop es detallada pero interactiva.
WWW.LINUX- MAGAZINE.ES
Pulsando S se cambia el intervalo de
refresco y T conmuta a la vista de los
hilos. Si toda esta cantidad de teclas le
resultan difíciles de memorizar, se puede
obtener un listado completo de las mis-
mas con: ?. Pero eso no es todo, ya que
Mytop también soporta opciones de fil-
trado.
Para ver los hilos con conexiones de
una base de datos específica, hay que
presionar D. H filtra por un nombre de
host específico, U localiza a un usuario
y F reinicia todos los filtros.
Mytop es un monitor de estado per-
fecto para las bases de datos MySQL.
3: PowerTop
Debido al popular incremento de los
dispositivos móviles, no nos sorprende
que PowerTop de Lesswatts [12]
atraiga continuamente a una gran
comunidad de usuarios. Aunque la
herramienta sólo funciona con CPUs de
Intel y con distribuciones recientes, es
extremadamente útil si necesita opti-
mizar el hardware y el software de su
portátil para una larga duración de la
batería.
Lo mejor de PowerTop es que no sólo
identifica los devoradores de energía,
sino que también incluye una base de
datos completa de problemas conoci-
dos y sus soluciones. Incluso averigua
el consumo actual de energía de los
procesadores móviles más populares.
La batalla por las últimas reservas de
energía es fascinante. De acuerdo con la

Figura 9: No hay mejor herramienta que Htop a la hora de modificar el nivel Nice de todos los
procesos de Apache. Los administradores pueden pulsar F6 para ordenar, la barra espaciadora
para seleccionar y F6 o F7 para modificar las prioridades de las entradas.
página web del proyecto, PowerTop
puede incluso doblar la vida de la bate-
ría. Debido a que la herramienta sólo
está disponible para las CPUs de Intel y
el último kernel (2.6.22 o posterior),
sólo se queda en el tercer puesto de este
ranking a pesar de todas sus maravillo-
sas características.
2: Atop y Htop
El puesto número dos lo tienen dos clo-
nes de Top, Atop [13] y Htop [14]. Como
ambas herramientas son muy parecidas,
comparten este puesto. Las ventajas que
aporta Atop, y el programa Atopsar que
viene con el paquete, consisten en mos-
trar una vista detallada de los procesos
monitorizados (Figura 8).
Por otro lado, Htop ofrece un resu-
men sensible y su capacidad a la hora
de permitir a los administradores actuar
sobre los procesos directamente. Por
ejemplo, el programa ordena la lista de
procesos por nombre o por PID usando
sólo un par de atajos de teclado, y
puede asignar una prioridad Nice dife-
rente para todos los procesos de Apache
(Figura 9).
También es interesante que todos los
controles sean auto explicativos: la inter-
faz de Htop es una mezcla entre Mid-
night Commander y Top. Un menú con
las funciones más importantes se
encuentra disponible en el margen infe-
rior de la pantalla: F6 sirve para ordenar
(el administrador puede utilizar una
especie de menú desplegable para selec-
cionar la columna), F7 reduce y F8
incrementa la prioridad Nice de un pro-
grama. Como el usuario puede presionar
la barra espaciadora para realizar selec-
ciones múltiples, los cambios de priori-
dades son más sencillos y rápidos con
Htop que con el resto de las otras herra-
mientas del sistema.
La información que Atop proporciona
es más útil para los administradores
avanzados que deseen investigar deta-
lles minuciosos de los diferentes proce-
sos.
En la vista estándar, Atop suministra
información avanzada del uso de la
memoria (M), la planificación (S), pará-
metros de la línea de comandos (C) y
diversos detalles de los procesos (V).
Un kernel especialmente parcheado
permite mostrar de forma adicional el
uso del disco (D) y de la red (N). Gra-
cias a Atopsar, los administradores
incluso pueden acceder a los datos
Sysstat de los últimos días o semanas,
suponiendo que se ejecute el servicio
Sar en el sistema.
Aún el Número 1: Top
A pesar de todas las ventajas de los pro-
gramas mostrados en este listado, el
favorito del jurado de Linux Magazine
es la clásica y legendaria herramienta
de Unix, Top, de William LeFebvre y
otros.
Top se encuentra instalado en todos
los sistemas, está bien documentado y
proporciona más o menos los mismos
controles y comportamiento en cual-
quier sistema Unix, BSD, Linux, muchos
sistemas empotrados y Mac OS X. La
herramienta, que desde 1984 ha sido
fundamental para los administradores,
funciona en grandes sistemas, estacio-
nes de trabajo, ordenadores personales y
clusters.
WWW.LINUX- MAGAZINE.ES
Top Ten • EVALUACIÓN
La versión 3.7, o la Beta 3.8 de unix-
top, se encuentra disponible para su des-
carga en [15]. Pero ¿quién necesita des-
cargarla cuando su distribución favorita
ya incluye la herramienta e incluso la
instala en las instalaciones mínimas?
Los administradores estarán familiari-
zados con diversos conmutadores,
opciones y parámetros. La página man
llena varias pantallas, de nuevo gracias a
la cantidad de sistemas operativos que
Top soporta.
Conclusión
Cualquier libro de Linux o Unix que
cubra la administración de sistemas pro-
porciona al menos unas cuantas páginas
sobre la herramienta Top. El programa
Top original sigue siendo hoy día el
número uno, pero el ganador no debería
conformarse: otros competidores, algu-
nos especializados y otros simplemente
clones modernos del original, se están
acercando al liderato. Htop, por ejemplo,
le puede quitar el puesto. ■
RECURSOS
[1] Xrestop: http://www.freedesktop.org/
wiki/Software/xrestop
[2] Librería de extensiones de recursos
X: http://linux.die.net/man/3/xres
[3] Ntop: http://www.ntop.org
[4] Pksh: http://pksh.tecsiel.it
[5] ApacheTop: http://spork.qfe3.net/
apachetop/
[6] Ptop: http://ptop.projects.postgresql.
org
[7] Capturas de pantalla Ptop: http://ptop.
projects.postgresql.org/screenshots
[8] Dnstop: http://dns.
measurement-factory.com/tools/
dnstop
[9] Iftop: http:// www.ex-parrot.com/
~pdw/iftop
[10] Manual de Iftop: http://www.fifi.org/
cgi-bin/man2html/usr/share/man/
man8/iftop.8.gz
[11] Mytop: http://jeremy.zawodny.com/
mysql/mytop
[12] PowerTop de Lesswatts.org: http://
www.lesswatts.org/projects/
powertop
[13] Atop: http://www.atcomputing.nl/
Tools/atop
[14] Htop: http://htop.sourceforge.net
[15] Top: http://sourceforge.net/projects/
unixtop
Número 45 45
PRÁCTICO • Wine
Ejecutar programas de Windows en Linux con Wine
VINO DE
IMPORTACIÓN
Los usuarios que se mudan de Windows a Linux pierden a menudo sus juegos y aplicaciones favoritas. ¿No
sería factible poder ejecutar en el sistema operativo libre Linux las aplicaciones Windows? Es el momento de
saborear un poco de Wine. POR TIM SCHÜRMANN
M
uchos de los que migran a
Linux pierden juegos y progra-
mas gráficos tales como Corel-
DRAW o productos como Adobe Photo-
shop. La única solución es instalar Win-
dows en paralelo con Linux, o probar
Wine, que engaña a las aplicaciones
haciéndoles creer que se están ejecu-
tando en un sistema Windows.
La historia de Wine se remonta al año
1993. En ese momento, Sun estaba desa-
rrollando una pequeña herramienta para
ejecutar aplicaciones de Windows en
Solaris, su propio sistema operativo, sin
la necesidad de una licencia de Windows
o de otro tipo de interacción. Este soft-
ware inspiró a Bob Amstadt y Eric
Youngdale a desarrollar algo similar para
Linux. Un tiempo después se lanzó la pri-
mera versión de Wine. Hoy en día, más
de 300 programadores voluntarios de
46 Número 45
todo el mundo contribuyen al proyecto
Wine.
¿Qué Hay en el Nombre?
Para ejecutar programas de Windows
sobre Linux, Wine utiliza un truco bas-
tante complejo: Se sienta entre la aplica-
ción de Windows y Linux como si fuera
un traductor simultáneo. Si la aplicación
de Windows dice: “Dibuja un botón”,
Wine pasa esta orden directamente a
Linux. Al contrario que VirtualBox o
VMware, Wine no emula un PC completo
y, por tanto, no es un verdadero emulador.
Esto explica también el nombre de Wine,
que son las siglas de “Wine Is Not an
Emulator”. La manera de actuar de Wine
tiene una serie de ventajas. La principal es
que no necesita una costosa licencia de
Windows. Los programas se ejecutarán
casi tan rápido como en el sistema opera-
WWW.LINUX- MAGAZINE.ES
Shanna Korby, Fotolia
tivo de Redmond, y las ventanas se com-
portan como si pertenecieran a un pro-
grama nativo de Linux.
Pero un intérprete sólo es tan bueno
como bueno sea su conocimiento de la
lengua, y ahí reside el problema: Debido a
que Microsoft se negó hasta hace poco a
revelar detalles de su sistema operativo,
los desarrolladores de Wine se vieron obli-
gados a adoptar un enfoque de prueba y
error. Esto implicó mucho trabajo arduo, y
teniendo en cuenta el monstruoso tamaño
del sistema operativo al que se enfrentan,
esto se parece mucho a un trabajo de
Sísifo. Por si fuera poco, algunos fabrican-
tes de software utilizan algunos trucos de
programación muy feos, y para hablar a
estas aplicaciones cuando se ejecutan en
Linux, Wine necesita conocer estos trucos.
Lamentablemente, la mayoría de los pro-
veedores de software mantienen este tipo

Figura 1: La base de datos de Wine lista numerosas aplicaciones que funcionan en Wine; por
ejemplo, el paquete gráfico CorelDRAW.
de información guardada en un cajón con
siete candados.
A pesar de los años de trabajo transcu-
rridos, Wine aún está oficialmente en
fase de desarrollo, y la mayor parte de la
tarea se está realizando en las áreas de
multimedia, vídeo y gráficos 3D. Dicho
esto, Wine soporta por ahora DirectX 8 y
9 bastante bien. Los desarrolladores
comenzaron a trabajar en la décima
encarnación de esta crítica interfaz de
gráficos para juegos el año pasado. Otra
limitación es que Wine sólo puede mane-
jar las aplicaciones de Windows de 32
bits, aunque el apoyo del software de 64
bits está previsto para algún momento en
el futuro.
Wine tiene otra desventaja: sólo puede
manejar aplicaciones de Windows, no
puede revivir hardware con controladores
exclusivos de Windows.
Instalar Wine 1.0 en openSUSE
Muchas de las principales distribuciones
continúan trabajando con las antiguas
versiones de Wine, Kubuntu incluye la
0.9.59, openSUSE 11.0 utiliza la 0.9.64 y
openSUSE 10.3 y 10.2 la 0.9.44 y 0.9.24,
respectivamente. Revise la documenta-
ción de su distribución para obtener
más ayuda en la instalación. Para insta-
lar una nueva versión de Wine en open-
SUSE, se selecciona Software | Reposi-
torios de Software en YaST para open-
SUSE 11.0 y se pulsa en Añadir. Des-
Preparación
Antes de arrancar el gestor de paquetes
para lanzarse a instalar Wine, es posible
que quiera echar un vistazo a la base de
datos de aplicaciones que hay en el sitio
principal de Wine [1]. Esta base de datos
resume el nivel de apoyo a diversos progra-
mas de Windows: si se ejecuta o no sobre
Wine y, en caso afirmativo, cómo de bien
se comporta. Para acceder a la base de
datos se va a la página principal de Wine, y
en el menú WineHQ se pulsa a la izquierda
sobre AppDB. En el área AppDB, se selec-
ciona Browse Apps. Después, hay que des-
plazarse a través de la lista desplegable eti-
quetada como Category hasta encontrar la
categoría y la aplicación en que se este
interesado y pulsar sobre Update filter. Por
ejemplo CorelDRAW y PhotoShop se ocul-
tan bajo Multimedia | Graphics | Graphics
Editing. Alternativamente, usando la fun-
pués se marca Repositorios Comunidad,
se va a la pantalla Siguiente para selec-
cionar openSUSE BuildService - Wine
CVS Packages, y se pulsa en Aceptar. A
continuación YaST revisará la lista de
paquetes de la nueva fuente. Si aparece
una ventana Importar Clave Pública
GnuPGP, se elige Importar. Si es nece-
sario, se cierra la ventana actual (Finali-
zar), y ya se puede ir a Software |
Adminsitración de Software para insta-
lar Wine 1.0
WWW.LINUX- MAGAZINE.ES
Wine • PRÁCTICO
ción de búsqueda se puede encontrar la
aplicación en la base de datos.
Si se inspecciona CorelDRAW, se obtiene
la página se muestra en la Figura 1, donde
se encuentran las calificaciones de las dis-
tintas versiones, mostrando cómo se ha
comportado el programa en las pruebas
realizadas por los usuarios de Wine. La
calificación de Platino sólo se concede si
un programa se ejecuta sobre Wine sin
errores y sin reducción de su funcionali-
dad. Un par de versiones antiguas de
CorelDRAW han conseguido el estatus
Gold, la versión X4 rechaza cooperar por
completo (Garbage). Adobe Photoshop
CS2 funcionará más o menos como sus
fabricantes pretendían, mientras que la
versión CS3 sólo ha llegado a Bronze. La
cosa es aún peor en el caso de Adobe Illus-
trator. Como regla general, a mayor anti-
güedad de un programa, más posibilida-
des para conseguir que funcione.
Destrozo
Pulsando sobre la versión de un pro-
grama indica exactamente cuál es el pro-
blema. Aparece una nueva ventana
donde se detalla qué es lo que hace y qué
no hace como se espera. Además, los
informes de los usuarios que aparecen en
la parte inferior y los consejos para con-
vencer al programa para que colabore
pueden ser muy útiles . Los pasos nece-
sarios para ello, algunos de los cuales son
muy complejos, no deben intentarse a
menos que se sea un usuario experto de
Linux. En algunos casos, los programas
se niegan a trabajar simplemente porque
Figura 2: Esta ventana muestra los ajustes
actuales de Wine.
Número 45 47
PRÁCTICO • Wine
Figura 3: El archivo de instalación del paquetizador WinRAR.
no está Internet Explorer; por ejemplo,
Lexware, un software de contabilidad
basado en Internet Explorer para algunas
operaciones.
Si la aplicación que se busca aparece en
la base de datos como rota, hay que verifi-
car la fecha de la prueba (en Test Results).
Si la prueba es de hace algún tiempo,
puede que ya funcione, aunque habrá que
experimentar para averiguarlo. Wine con-
tinúa madurando, y es posible que esa
aplicación ya funcione. Por esta razón,
tiene sentido habilitar en la distribución la
actualización automática, que instala cual-
quier actualización de Wine que se lance.
Si esto no funciona, al menos se ha de
intentar instalar la versión más reciente, la
1.0, tal como se describe en el cuadro “Ins-
talar Wine 1.0 en openSUSE”.
Una vez que se haya elegido la aplica-
ción de Windows, que probablemente se
ejecute sobre Wine, lo siguiente que se
Figura 4: En openSUSE aparece esta ventana cuando se
pulsa sobre un programa Windows.
48 Número 45
Figura 5: Instalando WinRAR en openSUSE 11.0.
necesita es un disco de instalación para
instalar dicha aplicación de Windows.
Obviamente, es preciso una licencia válida
para la aplicación de Windows, aunque
Wine sea gratuito.
Instalación
Wine está incluido en las principales dis-
tribuciones, en caso contrario puede recu-
perarse fácilmente de un repositorio. Si
prefiere instalarse la versión más reciente
siga los pasos del cuadro “Instalar Wine
1.0 en openSUSE”.
En openSUSE 10.2, 10.3, y 11.0, se lanza
YaST y se selecciona Software Manage-
ment en el cuadro de diálogo Software.
Después se teclea Wine en el cuadro de
búsqueda y se pulsa en Search. En la lista
de resultados del lado derecho, se marca la
entrada Wine, confirmándose la selección
haciendo clic en Apply (o Accept en open-
SUSE 11.0).
Figura 6: La aplicación de Windows WinRAR funcionando en openSUSE.
WWW.LINUX- MAGAZINE.ES
Preparaciones
Wine no se integra con el menú de inicio
de openSUSE. Para iniciar Wine se pulsa
Alt + F2 y se teclea winecfg en el cuadro
de texto, pulsándose, dependiendo del
escritorio que se utilice, Launch o Run.
Después Winecfg creará un directorio
oculto llamado .wine bajo el directorio
home. EL software utiliza este directorio
para guardar información básica, tal como
se ve en la Figura 2. Por el momento no se
ha de modificar nada aquí, solamente se
ha de pulsar Cancel para cerrar la herra-
mienta.
Instalando un Programa
Windows
Para realizar una prueba de funciona-
miento de Wine se descarga el paquetiza-
dor WinRAR [2], abriéndose después el
gestor de archivos de la distribución. En el
gestor de archivos buscamos el instalador
 Wine • PRÁCTICO

de la aplicación Windows: Normalmente instalando en

se llama setup.exe o autorun.exe. En el
caso de WinRAR, el nombre es un poco
críptico: wrar371.exe (Figura 3). Simple-
mente hay que pulsar con el ratón. En
openSUSE puede verse la ventana que se
muestra en la Figura 4. Se teclea wine en el
cuadro de texto y se pulsa OK.
Wine pasa a segundo plano y lanza el
programa de Windows. Solamente hay que
seguir los pasos normales para instalarlo.
Se comentará sobre el tema de las letras de
unidad Windows en la siguiente sección,
pero por el momento, hay que confirmar el
directorio de instalación predeterminado
sugerido por la aplicación (Figura 5). Si el
instalador pide que se reinicie Windows,
se pulsa Alt + F2, se escribe wineboot y se
hace clic en Run. Esto le indica a Wine que
simule un reinicio de Windows. La figura 6
muestra el aspecto de un programa de
Windows funcionando en Wine. Si Wine
no logra poner en marcha el programa de
Windows, se debe consultar el cuadro
“Muerto como un Dodo”.
Si el programa de instalación crea una o
varias entradas en el menú de inicio, algu-
nas distribuciones las colocan debajo de
Wine. Si es así, se pueden utilizar como un
buen método para poner en marcha el pro-
grama de Windows. Sin embargo, con
openSUSE habrá que buscar en el disco los
programas de Windows que se instalen.
Dime tu Nombre
Por omisión, Wine almacena cualquier
programa de Windows que cree que está
la unidad C: en
un subdirecto-
rio oculto
debajo del
directorio
home. Para
mostrar los
archivos ocul-
tos, View |
Show Hidden
Files en Kon-
queror o Dol-
phin. Se cam- Figura 8: Wine proporciona una elegante aproximación a la desinstalación
bia al directorio de programas Windows.
.wine bajo el
directorio home. Un nivel por debajo de winecfg, luego hay que visitar la pestaña
éste aparece el subdirectorio drive_c, y por Drives (Figura 7). La lista en la parte supe-
debajo de éste Program Files y Windows. rior muestra el directorio Linux al que está
El primero contiene la aplicación que se mapeado a cada letra. Normalmente C:
acaba de instalar. Para WinRAR, se hace está mapeado a .wine/drive_c, y Z: per-
clic en WinRAR.exe en la carpeta Win- mite a las aplicaciones Windows acceder a
RAR. En openSUSE, también se debe todo el árbol de directorios, porque está
teclear wine. mapeado al directorio raíz. Aquí se pueden
Add mapeos definiendo nuevas letras de
Jungla de Directorios unidades virtuales y tecleando la Path a la
Al contrario que Windows, Linux no uti- que debe apuntar.
liza letras para las unidades, así que no le
queda más remedio que dar un rodeo: VistaXP 98
Cada letra de unidad se mapea a un direc- Algunos programas de Windows necesitan
torio Linux. Aunque un programa Win- las características de una versión especí-
dows ejecutándose en Wine piensa que fica de Windows. La pestaña Applications
está guardando sus datos en C:, los está puede ayudar a conseguir esto. Se puede
escribiendo en un subdirectorio llamado definir la versión de Windows que Wine
.wine/drive_c bajo el directorio home. El emula individualmente para cada aplica-
centro de control de Wine muestra qué ción. Para hacerlo, se pulsa Add applica-
letra está mapeada a cada directorio. En el tion y se busca el ejecutable de la aplica-
lanzador rápido (Alt+F2) se teclea ción (en .wine/drive_c).

Más Muerto que un Dodo

Figura 7: La pestaña Tab permite mapear los
directorios Linux a las letras de unidad.
Si un programa de Windows no funciona
cuando se pulsa sobre él, un poco de
atención puede mostrar la razón. Se
comienza abriendo una ventana de ter-
minal. En Kubuntu, se selecciona el ele-
mento System | Terminals | Konsole del
menú. Después se teclea
cd directory
donde directory representa la ruta com-
pleta al programa de instalación. Si el
archivo setup.exe está en un DVD, se
puede acceder a éste mediante
/media/path. La línea de órdenes se pare-
cerá a algo como esto:
cd /media/DVD_name
Se reemplaza DVD_name con la entrada
correspondiente en el directorio media y
se recorre el árbol de directorios hasta
encontrar el que contiene el archivo .exe
que se necesita (en el caso de de Win-
RAR, será /programs/ other/ winrar). Una
vez allí, se teclea
wine file
sustituyendo file por el nombre de la
aplicación a ejecutar, por ejemplo,
setup.exe. Hay que asegurarse que se
respeta la ortografía exacta; escribir
exactamente las mayúsculas y minúscu-
las es vital. Para indicarle a Wine que eje-
cute la aplicación Windows, se pulsa
Enter otra vez. Si se observa alguna difi-
cultad al lanzar el programa, verificar la
ventana del terminal para comprobar los
errores – no se debe cerrar la ventana del
terminal ni el programa Windows que se
ejecuta en él. Si el programa Windows
se bloquea, se puede intentar lanzarlo de
nuevo.

WWW.LINUX- MAGAZINE.ES Número 45 49

PRÁCTICO • Wine
Figura 9: Algunos juegos Windows, como Adventure Runaway,…
Después, se pulsa Open, se selecciona la
aplicación de la lista,y a continuación se
selecciona la versión de Windows reque-
rida en la lista desplegable Windows Ver-
sion. La configuración de Default Settings
es válida para todas las aplicaciones Win-
dows, a menos que se defina una excep-
ción.
Recogiendo la Basura
Para deshacerse de una aplicación de Win-
dows que se ha instalado en Linux, se
Figura 10: …funcionarán en Linux gracias a Wine.
50 Número 45
podría pensar que sería suficiente con
borrar el directorio correspondiente que se
encuentra bajo .wine/drive_c/Program
Files.
No se debe hacer esto, ya que Wine
sigue manteniendo la aplicación como ins-
talada. En vez de esto, se debe ejecutar el
Uninstaller específico de Wine. Para lanzar
el desinstalador, se pulsa Alt+F2 en open-
SUSE y se escribe uninstaller. Después, se
pulsa Run (o Launch) y se debe ver la ven-
tana de la Figura 8. Al llegar a este punto,
WWW.LINUX- MAGAZINE.ES
se selecciona el software que se desea eli-
minar y se hace clic en Uninstall.
Conclusiones
Desafortunadamente, Wine no es la pana-
cea, y la mayoría de los principales progra-
mas siguen negándose a cooperar. Los
mejores candidatos son los juegos (ver
Figuras 9 y 10), pero puede que no haya
nada que hacer con los paquetes más
populares de contabilidad, CorelDRAW, la
última versión de Photoshop o iTunes, por
ejemplo.
Una mejor alternativa podría ser la de
buscar un programa Linux que proporcione
una funcionalidad similar. En el caso de
Photoshop, ¿por qué no intentar GIMP o
Krita? Y OpenOffice ha sido durante mucho
tiempo más que suficiente para sustituir
Microsoft Office. Si se comprueba la lista de
paquetes del gestor de paquetes de una dis-
tribución Linux, probablemente se sor-
prenda por el número de programas com-
parables, o incluso programas de caracterís-
ticas superiores, que ofrece Linux. ■
Aplicaciones Descarriladas
La licencia MIT de Wine ofrece a los
usuarios muchos privilegios, un hecho
que ha ayudado a TransGaming a gene-
rar enormes beneficios. TransGaming
solamente cogió el paquete, añadió
funcionalidades DirectX, necesarias
para los juegos, y comenzaron a vender
los resultados como Cedega [3] (ante-
riormente WineX). Los desarrolladores
de Wine no estaban muy contentos con
esto y, por tanto, cambiara en marzo de
2002 los términos de la licencia a la
LGPL. La LGPL se asegura de que pueda
seguir utilizándose Wine con fines
comerciales, aunque los cambios y adi-
ciones deberán ser devueltos al pro-
yecto. CodeWeavers es ejemplar en este
sentido, la empresa agrupó Wine con
sus propios componentes comerciales
para crear el paquete CrossOver [4],
mientras promueve activamente el
desarrollo continuo de Wine.
RECURSOS
[1] Página principal del proyecto Wine:
http://www.winehq.org/
[2] Página principal del paquetador Win-
RAR: http://www.rarsoft.com/
[3] Sitio web de Cedega: http://www.
transgaming.com/
[4] CrossOver para Linux: http://www.
codeweavers.com/products/cxlinux/

Accede a la red sencillamente con Wicd
¡CONECTADO!
Los usuarios de portátiles cambian de red sin parar. Wicd gestiona distintos perfiles de conexión con rapidez
y eficacia. POR JAN RÄHM
L
os guerreros de la carretera y
los usuarios que usan sus por-
tátiles cambiando constante-
mente de entorno utilizan frecuente-
mente el gestor de red del sistema.
Lamentablemente, los gestores de red
no son el tipo de software que se
maneja con rapidez y facilidad. Wicd
[1] ofrece una alternativa: Un redu-
cido gestor de red que ofrece una
interfaz de usuario con todo lo nece-
sario para configurar redes wifi y
cableadas.
El programa basado en Python actúa
como un interfaz de usuario para
varios guiones. Originalmente fue
Wicd • PRÁCTICO
Spectral-Design, Fotolia
desarrollado como alternativa al ges-
tor de red de Ubuntu, aunque se ha
extendido la implementación a otras
distribuciones. Funciona bien con
interfaces alternativas tales como
XFCE, IceWM, o Fluxbox. Gracias a su
pequeño consumo de memoria y
ciclos de CPU se siente como en casa
PRÁCTICO • Wicd
en portátiles antiguos, menos poten-
tes. Al mismo tiempo, Wicd admite
un amplio rango de tarjetas de red [2]
y distintos tipos de cifrado.
Instalar Wicd no debería ser dema-
siado difícil, incluso para los usuarios
menos experimentados. La herra-
mienta se adapta bien en cualquier
entorno GTK+ y la mayoría de las
distribuciones proporcionan una.
Incluso si no se encuentra Wicd en el
repositorio, es muy fácil añadirlo e
instalarlo.
Los usuarios de Ubuntu descubrirán
un directorio de paquetes adicional
para versiones “Dapper” de “Hardy”.
Para añadir el repositorio se lanza el
gestor de paquetes Synaptic, en el
menú Sistema, y se elige
Configuración | Repositorios | Soft-
ware de terceros | Añadir; después se
añade la línea deb http://apt.wicd.net
Version extras, sustituyendo Version
por el apodo correspondiente, por
ejemplo feisty para Ubuntu 7.04. Tras
recargar los repositorios, se localizará
fácilmente Wicd mediante una bús-
queda y se instalará en un momento.
En Debian es prácticamente el mismo
método.
Los usuarios de Arch Linux encon-
trarán paquetes de Wicd precompila-
dos en los repositorios Extra y Tes-
ting. Para instalar el gestor de red
solamente hay que teclear la orden
pacman -Sy wicd. Los seguidores de
Slackware pueden descargar el pro-
grama del repositorio slacky.eu [3];
tras descargarlo sólo hay que ejecutar
installpkg Wicd-Version.tgz para colo-
car la herramienta en su sistema. Los
usuarios de Fedora encontrarán un
HOWTO en el wiki de Wicd [4]. Los
paquetes con el código fuente están
disponibles desde SourceForge [5].
Para que Wicd se cargue automáti-
camente cada vez que se inicia el sis-
tema hay que añadir una llamada a
/opt/wicd/tray.py entre la información
de arranque. En función del sistema,
el itinerario puede cambiar. Para
Ubuntu se selecciona Sistema | Prefe-
rencias | Sesiones | Añadir para
incluir Wicd a la lista de programas
del inicio. Los usuarios de Fluxbox
simplemente deben abrir ~/.flux-
box/startup en un editor y añadir la
orden, seguida de &, delante de exec
/usr/X11R6/bin/fluxbox.
52 Número 45
Para abrir el dia-
logo de
configuración, una
vez que el pro-
grama esté funcio-
nando, sólo hay
que pulsar sobre el
icono de Wicd que
se encuentra en la
bandeja del sis-
tema (Fig. 1). El
gestor de red mos-
trará la red cable-
ada y una lista con
las redes inalám-
bricas que sean
visibles, indicando
si están cifradas y
la fuerza de la
señal. La linea de
estado, en la parte
de abajo de la ven-
tana, muestra el Figura 1: Después de lanzarlo, Wicd ofrece una clara visión de con-
estado actual de la junto de la información clave.
red. Ahora puede
conectarse el ordenador a la red. Wicd Aún existen dos configuraciones
pregunta por un perfil para la cone- WLAN que se esconden bajo el ele-
xión cableada. Se introduce un nom- mento Network del menú: una es para
bre para el perfil en el cuadro de diá- especificar el ESSID de una red oculta
logo y se pulsa Add para crearlo. Esto y la otra permite crear una red ad hoc
habilita el Connect azul, sobre el que con tan sólo un par de golpes de ratón.
se puede pinchar para indicarle al
ordenador que utilice DHCP y acceda Conclusiones
a la red. Wicd es un pulcro y simple gestor de
Wicd tiene una opción Advanced red que funcionará en la mayoría de
settings para los detalles de la los sistemas. Su sencilla y auto-expli-
configuración. Aquí se puede configu- cativa configuración no representa
rar una dirección IP estática y elegir el ningún obstáculo, incluso para los
nombre del servidor. También pode- usuarios más inexpertos.
mos especificar opcionalmente Guio- Por otra parte, Wicd ofrece a los
nes, que Wicd llamará antes o des- usuarios experimentados una plétora
pués de establecer la conexión. Si se de ajustes, resultando una alternativa
estuviera usando el mismo servidor ideal frente a gestores de red más
DNS para todas las conexiones, se complejos. ■
puede configurar en Settings en la
caja de herramientas de Wicd. Wicd RECURSOS
ofrece opciones de configuración
[1] Wicd: http://wicd.net
completas en este menú, desde elegir
el driver para la tarjeta wifi, hasta el [2] Hardware probado: http://wicd.
sourceforge.net/wiki/doku.
ajuste del perfil.
php?id=testing
Si es necesario, Wicd conectará el
ordenador a una WLAN que haya [3] Paquetes para Slackware 12.0: http://
repository.slacky.eu/slackware-12.0/
identificado. Esto se consigue pul-
network/wicd/
sando en Connect. Para redes cifradas,
esto implica que previamente se ha [4] Wicd en Fedora 7: http://wicd.net/wiki/
doku.php?id=fedora
introducido la clave de red en Advan-
ced settings. Wicd recuerda la contra- [5] Wicd en SourceForge: https://
seña para evitar tener que hacerlo la sourceforge.net/project/showfiles.
php?group_id=194573
próxima vez.
WWW.LINUX- MAGAZINE.ES

Hackeo de routers domésticos con OpenWrt
TOMA DE CONTROL
E
l proyecto OpenWrt se denomina a si
mismo como “una distribución Linux
para dispositivos empotrados”. Más
allá de esta sencilla definición, OpenWrt [1]
es un marco de trabajo para crear firmware a
medida que podemos instalar en dispositi-
vos como routers domésticos y cortafuegos.
Existen diferentes versiones de OpenWrt
disponibles para toda una gama de dispositi-
vos, incluyendo los afamados routers/corta-
fuegos Linksys WRT54GL [2], una solución
SOHO de bajo coste que probablemente
reconocerá por haberlos visto en tiendas de
ordenadores (véase la Figura 1).
¿Por qué a Medida?
El firmware preinstalado que incluyen dis-
positivos como el WRT54GL está orientado
a una fácil configuración estándar para todo
tipo de entornos. Esta solución por defecto
es aceptable para un uso estándar, pero está
lejos de explotar el verdadero potencial del
dispositivo.
OpenWrt nos permite adaptar el software
a nuestras propias necesidades. Para moni-
OpenWrt • PRÁCTICO
Aprenda cómo tomar el control de su router doméstico con OpenWrt.
POR THOMAS LEICHTERNSTERN
torizar tráfico podemos compilar herra- Por supuesto, hackear un router domés-
mientas de seguridad, como Snort y tico no es precisamente una actividad propia
tcpdump. De igual modo, podemos configu- para un novato. OpenWrt proporciona toda
rar logs a medida, scripts o alertas. OpenWrtuna variedad de funcionalidades potentes e
también puede hacer que ahorremos bas- interesantes, pero necesitamos estar dispues-
tante dinero si adaptamos un router de bajo tos a experimentar.
coste, como el WRT54GL, para que realice A pesar de que OpenWrt implementa
funciones propias de una herramienta varios mecanismos de seguridad para ayu-
mucho más cara. darnos a restaurar el sistema, el uso del soft-
ware OpenWrt puede alterar el dis-
positivo de manera que sea imposi-
ble volver a la configuración origi-
nal.
Instalar software de terceros en
dispositivos como un router
doméstico generalmente anula la
garantía.
OpenWrt está disponible para un
buen número de modelos de router,
incluyendo dispositivos de los fabri-
cantes Linksys, Netgear, Allnet o
Asus. El sistema OpenWrt se
diseñó originalmente para operar
Figura 1: El Linksys WRT54GL es un router/cortafue- desde la línea de comandos, aun-
gos SOHO bastante extendido. que el reciente frontend X-Wrt [3]
WWW.LINUX- MAGAZINE.ES Número 45 53
PRÁCTICO • OpenWrt

proporciona una interfaz gráfica de usuario

para la configuración del router. Debido a
que X-Wrt no está completamente soportado
en la versión más reciente de OpenWrt
(denominada “Kamikaze”), tiene más sen-
tido usar la versión anterior (“White Rus-
sian”) si tenemos pensado usar el frontend
X-Wrt. X-Wrt está disponible para su des-
carga bien como sistema operativo con inter-
faz gráfica o como interfaz gráfica Web para
varios modelos de router [4].
Para reemplazar el software original del
router WRT54GL por OpenWrt y X-Wrt, abri-
mos la interfaz Web (la dirección por defecto
es http://192.168.1.1), tecleamos admin
como nombre de usuario y contraseña, y
pulsamos sobre Administration | Firmware
Upgrade (véase la Figura 2). A continuación
pulsamos sobre el icono de carpeta junto al
cuadro de entrada y seleccionamos el
archivo imagen con el explorador de archi-
vos. Para iniciar el proceso, pulsamos el Figura 2: Desde la ventana de configuración Firmware Upgrade del software original podemos
botón Upgrade. subir la imagen de OpenWrt a nuestro router e instalar la actualización.
Nótese que la conexión de red debe estar
habilitada mientras estamos instalando la Connection Type (véase la Figura 3). En la una petición (Connect on Demand) o si
imagen. Para evitar daños irreparables en el Redial Policy, especificamos si el router mar- mantendrá viva la conexión (Keep Alive).
dispositivo no debemos hacer este paso vía cará la conexión a Internet cuando reciba Añadimos la información de acceso para
WLAN. Tras un minuto aproximadamente
aparece la interfaz gráfica de X-Wrt sin nin-
guna otra intervención. El nuevo sistema
operativo asimila los archivos de
configuración originales.

Comenzamos
Para preparar el sistema para su uso, en pri-
mer lugar debemos configurar la red.
OpenWrt es sólo una instalación base. Las
ubicaciones, módulos add-on y las actualiza-
ciones se descargan desde Internet. Debe-
mos tener en cuenta el siguiente detalle cada
vez que cambiamos la configuración del rou-
ter: para aplicar los cambios, debemos pul-
sar previamente el botón Save Changes, y
luego pulsar sobre el enlace Apply. Sólo
entonces el sistema guarda los cambios.
Si pulsamos Network en el menú superior
llegamos a un submenú donde podemos
seleccionar la primera entrada, WAN-LAN,
para afrontar la configuración básica.
Para utilizar el router para conectarnos a
Internet mediante ADSL o módem conven-
cional, seleccionamos PPPoE como nuestro

Alternativas
Otros proyectos el software libre, como
FreeWRT [5] y DD-WRT [6], también
ofrecen firmware alternativo de terceros Figura 3: Para conectarnos a Internet, OpenWrt necesita un modelo DSL. Configuramos los
para dispositivos empotrados. detalles en la configuración WAN-LAN.

54 Número 45 WWW.LINUX- MAGAZINE.ES

 OpenWrt • PRÁCTICO

nuestra cuenta con el proveedor en los cam-
pos Username y Password. Nótese que el
router no soporta POTS ni RDSI.
Actualizaciones y Módulos
Add-on
Para actualizar el software del router a la
última versión, seleccionamos Info en el
menú, y a continuación pulsamos el botón
Check For Webif Update. Si marcamos la casi-
lla correspondiente a Include daily builds
when checking for update to webif, el actuali-
zador verificará diariamente las versiones,
que podrían tener algún bug. Para instalar la
actualización, pulsamos Install Webif.
Como se mencionó anteriormente,
OpenWrt es simplemente una instalación
base que podemos personalizar mediante la
instalación de programas añadidos. Este
método permite a los desarrolladores mante-
ner el sistema básico con un tamaño muy
pequeño, lo que es una buena idea, debido a
que un dispositivo como el WRT54GL tiene
sólo 2.112 KB de memoria flash, lo cual
limita el número de herramientas que pode-
mos instalar. Para consultar el estado de la
memoria pulsamos sobre Status. El valor
solicitado es el espacio libre de /dev/
mtdblock/4.
Para algunos elementos del menú, como
UPnP o SNMP, los programas correspondien-
tes no están instalados por defecto.
Para descargar los programas pulsamos
sobre Install en la sección del repositorio en
línea correspondiente y continuamos con la
instalación. X-Wrt tiene un cuadro de
configuración para todos los programas que
instalemos de esta manera, y que se habilita
automáticamente al completar la instala-
ción.
La sección System | Packages (véase la
Figura 4) muestra una lista de cientos de
paquetes disponibles, que podemos instalar
con sólo pulsar el botón Install junto a la des-
cripción del paquete.
Desafortunadamente, la mayoría de estos
paquetes carecen de una interfaz gráfica de
usuario, y la configuración requiere acudir a
la consola (véase el cuadro titulado “Línea de
Comandos”). Además de mostrar los paque-
tes instalados y disponibles, la página Web
también ofrece un sistema de administración
de paquetes similar a DPKG y soporta la
administración de repositorios. Además de
todo esto, con Install Package from URL
podemos instalar paquetes desde una URL.
Extensión SSL
Si tenemos que administrar OpenWrt en un
entorno LAN no confiable, es aconsejable
instalar la extensión SSL, a la cual podemos
acceder a través de System. Para instalarla,
pulsamos sobre el botón Install Matrix Tun-
nel. Debido a las restricciones de memoria,
deberíamos planificar cuidadosamente qué
paquetes necesitamos antes de instalarlos.
En caso contrario, podemos quedarnos sin
memoria suficiente para instalar extensiones
críticas en un paso posterior.
WLAN
Las exhaustivas opciones de configuración
WLAN, que sobrepasan ampliamente el
firmware original, es la parte más interesante
para muchos usuarios. Para acceder a la
configuración básica pulsamos sobre Net-
work | Wireless, donde podemos especificar
el modo de operación para la red inalám-
brica. Las opciones incluyen Client, Ad Hoc y
Access Point. Esta última es la opción por
defecto, que es la elección adecuada para la
mayor parte de los escenarios posibles.
Cuando iniciamos un cliente WLAN,
difunde en primer lugar un mensaje para
descubrir puntos de acceso disponibles. Si
configuramos ESSID Broadcast a Hide hace-
mos invisible a nuestro router para el resto
del mundo.
OpenWrt también nos proporciona varias
opciones de cifrado para protegerlos frente a
usos no autorizados. Se recomienda expresa-
mente habilitarlos. Las opciones que tene-
mos incluyen cifrado WEP de 48 y 128 bits y
WPA versión 1 ó 2, que es mucho más
segura. Para usar WPA, debemos instalar
software añadido mediante la opción Install
NAS Package.
Se accede a las configuraciones avanzadas
de WLAN vía Advanced Wireless. La opción

Línea de Comandos
OpenWrt soporta una detallada configu-
ración a través de la consola, a la que
podemos acceder vía SSH. Usamos root
como nombre de usuario con la con-
traseña de administrador que hayamos
fijado. Gracias a BusyBox podemos
acceder a casi todas las herramientas
del sistema habituales de Linux.
El ligero administrador de paquetes
ipkg, basado en dpkg de Debian, está
disponible para instalar y desinstalar
paquetes. El comando ipkg install pack-
age_name instala el paquete especifi-
cado y resuelve automáticamente las
dependencias. ipkg update y ipkg
upgrade actualizan nuestro sistema a la Figura 4: OpenWrt tiene un administrador de paquetes al estilo dpkg que resuelve automática-
última versión. mente las dependencias de los programas que vayamos a instalar.

WWW.LINUX- MAGAZINE.ES Número 45 55

PRÁCTICO • OpenWrt
Restrict access (MAC address) nos permite fil-
trar el acceso al router especificando direc-
ciones MAC. Si el router y el cliente están
bastante alejados, podemos modificar la
potencia de salida en el apartado Transmit
Power (mw).
Análisis
OpenWrt nos ofrece muchas más opciones
de tipo estadístico que el software original, y
esto nos puede ayudar a analizar diferentes
eventos que puedan ocurrir en el dispositivo.
El enlace Graphs del menú superior nos con-
duce al motor de estadísticas y a la gráfica de
carga de red (véase la Figura 5). El software
actualiza los datos cada segundo, ofrecién-
donos una visión en tiempo real del estado
de salud del dispositivo.
Si pulsamos sobre el enlace Status se
abrirá un supuesto en el cual podemos solici-
tar diferentes parámetros del sistema,
comenzando por los módulos cargados, los
clientes conectados, y el estado actual de la
red. Esta pantalla nos ofrece un resumen
detallado de casi todas las métricas de los
sistemas críticos. La opción Processes nos
muestra una lista con todos los procesos acti-
vos, que se refrescan en intervalos de 20
segundos. Si pulsamos sobre Stop
Figura 5: Análisis gráfico de varios parámetros, como carga del procesador y tráfico de red, en
tiempo real.
56 Número 45
Refreshing, pararemos la actualización y se
mostrará un menú desplegable junto a los
nombres de los procesos.
Desde este menú desplegable podemos
matar procesos de manera individual
mediante el envío de las señales SIGHUP,
SIGKILL o SIGTERM. Status | Wireless mues-
tra los clientes WLAN conectados y también
actúa como un escáner para descubrir otros
dispositivos WLAN. Por el momento, el dis-
positivo carece de una función para desco-
nectar clientes.
Si pulsamos sobre Log se abrirá una ven-
tana de configuración del registro del sistema
que nos permite escribir archivos de log en
un equipo externo (servidor de log). El sub-
menú también nos permite acceder a los logs
del sistema y del kernel, y al protocolo del
cortafuegos. Las opciones de filtrado están
limitadas a la búsqueda por palabras clave.
Copias de Seguridad
OpenWrt es un sistema que invita a los
usuarios a experimentar. Para asegurarnos
de que podemos restaurar un sistema si ocu-
rre un desastre, existen diferentes métodos
para hacer copias de seguridad de los archi-
vos y las particiones, que están disponibles
bajo la opción System | Backup & Restore.
WWW.LINUX- MAGAZINE.ES
Reset
Si no conseguimos comunicarnos con el
router de la manera habitual, nuestra última
opción puede ser presionar el botón de
Reset. Pulsamos el botón de Reset situado
en la parte trasera del dispositivo durante 30
segundos. A continuación lo mantenemos
pulsado mientras desconectamos la
corriente, y durante otros 20 segundos tras
haberlo desconectado. Una vez volvamos a
conectar la corriente, los LED DMZ debe-
rían encenderse para indicarnos que el rou-
ter ha entrado en modo mantenimiento y
que las configuraciones han sido resetea-
das.
Restaurar
Para restaurar el software original, en primer
lugar descargamos el archivo de imagen del
fabricante desde [7]. A continuación vamos
a System | Upgrade en la interfaz gráfica y
pulsamos sobre Find… junto a Firmware
file:. Desde el explorador de archivos, selec-
cionamos la imagen que hemos descargado
y pulsamos sobre Open. Por último, pulsa-
mos en Upgrade para reinstalar el firmware
original.
Conclusiones
OpenWrt amplía considerablemente las
capacidades del router WRT54GL en compa-
ración con el software original. El sistema
básico incluye un conjunto enorme de fun-
cionalidades, que además pueden ampliarse
con la instalación de módulos, por ejemplo
para UPnP o QoS (Quality of Service).
Si no es usted un usuario experimentado,
debería evitar instalar el software. Debido al
enorme número de opciones, el riesgo de
acabar con una configuración defectuosa es
considerable.
Además de todo esto, la interfaz de admi-
nistración web en ocasiones no es precisa-
mente intuitiva. Varias funciones están
escondidas tras enlaces confusos o son sólo
accesibles dando algún que otro rodeo. ■
RECURSOS
[1] OpenWrt: http://openwrt.org
[2] Linksys: http://www.linksys.com
[3] X-Wrt: http://x-wrt.org
[4] Descarga del firmware X-Wrt: http://
x-wrt.org/install.html
[5] FreeWRT: http://freewrt.org
[6] DD-WRT: http://www.dd-wrt.com
[7] Firmware del Linksys WRT: http://
tinyurl.com/4utmuy
DESARROLLO • Python
Aprovechando los mejores recursos de .NET gracias a IronPython
YO, TEXTO
Las buenas librerías son un bien escaso, y en el software libre lo son aún más. En este artículo veremos cómo
hacer uso de iTextSharp, una de las mejores librerías para generación de documentos PDF, a través de Iron-
Python. POR JOSÉ MARÍA RUÍZ
E
xisten pocas librerías realmente
potentes en software libre para el tra-
tamiento de PDFs. A pesar de ser
algo desconocida, iText [1] se emplea en
gran cantidad de proyectos de software
cerrado, y es vista por muchos como la
mejor librería libre disponible para este
menester. También se ha adaptado la librería
a .NET, dándole el nombre iTextSharp [2].
Por tanto, iText está disponible en las dos
grandes plataformas informáticas del
momento: Java y .NET.
¿Puede Python aprovecharse de esta cir-
cunstancia? Gracias a IronPython podemos
trabajar con librerías .NET a través de Mono.
Vamos a ver cómo podemos sacarle partido
a iText sin dejar de usar nuestro lenguaje
favorito.
Recordando IronPython
Una vez tengamos IronPython instalado
podemos arrancar un intérprete mediante el
script que normalmente instala el paquete
que hemos instalado o mediante Mono:
$ mono ipy.exe
IronPython 1.0 (1.0) on .NETU
2.0.50727.42
Copyright (c) MicrosoftU
Corporation. All rightsU
reserved.
>>>
A pesar de que es Microsoft quien está
esponsorizando el desarrollo de IronPython,
éste posee una licencia libre (estilo BSD).
IronPython pretende ser igual a Python,
podemos ejecutar la mayoría de las senten-
cias a las que estamos acostumbrados. La
mayor limitación está en las llamadas libre-
rías C que Python posee en su sistema de
módulos. IronPython se ejecuta sobre .NET,
lo que le limita, ya que no puede cargar libre-
58 Número 43
45
rías binarias C, aunque la plataforma .NET y
Mono pueden hacerlo; para ver más infor-
mación sobre cómo cargar librerías de
CPython ver Recurso [3].
Como ya hemos dicho, podemos asignar
variables, crear clases, funciones… es
Python al fin y al cabo. En particular, la ver-
sión 1.1 de IronPython (sobre la que he
escrito este artículo) es compatible con
Python 2.4 . Una de las diferencias con
CPython es que no se puede salir del intér-
prete tan alegremente. IronPython fue dise-
ñado para Windows, en el que no existe el
concepto de Control-C o Control-D que tanto
se usa en Unix para salir de un intérprete.
Para poder salir del intérprete debemos man-
darlo a background con la combinación de
teclas Control-z y recuperarlo con el
comando fg. En ese momento el intérprete
finalizará su ejecución.
En general no nos encontraremos nada
extraño en IronPython en comparación con
Python. La gran diferencia radica en la capa-
cidad de IronPython de interactuar con la
plataforma .NET. Para ello se emplea una
librería especial y exclusiva de IronPython:
clr. Una vez hayamos importado esta librería
Listado 1: Ejemplo de Uso de IronPython
01 # -*- coding: utf-8 -*-
02 import clr
03
04
clr.AddReference(“System.Windo
ws.Forms”)
05
clr.AddReference(“System.Drawi
ng”)
06 from System.Windows.Forms
import Application, Button,
Form
07 from System.Drawing import
WWW.LINUX- MAGAZINE.ES
podemos usarla para cargar los denomina-
dos Assemblies de .NET (librerías .NET), y
una vez cargados podemos importar sus
librerías como si de Python. En el Listado 1
podemos ver un ejemplo práctico que mues-
tra cómo hacer esto.
Mono nos provee de la mayoría de las
librerías de .NET. Como vemos en el ejem-
plo, sólo tenemos que emplear la función
clr.AddReference() para cargar el assembly
System.dll, que posee toda la funcionalidad
básica de .NET . En el caso de tener que car-
gar un assembly que tengamos físicamente
en el mismo directorio que nuestro programa
(cosa que haremos en este artículo) sólo
tenemos que emplear la función clr.AddRefe-
renceToFile() con el nombre del fichero.
Hola Mundo, desde iText
Metamos las manos en la masa, vamos a
generar el equivalente al «Hola Mundo» pero
en PDF. Para ello, y como acabamos de decir,
necesitaremos un assembly (librería con
extensión dll de .NET), que guardaremos en
el mismo directorio en el que trabajemos.
.Net posee algunas decisiones de diseño real-
mente acertadas, y una de ellas es la de
Size
08
09 form = Form( Text=”Hola
Mundo”, Size=Size(200, 200))
10 botón = Button(Text=”¡ Púlsame
!”)
11
12 def onClick(event, handler):
13 print “Hola mundo”
14
15 botón.Click += onClick
16 form.Controls.Add(botón)
17 Application.Run(form)
 Python • DESARROLLO

hacer que los assemblies sean directamente

accesibles al estar en el mismo directorio que
el programa que los usa. Basta soltar un
puñado de ficheros dll en nuestro directorio
para tener acceso a una gran cantidad de
librerías.
La librería iTextSharp no es más que un
assembly llamado itextsharp.dll. Lo encon-
traremos dentro de fichero zip que podemos
descargar en el Recurso [4]. Sólo tenemos
que copiarlo en el directorio en el que ejecu-
temos nuestro programa Python.
En el Listado 2 aparece el código que
vamos a examinar. Empleamos tanto
clr.AddReference() como clr.AddReferenceTo-
File() para cargar los assemblies necesarios.
Una vez hecho esto importamos las librerías
de .Net que necesitamos. Trabajaremos con
las clases Document y FileStream. La primera
representa un documento PDF y es la base
de todo nuestro trabajo con iText, mientras
que la segunda nos permite trabajar con
ficheros como si estuviésemos en .NET.
Podemos conseguir información, libre, sobre
.NET en la documentación de Mono que
podemos encontrar en el Recurso [5].
La función Prueba() hace todo el trabajo.
Primero creamos un documento PDF con
tamaño de página A4 (el estándar en
Europa). La clase PdfWriter nos permite aso-
ciar al documento un fichero que empleare-
mos para guardarlo. Para ello abrimos una
conexión con la clase FileStream(), a la que
indicamos tanto el nombre del fichero como
el modo de acceso (en este caso queremos
crear el fichero, FileMode.Create). Tenemos
un documento listo para ser usado, por lo
que pasamos a abrirlo mediante Open().
Mediante la clase Paragraph generamos un
párrafo que añadimos al documento, y por
último lo cerramos con el método Close().
Ahora sólo tenemos que ejecutar nuestro
programa :
$ mono ipy.exe holamundo.py
Podemos ver el, nada espectacular, resultado
en la Figura 1, un fichero PDF con las pala-
bras «Hola mundo» en él. Realmente sencillo
¿verdad ? iText es mucho más potente. En las
siguientes secciones creamos un documento
mucho más elaborado, con imágenes, tablas,
número de página…
La Clase Document
Ya hemos visto cómo crear un documento,
escribir algo y cerrarlo guadardándolo. El
objeto Document es el encargado de gestio-
nar la disposición del resto de elementos que
Listado 2: «Hola Mundo» con iText
01 # -*- coding: utf-8 -*-
02
03 import clr
04 clr.AddReference(“System”)
05
clr.AddReferenceToFile(“itexts
harp.dll”)
06
07 from System.IO import
FileStream,FileMode
08 from iTextSharp.text import *
09 from iTextSharp.text.pdf
import *
10
componen el PDF. Para ello debemos crear
nuevos elementos y añadirlos mediante el
método Add() de Document. Add() admite
muchos tipos de objetos como parámetro, en
iTextSharp casi todos los elementos se com-
portan de forma parecida, haciéndolos inter-
cambiables. Emplearemos el Listado 3, que
genera la Figura 2, en la que podemos ver
todos los elementos en funcionamiento.
El encargado, pues, de controlar todo el
comportamiento es Document. Si queremos
crear una nueva página debemos emplear su
método NewPage().
El API de iTextSharp difiere en muchos
puntos del de iText, al fin y al cabo C# y Java
se parecen, pero tienen sus diferencias. Por
desgracia no he encontrado el API de iText-
Sharp en la web, pero existe una solución.
Mono nos provee de una herramienta indis-
pensable: mdoc. Con ella podemos extraer la
documentación de un assembly sin proble-
mas. Para ello debemos ejecutar los siguien-
tes comandos:
> mdoc updateU
itextsharp.dll -out:xml
> mdoc export-htmlU
-out:html xml
El resultado de estos comandos (pueden tar-
dar un poco en ejecutarse, en particular el
segundo) es un directorio llamado html,
donde podremos encontrar en ese formato la
documentación básica sobre iTextSharp.
Headers Footers
iTextSharp trabaja de forma explícita con las
cabeceras y pies de página. La clase Docu-
ment posee dos atributos, Header y Footer,
que nos permiten definir tanto la cabecera
como el pie. Tenemos que hacerlo antes de
11 def prueba ():
12 document =
Document(PageSize.A4)
13
PdfWriter.GetInstance(document
,
FileStream(“listado-2.pdf”,Fil
eMode.Create))
14 document.Open()
15 document.Add( Paragraph(“Hola
mundo”) )
16 document.Close()
17
18 prueba()
que ejecutemos el método Open() de Docu-
ment. No podemos asignar cualquier ele-
mento a estos atributos, debemos emplear
objetos de la clase HeaderFooter que, una vez
más, se comporta como Paragraph. Podemos
verlo en el Listado [3].
Elementos Chunks,
Phrases, Paragraphs…
El objeto más sencillo y simple es Chunk.
Representa un trozo de texto con algún tipo
de formato:
texto = Chunk(“Hola mundo”)
documento.Add(texto)
El formato se asigna a través de una fuente.
Las fuentes se crean empleando una factoría,
una clase que hace de constructor para otras
clases, llamada FontFactory. Para ello utiliza-
remos el método GetFont(), al que pasamos
la fuente, el tamaño, el formato y el color. El
formato se compone de distintos valores de
la clase Font, como por ejemplo Font.HELVE-
TICA o TIMES_ROMAN. Es posible emplear
3 tipos de fuentes:
• Type 1, que emplean la tecnología de PS.
Figura 1: El obligatorio «Hola Mundo» creado
en un PDF.

WWW.LINUX- MAGAZINE.ES Número 45 59

DESARROLLO • Python

• Type 3, que emplean la tecnología de
dibujo de PDF.
• TrueType, que podemos instalar.
Las fuentes Type 1 vienen de serie con
iText, y podemos encontrar sus nombres
mirando la documentación de la clase
iTextSharp.text.Font. Las fuentes Type 3
nos permiten definir nuevas fuentes dibu-
jándolas, lo que es bastante complicado,
aunque se utiliza en situaciones especiales,
mientras que las fuentes TrueType son las
más usadas en el escritorio KDE o en
OpenOffice. Lo más sencillo es emplear las
fuentes Type 1, pero hay muchas más
fuentes TrueType, entre las que se encuen-

Listado 3: Demostración de iTextSharp

01 #-*- coding: utf-8 -*- 27 documento.Open() 58 documento.Add(lista)
02 import clr 28 59
03 clr.AddReference(“System”) 29 imagen = 60 tabla = Table(4,4);
04 Image.GetInstance(“/home/josem 61 tabla.AutoFillEmptyCells =
clr.AddReference(“System.Drawi aria/tux.png”) True;
ng”) 30 imagen.Alignment = 62 tabla.BorderWidth = 1;
05 Image.RIGHT_ALIGN | 63 tabla.BorderColor = Color(0,
clr.AddReferenceToFile(“itexts Image.TEXTWRAP 0, 255);
harp.dll”) 31 imagen.ScalePercent(70) 64 tabla.Padding = 5;
06 32 documento.Add(imagen) 65 tabla.Spacing = 5;
07 import System 33 66
08 import System.Drawing 34 trozo = Chunk(“Hola Mundo”, tabla.DefaultCellBackgroundCol
09 from System.IO import FontFactory.GetFont(FontFactor or = Color(203,203,203)
FileStream,FileMode y.HELVETICA, 12)) 67
10 from iTextSharp.text import * 35 frase = Phrase(“Esto es una 68 pierde = Cell(“pierde”)
11 from iTextSharp.text.pdf frase y contiene: (“) 69 pierde.BackgroundColor =
import * 36 frase.Add(trozo) Color(255,0,0)
12 from iTextSharp.text.html 37 frase.Add(“)”) 70 gana = Cell(“gana”)
import * 38 71 gana.BackgroundColor =
13 from iTextSharp.text.rtf 39 azul = Color(0, 0, 255) Color(0,255,0)
import * 40 72
14 41 fuenteEnlace = 73 # Rellenamos las celdas de la
15 def Genera(): FontFactory.GetFont(FontFactor tabla
16 print “Generando gráfico” y.HELVETICA, 12, 74
17 documento = 42 Font.UNDERLINE, azul) 75 for nombre,x,y in
Document(PageSize.A4) 43 [(“Piedra”,1,0),(“Papel”,2,0),
18 44 enlace = Anchor(“Linux (“Tijera”,3,0),
PdfWriter.GetInstance(document Magazine”, fuenteEnlace); (“Piedra”,0,1),(“Papel”,0,2),(
o, FileStream(“listado-3.pdf”, 45 enlace.Reference = “Tijera”,0,3),
FileMode.Create)) “http://www.linux-magazine.es” (“-”,1,1),(“-”,2,2),(“-”,3,3)]
19 ; :
HtmlWriter.GetInstance(documen 46 enlace.Name = “Linux 76 celda = Cell(nombre)
to, Magazine”; 77 celda.HorizontalAlignment =
FileStream(“listado-3.html”, 47 Cell.ALIGN_CENTER
FileMode.Create)) 48 párrafo = Paragraph( 78 celda.VerticalAlignment =
20 Phrase(“Esto es un párrafo y Cell.ALIGN_MIDDLE
RtfWriter2.GetInstance(documen contiene «”)) 79 tabla.AddCell(celda
to, 49 párrafo.Add(frase) ,System.Drawing.Point(x,y))
FileStream(“listado-3.rtf”, 50 párrafo.Add(“» desde “) 80
FileMode.Create)) 51 párrafo.Add(enlace) 81 for resultado,x,y in
21 52 documento.Add(párrafo) [(pierde,1,2),(pierde,2,3),(pi
22 pie = 53 párrafo = Paragraph(“Razones erde,3,1),
HeaderFooter(Phrase(“Página: para comprar Linux Magazine:”) (gana,1,3),(gana,2,1),(gana,3,
“), True) 54 2)]:
23 pie.Border = 55 lista = List(List.ORDERED, 82 tabla.AddCell(resultado,
Rectangle.NO_BORDER; List.NUMERICAL , 20); System.Drawing.Point(x,y))
24 documento.Footer = pie 56 lista.Add( ListItem(“Es la 83
25 documento.Header = mejor revista”)); 84 documento.Add(tabla)
HeaderFooter(Phrase(“Linux 57 lista.Add( ListItem(“La 85
Magazine”),True) sección de Python es 86 documento.Close()
26 genial”)); 87 88 Genera()

60 Número 45 WWW.LINUX- MAGAZINE.ES


tra la (al menos para mí) odiosa Comic
Sans.
En un sistema Linux podemos encontrar
las fuentes TrueType del sistema en
/usr/lib/X11/fonts/TTF/. Sólo tenemos que
traernos una de ellas al directorio en el que
estamos trabajando y generar en nuestro
programa la fuente iText mediante las
siguientes sentencias:
bf=pdf.BaseFont.CreateFontU
(“/home/josemaria/fuente.ttf”,U
BaseFont.CP1252,U
BaseFont.EMBEDDED);
fuente = Font(bf, 12);
Empleamos la factoría
iTextSharp.txt.pdf.BaseFont.CreateFont()
para cargar la fuente. Acepta tres parámetros:
la ruta de la fuente, el encoding, que será
siempre CP1252 (el que se empleaba en los
IBM PC), y un último parámetro en el que
indicamos que queremos empotrar la fuente
en el documento. Este último parámetro nos
permite distribuir el documento sin necesi-
dad de que la persona que lo recibe posea la
fuente TrueType que hemos empleado.
Resumiendo, un Chunk nos permite dar
formato a un texto, pero nada más. Para com-
poner textos complejos necesitamos las cla-
ses Phrase y Paragraph. ¿Qué podemos hacer
si queremos emplear en un mismo texto dis-
tintos formatos? Debemos crear distintos
Chunks y componerlos dentro de una Phrase
mediante su método Add(). ¿Y si queremos
componer varias frases? Pues, siguiendo el
razonamiento de iText, debemos agruparlas
en un Paragraph (un párrafo) mediante su
método Add() . Por tanto, podemos estructu-
rar nuestro texto en Chunks, Phrases y Para-
graphs. Aún así, tanto Phrase como Para-
graph admiten texto y un formato prescin-
diendo de otras estructuras si queremos, lo
que nos da mayor flexibilidad al no tener que
emplear Chunk si no es necesario.
iText nos permite crear listas de elementos
de la misma forma que nos lo permite
HTML. Se crean con la clase List, y podemos
seleccionar si queremos que sean numéricas
o no mediante el primer argumento de su
constructor, que puede tomar los valores
List.ORDERED o List.UNORDERED. Acepta
dos parámetros más, aunque no son obliga-
torios: el segundo parámetro nos permite
indicar si queremos que en lugar de números
se empleen letras para numerar los items de
la lista, el tercero indica el margen que se
dejará entre el texto y la viñeta o número que
identifica a la linea en la lista. List es un con-
tenedor de objetos ListItem, que se compor-
tan de forma muy parecida al elemento Para-
graph, puede contener una cadena de texto,
un Chunk o un Phrase. Podemos ver un List
en acción en el Listado 3.
Tablas
Las tablas son uno de los elementos estrella
de iText debido a la sencillez con las que
podemos manejarlas.
Las tablas se generan empleando la clase
Table, que acepta como parámetro el
número de columnas que tendrá la tabla. En
el elemento Table es donde más se nota que
Bruno empleó como ejemplo las tablas de
HTML, y funciona exactamente igual. De
hecho, hasta los parámetros se llaman igual.
Tenemos filas y columnas, y podemos alterar
su tamaño mediante los parámetros Row-
Span y Colspan como si estuviésemos en
HTML, incluso tenemos parámetros como
Padding.
Debemos crear un elemento Table, confi-
gurarlo e ir añadiendo celdas una a una. Las
celdas son elementos de la clase Cell que, de
nuevo, se comporta de forma muy parecida
a Paragraph. En el Listado [3] aparece una
tabla que hace uso de algunos de los pará-
metros que nos permiten configurarla.
Imágenes
La clase Image es la encargada de gestionar-
las en iText. En otras librerías es necesario
cargar los distintos tipos de imágenes emple-
ando clases espaciales para cada formato,
pero en iText simplemente necesitamos la
ruta de la imagen. Image puede cargar imá-
genes en los formatos JPEG, PNG, GIF o
WMF. En el caso del Listado [3] cargamos
una imagen en formato PNG.
Un hecho curioso de iText es que es el ele-
mento que cargamos en un documento es
que le indica al documento dónde debe
situarse. Es decir, debemos indicarle a iTextS-
harp.Text.Image cómo queremos que se ali-
nee mediante el atributo Alignment, y eso
hacemos en el Listado [3]. También podría-
mos haber indicado que se situase en una
posición absoluta mediante el método Set-
AbsolutentPosition().
RTF, HTML
Aunque el desarrollo de iTextSharp sigue de
cerca el de iText, aún no ha conseguido
soportar completamente todas las opciones
que ofrece iText. La librería iText permite
generar no sólo ficheros PDF, sino también
RTF (Rich Text Format, formato estándar
soportado por editores de texto como Open-
WWW.LINUX- MAGAZINE.ES
Python • DESARROLLO
Figura 2: Tablas, gráficos y texto en nuestro
PDF de ejemplo.
Office o Word), XML y HTML. La genera-
ción de documentos en estos formatos es
aún experimental en iTextSharp, y es muy
probable que el resultado no se parezca
demasiado al que obtenemos generando
PDF. Aún así, la exportación a HTML es la
que mejor funciona. En el Listado [3] se
generan 3 ficheros (PDF, RTF y HTML) a la
vez, sólo tenemos que indicarle a iTextS-
harp en qué formatos queremos que genere
documentos.
Conclusión
No hemos podido ver ni un 20% de todo lo
que ofrece iText, simplemente debemos
comprobar la documentación del API para
ver cómo iText se extiende mucho más allá
de la simple disposición de texto e imágenes.
Posee clases para cifrar los PDF, para generar
código de barras o empotrar Javascript.
Incluso nos permite, dentro de unos límites,
cargar un fichero PDF y extraer su texto y
componentes.
Espero que el esfuerzo anónimo de perso-
nas como Bruno siga trayéndonos al soft-
ware libre librerías de tanta calidad como
iText. ■
RECURSOS
[1] Página de inicio de iText: http://
www.lowagie.com/iText/
[2] Página de inicio de iText Sharp:
http://itextsharp.sourceforge.net/
[3] Cómo cargar librerías de CPython:
http://www.voidspace.org.uk/
ironpython/cpython_extensions.
shtml
[4] Zona de descarga de Text Sharp:
http://sourceforge.net/projects/
itextsharp/
[5] Mono Documentation Library: http://
www.go-mono.com/docs/
[6] Listados de este artículo: http://
www.linux-magazine.es/Magazine/
Downloads/45/Python
Número 45 61
DESARROLLO • Perl: Amtrack
Un script Perl que vigila precios de Amazon
CAZA
GANGAS
Si eres un caza gangas es probable que te guste este script Perl que monitoriza la evolución de los precios en
Amazon y nos alerta si los baja súbitamente en productos por los que nos hemos interesado.
POR MICHAEL SCHILLI
¿
Debería comprar esa cámara digi-
tal a la que he echado el ojo
recientemente? ¿O debería esperar
a que bajara un poco de precio? Estas
preguntas son difíciles de contestar, pero
un vistazo a la evolución de los precios
en los meses anteriores puede indicarnos
qué camino pueden tomar esos precios.
Historial de Precios
Si Amazon ofreciese un historial de pre-
cios para sus productos, de manera simi-
lar a la evolución del precio de las accio-
nes en las páginas de finanzas, los clien-
tes podrían disgustarse al descubrir que
han desaprovechado oportunidades. O
podrían llegar a la conclusión de que los
precios van a seguir cayendo y esperar
un momento mejor para comprar. La
famosa tienda online no ofrece este ser-
vicio, así que tendremos que desarro-
llarlo nosotros mismos.
Precios a la Vista
El script que vamos a ver, amtrack, par-
sea un archivo de configuración
~/.amtrack-rc, parecido al de la Figura
62 Número 43
45
Vasiliy Yakob
chu, Fotolia
1, para encontrar los productos que activar el flag -a , pero tenga en cuenta
quiere el usuario. Un cronjob llama al que probablemente se mostrará un mon-
script a intervalos periódicos. Cada vez tón de información si ha estado monitori-
que el script conecta con el servicio Web zando precios desde hace tiempo y ha
de Amazon, consulta los precios de los vigilado diferentes productos.
artículos señalados y los guarda en una Cuando se ejecuta sin ninguna opción
base de datos SQLite local. en línea de comandos, amtrack realiza
Si el precio de un producto cae, el su trabajo mediante los atajos definidos
script envía un correo electrónico con la en el archivo de configuración ~/
URL del producto y el precio a la direc- .amtrack-rc y actualiza la base de datos
ción configurada en la línea 79 . Lo único con los últimos precios.
que le resta por hacer al caza gangas es
pulsar la URL en el cliente de correo, Lista de Deseados
echarle otro vistazo al producto en el El archivo de configuración tiene dos
navegador, y en su caso, cazarlo al columnas. La primera contiene el
vuelo.
Debido a que los precios se
guardan de forma local en una
base de datos, el script puede
solicitar y mostrar información
del histórico al momento. Una
llamada a amtrack -l devuelve
los últimos precios de todos los
productos monitorizados (véase
la Figura 2). Si estamos intere-
sados en el contenido completo Figura 1: El archivo de configuración ~/.amtrack-rc lista
de la base de datos podemos los productos especificados y sus números ASIN.
WWW.LINUX- MAGAZINE.ES

Figura 2: Cuando se llama con la opción -l, el script zon::Response::ASIN. La pro-
amtrack lista los precios actuales de todos los productos piedad is_success() del objeto
que está vigilando.
Figura 3: La base de datos SQLite también puede consul- genes, y mucho más, inclu-
tarse con el cliente en línea de comandos sqlite3.
número ASIN del producto en cuestión,
con una breve descripción a su derecha,
separado por uno o varios espacios en
blanco. Esto no tiene ninguna influencia
en la base de datos, pero hace que la
alerta por correo electrónico sea más
fácil de leer.
Las líneas de comentario comienzan
con el símbolo de almohadillas (#), y el
script las ignora, al igual que ignora los
espacios en blanco. La función
config_read() (Listado 1, líneas 91-111)
carga la configuración y devuelve dos
referencias: una al array ordenado @con-
fig, y la otra al hash %config . El array
contiene parejas de ASIN y valores de
texto, mientras que el hash mapea direc-
tamente las ASINs a los textos para
poder buscarlas rápidamente.
Oportunidades
El módulo Net::Amazon de CPAN pro-
porciona una interfaz orientada a objetos
al web service (basado en RESR) de
Amazon. Si introducimos el número
ASIN del producto, el módulo contacta
con Amazon y recupera el precio.
Cuando comenzó, Amazon sólo ven-
día libros, que podían ser identificados
de manera unívoca por sus números
ISBN. A medida que el catálogo de pro-
ductos creció, añadió el número ASIN,
que tiene una estructura similar pero
también incluye letras, y de esta manera
es capaz de direccionar muchos más pro-
ductos.
El método request() de la clase
Net::Amazon acepta un objeto Net::Ama-
Perl: Amtrack • DESARROLLO
zon::Re-quest::ASIN con pará-
metros que incluyen el
número ASIN de un producto.
Tras hacer esto, controla las
comunicaciones con la página
web de Amazon y devuelve un
objeto de clase Net::Ama-
nos indica si la petición ha
tenido éxito. En este caso, el
método properties() devuelve
un único objeto de clase
Net::Amazon::Property que
contiene el producto coinci-
dente, incluida una descrip-
ción del producto, puntuación
de los clientes, URL a las imá-
yendo precio. Amazon ofrece
diferentes opciones de bús-
queda (por autor por ejemplo), por lo
que properties() también puede devolver
múltiples entradas. El método OurPrice()
de una propiedad devuelve el precio
actual de un producto en formato $X.XX,
£X.XX (para Reino Unido) o EUR X,XX
(para otras ubicaciones europeas: ver
más abajo).
Caché del Histórico
El script también se apoya en el módulo
Cache::Historical de CPAN, que no sólo
guarda información bajo un índice pri-
mario, como cualquier caché normal,
sino que también inserta una fecha que
usa como índice secundario. El script
guarda los precios de los pro-
ductos, con el ASIN como
índice primario, y guarda la
información recuperada en la
caché. Tras el escenario,
Cache::Historical se apoya en
una base de datos SQLite
basada en archivo, listada por
el módulo como requeri- Figura 4: Llegada de un correo electrónico que anuncia
miento, y que también instala que el precio del robot aspiradora Roomba [4] ha bajado
gracias a la cobertura de 10$.
CPAN. El parámetro sqlite_file
del constructor new() fija el
nombre del archivo
~/.amzn-tracker-sqlite en el
cual se deposita la base de
datos. Si así lo queremos,
podemos consultar la base de
datos SQLite con el programa
cliente sqlite3 para ver la
información, como muestra la
Figura 3. Figura 5: Configuración de Log4perl para el script.
WWW.LINUX- MAGAZINE.ES
La llamada get_interpolated() de la
caché recupera el valor de una fecha
concreta desde la base de datos (la fecha
actual en el script) y una clave específica
(el ASIN de un producto). El script
guarda esto en la variable $last_price, y
entonces actualiza la base de datos con
el último valor de la página Web de
Amazon. Tras hacer esto, recupera el
precio actual desde la base de datos nue-
vamente y la compara con $last_price.
Por contra, el método values()
devuelve una lista de parejas de valores
que coinciden con la clave especificada.
Cada pareja es una referencia a un array
que contiene la fecha como un objeto
DateTime y el precio.
Do What I Mean
Si el precio actual de un producto bajo
supervisión es menor que el último pre-
cio guardado en la base de datos, el
script genera un correo electrónico en la
línea 78 (Figura 4). A pesar de que
muchos módulos de CPAN pueden
enviar correos electrónicos, Mail::DWIM
(Do What I Mean) es uno de los más
sencillos: exporta la función mail(), que
acepta un destinatario, una línea de
asunto, y el cuerpo de texto del correo
electrónico como parámetros. Configura
valores por efecto con sentido para el
resto de parámetros, como el remitente o
el trasporte del correo electrónico (en
este caso, el usuario activo más el domi-
nio configurado y el demonio activo
Sendmail). En cuanto a otros mecanis-
Número 45 63
DESARROLLO • Perl: Amtrack

mos de transporte de correo electrónico,
también soporta SMTP especificando el
host. Estos valores por efecto se fijan
como parámetros en el archivo local
.maildwim. Para más detalles acerca de
esto, sólo tiene que leer la página man
Mail::DWIM.
El correo electrónico también contiene
la URL del producto, que se consigue
añadiendo /dp/$asin a la URL base de la
página web de Amazon.
Logueo Profesional
Para mantener al usuario al corriente de
lo que está haciendo el script se usa
Log4perl para registrar sus actividades.
El archivo amtrack.l4p, inicializado por
Log4perl, se guarda en el mismo directo-
rio que el script (Figura 5). Para permitir
al script que encuentre el archivo de
configuración, incluso si se le llama
desde un directorio diferente (por ejem-
plo, bin/amtrack o amtrack desde el
directorio de usuario), el módulo Find-
Bin nos ayuda a exportar la variable $Bin
como directorio donde se encuentra el
script, asegurando de esta manera que
$Bin/amtrack.l4p representa la ruta
absoluta a la configuración de Log4perl.
La configuración de Log4perl no es
precisamente sencilla. Después de todo,
queremos que el script escriba sus activi-
dades normales en el archivo de log
(Figura 6) y muestre los errores en la
consola.
Se llama a un cronjob a intervalos
regulares para añadir información en el
archivo de registro (por defecto), pero se
enviarán los errores (como una conexión
fallida de red) a STDERR, y esto provoca
que cron, que inició el script, envíe un
correo electrónico al administrador.
Se define un único usuario registrado
para la categoría main (es decir, para el
programa principal). Net::Amazon tam-
bién permite Log4perl, y otra entrada en
el archivo de configuración mostrará
rápidamente los detalles de las comuni-
caciones con el servidor Web de Amazon
por pantalla. El usuario main controla
dos appenders: Logfile y Screen. Para
asegurarnos de que Screen sólo recibe
mensajes con prioridad ERROR superior,
la línea
log4perl.appender.Screen.U
Threshold = ERROR
configura este umbral en la definición
del appender.

Listado 1: amtrack
001 #!/usr/bin/perl -w 030 060
002 use strict; 031 if($opts{l} or $opts{a}) { 061 for my $line (@$config) {
003 use Getopt::Std; 032 for my $key (sort keys 062
004 use Net::Amazon; %$txt_by_asin) { 063 my($asin, $txt) = @$line;
005 use 033 my $txt = 064 my $now =
Net::Amazon::Request::ASIN; $txt_by_asin->{$key}; DateTime->now();
006 use Log::Log4perl qw(:easy); 034 for my $val 065
007 use Cache::Historical 0.02; ($cache->values( $key )) { 066 my $last_price =
008 use DateTime; 035 my($dt, $price) = fix_price($cache->
009 use Mail::DWIM qw(mail); @$val; 067
010 use FindBin qw($Bin); 036 print “$dt $txt get_interpolated($now,
011 $price\n”; $asin));
012 my ($home) = glob “~”; 037 last if $opts{l}; 068
013 my $amzn_rc = 038 } 069 track($asin, $txt,
“$home/.amtrack-rc”; 039 } $cache);
014 040 } else { 070
015 041 update($config); 071 my $price_now =
Log::Log4perl->init(“$Bin/amt 042 } fix_price($cache->
rack.l4p”); 043 072
016 044 #################### get_interpolated($now,
017 my $cache = 045 sub fix_price { $asin));
Cache::Historical->new( 046 #################### 073
018 sqlite_file => 047 my($price) = @_; 074 if(defined $last_price
019 “$home/.amtrack-sqlite” 048 and
020 ); 049 if(defined $price) { 075 defined $price_now) {
021 050 $price =~ s/[^\d]//g; 076
022 my $UA = Net::Amazon->new( 051 $price =~ 077 if( $price_now <
023 token => s/..$/.$&/g; $last_price) {
‘YOUR_AMZN_TOKEN’, 052 } 078 mail(
024 # locale => ‘uk’, 053 return $price; 079 to =>
025 ); 054 } ‘foo@bar.com’,
026 055 080 subject =>
027 my($config, $txt_by_asin) = 056 #################### “[amtrack] “ .
config_read(); 057 sub update { 081 “$txt cheaper
028 058 #################### ($price_now < “ .
029 getopts(“al”, \my %opts); 059 my($config) = @_; 082 “$last_price)”,

64 Número 45 WWW.LINUX- MAGAZINE.ES

DESARROLLO • Perl: Amtrack

Listado 1: amtrack (Continuación)

083 text => “URL: “ 103 chomp; Net::Amazon::Request::ASIN->n
. 104 my($asin, $txt) = ew(
084 split ‘ ‘, $_, 2; 122 asin => $asin);
“http://amazon.com/dp/$asin”, 105 push @config, [$asin, 123
085 ); $txt]; 124 my $resp =
086 } 106 $config{ $asin } = $UA->request($req);
087 } $txt; 125
088 } 107 } 126 if($resp->is_success()) {
089 } 108 close AMZNRC; 127 my($prop) =
090 109 $resp->properties();
091 #################### 110 return \@config, 128 my $price =
092 sub config_read { \%config; $prop->OurPrice();
093 #################### 111 } 129 INFO “Tracking $asin “,
094 112 130 “($txt): $price”;
095 my @config = (); 113 #################### 131
096 my %config = (); 114 sub track { $cache->set(DateTime->now(),
097 115 #################### 132 $asin,
098 open AMZNRC, “$amzn_rc” 116 my($asin, $txt, $cache) = $price) if $price;
or @_; 133 } else {
099 die “Cannot open 117 134 ERROR “Can’t fetch asin
$amzn_rc”; 118 INFO “Tracking asin $asin”; $asin: “,
100 while(<AMZNRC>) { 119 135 $resp->message();
101 s/#.*//; 120 my $req = 136 }
102 next if /^\s*$/; 121 137 }

En caso de que queramos aprender
más acerca del entorno de trabajo
Log4perl, podemos visitar la página Web
de Log4perl [2], que tiene una documen-
tación exhaustiva y una FAQ con confi-
guraciones frecuentes a modo de ejem-
plo.
No sin Mi Token
Amazon requiere un token para los
scripts que estén trabajando con su web
service. El token está a libre disposición
de cualquiera que se registre y acepte
las condiciones [3]. Tras recibirlo, sólo
tenemos que remplazar
YOU_AMZN_TOKEN de la línea 23 con
el token correcto.
El script funcionará con la página
Web de Estados Unidos o con la de
cualquier otro país, como puede ser la p
del Reino Unido. Para esta última, sim-
Figura 6: Fragmento del archivo de log tras una ejecución
exitosa del script.
plemente tenemos que descomentar
locale => ‘uk’ en la línea 24.
Para otros países europeos, los precios
debería mostrarse en formato EUR X,XX,
pero la función fix_price los convierte a
un formato en punto flotante adecuado,
que podemos comparar con el uso de
operaciones matemáticas.
Como las cifras en Estados Unidos usan,
para el punto flotante, tanto un punto
como comas para separar los miles,
fix_price() simplemente desecha todo lo
que no es un dígito e inserta el punto deci-
mal delante de los últimos dos dígitos.
Instalación
Un shell de CPAN instala los módulos de
CPAN especificados al comienzo del
script, y resuelve inmediatamente todas
las dependencias al mismo tiempo.
Una entrada crontab con el formato
23 0 * * *
/path/to/amtrack
llama al script una vez al día,
23 minutos después de media-
noche. Esto debería ser más
que suficiente para mantener-
nos al día. El módulo
Net::Amazon se asegura de
que el script mantiene las condiciones de
uso de Amazon, e impone limites si el
usuario recupera precios a intervalos
muy cortos.
Mejoras
Para mejorar el script podríamos asignar
un límite para cada precio en el archivo
de configuración e indicar al script que
no nos notifique a menos que el precio
baje por debajo de este valor. Otra apli-
cación podría ser dibujar un gráfico de
los cambios en el precio en un período
de tiempo. Los módulos RRDTool::OO o
Imager::Plot de CPAN serían perfectos
para este propósito. ■
RECURSOS
[1] Listados de este artículo: http://
www.linux-magazine.es/Magazine/
Downloads/45
[2] Log4perl homepage: http://
log4perl.com
[3] Los tokens de Amazon Web Servi-
ces están disponibles en: http://
www.amazon.com/soap
[4] El robot aspirador Roomba: http://
www.amazon.com/
iRobot-Roomba-Intelligent-Floorva
c-Robotic/dp/B00008439Y

66 Número 45 WWW.LINUX- MAGAZINE.ES


El Día a Día del Administrador de Sistemas: Autenticación de Paquetes Individuales
EXPERIENCIA CON
CLAVES
Normalmente, la técnica del gol-
peo de puertos está abierta a ata-
cantes que utilizan la fuerza bruta
o algún sniffer. Enviar un paquete
cifrado con la petición de acceso
al servidor es más seguro y
moderno. Aprenda más sobre
Firewall Knock Operator, también
conocido como Fwknop.
E
l golpeo de puertos convencional,
que expliqué el mes pasado [1], le
protege contra atacantes que esca-
nean de forma rutinaria redes enteras bus-
cando cualquier oportunidad. Un cracker
que se tome su tiempo y registre la comu-
nicación puede identificar señales de gol-
peo, ya que las secuencias se repiten.
En teoría, podría considerarse el uso de
listas de señales de golpeo de un sólo uso
que quedan obsoletas tras utilizarse. Des-
afortunadamente, es muy complejo. Ade-
más, si el administrador no es muy crea-
tivo, un atacante podría intentar con
secuencias conocidas de golpeo (puerto
7000, 8000, 9000, …) para conseguir el
acceso.
Una posible solución puede ser la
Autenticación de Paquetes Individuales
(SPA). El sistema de golpeo envía un sólo
paquete conteniendo las credenciales de
autenticación cifradas, normalmente una
frase de paso, y el cliente responde
abriendo un puerto específico. Una imple-
SYSADMIN
KSplice . . . . . . . . . . . . . . . . . . . . . . . .68
Cómo actualizar el kernel sin tener que
reiniciar la máquina.
La Columna de Charly • ADMINISTRACIÓN
Figura 1: El cliente llama a la puerta del puerto 22 permitiéndole el paso porque tiene la clave
correcta.
mentación SPA que funciona muy bien es
Firewall Knock Operator, o Fwknop [2].
Además de las herramientas de compi-
lación, la instalación requiere Perl, el
paquete libpcap-dev y el módulo
Net::Pcap. Tras la instalación de todos
estos recursos, se instala Fwknop, que es
una gozada gracias al instalador basado
en Perl.
Encontrando el Picaporte
Fwknop se compone del servidor
fwknopd y del cliente fwknop. El servidor
puede configurarse editando dos ficheros
bajo /etc/fwknop/; fwknop.conf contiene
la configuración básica. Inicialmente
necesitará cambiar un par de parámetros,
que están etiquetados con __CHAN-
GEME__.
Los demás parámetros que se pueden
utilizar aquí vienen ya por defecto. Nótese
que necesitará sincronizar el tiempo entre
el servidor y el cliente, ya que si la dife-
rencia es muy grande, fwknopd ignorará
el golpeo del cliente.
Las entradas en
/etc/fwknopd/access.conf definen cómo
WWW.LINUX-MAGAZINE.ES
contesta fwknopd a un golpeo del cliente.
La clave secreta que el cliente utiliza para
identificarse se almacena aquí. La línea
SOURCE puede utilizarse para restringir
redes desde las que el servicio acepta gol-
peos. Para configurar el puerto que el sis-
tema abre para golpeos con éxito (por
ejemplo, tcp/22 para SSH) puede utilizar
OPEN_PORTS. La Figura 1 muestra un
intento con éxito. El cliente fwknop recoge
la clave de su propio
/etc/fwknop/access.conf.
Si la conexión SSH no se abre lo bas-
tante rápido, FW_ACCESS_TIMEOUT se
dispara en el servidor. Este tiempo nor-
malmente está establecido en 30 segun-
dos, pero yo lo suelo doblar ¡Nunca le
meta prisa a un administrador en su tra-
bajo! ■
RECURSOS
[1] “Knock-Knock” por Charly Kühnast,
Linux Magazine, edición en caste-
llano, Nº 44.
[2] Fwknop: http://www.cipherdyne.org/
fwknop/
Número 45 67
ADMINISTRACIÓN • Ksplice

Anjapepunkt, photocae.com
Modificación del kernel en ejecución con Ksplice

PEDAZO A PEDAZO
A veces el tiempo total de funcionamiento de una máquina es tan los parches son muy simples. El ochenta
por ciento constaba de menos de quince
importante como lo puedan ser las actualizaciones. Pero, ¿no hay que líneas de código, de las cuales más de la
mitad era de poco más de una línea. Los
reiniciar cada vez que se aplican parches al kernel? Con Ksplice problemas suelen estar causados por un
simple error a la hora de procesar los ele-
podemos aplicarlos mientras estamos usando ese kernel. mentos de un array (“off-by-one errors”).
Los bugs de este tipo son muy fáciles de
POR NILS MAGNUS
arreglar. Por ejemplo, el Listado 1 muestra
un parche para la llamada al sistema

A
pocos administradores les entu- media un bug en el kernel cada tres sema- prctl(), que soluciona la vulnerabilidad
siasma la idea de instalar un nas. El modelo de desarrollo libre tiene la explicada en CVE-2006-2451. El problema,
nuevo kernel, por lo que la mayo- peculiaridad de que continuamente apare- para el que hay exploit, se soluciona con
ría de distribuciones ofrecen un gestor de cen nuevos parches. una sola línea de código.
paquetes y algunas herramientas de insta- Jeffrey Brian Arnold, del MIT (Massa- Arnold desarrolló el paquete Ksplice [2]
lación que simplifican la tarea. Después de chusetts Institute of Technology), demostró con la idea de parchear un kernel en eje-
cargar e instalar el nuevo kernel, y de con una encuesta [1] que la mayoría de cución, directamente, sin necesidad de rei-
registrarlo en el cargador de arranque, el
reinicio no debería tomar más de un par Listado 1: Parche para CVE-2006-2451
de minutos. Pero es que dos minutos de
01 diff —git a/kernel/sys.c b/kernel/sys.c
ausencia resulta que son demasiado para
02
algunas aplicaciones.
03 —- a/kernel/sys.c
Si gestionamos sistemas para procesa-
04 +++ b/kernel/sys.c
miento matemático, como los usados para
05 @@ -1991,7 +1991,7 @@ asmlinkage long sys_prctl(int option,
simulaciones en climatología, o sistemas
unsigned
gestores de un gran número de conexiones
06 long arg2, unsigned long arg3,
de red, como servidorees telefónicos o
07 case PR_SET_DUMPABLE:
tiendas en línea, probablemente preferire-
08 - if (arg2 < 0 || arg2 > 2) {
mos evitar tener que reiniciar.
09 + if (arg2 < 0 || arg2 > 1) {
Por otro lado, el administrador es tam-
10 error = -EINVAL;
bién el responsable de la seguridad de los
11 break;
sistemas que gestiona. Las encuestas reve-
12 }
lan que los desarrolladores encuentran de

68 Número 45 WWW.LINUX-MAGAZINE.ES

Figura 1: Para preparar los cambios que se aplicarán al kernel en ejecución, Ksplice crea dos árboles de kernel (Fase 1), encuentra las diferencias
a nivel de código de los objetos (Fase 2), los optimiza (Fase 3) y reúne para crear un nuevo módulo (Fase 4).
niciar. El programa sólo necesita el código
fuente del kernel, sus datos de
configuración y la tabla de símbolos. Lo
mejor de todo es que ni siquiera tenemos
que preparar el sistema para usar Ksplice.
El programa es capaz de modificar cual-
quier kernel a partir de la versión 2.6.8.
Las distribuciones Linux suelen propor-
cionar el código fuente del kernel, pero si
lo hemos compilado nosotros mismos, lo
tendremos en /usr/src. Los archivos config
y System.map suelen ubicarse en /boot.
Ksplice necesita además, obviamente, un
parche o un archivo (o varios) ya modifi-
cado. El programa compila dos nuevos
kernels: pre representa una versión del sis-
tema actual, mientras que post designa el
kernel resultante tras aplicar los cambios.
Encuentra las Diferencias
Después de compilar los dos nuevos ker-
nels, Ksplice busca diferencias en el
código objeto (ver Figura 1). Si Ksplice
analizase el código directamente, tendría
que emular cada una de las decisiones del
compilador, algo muy complicado para la
tarea que nos atañe. Por este motivo,
Ksplice hace uso de la librería GNU BFD
[3] para buscar funciones en el código
objeto que hayan cambiado en el nuevo
kernel. Ksplice guarda entonces el nuevo
código en módulos e inserta saltos al prin-
cipio de las funciones originales, que
apuntarán ahora a las nuevas versiones.
Cuando el administrador activa los cam-
bios, Ksplice carga dos módulos en el sis-
tema en ejecución, realizando así las
modificaciones (ver Figura 2).
Uno de los momentos críticos se da en
el instante en el que Ksplice ya puede ins-
talar los saltos. Los problemas empiezan
cuando hay un hilo del kernel usando una
de las funciones que hay que reemplazar.
Para evitar que se produzca esta situación,
Ksplice • ADMINISTRACIÓN
el programa llama a stop_machine_run(),
deteniendo la ejecución del hilo, ya que
esta función crea un proceso de alta priori-
dad por cada CPU. El módulo de Ksplice
comprueba entonces si el candidato al
cambio contiene algún hilo. En caso de ser
así, el módulo espera un rato y luego
vuelve a intentarlo. Este método no es
efectivo con algunas funciones como el
programador de tareas, puesto que siem-
pre está ocupado haciendo algo. En esos
casos, Ksplice deja de insitir, pero si no,
instala las direcciones de salto. A partir de
ahora, el kernel Linux ejecutará la versión
parcheada de estas funciones.
Valores Internos
Ksplice tiene que encontrar las funciones
adecuadas y las direcciones de vectores en
código reubicable. El programa es capaz
de detectar cambios en direcciones de
salto relativas donde la función en sí
misma no se ve afectada por ninguna
modificación, gracias al nuevo tamaño de
la función parcheada. El kernel normal-
mente introduce al inicio las funciones
implementadas en C. Por contra, en el
caso de tratarse de código ensamblador, el
programa tiene que buscar el vector.
Si el programa usase un compilador
diferente para el kernel pre, se darían
Figura 2: Para activar las nuevas funciones, Ksplice intenta introducir saltos al comienzo de
la función antigua. El programa detiene antes los procesos y se asegura de que el código no
usa hilos.
WWW.LINUX-MAGAZINE.ES
suposiciones erróneas con respecto al ker-
nel en ejecución. Ksplice hace uso de una
sólida lógica a la hora de analizar la tabla
de símbolos, que en muchas distribucio-
nes se guarda en el archivo /boot/
Symbol.map. Además de todo esto, com-
pila ambos kernels con varias opciones
que asignan un segmento de texto ELF
distinto a cada función para facilitar la
identificación de los saltos relativos modi-
ficados.
Debido a que Ksplice maneja el código
como las cajas negras, no puede detectar
cambios en estructuras de datos. Por
ejemplo, si con un parche se añaden nue-
vos atributos a una estructura de datos
dada, o si se cambia su diseño, pueden
producirse sorpresas. Los saltos suelen
tomar punteros a funciones, pero no hay
garantía de que Ksplice pueda realizar,
según el caso, operaciones aritméticas
complejas con punteros o hacer correcta-
mente las conversiones de tipos.
Fuera de los Límites
En la documentación, el autor enfatiza
que diseñó la herramienta principalmente
para la aplicación de pequeños parches de
seguridad, y que es responsabilidad del
administrador leer, comprender y evaluar
el parche antes de aplicarlo. Dicho de otro
Número 45 69
ADMINISTRACIÓN • Ksplice
Figura 3: Para preparar Ksplice, el administrador ejecuta el kernel. Una funcionali-
comando ksplice-create desde el directorio que contiene las dad bastante práctica es
fuentes del kernel y especifica el tipo de parche. Ksplice compila la de que el administra-
entonces los kernels antiguo y nuevo y aplica los cambios a tra- dor pueda especificar un
vés de un módulo de actualización.
modo, hace falta bastante experiencia con
el kernel para usar con seguridad esta
herramienta; de no tenerla, podrían ocu-
rrir cosas mucho peores que el pequeño
retardo producido por el tener que reini-
ciar la máquina.
Ksplice no puede realizar cambios
semánticos sobre kernels en ejecución, y
puesto que la mayoría de los cambios
entre un kernel publicado y el siguiente
añaden alguna nueva funcionalidad, el
deseo del administrador de medir en años
el tiempo de ejecución del sistema pasa de
ser una mera quimera.
En Producción
La actual versión, 0.9.4, se encuentra dis-
ponible en forma de tarball con binarios
precompilados, o de archivo con el código
fuente, licenciado bajo GPLv2. En el
momento de escribir este artículo no hay
paquetes precompilados para ninguna dis-
tribución. Si compilamos la herramienta
desde las fuentes, necesitaremos también
la librería BFD, que podemos obtener en
Debian y sus derivados (como Ubuntu)
con el siguiente comando:
sudo aptitude install U
binutils-dev
Los desarrolladores más prominentes,
entre los que se incluye Andi Kleen, pro-
ponen la inclusión de Ksplice en el kernel
oficial en forma de extensión. Kleen
piensa que para el proyecto supondría un
soporte permanente que llevaría, a largo
plazo, al desarrollo de un compilador
incremental [4]. Se eliminaría la necesi-
dad, por parte de los desarrolladores, de
recompilar completamente el kernel cada
vez que se pruebe o modifique un par-
che.
70 Número 45
El programa está for-
mado por cuatro scripts
en Perl que llaman a
varias herramientas para
el análisis de código
objeto escritas en C.
kslice-create sólo necesita
los detalles del parche y
la ruta al directorio que
contiene las fuentes del
cambio mediante un
archivo diff, con el pará-
metro —patch, o especificar mediante el
parámetro —diffext el archivo sobre el que
ya se han aplicado los cambios.
El programa necesita un subdirectorio
ksplice en el árbol del kernel, donde el
administrador depositará tanto la
configuración del kernel como la tabla de
símbolos (ver Figura 3).
Dependiendo del tipo de sistema que se
esté usando, la primera fase puede tardar
un poco, debido a que Ksplice necesita
compilar dos kernels completos: uno en
ksplice/pre y el otro en ksplice/post. Des-
pués de hacerlo, el programa busca las
diferencias y combina los resultados, cre-
ando dos módulos para el kernel.
El parche se aplica con ksplice-apply. El
programa carga primero un módulo res-
ponsable de la gestión de los saltos, que
permanecerá en espera hasta el momento
oportuno. LLegado el momento, Ksplice
carga los cambios en el kernel, los ejecuta
y se elimina a sí mismo para ahorrar
memoria.
Gestión de Parches
Ksplice también puede modificar un ker-
nel ya parcheado. Para ello, los parches de
la primera fase deben residir en el árbol de
código pre. Luego ksplice-create y ksplice-
apply tienen constancia de los saltos que
ya existen y hacen las correspondientes
modificaciones. El mismo mecanismo es
el que hace posible deshacer cambios con
ksplice-undo, ya que el sistema conoce las
direcciones de los vectores. Para mostrar
todos los cambios realizados por Ksplice
empleamos ksplice-view.
Jeffrey Brian Arnold nos enseña en su
sitio web otra posible aplicación potencial
de la herramienta: la depuración de un
kernel en ejecución. Si sólo queremos aña-
dir un par de llamadas printk() en algún
WWW.LINUX-MAGAZINE.ES
punto de modo que se puedan ver deter-
minadas estructuras de datos que de otra
forma nos costaría ver, Ksplice nos ofrece
un método simple de inyectarlas en el sis-
tema en ejecución. Aún así, este método
no sirve de mucha ayuda con aplicaciones
muy complejas, para las que los módulos
de carga dinámica, los Kprobes, o System-
tap son mucho más adecuados.
¿Método Patentado?
Algunos desarrolladores han señalado que
Microsoft envió una aplicación patentada
a la USPO (US Patent Office) en Diciembre
de 2002 titulada “Parcheado de funciones
cargadas en un sistema informático en eje-
cución”. La USPO rechazó la aplicación y
Microsoft apeló, enviando después unas
pocas aplicaciones más, entre las que se
encontraba una para “Parcheado Efi-
ciente” (referencia 20050257208 de la
USPO).
Como respuesta, media docena de desa-
rrolladores publicaron en varios foros que
esta tecnología era ya de dominio público
en varias plataformas, desde PDP-11 hasta
PCs de última tecnología, mucho antes de
que se solicitase la patente de la aplica-
ción.
Un Asistente Útil
Ksplice integra ciertos mecanismos inge-
niosos para el soporte de actualizaciones
del kernel a nivel binario. A pesar de la
facilidad con que se puede modificar
código y analizar vectores, el administra-
dor debe comprobar cada una de las situa-
ciones en las que podría ser útil la herra-
mienta. Ksplice resulta útil con casos sen-
cillos, pero no puede pretender ser la solu-
ción para fallos de hardware en situacio-
nes en las que se requiere una alta dispo-
nibilidad del sistema. ■
RECURSOS
[1] “Ksplice: Un Sistema Automático de
Actualizaciones de Seguridad del
Kernel Linux sin Reiniciar”, por Jef-
frey Brian Arnold, MIT (Massachu-
setts Institute of Technology) http://
web.mit.edu/ksplice/doc/ksplice.pdf
[2] Descarga e instalación de Ksplice:
http://web.mit.edu/ksplice/
[3] GNU binutils y librería BFD: http://
sourceware.org/binutils/
[4] Anuncio y discusión en la lista de
correo del Kernel Linux: http://thread.
gmane.org/gmane.linux.kernel/
669951
LINUX USER • Fotoxx
Manipulación de imágenes con Fotoxx
LUCES Y SOMBRAS
El programa de manipulación de imágenes Fotoxx ofrece lo más destacado, como HDR y funciones de todo
tipo, aunque donde hay luces también hay sombras. POR THOMAS PELKMANN
E
l programa de manipulación de
imágenes libre Fotoxx ofrece la
colección habitual de funciones
para la mejora y edición de fotos digita-
les, pero también herramientas para
manipulación de fotos high-dynamic
range (HDR) e imágenes panorámicas.
Los paquetes precompilados se encuen-
tran disponibles para unas cuantas dis-
tros y el desarrollador nos dirige a ellos;
en el sitio web de Fotoxx, el programador,
cuando se enfrentó con el gran número
de sistemas de empaquetado [1], simple-
mente declaró “Me rindo”. Sin embargo,
con un par de pasos manuales podemos
instalar Fotoxx desde el código fuente
(véase el cuadro “Instalación de
Fotoxx”).
Cuando se arranca por primera vez,
Fotoxx aparece con una interfaz sorpren-
dentemente sencilla: un extenso espacio
vacío, enmarcado por una barra de ico-
nos horizontal para las funciones de
archivo principales y una barra vertical
para las herramientas del programa, muy
72 Número 45
diferentes de las que presentan las GUIs
más populares.
Fotoxx es una buena elección como
visor de imágenes y como aplicación para
seguirle la pista a nuestras fotos digitales.
Para ver una perspectiva de nuestra colec-
ción de fotos en cualquier carpeta pulsa-
mos Folder. Cuando se trata de coleccio-
nes grandes, Fotoxx se bloquea o res-
ponde lentamente. También carece de
algunas funcionalidades útiles, como el
modo presentación o la capacidad para
clasificar imágenes por categorías. A los
usuarios se les deja la tarea de navegar
imágenes individuales, debiendo pulsar
dos veces sobre una para abrirla y editarla
(Figura 1).
Desafortunadamente, Fotoxx no posee
una barra de desplazamiento, lo que
resulta una molestia si las imágenes no
caben en la ventana. La única opción es
reducir la escala de la previsualizaciones
o navegar fila a fila o página por página
por las imágenes. Como el programa apa-
rentemente recarga las imágenes cada vez
WWW.LINUX- MAGAZINE.ES
Sajola, photocase.com
que se mueven, el grado de frustración
puede variar. A pesar de ello, el visor de
imágenes es importante para un flujo de
procesos intuitivo. También es desafortu-
nado que el botón Open no ofrezca a los
usuarios una vista previa: o conocemos el
nombre de las imágenes o tendremos que
adivinar cuál queremos.
Retoque y Mejora
La barra de icono de la izquierda suminis-
tra herramientas de edición de imágenes.
La mayoría de ellas son autoexplicativas,
como Crop, Redeye, Rotate, y abren diálo-
gos adicionales que muestran los paráme-
tros más importantes con un clic de ratón.
El método de abrir deslizadores y vistas
previas en ventanas separadas indepen-
dientes del programa principal obliga a
los usuarios a cambiar una y otra vez
entre ventanas para mover lo que se nece-
sita al primer plano.
Sin embargo, el programa ofrece una
buena selección de opciones de calibra-
ción. Por ejemplo, podemos establecer el

brillo en adjust usando no menos de
nueve barras de desplazamiento para las
áreas individuales. Los botones próximos
a las barras de desplazamiento soportan
automatización; por ejemplo, + - sube las
barras de desplazamiento para regiones
oscuras mientras los baja para las ilumina-
das. En cambio, - + - simplemente eleva
los valores de rango medio. Como no
existe descripción de esta función, debere-
mos confiar en nuestro propio juicio.
En la mayoría de los casos, esta estrafa-
laria manera de hacer las cosas que tiene
Fotoxx es irritante. Por ejemplo, la fun-
ción Crop coloca el diálogo justo encima
de la imagen antes de permitir que pulses
con el botón izquierdo del ratón y arras-
tres para seleccionar un área. El cuadro
crop se aparece automáticamente y puede
redimensionarse arrastrando el ratón,
aunque no puede ni moverse ni redibu-
jarse, lo que que no es ni intuitivo ni
innovador. Podemos encontrar ejemplos
de mala usabilidad en casi cualquier fun-
ción de Fotoxx. Así, para rotar una ima-
gen debemos introducir un ángulo en
Rotate. Además, el programa carece de
atajos de teclado de cualquier tipo.
Bricolaje HDR/DRI
Si esto fuera todo cuanto tuviera que ofre-
cer Fotoxx, no merecería la pena. Pero
posee dos funciones especiales sobresa-
lientes: HDR e imágenes panorámicas.
Figura 1: Navegar por imágenes individuales puede resultar tedioso.
Las imágenes HDR se caracteri-
zan por sus extremos entre gamas
de puntos de oscuridad y luminosi-
dad. El ojo humano puede detectar
hasta 100.000 gradientes diferentes,
mientras que una cámara digital
sólo puede manejar unos 1.000
valores de contraste. Las pantallas
normales incluso hacen un trabajo
peor, ofreciendo 256 escalas distin-
tas. El auténtico HDR no se encuen-
tra aún disponible a precio del con-
sumidor, y las imágenes que pare-
cen ser fotos HDR son de hecho
imágenes que aproximan esta idea
con un incremento del alcance diná-
mico (DRI).
DRI [2] es un método que utiliza Figura 2: Fotoxx calcula cómo se complementan los
múltiples exposiciones de la misma contrastes en las fotos entre sí.
imagen para crear una foto simple.
Casi cualquier cámara digital puede hacer luego HDR para añadir una segunda ima-
esto: véase “Exposure Bracketing” o
“Grupo de Exposición” en el manual de
usuario del cámara.
La creación de imágenes DRI manual-
mente es complicado, ya que necesitamos
copiar el contraste mejor de cada imagen
y aplicarlo a la nueva imagen. Afortuna-
damente, existen aplicaciones especiales
que suministran un método automatizado
para realizar esta tarea.
En Fotoxx, pulsamos Open o seleccio-
namos la primera imagen en un grupo de
exposición en el visor Folder, y pulsamos
WWW.LINUX- MAGAZINE.ES
Fotoxx • LINUX USER
gen. El programa calcula entonces cómo
se complementan entre sí los contrastes
en las imágenes; dependiendo de la reso-
lución, esto puede llevar unos dos minu-
tos. A continuación, Fotoxx abre una ven-
tana llamada pesos de imágenes HDR, en
la que podemos usar las barras de despla-
zamiento o botones para configurar la
Instalación de Fotoxx
Primero descargamos el archivo tar de
Fotoxx al directorio que elijamos (-
>DVD), a continuación arrancamos una
consola e introducimos los siguientes
comandos:
$ tar -xzf fotox.35.tar.gz
$ cd fotox
$ ./ubuild
Si necesitamos satisfacer alguna depen-
dencia, el script build se quejará de
componentes faltantes. Instalamos lo
que falte y luego repetimos el comando
./ubuild. Después de que build se com-
plete, el programa se instala por defecto
en /home/user/fotox.
La instalación configura un icono de
escritorio llamado fotox, que podemos
usar para iniciar el programa. Sin
embargo, no crea una entrada de menú.
Cuando arrancamos Fotoxx por primera
vez, crea un fichero con datos de
configuración críticos. Este fichero
puede modificarse más tarde a través
del menú Param.. El fichero de
configuración en sí, .fotox/parameters,
está localizado en nuestro directorio de
inicio. Para modificar la configuración,
podemos usar cualquier editor.
Número 45 73
LINUX USER • Fotoxx
proporción entre la imagen aña-
dida y la original. Para aplicar las
opciones pulsamos Apply, y luego
repetimos los pasos con las imáge-
nes que quedan en el grupo de
exposición. Una vez lo hayamos
hecho, veremos una imagen más
intensa que la original (Figuras 2 y
3).
Juzgando por los resultados, Figura 4: Crea perspectivas panorámicas cosiendo fotos.
Fotoxx realiza un trabajo de crea-
ción de imágenes HDR decente, aunque
lo que realmente hace con ellas es un
secreto del desarrollador. La superposi-
ción de imágenes es la mitad de la histo-
ria. La otra mitad es el llamado mapeado
de tonos [3], que consiste en la compre-
sión de rangos dinámicos sobre-propor-
cionados en las imágenes de salida para
permitir que un monitor las presente o se
impriman en papel. Programas tales
como el plugin de exposición combinada
de GIMP [4] posee herramientas separa-
das para ello que permiten al usuario ver
estas opciones. Fotoxx prescinde de todo
ello.
Panorama
Evidentemente, existen otros programas
diseñados a medida para crear imágenes
panorámicas anchas, incluyendo Hugin.
A pesar de ello, Fotoxx ofrece una función
que trabaja de forma parecida a la herra-
mienta HDR. Primero seleccionamos una
imagen como la base para la foto panorá-
mica, luego pulsamos Pano. para añadir
más fotos a la original (véase la Figura 4). función que funciona bien, con unos
También podemos configurar parámetros
para el cosido lo que permite resultados
finales más fluídos.
Figura 3: Fotoxx realiza un buen trabajo en la creación de imágenes HDR.
74 Número 45
Para comenzar, mantenemos pulsado el
botón izquierdo del ratón y movemos la
imagen que hemos añadido aproximada-
mente hacia la imagen original. Si necesi-
tamos girar la segunda imagen en relación
con la original, cogemos su borde dere-
cho. O podemos usar las teclas de flecha
para mover la imagen que estamos aña-
diendo a la posición correcta milímetro a
milímetro. Ahora establecemos el valor
para Lens mm y Lens bow para coser las
dos imágenes de la mejor manera posible.
Lens mm es para la longitud focal y Lens
bow para distorsiones de barril o alfiler.
Pulsando Find le decimos al programa
que encuentre automáticamente los mejo-
res valores de distorsión. Luego podemos
pulsar Next para coser las imágenes. La
imagen destella momentáneamente
durante la unión, pudiendo mezclar y
emparejar valores de brillo y tono. Una
vez lo hayamos hecho, pulsamos Apply y
Finish para completar la costura, repi-
tiendo luego el proceso con las otras par-
tes. Coser imágenes individuales es una
resultados más que utilizables, sin
embargo, tiene sentido seleccionar Crop
para arreglar los bordes.
WWW.LINUX- MAGAZINE.ES
Enderezar las Líneas
Fotoxx incluye la capacidad de endere-
zar las líneas inclinadas, por ejemplo,
cuando tomamos una foto y los bordes
de la imagen no son paralelos a la geo-
metría de la cámara, como los de un
edificio. Para eliminar efectos indesea-
bles como estos pulsamos unbend y
luego experimentamos con los valores
para vertical unbend y horizontal
unbend. Fotoxx no proporciona una
vista previa en tiempo real. En su lugar,
debemos aplicar (Apply) las opciones a
la imagen primero y luego hacer cam-
bios antes de pulsar Finish para aplicar
los cambios a la imagen permanente-
mente.
Conclusiones
Si me hubiera limitado a usar las fun-
cionalidades especiales del programa,
Ftoxx habría salido bien librado: las
funcionalidades HDR y panorámica fun-
cionan perfectamente, aunque los usua-
rios probablemente apreciarían una
mayor transparencia en el proceso. Des-
afortunadamente, las funciones básicas
de Fotoxx son espartanas y los controles
inusuales son totalmente molestos. Y lo
que es peor, el programa podría ser más
rápido. Si deseas retocar imágenes, qué-
date con GIMP, pero si quieres experi-
mentar con HDR y con imágenes pano-
rámicas, échale un vistazo a Fotoxx. ■
RECURSOS
[1] Fotoxx: http://www.kornelix.com/
fotoxx
[2] Artículo de la Wikipedia sobre DRI:
http://en.wikipedia.org/wiki/
High_dynamic_range_imaging
[3] Artículo de la Wikipedia sobre mape-
ado de tono: httP://en.wikipedia.org/
wiki/Tone_Mapping
[4] Plugin de exposición combinada de
GIMP: http://turtle.as.arizona.edu/
jdsmith/exposure_blend.php
 BeeDiff • LINUX USER

Comparación de ficheros con BeeDiff

DIFERENCIAS

Eric Isselée, Fotolia

BeeDiff compara dos ficheros y muestra rápidamente las diferencias en En nuestro sistema Ubuntu 8.04 de
laboratorio con el escritorio Gnome,
una práctica interfaz GUI de escritorio. POR FLORIAN EFFENBERGER BeeDiff necesitó el paquete libqtgui4, lo
que conllevó algunas dependencias
más.

L
os programadores a menudo tra-
bajan con parches que contienen
las diferencias entre dos ficheros.
Linux siempre tuvo herramientas basa-
das en texto para comparar ficheros,
como la clásica utilidad de Unix diff.
BeeDiff es una herramienta de compara-
ción con la ventaja de lo gráfico: Pode-
mos comparar archivos desde una
cómoda interfaz de escritorio, apare-
ciendo los cambios resaltados en color.
Instalación
BeeDiff [1] no se encuentra disponible
como paquete precompilado en las ver-
siones actuales de Ubuntu y Debian,
aunque sí se encuentra incluido en
openSUSE.
Si no podemos encontrar a BeeDiff en
el repositorio de nuestra distribución,
siempre podemos descargar un binario
del sitio web [2]. En la línea de coman-
dos, escribimos tar xvfz
beediff_1.7_i586.tar.gz o ejecutamos
nuestro administrador de archivos para
desempaquetar el directorio beediff con
los ficheros. Para arrancar el programa
introducimos beediff en la línea de
comandos.
Además, el arranque inicial dura más
de lo esperado. Sin embargo, una vez
en marcha, la ventana del programa
(Figura 1) es limpia y ordenada, con
dos cuadros de texto, una barra de ico-
nos y una línea de estado que contiene
cuatro contadores.
Configuración
La interfaz BeeDiff es bastante auto-
explicativa. Si fuera necesario, System |
Configure nos lleva hasta las opciones
básicas (Figura 2), incluyendo distin-
ción entre mayúsculas/minúsculas,

Alternativas a BeeDiff
Como la comparación de ficheros es
parte del trajín diario de los desa-
rrolladores, muchos programas con
ámbitos funcionales variados pueden
comparar archivos. Los puristas
preferirán herramientas de la línea de
comandos como diff. Si también usa
Windows a Mac OS X para trabajar con
ficheros, es preferible la GUI tkdiff [3] a
BeeDiff. KDiff3 [4], Meld [5] o Diffuse [6]
poseen más funciones que BeeDiff. La
mayoría de los editores y paquetes
ofimáticos ofrecen ahora funcionali-
dades similares.
Figura 1: BeeDiff es limpia y ordenada.

WWW.LINUX- MAGAZINE.ES Número 45 75

LINUX USER • BeeDiff
solapas, espacios y líneas en blanco, y
la fuente y el color de la fuente para
cambios. En la mayoría de los casos, los
valores predeterminados deben estar
bien.
Comparación de Ficheros
Para comparar ficheros los abrimos pul-
sando el botón … situado encima de las
ventanas de texto. Lo normal es cargar
el fichero original en la ventana de la
parte izquierda y el fichero con el que
queremos compararlo en la parte dere-
cha. La herramienta enumera automáti-
camente las líneas, aunque podemos
deshabilitarlo en System | Numeration.
La Figura 3 muestra una comparación
entre dos ficheros de texto. La ventana
de texto de la parte izquierda contiene el
fichero original, test1.txt, mientras que
la de la derecha posee una versión modi-
ficada denominada test2.txt. La barra de
estado nos dice que hay un total de 26
diferencias, incluyendo 9 cambios, 8
adiciones y 9 supresiones. Los destaca-
dos rojos indican las líneas de supresio-
nes, las verdes, cambios dentro de una
línea, y las azules, las líneas insertadas.
Los cambios a palabras individuales se
destacan en amarillo.
Sincronización de Cambios
Si deseamos sincronizar la diferencia
entre dos ficheros, podemos hacerlo
Figura 2: La combinación de colores y la fuente se
modifican en el diálogo de configuración.
76 Número 45
Figura 3: BeeDiff comparando dos archivos de texto.
directamente en BeeDiff. La función
Operations | Remove all from left o
Remove all from right elimina las líneas
insertadas y las borradas (líneas con
fondo rojo a azul) de los archivos de la
izquierda o de la derecha, respectiva-
mente.
Las líneas marcadas en verde contie-
nen pasajes de texto confusos para Bee-
Diff, porque el software es incapaz
de identificar los detalles de los
cambios.
En lugar de deshacer simple-
mente los cambios, podemos
seleccionar Operations | Merge all
to left o Merge all to right. La fun-
ción intenta incorporar los cam-
bios a un archivo en el otro
archivo, aunque típicamente se
necesitan algunas ediciones a
mano.
Cambios Aceptados a
Mano
BeeDiff también nos ofrece la
opción de confirmar o de deshacer-
nos manualmente de cada cambio.
El icono de flecha que sigue a cada
posición de texto añadida aplica la
modificación al otro fichero, y una
X a continuación de cada línea
insertada o borrada elimina la
línea completa. Tras completar
nuestros cambios podemos guar-
WWW.LINUX- MAGAZINE.ES
dar el archivo pulsando sobre el icono
de disquete.
Conclusiones
BeeDiff es útil para comparar dos ficheros
y visualizar los cambios. Aunque dise-
ñado originalmente para programadores,
BeeDiff también es útil a otros usuarios.
La capacidad de aceptar o de deshacer-
nos individualmente de los cambios es
práctico, y el hecho de que ambas venta-
nas estén sincronizadas muestra que los
desarrolladores han considerado el uso de
su producción. A BeeDiff aún le falta una
función para recomparar ficheros pul-
sando un botón después de hacer los
cambios. Si necesitamos comparar docu-
mentos más complejos, probablemente la
mejor opción sea una suite ofimática que
soporte control de versiones y rastreo de
cambios. ■
RECURSOS
[1] BeeDiff: http://www.beesoft.org/
beediff.html
[2] Descarga de BeeDiff: http://www.
beesoft.org/download_beediff.html
[3] tkdiff: http://sourceforge.net/projects/
tkdiff/
[4] KDiff3: http://kdiff3.sourceforge.net
[5] Meld: http://meld.sourceforge.net
[6] Diffuse: http://diffuse.sourceforge.net

Cómo marcar cualquier cosa en OpenOffice.org
VUELVA VD. MAÑANA
Aprendemos cómo marcar documentos OpenOffice.org con la extensión Bookmarks Menu o a crear nuestra
propia herramienta de marcado. POR DMITRI POPOV
¿
No sería mejor que OpenOffice.org
tuviera una funcionalidad de mar-
cado? Con algo así podríamos mar-
car nuestros documentos favoritos y acce-
der a ellos con un par de clics de ratón en
vez de tener que buscar a través de los
directorios de nuestro disco duro.
Aunque podemos acceder previamente a
ficheros abiertos a través del menú Archivo
| Documentos Recientes, esta funcionalidad
también se encuentra demasiado limitada
como para ser muy útil. Afortunadamente,
tenemos al menos dos maneras de resolver
este problema: Podemos usar la extensión
Bookmarks Menu (Figura 1) o crear nues-
tra propia herramienta de marcado usando
OpenOffice.org Basic.
Extensión Bookmarks Menu
Tal y como su nombre sugiere, la extensión
Bookmarks Menu [1] nos permite marcar
documentos, y además aplicar otros pocos
Workspace: Marcas OpenOffice • LINUX USER
Asistente
trucos, los cuales la hacen una ingeniosa
herramienta de gran ayuda. Si no estamos familiarizados con Book-
Al igual que ocurre con la mayoría de las marks Menu, la manera más fácil de añadir
extensiones de OpenOffice.org, instalar una marca es a través del asistente, que
Bookmarks Menu no es particularmente podemos iniciar pulsando el botón Wizard.
dificultoso. Descargamos la última versión Cuando lo ejecutamos notaremos que
de la extensión, luego, usando el adminis- nos permite marcar no solamente docu-
trador de Extensiones en OpenOffice.org mentos, sino también directorios e incluso
(Herramientas | Administrador de Exten- comandos y aplicaciones (véase la Figura
siones) instalamos el paquete .oxt descar- 2). Para crear una marca para una aplica-
gado.
Tras instalar Bookmarks Menu
debemos reiniciar OpenOffice y
habilitar la extensión. Para ello
seleccionamos Herramientas | Com-
plementos y pulsamos en el botón
Activar. Esto añade el menú a la
barra de herramientas principal y
abre el diálogo Edit Bookmarks
Menu, desde el que podemos añadir
marcas y configurar elementos del
menú. Figura 1: La extensión Bookmarks Menu.
WWW.LINUX- MAGAZINE.ES Número 45 77
LINUX USER • Workspace: Marcas OpenOffice
ción o un comando, seleccionamos la
opción Execute command y pulsamos el
botón >>. En la ventana siguiente espe-
cificamos el comando deseado y un argu-
mento adicional. Por ejemplo, si desea-
mos marcar el navegador de Firefox,
introducimos firefox en el campo ade-
cuado.
Adicionalmente podemos especificar
una URL como un argumento de entrada
(por ejemplo, http://en.wikipedia.org/wiki/
Main_Page). De esta manera la marca abre
el navegador Firefox que le lleva luego
hasta la página de Wikipedia.
Introducimos un nombre descriptivo de
la marca en el campo Label y pulsamos
>>. En la ventana siguiente, pulsamos el
botón Test para asegurarnos de que la
marca especificada funciona adecuada-
mente, y luego pulsamos OK. Ahora ya
podemos arrancar Firefox eligiendo la
marca recién creada desde el menú Book-
mark.
En lugar de usar el asistente podemos
pulsar el botón New en el diálogo Edit
Bookmark Menu, el cual nos da acceso a
funcionalidades más avanzadas, como la
capacidad de marcar macros. Esto hace de
Bookmark Menu una alternativa mucho
mejor para el acceso a macros que la fun-
cionalidad Herramientas | Personalizar del
propio OpenOffice.org.
Para marcar una macro seleccionamos
Edit Bookmark desde el menú Bookmark y
pulsamos el botón New. Luego damos un
nombre a la marca, seleccionamos Macro
de la lista desplegable Type, pulsamos el
botón Open, y elegimos la macro que dese-
amos. Para guardar la nueva marca pulsa-
mos OK, y ya lo tenemos.
La ventana Edit Bookmarks Menu posee
también unas cuantas herramientas que
pueden ayudarnos a mantener nuestras
solapas en nuestros bookmarks. Con el
botón Sub Menu es posible agrupar nues-
tras marcas en submenus, mientras que el
botón Separator nos permite insertar una
línea divisoria entre las marcas. El botón
Menu suministra los comandos Import Set-
tings y Export Settings. Como se habrá
podido adivinar, la última nos permite
exportar nuestras configuraciones y mar-
cas, así que podremos importarlas luego a
la extensión Bookmarks Menu de otra
máquina.
Si poseemos muchas marcas y deseamos
usarlas en distintas instalaciones de Open-
Office.org, esta funcionalidad puede llega a
ser realmente práctica.
78 Número 45
Creando un
Administrador de
Marcas Paso a Paso
A pesar de que Bookmarks Menu
posee unas cuantas funcionalidades
bien pensadas, esto no debería dete-
nernos si queremos crear nuestra
propia solución de marcado. En
nuestra sección de bricolage creare-
mos un administrador de marcas Figura 2: Con el asistente podemos añadir rápida-
que se ajuste a nuestras necesidades mente una marca.
específicas. Además, esto nos brinda una
buena oportunidad para aprender un par lista y pulsando el botón Abrir. Para
de trucos de OpenOffice.org Basic. hacerlo fácil, el administrador de marcas
En este ejemplo explicaré cómo crear maneja solamente documentos de procesa-
una marca que usa dos macros. La macro miento de palabras (.odt y .doc) y los abre
BookmarkDocument (véase el Listado 1) en OpenOffice.org Writer, aunque pode-
nos permite coger el documento que dese- mos ajustarlos para incluirlos fácilmente
amos marcar y guardar su nombre y ruta en otros formatos.
en la base de datos de OpenOffice.org Base. Antes de comenzar a trabajar con las
La macro OpenBookmarks (véase el Lis- macros debemos crear una base de datos
tado 2) muestra una lista de los documen- que contenga la tabla “ficheros” y dos
tos marcados, pudiéndose abrir el docu- campos de texto: NombreFichero y Ruta-
mento que deseemos seleccionándolo de la Fichero. A continuación guardamos la
Listado 1: Macro BookmarkDocument
01 Sub BookmarkDocument()
02 FilePicker=createUnoService(“com.sun.star.ui.dialogs.FilePicker”)
03 With FilePicker
04 .appendFilter(“ODF Text Document”, “*.odt;”)
05 .appendFilter(“Microsoft Word 97/2000/XP”, “*.doc;”)
06 .CurrentFilter = “ODF Text Document”
07 End With
08 FilePicker.execute
09 FilePath()=FilePicker.Files
10 DispDir=FilePicker.DisplayDirectory
11 If GetGUIType=1 Then
12 FileName = Right(FilePath(0),Len(FilePath(0))-Len(DispDir))
13 Else
14 FileName = Right(FilePath(0),Len(FilePath(0))-Len(DispDir & “/”))
15 End If
16 DBContext=createUnoService(“com.sun.star.sdb.DatabaseContext”)
17 DataSource=DBContext.getByName(“BookmarkDB”)
18 ConnectToDatabase=DataSource.GetConnection (“”,””)
19 SQLQuery=”INSERT INTO “”files”” “ + “(“”FileName””, “”FilePath””)
VALUES “_
20 + “(‘“ + FileName + “‘,’” + ConvertToURL(FilePath(0)) + “‘)”
21 SQLStatement=Database.createStatement
22 Result=SQLStatement.executeQuery (SQLQuery)
23 Database.close
24 Database.dispose()
25 End Sub
WWW.LINUX- MAGAZINE.ES
 Workspace: Marcas OpenOffice • LINUX USER

base de datos como un fichero Book- servicio FilePicker que puede hacer mucho Después de que el usuario haya seleccio-
markDB.odb y lo registramos como una trabajo pesado por nosotros. Este servicio nado un fichero, la macro extrae su nom-
fuente de datos en OpenOffice.org. presenta un diálogo que permite al usuario bre. Para hacerlo usa la propiedad Display/
Para hacer esto último, arrancamos seleccionar un documento. Para iniciar y Directory y obtiene la ruta del fichero y las
OpenOffice.org y elegimos Herramientas | ejecutar el servicio sólo necesitamos dos rutinas de cadena Right y Len para extraer
Opciones. Seguidamente seleccionamos líneas de código: el nombre del fichero de la ruta.
OpenOffice.org Base | Bases de datos y A continuación la macro establece una
pulsamos el botón Nuevo. Luego seleccio- FilePicker=createUnoServiceU conexión a la base de datos BookmarkDB e
namos la base de datos BookmarkDB.odb (“com.sun.star.ui.dialogs.U inserta el nombre del fichero obtenido y la
y damos a la nueva conexión el nombre FilePicker”) ruta en los campos apropiados de la tabla
de “BookmarkDB”. Después pulsamos FilePicker.execute files con la instrucción INSERT INTO SQL.
Aceptar dos veces y creamos un diálogo La macro OpenDocument comienza
llamado BookmarkDialog (que consta de Debido a que el administrador de marcas estableciendo la conexión a la base de
un cuadro desplegable y de un botón sólo maneja documentos de procesador de datos BookmarkDB y usa una consulta
Aceptar), y habremos acabado. textos, es buena idea añadirle un filtro de SQL para conseguir todas los registros
manera que el usuario no pueda seleccio- (marcas) de la tabla de ficheros. Luego la
Macro BookmarkDocument nar ficheros en otros formatos, que es exac- macro llama al diálogo BookmarkDialog y
Lo siguiente es la macro BookmarkDocu- tamente lo que hace el bloque de código puebla el cuadro desplegable con los nom-
ment. OpenOffice.org Basic viene con el With ... End With. bres de los ficheros.
Cuando el usuario selecciona un fichero
Listado 2: Macro OpenBookmarks de la lista y pulsa el botón Abrir, la macro
01 Sub OpenBookmarks()
utiliza el nombre del fichero como una
parte de su consulta siguiente para encon-
02 DBContext=createUnoService(“com.sun.star.sdb.DatabaseContext”)
trar la grabación apropiada:
03 DataSource=DBContext.getByName(“BookmarkDB”)
04 ConnectToDatabase=DataSource.GetConnection (“”,””) SQLQuery=”SELECT “”FilePath”” U
FROM “”files”” WHERE U
05 SQLResult=createUnoService(“com.sun.star.sdb.RowSet”)
“”FileName””=” U
06 SQLQuery=”SELECT “”FileName”” FROM “”files”””
& “‘“ & CurrentItemName &”’”
07 SQLResult.activeConnection = Database
08 SQLResult.Command = SQLQuery Finalmente, la macro pasa la ruta del
fichero obtenido a la instrucción Shell, que
09 SQLResult.execute
abre con OpenOffice.org Writer.
10 exitOK=com.sun.star.ui.dialogs.ExecutableDialogResults.OK
11 OpenDialog(“BookmarkDialog”) Una Última Palabra
12 Dialog=CreateUnoDialog(TheDialog) Una ventaja importante de este administra-
dor de marcas hecho en casa es que pode-
13 DialogField=Dialog.GetControl(“ListBox1”)
mos ajustarlo de cualquier manera que
14 While SQLResult.next
deseemos. Por ejemplo, podemos añadir
15 ListBoxItem = SQLResult.getString(1) un cuadro de diálogo de entrada a la macro
16 DialogField.additem(ListBoxItem, DialogField.ItemCount) BookmarkDocument que nos solicite que
introduzcamos etiquetas para el docu-
17 Wend
mento seleccionado. Luego podemos
18 If Dialog.Execute=exitOK Then
modificar la macro OpenDocument para
19 CurrentItemName=DialogField.SelectedItem que presente solamente marcas que coinci-
20 End If dan con una etiqueta específica.
Con unas cuantas personalizaciones
21 SQLQuery=”SELECT “”FilePath”” FROM “”files”” WHERE “”FileName””=” &
simples, el administrador de marcas puede
“‘“ & CurrentItemName &”’”
usarse para iniciar aplicaciones. En otras
22 SQLResult=Database.createStatement() palabras, con el administrador de marcas
23 QueryResult=SQLResult.executeQuery(SQLQuery) básico en su lugar, no existen virtualmente
24 QueryResult.next límites a lo que podemos hacer con él. ■
25 FileToOpen=QueryResult.getString(1)
RECURSOS
26 Shell(“swriter”,1, FileToOpen)
[1] Extensión Bookmarks Menu de
27 Database.close
OpenOffice.org: extensions.services.
28 Database.dispose() openoffice.org/project/
29 End Sub bookmarksmenu

WWW.LINUX- MAGAZINE.ES Número 45 79

LINUX USER • Educación : Mindstorms
Los robots con Linux invaden el aula
TORMENTAS
MENTALES
L
o malo de
muchos de los
juegos educati-
vos, es que la mayoría
están diseñados por
profesionales del sec-
tor que tienen una
deformación profe-
sional que les impide
pensar fuera del aula.
Así, muchas propuestas
de ideas, juegos y soft-
ware que vemos en la
redacción, no tienen
una aplicación práctica
para el mundo real, son
trillados y, lo peor de
todo, son aburri-
dos… Ninguna
de estas cosas
se pueden decir
del Lego Mind-
storms.
Soporte Linux
No conseguimos hacer fun-
cionar el software que venía con el
kit bajo Linux de ninguna manera. Ya está-
bamos preparados para utilizar el CD como
posavasos desde el principio, pero, que ni
siquiera funcionara la instalación fue una
sorpresa particularmente desagradable.
Pero no es tan grave, ya que, según algunos
sitios de aficionados, el sistema de progra-
mación visual y con ladrillos pronto se
vuelve impracticable y confuso a medida
que crece la complejidad de los programas.
Aún así, cero puntos para Lego en ésta área
para un juguete que, por lo demás, es exce-
lente.
80 Número 45
50% juguete de montaje, 50% kit de robótica, 100% juguete
educativo. Así podríamos resumir lo que viene en la caja del
Lego Mindstorms… con el aliciente añadido de que, además, es
muy divertido. POR PAUL C. BROWN utilizand Squeak
Lo más irónico de todo el asunto es que el
sistema operativo del Mindstorms es soft-
ware libre. No sólo eso, sino que Lego pro-
porciona kits de desarrollo tanto para soft-
ware como el hardware NXT, todo disponi-
ble en [1].
Así que, trabajar con Mindstorms bajo
Linux no es tan sencillo como insertar el CD
y esperar que aparezcan los programas con
sus colorines. Más bien todo lo contrario: es
una experiencia mucho más hardcore que
requiere de editores de texto, compiladores
y la línea de comandos… todo lo cual lo
hace mucho más divertido e instructivo.
La lista de la compra de los programas
necesarios comprende:
• un editor de textos, nosotros escogimos
kate, aunque vi, emacs, gedit… cualquiera
vale;
• el compilador nbc (NXT Byte Compiler)
[1], que compila código de alto nivel a
algo que entiende el “ladrillo” NXT.
• el programa de transferencia t2n (Transfer
to NXT) [2]. El sistema de archivos del
ladrillo NXT no es algo muy común y no
puede simplemente montarse como se
haría con un pendrive o similar. De todas
las soluciones existentes que probamos,
ésta es la que mejor funciona y la más
sencilla.
Por tanto, de los tres programas, uno ya
debería estar instalado en nuestros sistema, y
de los otros dos, ninguno necesita de compli-
cadas instalaciones ni configuraciones. Se
bajan de sus respectivos sitios web, se des-
comprimen, se les cambian los permisos
para que sean ejecutables (de ser necesario),
se copian a algún directorio para aplicacio-
nes, y listo. Por ejemplo, para tener el compi-
lador nbc globalmente disponible hicimos…
WWW.LINUX- MAGAZINE.ES
$ wget http:U
//downloads.sourceforge.netU
/bricxcc/nbc-1.0.1.b35.tgz
$ tar zxvf nbc-1.0.1.b35.tgz
$ cp nxt/nbc /home/U
directorio-personal/bin/
… donde /home/nuestro-directorio-personal/
bin/ se encontraba en nuestro PATH. El pro-
ceso anterior fue muy similar para t2n.
Cómo se Hace
Los pasos necesarios para crear un pro-
grama y ejecutarlo en el robot son los
siguientes: escribir el programa en nuestro
editor, compilarlo con nbc, transferirlo al
ladrillo NXT con t2n y ejecutarlo seleccio-
nándolo de los ficheros ejecutables disponi-
bles.
Como muestra, un botón: el Listado 1,
versión ligeramente modificada de un ejem-
plo extraído del excelente tutorial de Daniele
Benedettelli [4], hace que el robot circule
dibujando un cuadrado. Una vez escrito, lo
guardamos como cuadrado.nxc (incluir la
extensión .nxc es importante) y, desde una
línea de comandos, escribimos:
Figura 1: Nuestro robot NXT-Logo con el
rotulador subido.

$ nbc cuadrado.nxc U
-O=cuadrado.rxe
Una vez hecho esto, transferimos el pro-
grama al ladrillo, conectándolo con el cable
USB a nuestro ordenador y escribiendo:
$ t2n -put cuadrado.rxe
Para hacer funcionar el programa, desco-
nectamos el robot del ordenador y pulsa-
mos el botón naranja del ladrillo NXT; con
los botones de flechas, buscamos el icono
My Files y pulsamos el botón naranja para
validar nuestra selección. Buscamos el
icono Software Files y, de nuevo, pulsamos
el botón naranja para introducirnos en el
directorio de los programas. Buscamos
nuestro programa con las teclas de flechas y
y pulsamos una vez más la tecla naranja.
EL NXT nos mostrará tres iconos: una pape-
lera, que, de seleccionarse, eliminaría nues-
tro programa del NXT; un sobre, que sirve
para enviar nuestro programa a otro robot
por medio de Bluetooth; y, por fin, un icono
etiquetado con la palabra “Run” que nos
permite ejecutar el programa.
Qué Enseña
La aplicación más obvia es la de ver el robot
como una puesta al día de la tortuga mecá-
nica de Logo. Podemos dotarlo de un rotu-
lador (ver Figuras 1 y 2), ponerlo sobre un
papel y escribirle un programa que le per-
mite circular, dibujando alguna forma geo-
métrica… Aún si esto ya se hacía hace
años, ¡imaginémonos el impacto en un
grupo de alumnos de primaria! Después de
que el profesor muestra el programa que
dibuja un cuadrado, los alumnos podrían
escribir otros que dibujasen triángulos, pen-
Listado 1: cuadrado.nxc
01 /* Los motores están
conectadas a los puertos A y
C */
02
03 /* Rutina principal del
programa */
04 task main()
05 {
06 /* Repite cuatro veces lo
que viene entre llaves */
07 repeat(4)
08 { video/
09 /* Muevete hacia delante
al 75% de su potencia
Educación : Mindstorms • LINUX USER
tágonos, hexágonos o una estrella de n pun-
tas. Pregunta: Después de lo anterior ¿será
más fácil o más difícil de enseñar a los esco-
lares el concepto de ángulo y cómo se
miden?
Sin embargo, las ruedas del Mindstorms
patinan sobre superficies muy lisas y hacen
que el progreso sea irregular sobre superfi-
cies rugosas. Éste es un problema común
para todas las máquinas con capacidad de
movilidad… incluyendo el cuerpo humano.
Para superar los accidentes del entorno, las
máquinas necesitan ajustarse y corregir sus
movimientos. Para evaluar el tipo y canti-
dad de corrección requerida, tiran de sus
sentidos.
Aquí es donde la cosa se empieza a poner
interesante.
Sentidos y Sensibilidades
El kit de Lego Minstorms, aparte de piezas
de construcción, engranajes y motores,
viene de serie con cuatro sensores que le
permiten reaccionar ante el entorno
El sensor de tacto, el más sencillo, detecta
cuándo está siendo pulsado. Puede utili-
zarse, por ejemplo, para que el robot sepa el
momento en el que ha chocado con algún
obstáculo. El sensor de ultrasonidos, por
otro lado, permite que el robot detecte obs-
táculos a distancia, de manera similar a los
murciélagos. El detector de luz puede dis-
tinguir intensidades de luz y colores. El sen-
sor sónico detecta sonidos y su intensidad.
Existen más sensores que se pueden
comprar separadamente. Especialmente
interesantes son el sensor brújula, que sirve
para que el robot sepa su orientación sobre
un plano horizontal; y el sensor giroscó-
pico, que permite que el robot sepa su
orientación vertical (permitiendo, por ejem-
durante 800 milisegundos */
10 OnFwd(OUT_AC, 75);
11 Wait (800);
12
13 /* Pon en marcha atrás
el motor C durante 360
milisegundos */
14 OnRev(OUT_C, 75)
15 Wait(360)
16 } [5] Un Mindstorm que resuelve el cubo
17 /* Apaga los motores */
18 Off(OUT_AC);
19 }
WWW.LINUX- MAGAZINE.ES
Figura 2: El mismo robot con el rotulador
bajado y listo para dibujar.
plo, que un robot de dos ruedas mantenga
el equilibrio a lo Segway).
Los sensores, usados aisladamente o com-
binados, permiten crear un robot que sigue
una línea negra trazada en el suelo, un
coche automático que aparca cuando
encuentra un hueco o un artefacto mecánico
que resuelve el cubo de Rubik [5].
Conclusiones
Mindstorms es un juguete con un potencial
didáctico inmenso. Permite enseñar de una
manera práctica y divertida conceptos mate-
máticos, físicos, de diseño e ingeniería, e
incluso biológicos, si mucho se me apura;
amén de temas directamente relacionados
con la asignatura de informática.
A casi 300 euros, no es el recurso educa-
tivo más barato que se puede comprar por
ahí, pero debido a su calidad y versatilidad,
es un aparato en el que vale la pena invertir.
Por ello volveremos a visitarlo desde las
páginas de Linux Magazine en el futuro. ■
RECURSOS
[1] NXTreme, todo lo relacionado con la
tecnología tras el lego Mindstorms:
http://mindstorms.lego.com/
Overview/NXTreme.aspx
[2] El compilador NBC para programas
escritos en NeXT Byte Code y en Not
eXactly X: http://bricxcc.sourceforge.
net/nbc/
[3] T2n, utilidad para cargar el programa
en el NXT: http://www-verimag.imag.
fr/~raymond/edu/lego/t2n/
[4] Tutorial de Not eXactly C: http://
bricxcc.sourceforge.net/nbc/nxcdoc/
NXC_tutorial.pdf
de Rubik: http://www.videosift.com/
Tilted-Twister-LEGO-Mindstorm-Rubi
ks-Cube-Solver
Número 45 81
 LINUX USER • GnomeDo

Arrancando programas y acciones con Gnome Do

LANZADERA
CENTRAL
Redrex, Fotolia

Información en la punta de tus dedos… que coincide con las acciones. Rhythmbox (ver Figura 2) , Amarok, o en
las bases de datos de Banshee, y contactos
Eso es lo que ofrece Gnome Do, mitad motor de búsqueda, mitad lan- en Evolution, Gmail, o el mensajero instan-
táneo Pidgin. Si se desea, podemos decirle
zador de aplicaciones, todo super-herramienta. a Gnome Do que configure una sesión de
chat con el contacto que escojamos en Pid-
POR CHRISTOPH LANGNER
gin. La herramienta también soporta ope-
raciones con ficheros y mucho más. Varios

D
ocumentos, aplicaciones, mensajes escribimos text se iniciará nuestro editor de plugins ofrecen a los usuarios un práctico
y marcas tienden a dispersarse por texto. Gnome Do basa sus sugerencias de método para extender las funcionalidades.
todo el sistema. Gnome Do [1] auto-completado en las entradas del menú
brinda a los usuarios un nuevo lanzador de inicio. Instalación
para Gnome y otros escritorios que no sólo Pero Gnome Do puede hacer más que Gnome Do es fácil de instalar. Los autores
encuentra información, sino que también arrancar programas: encontrará música en ofrecen paquetes binarios para distribucio-
desencadena acciones en base a los resul- nes populares (desde Arch a Ubuntu) junto
tados.
El flexible lanzador de aplicaciones
Gnome Do [1] es similar a la herramienta
de arranque Quicksilver [2] para Mac OS X.
Los usuarios pulsan un atajo de teclado
para desplegar una ventana en la que intro-
ducen el nombre del programa que necesi-
tan.
Como Gnome Do autocompleta la Figura 1: Gnome Do auto-completa la
entrada, con introducir una parte del nom- entrada. (Instantánea cortesía de David Figura 2: Gnome Do incluso encuentra nues-
bre es suficiente (Figura 1). Por ejemplo, si Siegel). tra música.

82 Número 45 WWW.LINUX- MAGAZINE.ES


Figura 3: Funcionalidad de extensión de plu-
gins de Gnome Do.
con paquetes de código fuente y HOWTOs
[3]. Distribuciones recientes, como Ubuntu
8.04 “Hardy Heron”, lo incluyen en sus
repositorios.
Simplemente se ejecuta el administrador
de paquetes y se instalan los paquetes
gnome-do, gome-do-plugin-rhythmbox y
gnome-do-plugins.
Una vez que hayamos acabado la insta-
lación, Aplicaciones | Herramientas |
GNOME Do nos lleva al lanzador del pro-
grama. Lo primero que veremos será la
ventana de la aplicación.
Si pulsamos sobre el escritorio o realiza-
mos otra acción, Gnome Do desaparece
hasta el segundo plano.
Para traer la herramienta a un primer
plano pulsamos un atajo de teclado, como
por ejemplo, Windows + Barra espacia-
dora.
Sesión
Para arrancar Gnome Do en segundo plano
podemos añadir el programa a nuestra
sesión Gnome actual con la funcionalidad
de la administración de sesiones.
Para añadir Gnome Do pulsamos Sis-
tema | Configuración | Sesiones y luego
Añadir. Introduciendo gnome-do —quiet le
decimos al programa que se inicie en
segundo plano.
Gnome Do no usa una ventana de apli-
cación tradicional. Suponiendo que nues-
tro administrador de ventanas soporta
compositing, Gnome Do aaprece sin marco
y la ventana es transparente. Entre los
administradores de ventanas con esta
capacidad están Compiz o Metacity, que es
el que usa Gnome 2.2.
Para habilitar la composición escribimos
gconftool-2 -s —type bool
/apps/metacity/general/compositing_mana
ger true. En Ubuntu esto significa que
Compiz falla al arrancar. Si deseamos usar
Compiz, necesitamos deshabilitar la com-
posición de Metacity sustituyendo en el
comando true por false.
La ventana principal tiene tres seccio-
nes, dos de las cuales son visibles al arran-
car la herramienta. Cuando introducimos
una clave de búsqueda aparece una
acción coincidente a la búsqueda en la
segunda sección. Por ejemplo, si introdu-
cimos text, Gnome Do selecciona automá-
ticamente Run para ejecutar un programa.
Confirmamos luego la acción pulsando
Enter y arranca el editor de textos de
Gnome.
El hecho de que Gnome Do usa los nom-
bres en el menú de inicio para identificar
aplicaciones causa un poco de confusión.
El binario del editor de texto de Gnome se
llama gedit. Si introducimos el nombre en
Gnome Do, el programa no encuentra una
coincidencia. Para andar sobre seguros, es
mejor usar nombres en los menús de apli-
caciones.
Si damos el nombre de un directorio o de
un fichero en nuestro directorio de inicio y
pulsamos el tabulador para movernos al
área de acción, podemos luego pulsar la
tecla de flecha hacia abajo para seleccionar
otras acciones, como por ejemplo mover o
copiar. Tras seleccionar una acción aparece
una tercera sección, pudiendo elegir un
objetivo para la acción.
Estos controles son típicos de Gnome
Do: Comenzamos introduciendo una clave
de búsqueda y pulsamos luego el tabula-
dor para movernos a la sección siguiente,
donde pulsamos la tecla de flecha hacia
abajo para seleccionar una acción.
Figura 4: Gnome Do busca la base de datos
de Rhythmbox por autores y albumes y
ofrece acciones importantes al contexto
actual.
WWW.LINUX- MAGAZINE.ES
GnomeDo • LINUX USER
Plugins
La mejora de plugins es lo más notorio de
la versión 0.5 de Gnome Do [4]. Cada plu-
gin tiene una librería con una extensión de
fichero .dll, la cual es bastante sorpren-
dente para los usuarios de Linux. Simple-
mente dejamos el plugin en el directorio
.local/share/gnome-do/plugins bajo nuestro
directorio de inicio y relanzamos el pro-
grama para permitirle detectar el plugin.
Esto proporciona a los usuarios un método
fácil para añadir determinadas funciones.
Gnome Do 0.5 introduce una nueva ven-
tana de preferencias y administrador de
plugins (Figura 3) que nos ayuda a nave-
gar, descargar, instalar y habilitar y desha-
bilitar plugins desde dentro de la herra-
mienta. Podemos encontrar información
adicional disponible sobre plugins en una
página wiki, y podemos hacer configura-
ciones específicas de plugins.
Gnome Do buscará marcas Firefox o Epi-
phany y abrirá enlaces en nuestro navega-
dor, también buscará música en nuestro
Rhythmbox, Amarok o base de datos Bans-
hee y los añadirá a una lista de reproduc-
ción (véase la Figura 4). Además, también
podemos añadir contactos Pidgin o Evolu-
tion al lanzador.
Contribuciones de la
Comunidad
Casi diariamente se lanzan nuevas versio-
nes de nuevos plugins. Gnome Do 0.5
suministra una categoría de plugins de la
comunidad con plugins procedentes de dis-
tintos contribuyentes. Las nuevas contribu-
ciones de la comunidad incluyen Skype,
Twitter, Flickr y plugins del Calendar Goo-
gle, además de un plugin “WindowMana-
ger” que nos permite organizar ventanas
en nuestro escritorio. Los desarrolladores
que disfruten trabajando con Mono tam-
bién pueden consultar la documentación
detallada para que les ayude a implemen-
tar sus propias ideas [5]. ■
RECURSOS
[1] Gnome Do: http://do.davebsd.com/
[2] Quicksilver: http://docs.blacktree.com/
quicksilver/what_is_quicksilver
[3] Instalación: https://wiki.ubuntu.com/
GnomeDo/Installation
[4] Plugins de Gnome Do: https://wiki.
ubuntu.com/GnomeDo/Plugins
[5] Desarrollo de plugins: https://wiki.
ubuntu.com/GnomeDo/
BuildingPlugins
Número 45 83
LINUX USER • Juegos
Software Libre armado y peligroso
WORMUX
En un mundo distinto con un sinfín de paisajes se libra una
guerra desde siempre. Nadie recuerda el motivo, si es que
alguna vez lo hubo. Simplemente las legiones combaten sin
cesar. Legiones de… simpáticas mascotas de aplicaciones de
software libre! ¡Es Wormux!
POR VICENTE CARRO
A
unque es probable que la mayoría
de nuestros lectores lo sepan,
Wormux[1] es un clon de la saga
de juegos Worms, una exitosa serie de jue-
gos cuya jugabilidad venía determinada
por una mezcla entre el clásico Lemmings
y el legendario Scorched.
Sin embargo, a pesar de la edad que ya
tiene este proyecto, Wormux ha conseguido
el ideal de todo clon: superar al original. No
es que estemos ante un título perfecto, ni
mucho menos, pero cumple con creces en
lo fundamental, la diversión, al tiempo que
muestra unos acabados que nos hacen sen-
tirnos ante un juego comercial.
Una Idea Simple
La idea detrás de este título consiste en
que nuestro equipo elimine a todos los
enemigos en un escenario completamente
destruible. Para darle un toque más estra-
tégico, el juego se desarrolla por turnos,
permitiéndonos un tiempo prudencial
para pensar la siguiente acción. Además,
casi todos los disparos y explosiones irán
perforando y deformando el escenario,
creando grutas y escondrijos con alto
valor estratégico.
Marcando Diferencias
Hasta aquí podríamos estar describiendo
Worms, sin embargo Wormux ha sabido
perfilarse lo suficiente como para tener
entidad propia.
84 Número 45
Metidos en Faena
La diferencia más evidente está en los
propios personajes. Wormux nos permite En cada turno tenemos la opción de elegir
elegir entre varias mascotas de proyectos uno y solo uno de los miembros de nues-
de software libre que nos representarán tro equipo, moverlo por el escenario y/o
durante la partida. Además cada uno de disparar el arma usada. Pulsando el botón
los miembros del equipo, aunque visual- derecho del ratón desplegaremos en pan-
mente iguales, estarán identificados con talla el menú con todas las armas disponi-
un nombre de alguna aplicación, subpro- bles. Cada arma puede tener un número
yecto o término muy relacionado con máximo de usos y, aunque somos libres
nuestra elección. de usarlas cuando queramos, deberíamos
Así por ejemplo, si elegimos al equipo hacerlo con un mínimo de estrategia si
Firefox, algunos de los posibles nombres queremos ganar de vez en cuando.
de sus miembros serán Mozilla Browser, El catálogo de armas va desde un sim-
FireBird, FireMonger, Phoenix, etc. ple bate de baseball hasta un ataque aéreo
La comunidad de jugadores se ha con- independiente, pasando por bazucas,
vertido en parte fundamental del juego y, escopetas, rifles, etc. También existen una
aparte de la evi-
dente orientación
del mismo al modo
online que luego
veremos, práctica-
mente todo el juego
se puede personali-
zar, pudiéndose
compartir estos
cambios con nues-
tros conocidos. E
incluso, si los cam-
bios lo merecen,
nuestra personali-
zación puede llegar
a convertirse en
parte oficial del
juego. Figura 1: Así ha quedado nuestro nivel.
WWW.LINUX- MAGAZINE.ES
 Juegos • LINUX USER

Figura 2: Nuestro nivel… tras sufrir una partida. Figura 3: Hay mapas de todo tipo. Y algunos muy buenos.

serie de “herramientas”, que si bien no Antes de empezar hay que saber que un favorito, Gimp, hemos creado un docu-
pueden hacer daño, sí que nos pueden nivel está compuesto por un fondo (usado mento nuevo de 1000x1000 píxels con el
servir para salir de una situación difícil únicamente como decoración) y el propio logotipo de nuestra revista, y nos hemos
(como el teletransportador) o para prepa- mapa (sobre el que se desarrolla la asegurado de que el fondo sea transpa-
rar una trampa (como el constructor ). acción). Opcionalmente puede haber tam- rente. Después lo hemos grabado con el
bién una serie de partículas entre el fondo nombre map.png y formato PNG.
Con Amigos Mejor y el mapa. A continuación creamos un nuevo
Sin duda, Wormux está pensado para Para nuestro mapa hemos decidido documento del mismo tamaño, y hemos
jugar con otras personas. Incluso en el crear una isla con el logotipo de Linux pintado un fondo a mano, aunque muy
menú principal, las dos opciones de Magazine. Desde nuestro editor gráfico simple, sin pretensiones. Esta imagen la
juego más importantes nos permiten
jugar en nuestra máquina con otro juga- Listado 1: config.xml
dor, o bien en internet, creando una par-
01 <?xml version=”1.0” file=”windparticle.png”>
tida o uniéndonos a una previamente cre-
encoding=”UTF-8”?> 19 <grid pos=”0,0”
ada.
Entonces, ¿no se puede jugar contra la 02 <!DOCTYPE resources SYSTEM size=”128,128” array=”1,1”/>
máquina? Sí, podemos jugar contra la “../map.dtd” []> 20 </image>
máquina… más o menos. Y es que por 03 <resources> 21 </sprite>
mucho que busquemos en el menú, no 04 <author> 22 <wind>
veremos ninguna opción para combatir
05 <name>LinuxMagazine</name> 23
contra la IA. Los desarrolladores, quizás
06 <nickname>LM</nickname> <nbr_sprite>10</nbr_sprite>
ligeramente avergonzados, lo han dejado
como una opción oculta. 07 <email></email> 24 <need_flip>0</need_flip>
Para poder jugar contra la IA tenemos 08 <country>Spain</country> 25 <mass>3.0</mass>
que editar el nombre de alguno de los 09 </author> 26
equipos de una partida normal y escribir <wind_factor>8.5</wind_factor>
10 <surface name=”sky”
AI-stupid. Cuando la comencemos, una
file=”sky.jpg” /> 27
muy modesta IA nos intentará poner las
11 <surface name=”map” <air_resist_factor>0.2</air_re
cosas difíciles.
file=”map.png” /> sist_factor>
Pero no nos engañemos, el gancho real
del juego es jugar online, con amigos. 12 <surface name=”preview” 28
Además, en este modo podemos comuni- file=”preview.jpg” /> <gravity_factor>0.2</gravity_f
carnos escribiendo mensajes (tras pulsar actor>
13 <name>LM</name>
la tecla t) si no disponemos de una apli- 29
14 <water>1</water>
cación de chat de audio externa. <rebounding>true</rebounding>
15 <nb_mine>7</nb_mine>
30
Creando un Nivel 16 <is_open>1</is_open> <rebound_factor>3.3</rebound_f
Para demostrar las opciones de personali- 17 <sprite actor>
zación de este título vamos a crear un name=”wind_particle”> 31 </wind>
nivel muy simple (que estará disponible
18 <image 32 </resources>
desde nuestra página web [3]).

WWW.LINUX- MAGAZINE.ES Número 45 85

LINUX USER • Juegos
Figura 4: El plantel de armas y herramientas es más que variado.
vamos a guardar con el nombre sky.jpg y
con formato JPG (con poca compresión).
Como también queremos partículas de
viento, creamos un nuevo documento,
esta vez de sólo 128x128 píxels, con
fondo transparente, y dibujamos en él las
letras “LM”, ya que éstas van a ser las
partículas de fondo. Ahora lo guardamos
con el nombre windparticle.png y formato
PNG.
En el selector de nivel, dentro del juego,
podemos ver una pequeña previsualiza-
ción de los niveles. Vamos a crear la previ-
sualización de nuestro nivel con un docu-
mento nuevo de un tamaño fijo de
300x225 píxels (no funcionará con otro
tamaño). En este documento vamos a
hacer un montaje con sky.jpg y map.png
de manera que sea fácil identificar nuestro
nivel de un vistazo. Cuando esté listo lo
guardamos como preview.jpg y formato
JPG.
Ya hemos terminado con la parte artís-
tica de la creación del nivel. Ahora sólo
Figura 5: Desde el lejano oeste hasta el espacio. Podemos rematar un aspecto grá-
encontrar todo tipo de niveles creados por la comunidad.
86 Número 45
falta crear un
archivo llamado
config.xml que ten-
drá el contenido que
se ve en el Listado
1. Se trata de un
archivo genérico, y
en general sólo ten-
dremos que cambiar
los nombres de los 3
ficheros que hemos
creado si fuese
necesario en otro
caso. Una vez guar-
dado, lo metemos
todo en una carpeta
y le ponemos el
nombre LM.
Todo listo.
Instalando Nuevos Mapas
En la web del juego (y en otras páginas
colaboradoras) podremos encontrar más
de un centenar de niveles. Para instalar
nuevos mapas, ya sean descargados de
internet o creados por nosotros como el
anterior, el procedimiento más fácil es
copiar la carpeta completa del nivel (que
incluye todos los ficheros) en la subcar-
peta map de la carpeta de instalación de
wormux.
En Ubuntu y derivados lo podremos
hacer de la siguiente manera:
sudo cp -r ruta-a-carpeta/U
carpeta /usr/share/games/U
wormux/map/
Un Vistazo Técnico
En la versión 0.82 de Wormux se pueden
apreciar unas animaciones más que bue-
nas de las mascotas, si bien el diseño grá-
fico en general es real-
mente notable. Algunos
mapas, dentro de su sim-
plicidad obligada, podrían
ser fondos de pantalla, y
es que tienen una calidad
artística pocas veces vista
en una producción de
software libre gratuita.
También en esta versión
se han rediseñado los ico-
nos, especialmente de las
armas, dándoles un
aspecto mucho más pro-
fesional, que acaba por
fico sobresaliente.
WWW.LINUX- MAGAZINE.ES
El rendimiento del juego es muy
correcto; en ningún momento lo hemos
visto rendir por debajo de las 30 imágenes
por segundo, incluso en resoluciones muy
elevadas que pueden causar problemas
hasta en títulos 2D.
Si hay un aspecto que se nota más des-
atendido que los demás (aparte de la inte-
ligencia artificial) es el apartado sonoro.
Las músicas escasean, y se pueden hacer
insoportables después de oírlas durante
varias horas. Los efectos de sonido tam-
bién son poco frecuentes, limitándose a
un par de explosiones, algunos disparos y
unas “voces” genéricas para los persona-
jes. Pero aunque este apartado peca y
mucho de falta de variedad, la calidad de
lo que sí hay es innegable.
Conclusión
Lo mejor de Wormux es sin duda la diver-
sión que nos ofrece jugando online con
algunos amigos. Su desenfadada violen-
cia nos enganchará durante horas, riéndo-
nos de nuestros conocidos cuando los
veamos volar por los aires. Además, Wor-
mux cuenta con una gran comunidad, y
es uno de los proyectos más vivos que
hemos visto últimamente a pesar de su
avanzada edad. Si no nos gusta jugar
online, siempre podemos rellenar algún
momento de aburrimiento aplastando a la
IA del juego.
Absolutamente imperdonable no darle
una oportunidad a este icono de los juegos
libres. ■
Puntuación
Lo mejor
• Software libre
• En castellano
7.5
• Divertido y con buena comunidad
Lo peor
• IA muy mejorable
• Pocos efectos de sonido
RECURSOS
[1] Página oficial de Wormux: http://
wormux.org/wiki/es/index.php
[2] Mapas extra: http://download.gna.
org/wormux/BonusMaps.tar.gz
[3] Foro de Wormux: http://wormux.
org/forum/?/es/
[4] Nuestro nivel: http://www.
linux-magazine.es/Magazine/
Downloads/wormux-nivel.tar.bz2
COMUNIDAD
COMUNIDAD ·· Konsultorio
Konsultorio
Klaus Knopper es el creador de
Knoppix y co-fundador de la
LinuxTag Expo. En la actuali-
dad trabaja como profesor,
programador y consultor. Si
tiene algún problema de
configuración, o simplemente
quiere conocer mejor cómo
funciona Linux, no dude en
escribir sus preguntas a:
preguntas@linux-magazine.es
¿Migrar?
Actualmente no sé casi nada
acerca de Linux, salvo lo poco que
he leído. Estoy interesado en instalar
Ubuntu Linux como mi sistema operativo
principal.
Tengo diferentes equipos (portátiles,
equipos de escritorio,…) y todos ellos ejecu-
tan Windows XP en sus diferentes versiones
(por ejemplo, de 32 y 64 bits, instalación
normal en disco duro y algunos en configu-
raciones RAID).
88 Número 45
EL
KONSULTORIO
DE KLAUS
¿Es posible ejecutar Linux simultánea-
mente en estos sistemas, ya sean normal o
RAID? En caso afirmativo, supongo que ten-
dré la opción de elegir en qué sistema ope-
rativo arranco, ¿o tengo que instalar otro
disco duro? (Lo cual no es mucho problema
si es la solución recomendada). ¿Funcionan
los programas de Windows en Linux? Hago
mucha edición de vídeo.
¿Cuáles son las alternativas para progra-
mas como Word/Powerpoint/Excel? ¿O fun-
cionan en el entorno Linux? También me
gusta experimentar con el overclocking: ¿fun-
cionan Pi, Memtest, Prime, etc. bajo Linux?
Mi objetivo es migrar completamente
desde Windows, pero me gustaría hacerlo
con cuidado y aprendiendo en el proceso.
Debido a que aún no está familiari-
zado con los sistemas Linux, podría
empezar ejecutando una distribución Linux
dentro de su sistema operativo actual con
un sistema de virtualización, como QEMU o
VM-ware, los cuales no hacen cambios en
su sistema más que añadir algunos archivos
para dos discos duros virtuales que conten-
drán la instalación.
Por otro lado, sería más efectivo dedicar
uno de sus ordenadores a experimentar, eje-
cutando primero algunas distros Live GNU/
Linux desde un CD o DVD, y hacer más
tarde una instalación en disco duro una vez
comience a sentirse cómodo con el funcio-
WWW.LINUX-MAGAZINE.ES
namiento de una de las distribuciones que
haya probado.
De igual manera, puede instalar Linux en
paralelo con Windows en el mismo ordena-
dor, aunque es algo arriesgado si nunca ha
reparticionado un disco duro anteriormente.
A continuación debería redimensionar las
particiones Windows para hacer espacio sufi-
ciente a la instalación GNU/Linux, comenzar
la instalación desde el DVD, y seleccionar
“mantener sistema operativo instalado”, lo
que también se denomina “arranque dual”.
Una vez que inicie su ordenador, se le mos-
trará un menú de arranque desde el que
puede seleccionar el sistema operativo con el
que quiere trabajar en esa sesión.
Aunque es posible ejecutar aplicaciones
Windows (incluso juegos [1]) bajo Linux
usando Wine o sus derivados, las aplicacio-
nes nativas de Linux pueden hacer práctica-
mente las mismas cosas.
Para la edición de vídeo recomiendo Kino
[2], que graba desde una cámara DV, per-
mite cortar y preparar escenas, y tiene una
sección con magníficos efectos de vídeo y
etiquetado. Al trabajar sobre el disco, no
requiere mucha memoria, y puede crear for-
matos de salida para SVCD o DVD. Igual-
mente, Cinelarra [3] es una completa solu-
ción para la edición de vídeo.
OpenOffice es la suite ofimática estándar
que incluye procesador de textos, hoja de
Timo Keilhau, Fotolia

cálculo y aplicaciones de dibujo y presenta-
ciones, disponible para muchas plataformas
y que está incluida en todas las distribucio-
nes que conozco. Además, el programa
puede leer formatos viejos o propietarios de
otros programas.
RAID, en sus diferentes niveles, también
está soportado por Linux, tanto vía software
como mediante hardware.
Tenga cuidado, porque algunos controla-
dores que se venden como “RAID” son sólo
“Softraid” (es decir, necesitan drivers espe-
ciales que en última instancia no hacen más
que lo que haría un RAID basado en soft-
ware).
Windows usa diferentes sistemas de
archivo. Linux puede leer y escribir en
FAT32 y NTFS sin problemas, mientras que
Windows no puede acceder a los sistemas
de archivo de Linux de manera directa. Sin
embargo, existen algunos drivers para Win-
dows que nos permiten copiar información
desde ext2 o ReiserFS.
Memtest, lm_sensors (para monitorizar la
temperatura de la placa y la CPU), cpuburn,
stress, super pi y otras suites de pruebas
están disponibles para Linux.
Asimismo, existen diferentes foros de dis-
cusión acerca de Linux y el overclocking.
Personalmente no me gusta demasiado, ya
que esto acorta el tiempo de vida del hard-
ware. (Véase el mensaje de advertencia en
la página Web de cpuburn [4]).
Disparidad ftp
Estoy perplejo con un problema
con el que me encuentro al transfe-
Listado 1: Configuración de
Tarjeta de Red
01 Settings for eth0:
02 Supported ports: [ TP MII ]
03 Supported link modes:
10baseT/Half 10baseT/Full
04 100baseT/Half 100baseT/Full
05 Supports auto-negotiation:
Yes
06 Advertised link modes:
10baseT/Half 10baseT/Full
07 100baseT/Half 100baseT/Full
08 Advertised auto-negotiation:
Yes
09 Speed: 10Mb/s
10 Duplex: Half
11 Port: MII
12 PHYAD: 32
13 Transceiver: internal
14 Auto-negotiation: on
rir archivos de vídeo. Los equipos son los
siguientes:
• Windows XP, P4 3.0, 2GB RAM, disco
duro 500GB SATA, ethernet gigabit en
placa (cinco años de antigüedad). Trans-
ferencia ftp a Linux es de más de 600
MB/s.
• SUSE 10.3, C2Duo 2.66, 2GB
RAM, dos discos 500GB
SATA en Raid 0, ethernet
gigabit dual en placa (sin
configurar aún). Transfe-
rencia ftp a XP es 20 MB/s.
Al copiar cualquier cosa desde
este equipo Linux a, por ejemplo,
una unidad USB (o incluso simplemente
duplicar un archivo) obtengo una velocidad
máxima de transferencia en torno a 20-28
MB/s. Ambos ordenadores están conecta-
dos a un switch gigabit, y obtengo estas lec-
turas desde el cuadro de transferencia de
KDE.
No puedo explicar esta enorme diferencia
en la tasa de transferencia. Apreciaría cual-
quier ayuda que me pueda proporcionar.
Es complicado determinar qué
causa esa diferencia, debido a los
muchos componentes implicados: tarjetas
de red y sus drivers, servidores ftp (¿en
ambos lados?), programa cliente ftp, escri-
torios con caché en disco…
Para realizar un benchmark más fiable,
recomendaría algunas herramientas en
línea de comandos de Linux para descartar
algún problema de configuración del escri-
torio.
En primer lugar hay que verificar la
configuración de la tarjeta de red con
sudo ethtool eth0
que debería reportar algo como lo mostrado
en el Listado 1.
En este Listado 1 se pueden apreciar los
modos de transferencia de datos que están
soportados y que la tarjeta funciona en este
caso a 10 MB/seg, a pesar de que es capaz
de hacerlo a 100 MB/seg. Esto puede
deberse a la autonegociación: el switch
puede determinar la velocidad que consi-
dere más fiable. Podemos deshabilitar la
autonegociación y fijar la velocidad a 100
MB/seg con:
sudo ethtool -s
eth0 autoneg off speed 100
En su configuración, podría intentar la
configuración speed 1000. En caso de perder
WWW.LINUX-MAGAZINE.ES
Konsultorio ·• COMUNIDAD
Konsultorio COMUNIDAD
Chris3d, Fotolia
conectividad, basta con volver a habilitar la
autonegociación.
Para medir la velocidad de transferencia
de datos podemos usar la herramienta
“bing”:
sudo bing U
local_machine_ip_address U
remote_machine_ip_address
Esto envía información y mide la respuesta
hasta que presionemos Ctrl+C, y muestra a
continuación las estadísticas acerca de la
tasa de transferencia. Las cifras mostradas
son la velocidad máxima que podemos con-
seguir con esta configuración de la tarjeta,
sin el overhead del protocolo de aplicación.
Para medir la velocidad en ftp podemos
usar wget, que es también la herramienta
más rápida para transferir datos vía http y
ftp, y que también soporta transferencias
parciales de datos.
El comando:
wget -c ftp://U
remote_machine_ip_addressU
/filename
descarga el archivo remoto al directorio
local y muestra la velocidad de transferencia
mientras la descarga está en proceso.
Cuando vaya a copiar a disco (ha seña-
lado que, en general, la escritura en disco
parece que va lenta en su sistema Linux),
por favor tenga en cuenta que Linux y Win-
dows usan la caché de disco de maneras
diferentes.
Al copiar pequeños archivos “parece”
que la información se escribe inmediata-
mente, cuando de hecho el archivo se
cachea en memoria en primer lugar y se
Número 45 89
COMUNIDAD · Konsultorio
escribe sólo si la caché de memoria es
lenta, el dispositivo no está montado
(Linux) o “extraído con seguridad” (Win-
dows), o un programa fuerza un sync
(escribir la información de caché a disco).
Al copiar información mayor que la RAM
de su ordenador, debería comenzar com-
probando el rendimiento del disco en
bruto, posiblemente verá picos debido a
que la información se cachea primero en
RAM y luego se escribe en disco de
manera asíncrona.
A pesar de que 20-28 MB/seg puede pare-
cer un resultado normal de transferencia a
disco con USB 2.0, es demasiado lento para
un disco IDE o SATA moderno. Si la escri-
tura en disco de su sistema principal es
lenta, debería verificar si la DMA está habili-
tada con
sudo hdparm /dev/hda
lo cual debería mostrar unos resultados
como los siguientes:
/dev/hda:
multcount = 16 (on)
IO_support = 1 (32-bit)
unmaskirq = 1 (on)
using_dma = 1 (on)
keepsettings = 0 (off)
readonly = 0 (off)
readahead = 256 (on)
geometry = 19457/255/63, U
sectors = 312581808, start = 0
El using_dma = 1 es relevante, ya que
indica que el disco puede transferir informa-
ción a una aplicación sin mucha interacción
desde la CPU, lo que puede significar una
mejora de la velocidad en un factor de 5 o
incluso más. Algunos controladores IDE
(defectuosos) en placas generalmente anti-
guas no soportan DMA, pero para el resto lo
podemos habilitar con:
sudo hdparm -d1 /dev/hda
si su ordenador se bloquea tras este
comando, u ocurren otras cosas extrañas,
probablemente se trate de un controlador
que no soporta DMA y probablemente
necesite apretar el botón de reset. Una
rápida prueba de rendimiento del disco en
sólo lectura puede realizarse con
sudo hdparm -tT /dev/hda
lo que muestra algo como:
90 Número 45
/ dev/ hda: Timing cachedU
reads: 572 MB in 2.00 secondsU
= 285.80 MB/ sec TimingU
buffered disk reads: 138 MBU
in 3.04 seconds = 45.40 MB/ sec
Cuarenta y cinco MB/seg es un buen resul-
tado para un disco IDE con la DMA habili-
tada, pero para un disco conectado vía USB
2.0 a mi portátil, sólo consigo unos 12 MB/
seg.
Escribir a un disco USB flash es muy
lento. De nuevo, sólo “parece” rápido al
escribir pequeños archivos, antes de indicar
al sistema operativo que desconecte el dis-
positivo y por tanto envíe toda la informa-
ción al chip.
Debido a que la transferencia por red
entre dos ordenadores generalmente
parece muy rápida, cabe la posibilidad de
que el lado receptor simplemente sea lento
a la hora de confirmar tratos recibidos, o
por alguna razón, que esté intentando
resolver el nombre del host en direcciones
IP locales que no están presentes en el
archivo host local (/etc/hosts). ¿Ha inten-
tado subir archivos en ambas direcciones,
o funciona el servidor ftp en una sola de
las máquinas?
Disco RAID
Quisiera hacerle un comentario
acerca de su respuesta sobre RAID
en Linux del número 43.
En un sistema de rápido desarrollo como
Linux, no es aconsejable instalar RAID 1
para la partición /. Cada vez que cambia-
mos nuestra distribución o actualizamos el
sistema, nos enfrentamos al peligro de
reformatear la partición /. ¡Y esto significa
que podemos perder información RAID 1
en las listas de dispositivo!
En lugar de esto, recomiendo hacer
lo siguiente: 1. Tener dos dispositi-
vos /boot de 1 MB en dos discos diferentes.
2. Reservar equitativamente dos dispositi-
vos / de 12 MB. 3. Usar el resto de espacio
en disco para RAID 1 (o EVM). 4. Hacer la
instalación en una partición /boot y /. 5.
Crear nuestros dispositivos RAID 1 con un
punto de montaje al dispositivo /. 6. Arran-
car el equipo con un disco Knoppix y mon-
tar todos nuestros dispositivos /boot y / en
este sistema. 7. Hacer una copia de seguri-
dad de los dispositivos /boot y /. Podemos
usar simplemente sudo cp -a directorio_ori-
gen directorio_destino para este propósito.
8. Editar los archivos /boot/grub/menu.lst y
/etc/fstab para albergar los dispositivos.
WWW.LINUX-MAGAZINE.ES
Ahora tenemos dos distribuciones funcio-
nales, y podemos experimentar con nue-
vas versiones de una de ellas mientras
mantenemos la otra como una copia de
seguridad. Los dispositivos RAID 1 se
mantienen intactos en estos procedimien-
tos. 9. Periódicamente, repetir los pasos 7 y
8 para realizar copias de seguridad.
Al fin y al cabo, RAID 1 es una buena
solución para hacer mirroring de informa-
ción, pero no tanto para programas del sis-
tema.
Aunque la configuración que propone
para /boot y / tienen todo el sentido
cuando actualizamos frecuentemente el
kernel (habiendo instalado varias distri-
buciones en paralelo en los mismos dis-
cos y teniendo una copia de los archivos
de configuración raid disponibles en par-
ticiones separadas que no requieren un
kernel con raid habilitado o distro para
montar), tengo que disentir de su afirma-
ción acerca de que RAID 1 no es útil para
hacer mirroring de programas y datos del
sistema.
El código de Linux MD incrementa balan-
ceado en lectura, de manera que cuando
tenemos dos discos separados en ranuras de
controladoras diferentes, la tasa de transfe-
rencia al leer archivos (especialmente con
sistemas con mucha carga y mucha activi-
dad de disco) también será mayor, ya que la
lectura de archivos puede paralelizarse en
los diferentes discos.
Cuando el proceso de lectura aguarda en
la escritura en un disco hasta completar la
transferencia física de información, puede
transmitir información al segundo disco.
Esto no dobla exactamente la tasa de trans-
ferencia, pero hace que los programas car-
guen sensiblemente más rápido.
La escritura en disco, por otro lado, es
más lenta con RAID 1 por diversos moti-
vos. También, en teoría, con la metainfor-
mación RAID/EVM actual, el kernel debe-
ría ser capaz de ensamblar un array a par-
tir de la información guardada dentro de
particiones RAID por cuenta propia, aun-
que es más sencillo guardar una copia de
raidtab o mdadm.conf en una partición no
RAID. ■
RECURSOS
[1] Wine HQ: http://www.winehq.org/
[2] Kino: http://www.kinodv.org/
[3] Cinelerra: http://cinelerra.org/
[4] Cpuburn:http://pages.sbcglobal.net/
redelm/

Jose María Lancho, abogado, contesta a las dudas legales de los lectores.
LINUX LEGAL
■ C uando una organización con una
patente (tradicional, no explícita-
mente de software) pretende publi-
car bajo la GPL, ¿qué tipo de diligen-
cia debida deberá utilizar con el fin
de garantizar que las patentes no
queden involuntariamente sin
efecto?
Desde la Affero GPL, en cuanto a la
prestación de servicios del tipo
redistribución, ¿significa esto que el
alcance de una obra derivada ya no
se limita a la memoria de un solo
ordenador, sino que ahora se extien-
den a la relación entre un cliente y
un servidor? La preocupación está
en que opera un software libre y
otro propietario.
■ Afortunadamente, la normativa de
patentes no es aún una ciencia exacta,
especialmente para quienes aún creen
en el sistema de patentes en este
ámbito. Por eso advierto que más de
una conclusión razonable se puede
llegar a sacar ante una pregunta seme-
jante. Para mí, Patentes + Software =
Total Inseguridad Jurídica.
Determinar si una patente “tradi-
cional” se vería afectada en su vali-
dez o inoponibilidad en “un con-
texto Affero GPL” resulta cierta-
mente complicado, y estoy seguro de
que no hay una verdadera presun-
ción con validez jurídica a este res-
pecto. Es cierto, la compatibilidad
del software de código abierto con
las patentes es una cuestión incó-
moda pero perpetuamente latente y
real. El sistema de protección legal
por medio de patentes coexiste con
el copyright, y no sólo en Estados
Unidos y Japón, sino también en
Europa, donde cabe el modelo de
patentamiento que expresa en su
pregunta, es una coexistencia
impuesta por la legalidad. Un deter-
minado software puede violar o no
una patente dependiendo en qué
forma sea utilizado. Por ejemplo, si
el “programa de software libre” es
esencial para llevar a cabo la fun-
ción reivindicada por la patente,
estoy convencido que sería violar la
licencia Affero .
Cuando se usa el término de
patente “tradicional” en este ámbito,
parece que se nos quiere hacer olvi-
dar que en la electrónica, este tipo
de invenciones pueden ser vindica-
das desde diferentes perspectivas y
tipos, que incluyen aparatos, el
método, las reivindicaciones deno-
minadas “means plus function”
(medios más función), y todos pue-
den corresponder a determinados
aspectos y componentes de un sis-
tema de software.
No fue hasta la versión 3 de la GPL
que no se introdujeron obligaciones
explícitas a quienes accedían a
código bajo GPL y detentaban paten-
tes. Así, la nueva versión de la GPL
obliga a que si usted tiene patentes
que sean necesarias para el uso del
software, usted otorga, sin costo
alguno, una licencia sobre estas
patentes, incluido para cualquier
obra derivada. Los límites de esta
condición no han sido verificados
ante un Juzgado todavía, pero está
claro que un titular de patentes que
usa GPL v3 no puede ignorar dónde
se mete y qué tipo de expectativas
legales está generando. Cuando
alguien usa GPL, en lo último que
piensa es en una infracción directa
de una patente relativa a alguien que
se encuentra en la cadena de trans-
misión del código.
En el caso de la pregunta, usted
puede estar seguro de que si intenta
recuperar los daños causados por un
infractor de su patente, éste, al
menos, le alegará un stoppel, y por-
que está utilizando un código de
fuente abierta, sí hay cuando menos
una presunción ideológica de que el
WWW.LINUX-MAGAZINE.ES
Linux Legal • COMUNIDAD
software de fuente abierta es un
“territorio sin patentes”
Es difícil que lo que exprese una
licencia pueda cambiar el alcance
jurídico de “obra derivada” desde
luego respecto a lo que prevé la ley
de propiedad intelectual. Pero eso
tampoco lo pretende la GPL – con
esto entramos en la segunda parte
de la pregunta – así, si “un programa
cliente puede ser el trabajo derivado
de un programa servidor y vice-
versa”, entiendo que eso depende
menos de esa circunstancia concreta
(servidor/cliente) o si la obra se
encuentra o reside en memorias u
ordenadores distintos como que las
obras sean expresiones derivadas en
el sentido de los derechos de autor.
La licencia GPL Affero no traduce
interoperabilidad con obra derivada.
En cualquier caso, la pregunta es
altamente intuitiva y prevee futuros
conflictos entre creaciones comple-
jas propietarias sobre estructuras en
línea de varios ordenadores y que
incluyan software bajo Affero. Creo
que con el texto de esa licencia cabe
concebir, aunque no es sencillo,
estructuras complejas propietarias
que utilicen, entre otros, programas
bajo GPL Affero. ■
EL AUTOR
Jose María
Lancho es abo-
gado, fundador
de la aso-
ciación Legal
Venture (http://
www.
legalventure.
com/), co-fun-
dador del Observatorio de Neutralidad
Tecnológica (http://neutralidad.es/) y
secretario en la directiva de Hispali-
nux. Puedes hacerle llegar tus pregun-
tas a José Maria enviando un correo a
jmcamelot@gmail.com
Número 45 91
COMUNIDAD · Blogs: La Perrera
Buscando al próximo Einstein
ENSEÑAME
EL CÓDIGO
La apertura del software libre estimula la innovación a través de genera-
ciones y husos horarios. POR JON ‘MADDOG’ HALL
P
robablemente siempre he sido
sutilmente consciente de las
habilidades de algunos programa-
dores de software libre, por lo que no
debería sorprenderme de lo que son
capaces de hacer. Pero he de admitir que
continúan sorprendiéndome.
Por ejemplo, Nick vive a unas cuantas
millas de mi casa y comenzó a progra-
mar a la edad de 9 años, hackeando el
núcleo de Linux a los 12 y escribiendo
controladores de dispositivos a los 15.
Fue administrador de sistemas junior de
una pequeña universidad a los 19 y
ayudó a que el FBI de los Estados Unidos
capturara a algunos crackers creando un
“honeypot” cuando tenía 21. Después
pasó a investigar, aunque oficialmente
nunca se graduó en la secundaría.
O aquel que a los 14 años comenzó su
propia distribución y lanzó 20.000 copias
antes de que sus padres averiguaran qué
estaba haciendo. Cuando le preguntaron
por qué, no se lo contó, simplemente
respondió: “Bueno, realmente no necesi-
taba vuestra ayuda”.
Un amigo de la familia al que no le iba
muy bien en secundaria, armado con
una copia de Running Linux y una de los
primeros CDs de Linux, instaló Linux en
su sistema, configuró la red wifi de su
casa (incluido el acceso Samba para los
sistemas de sus padres) y aprendió él
solo a programar en C. También creó el
primer club de ordenadores en su insti-
tuto, salió de su concha, participó en el
equipo de fútbol del instituto, más tarde
aprendió seguridad de ordenadores por
sí mismo y ahora está haciendo un post-
grado como estudiante.
La Fuente
Todos estos hackers acreditan acceso
visual al código fuente como un impor-
92 Número 45
tante factor en la mejora de sus conoci-
mientos informáticos. Con el software
libre pocas personas te preguntarán tu
edad, tu sexo o tus preferencias sexuales,
tu religión o cualquier otra cosa que no
sea ¿Donde está el código? Los nuevos
programadores pueden llegar tan rápido
y tan lejos como ellos quieran mediante
la lectura del código de otras personas,
tanto el bueno como el malo, y aprender
de él.
A mediados de los 70 había un profe-
sor de una pequeña universidad que
creía que el mejor método para enseñar
a los programadores a escribir buen
código era mostrándoles el código de
programadores realmente buenos. John
Lions llegó a comentar y anotar el listado
completo de la Sexta Edición de Unix
antes de que AT&T cambiara la licencia
con la Séptima Edición de Unix, que pro-
hibía el uso del código fuente con fines
educativos. Afortunadamente para la
ciencia de la computación, unas cuantas
copias se “escaparon”, y esos dos volú-
menes se convirtieron en los libros de
ciencias de la computación más fotoco-
piados de todos los tiempos.
Los programadores demostraban el
tiempo que habían pasado en el campo
de la computación en función de si eran
propietarios de la quinta generación de
la fotocopia del libro de Lion o tan sólo
de la décima generación.
Con el software propietario puedes ver
lo que un programa hace, pero no cómo
lo hace. Debes confiar en que el progra-
mador haga las cosas bien cuando elige
los algoritmos para el programa. Sin
embargo, al enseñar cómo funciona el
software , directamente creas un curso
de aprendizaje.
Y en el software libre no sólo te mues-
tran el código, también puedes conocer
WWW.LINUX-MAGAZINE.ES
al programador. Como alguien que ha
trabajado tanto en el software cerrado
como en el software libre, agradezco
enormemente el hecho de que si quiero
conocer a quien escribió un programa
particularmente bueno, y cómo se des-
envuelve esa persona en un entorno de
desarrollo, puedo buscar y seguir la lista
de correo del proyecto. Esta estrategia
me permite localizar a un montón de
programadores realmente buenos que
están alcanzando la cumbre de su profe-
sión.
Este pensamiento me lleva a mi último
descubrimiento y a la inspiración de este
artículo. Recientemente he sabido de un
estudiante que está participando en lo
que yo considero que es un trabajo de
graduado. Se expresa adecuadamente,
parece que tiene un amplio rango de
intereses y vive en Rumania. La apertura
del software libre me ha permitido
encontrarlo, y espero trabajar con él en
el futuro tal como he trabajado, y conti-
núo haciéndolo, con los prodigiosos pro-
gramadores que he mencionado antes.
Sigo atento al próximo “Albert Einstein
de la ciencia de la computación”, y no
soy tan chovinista como para creer que
ese genio tendría que llegar de los Esta-
dos Unidos, o si no educado aquí. Con
tantos problemas que resolver y sin sufi-
ciente gente para resolverlos, el próximo
“Albert”, o “Alberta”, puede ser de Bra-
sil, China, Rumania o incluso de Helsinki
en Finlandia.
Lo que sí sé es que la apertura del soft-
ware libre nos ayudará a encontrar la
próxima generación de expertos. ■
PRÓXIMO NÚMERO

ABRIENDO
VENTANAS

L
inux está ganando una cuota de mercado cada
vez mayor en el terreno TI, aunque Windows no
va a desaparecer de la noche a la mañana.
Hasta que eso no ocurra, las redes de sistemas hete-
rogéneos son el pan nuestro de cada día para usuarios,
desarrolladores y administradores de sistemas, y hacer
que todas las máquinas hablen entre sí puede ser todo
un reto.
El mes que viene miramos de cerca todo lo que
implica integrar dos sistemas tan dispares de la manera
más armoniosa posible. Aprenderemos a montar un
servidor de Protocolo de Escritorio Remoto (PER), cómo
funciona el Universal Plug and Play, a integrar servido-
res Linux en clusters Active Directory, y lo que tiene que
dar de sí el proyecto Moonlight de Mono – la versión
libre de la infraestructura multimedia Silverlight de
Microsoft.
El próximo mes, encuentra paz y armonía en Linux
Magazine.

Detección de Hardware Google Web Toolkit

En los malos viejos tiempos se suponía que los pioneros de
Linux debían instalar cada componente de hardware en el
sistema manualmente y, si eras Alan Cox, también se espe-
raba que escribieras el driver.
Todo eso ha cambiado con Udev, HAL y D-Bus. Pero… ¿cómo
funciona todo lo referente a la detección en caliente de hard-
ware en Linux? Y, más aún, ¿cómo podemos explotarlo y per-
sonalizarlo? La respuesta: en el número 46 de Linux Maga-
zine.
Podemos perder horas, días y semanas intentando crear apli-
caciones JavaScript que funcionen correctamente con todo
tipo de Navegador, implementación de CSS y motor de rende-
rizado HTML, pero es muy probable que sólo acabemos frus-
trados.
¡Google Web Toolkit al rescate! Con GWT escribimos las
aplicaciones en Java, y el código resultante se compila a
JavaScript altamente optimizado. Dan Frost, director técnico
de 3ev, nos explicará cómo funciona.

A LA VENTA: FEBRERO 2009

98 Número 45 WWW.LINUX- MAGAZINE.ES