Este artículo lo escribí en octubre de 2013, luego de las revelaciones de Snowden. Es un tutorial para evitar que los correos sean leídos por terceros. Nos es perfecto, pero incrementará la seguridad de sus comunicaciones notablemente.

Lo hice para Linux, que es lo que uso, sin embargo una ves instalado se lo puede utilizar desde la parte de configuración de Gmail. Intento no usar Gmail y no recomiendo su uso. Con pocas modificaciones este tutorial podría funcionar para herramientas como Hotmail, Yahoo, o cualquir correo que soporte los protocolos IMAP o POP3.

Para instalar las herramientas en Windows o Mac pueden complementar este tutorial con el que hizo la Free Software Foundation: «Defensa personal del correo electrónico«.

A muchas personas les preocupa el tema del espionaje y no saben como defenderse. En un artículo anterior expliqué como proteger las comunicaciones por chat. En este artículo explicare como proteger los correos electrónicos de un correo ya existente. Para este ejemplo utilizaré una cuenta de Gmail, pero el mismo concepto funcionará para Yahoo, Hotmail y correos propios (lo ideal) que no dependan de estas corporaciones.

Es importante notar que si bien se pueden cifrar los correos de servicios como Gmail, no es lo más conveniente. Ellos siguen teniendo nuestros correos y tal vez en el futuro los puedan descifrar y además tienen nuestra metadata. Es decir con quién me comunico, con que frecuencia, desde donde, etc…. Este tutorial debería servir como un primer paso para tener privacidad. El siguiente paso sería conseguir un servidor de correo propio para una organización, comunidad, amigos, etc….

Instalar Thunderbird/Icedove y Enigmail

Si usan Windows o Mac deberán buscar como instalar los programas Thunderbird, Enigmail y GPG. En el caso de GNU/Linux, GPG ya viene instalado y muchas veces Thunderbird.

En distribuciones como Ubuntu, Linux Mint se pueden instalar los paquetes necesarios de la siguiente manera:

sudo apt-get install thunderbird enigmail thunderbird-l10n-es-ar

En el caso de Debian el paquete se llama icedove en lugar de thunderbird, por temas relacionados con marcas.

sudo apt-get install icedove enigmail icedove-l10n-es-ar

En el caso de otras distribuciones se instalará los paquetes correspondientes.

Configurar Gmail con IMAP en Thunderbird

Una vez configurado instalado Thunderbird con Enigmail, el siguiente paso es configurarlo con nuestra cuenta de correo electrónico. Para este ejemplo utilizará Gmail, que como ya dije antes, no es lo mejor pero es un avance importante si se quiere tener privacidad.

Lo primero que decimos es que no queremos crear una cuenta sino utilizar una existente

Configuramos los datos de la cuenta de Gmail:

Luego de dar click en continuar Thunderbird / Icedove hará las comprobaciones de la cuenta y configurará IMAP:

Listo se ha configurado la cuenta y se empezará a descargar los correos de Gmail.

Llaves Públicas y Privadas

El concepto de criptografía cuando se utiliza PGP es el de llaves públicas y privadas. Se tiene una llave pública que se la entrega a las personas que van a encriptar los correos que voy a recibir. Es más se la puede subir a Internet para que sea más fácil para otros cifrarme los correos. Por otro lado se tiene la llave privada que sirve para descifrar los correos. Esta llave no se debe compartir y es recomendable sacar un respaldo ya que sin esta no se podrán leer los correos.

Las llave privada también sirve para firmar los correos electrónicos y la pública para verificar si la firma de los correos es correcta. Es decir PGP también funciona para tener firma digital.

Crear par de Llaves Públicas y Privadas

Es muy probable que la instalación de Thunderbird / Icedove tenga el problema de que no sean visibles los menús. Para esto configuramos con click derecho en la parte superior para que estos sean visibles.

Una vez que es visible el menú, se selecciona el menú OpenPGP y luego el administrador de claves:

En el administrador de claves seleccionamos Generar -> Nuevo par de claves

Asignamos una contraseña y de manera opcional un comentario para la llave pública. El comentario podría ser mi nombre y algo que me describa. Se define si se le da opción de caducidad al par de llaves. Es recomendable dar un tiempo de vida a nuestras llaves e ir renovando cada cierto tiempo.

En la misma venta seleccionamos la opción de avanzados para seleccionar el tamaño de llaves más grande permitido. En este caso el valor es 4096:

Con esto estamos listos para generar el par de llaves públicas y privadas. Dependiendo de la computadora esto podría tomar algún tiempo. Durante el proceso de creación se nos pregunta si queremos generar un certificado de revocación de la llave pública. Esto es útil si se tiene la llave subida a un servidor y por algún motivo ya no se la quiere utilizar. Por ejemplo, mi computadora fue robada. Es recomendable generar el certificado y guardarlo en algún lugar seguro:

Importar una llave pública y enviar el primer correo cifrado

Lo primero que debemos hacer para enviar un correo cifrado a alguien es solicitar su llave pública. Una forma sencilla de recibirla puede ser a través de correo electrónico como adjunto. Luego desde el administrador de claves la podemos importar.

Luego buscamos el archivo con la llave pública y lo importamos.

Con esto ya estamos listos para enviar nuestro primer correo cifrado. Básicamente en el botón de OpenPGP habilitamos la opción de cifrar el correo.

Listo ya hemos enviado nuestro primer correo cifrado.

Compartir Nuestra Llave Pública

Ahora que ya podemos enviar correos cifrados, es importante que podamos recibir correos cifrados. Para esto debemos hacer accesible nuestra llave pública. Una forma es a través de correo electrónico. En el menú de redacción de correo existe la opción OpenPGP -> Adjuntar mi clave pública.

Otra opción es subir la llave pública a los servidores de Internet y hacerla accesible a más gente. De esta manera más personas se podrán cifrarme correos electrónicos.
Para esto en el administrador de claves, buscamos la clave (por nombre, por ejemplo) y la exportamos a los servidores públicos.

Verificar la clave

Es importante verificar que la llave pública corresponde a la persona con la que me quiero comunicar. No quisiera enviar un correo cifrado que lo lea otra persona. Para esto debemos comprobar la llave pública y esto se lo hace a través del ID o el Finger Print.

Para conocer el ID o el Finger print de la llave pública, en el administrador de claves se selecciona la clave y se pone las propiedades de la misma.

Personalmente casi no uso Gmail y lo use para este ejemplo. Sin embargo para mi cuenta de correo electrónico convencional se puede ver los datos de mi clave pública en la siguiente diapositiva:

Si quieren practicar enviar un correo electrónico, pueden utilizar mi llave pública.

Este fue un pequeño tutorial para empezar a cifrar correos electrónicos. Hay muchas otras cosas que se pueden hacer con PGP, pero esto es lo básico que deberíamos utilizar.

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice.

Configurar OTR

Una vez que tenga la cuenta de chat configurada, hay que verificar que el módulo de OTR este activo. Para esto en el menú donde se despliegan los contactos conectados dentro del menú herramientas seleccionar complementos.

Una vez en los complementos buscar Mensajería Fuera-de-Registro (OTR)

Con eso ya esta instalado el complemento de encriptación. Se puede verificar que esta activo si en la parte inferior derecha de la ventana de chat tenemos un mensaje que dice «No privado.»

Esto quiere decir que se esta trabajando con un chat no seguro. Si la persona con la que se esta chateando tiene instalado OTR, entonces se puede iniciar una conversación privada. Para esto se hace click «No Privado» y luego en iniciar conversación privada.

Ahora ya se tiene una conversación encriptada.

Como dice el mensaje, falta autenticar a la persona al otro lado del chat. Estoy quiere decir que la comunicación es encriptada, pero no se tiene seguridad que la persona al otro lado del chat es quién dice ser. Sin embargo la conversación ya es encriptada y se puede comprobar abriendo el gmail (en este ejemplo que se usa gmail).

De lado de Diego en su celular donde tenía abierta la conversación de chat se puede comprobar fácilmente que la conversación esta encriptada.

Ahora solo falta autenticar que la persona que esta al otro lado es quién dice ser. La forma más fácil es utilizar una frase compartida entre los 2. Por ejemplo con Diego quedamos en poner el nombre de la ciudad donde el vive. Es algo simple, pero yo ya sabía que estaba hablando con Diego.

Para esto se hace click sobre el mensaje «No Verificado»y luego en autenticar compañero.

En este caso se utilizará una frase compartida. (Shared Secret)

Se podría compartir la frase por SMS, una llamada telefónica, etc… De alguna manera que uno este seguro que la otra persona es quien dice ser. En este caso compartimos la palabra Loja

Una vez que el compañero ingrese la frase compartida en su equipo la autenticación se realizará con éxito.

Listo ahora en la esquina inferior derecha se tendrá el mensaje de color verde que dice Privado.

Listo ahora se tiene chat encriptado.

Lo primero que deberíamos hacer es sacar un respaldo de nuestra información del Facebook. Sino hacemos esto, los únicos que tendrán nuestra información «privada» de Facebook serán ellos y no nosotros. Les recomiendo seguir las instrucciones de este artículo para respaldar su información. Ojo que este procedimiento no es inmediato y puede tomar horas días.

En el artículo mencionado arriba se explica como suspender la cuenta de Facebook para que podamos regresar cualquier momento. Soy una persona de ideas radicales y la verdad no quiero regresar a Facebook, así que si alguien opina igual que yo siga este enlace para borrar la cuenta definitivamente.

Si esta seguro dele click en eliminar

Si hacemos click en el mensaje se presentará otro mensaje

A la final se tiene 14 días para arrepentirse de borrar la cuenta.

Al momento, en teoría mi cuenta se cerrará en 14 días. Veamos si esto sucede efectivamente.

Tor permite tener navegación privada y sin censura. Si les interesa entender como funciona tor, leer el artículo de la Wikipedia es un buen punto de inicio.

Si no tiene problema de trabajar con la línea de comandos, vaya al final del artículo para instalar desde la línea de comando.

Instalar Tor de forma gráfica

1. Sino tiene un directorio donde instalar programas descargados fuera del sistema de paquetería, cree uno. Por ejemplo en este caso se creo /home/usuario/programas
   

   Crear carpeta para instalar programas

2. Vaya a la página de descargas de tor y busque la versión que corresponda a su distribución. Si tiene un sistema de 32 bits en su máquina entonces descargue la versión de 32, caso contrario la de 64 bits. Si baja la versión incorrecta Tor no funcionará  y tendrá que bajar la otra.
   

   Seleccione la versión correcta de Tor

3. Guarde el archivo en la carpeta que creo y con el botón derecho descomprímalo.
   

   Descomprimir el instalador de tor

4. Ahora se ingresa a la carpeta recién descomprimida y se hace doble click sobre star-tor-browser
   

   Haga doble click en star-tor-browser

5. Se le preguntará si se quiere ejecutar el programa, hacemos click en ejecutar
   

   Haga click en ejecutar

6. Listo ahora ya tendrá su navegador tor funcionando
   

   Navegador tor en acción

Eso es todo ahora puede disfrutar de Tor y del Internet con privacidad.

Instalar tor desde línea de comandos

Si no tiene problemas utilizando la línea de comandos puede instalar tor de la siguiente forma.

mkdir programas
wget https://www.torproject.org/dist/torbrowser/linux/tor-browser-gnu-linux-x86_64-2.2.39-5-dev-es-ES.tar.gz
tar zxvf tor-browser-gnu-linux-x86_64-2.2.39-5-dev-es-ES.tar.gz
zxvf tor-browser-gnu-linux-x86_64-2.2.39-5-dev-es-ES.tar.gz
tor-browser_es-ES/start-tor-browser

La línea de wget,e l url debería corresponder a la última versión estable de Tor y que corresponda a su arquitectura. Es decir de 32 bits o 64 bits.

Navegador tor en acción

Una Red Privada Virtual (VPN por sus siglas en inglés) sirve para crear una conexión encriptada entre 2 o más puntos a través de Internet. Un caso de uso típico puede ser permitir al acceso a servicios de una intranet de forma segura desde Internet.  Otro caso típico de uso es interconectar redes locales de 2 ó más sucrusales a través de Internet. En este artículo haremos la primera opción y en un futuro cercano publicaré cómo interconectar 2 redes.

Existen varias implementaciones de VPN y en el mundo de software libre una de las más populares es OpenVPN.  Una de sus grandes ventajas, es que se pueden tener clientes en distintos sistemas operativos com GNU/Linux, Windows, Mac y seguro que en todas las versiones BSD.

Instalación

OpenVPN viene por defecto en la mayoría de las distribuciones GNU/Linux. En mi caso suelo utilizar Debian o Ubuntu. La instalación la hice con aptitude:

aptitude install openvpn

En distros basadas en RPM la instalación se la hace con yum:

yum install openvpn

Listo , así de fácil y de sencillo.

Crear los certificados digitales

OpenVPN autentica sus clientes a través de llaves públicas y privadas. De esta manera cada cliente tiene su llave privada y debe enviar su llave pública al servidor. Estas llaves son creadas con un certificado conocido como «Certificado de Autoridad«. De esta forma cuando el servidor recibe una llave pública este revisa si esta firmado con el certificado de autoridad. Sino esta no aceptará la conexión.

La forma más fácil de crear estos certificados es utilizando la utilidad easy-rsa que viene en el paquete de OpenVPN. En el caso de debian esta aplicación se encuentra en: /usr/share/doc/openvpn/examples/easy-rsa/2.0/ easy-rsa. Otras distribuciones tendrán una ruta similar.

Copiamos la aplicación a una ruta más fácil de recordar. Personalmente opté por un subdirectorio dentro de /etc/openvpn. Para tener las cosas ordenadas:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa


Ahora ingresamos al directorio para crear las claves:

cd /etc/openvpn/easy-rsa/

Dentro de esta carpeta tenemos un archivo que almacena algunas variables importantes. Recomiendo revisar este archivo y de ser el caso modificar algunas variables.

vim vars

En mi caso personalice la siguiente parte para que cuando cree los certificados los valores por defecto tengan que ver con mi realidad:

export KEY_COUNTRY="EC"
export KEY_PROVINCE="Pichicha"
export KEY_CITY="Cayambe"
export KEY_ORG="Mi empresa"
export KEY_EMAIL="yo@midominio.com"

Guardamos y cerramos el archivo. Si no queremos no modificamos el archivo, es algo netamente opcional.

Cargamos las variables de este archivo al shell que estamos utilizando:

. vars

Borramos las claves previamete creados en caso de existir. Hacer esto solo si es la primera vez que vamos a crear los certificados y las claves.

./clean-all

Creamos el certificado de autoridad:

./build-ca

Si modificaron las variables, se darán cuenta que ahora las estaremos utilizando.

Certificado y clave privada para el servidor

/build-key-server servidor

Esto generara los archivos servidor.crt y servidor.key. donde el archivo .key es la llave privada y .crt es la pública.

Generamos los parámetros  Diffie Helman

./build-dh

Generamos las claves de los clientes.

./build-key cliente1
./build-key cliente2
./build-key cliente3


De manera similar al servidor se crearán las claves *.key y *.crt que serán las claves privadas y públicas respectivamente. Las 2 claves las deberemos copiar al cliente.

Listo, hemos creado todos los certificados necesarios y estamos listos para configurar los clientes y el servidor. Es importante sacar un respaldo del directorio /etc/openvpn/easy-rsa ya que ahí están todas las claves, incluido el certificado de autoridad que nos permitirá crear nuevas claves a futuro.

Resumen de las claves y certificados creados:

Nota: en clienteX, X quiere decir el número del cliente. En este ejemplo estamos trabajamos con 3 clientes para la VPN pr lo que deberíámos tener 3 pares de claves .crt y .key.

Configurar el Servidor

Copiamos los archivos que corresponden al servidor en una carpeta dentro del mismo. En mi caso copie la configuración en /etc/openvpn/claves. Si generamos las claves en una máquina que no es el servidor debemos usar scp u otra aplicación para subirlas a nuestro servidor.
Copiamos un archivo de ejemplo de configuración del servidor y la adaptamos a nuestras necesidades.

cd /etc/openvpn
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz .
gunzip server.conf.gz
vim server.conf


Dentro del archivo modificamos algunas variables para que funcione. Aquí expico algunas:
Protocolo a utilizar:

# TCP or UDP server?
proto udp


Vamos a configurar la vpn utilizando el protocolo UDP ya que esto nos dará un mejor rendimiento. No tiene sentido trabajar en TCP ya que dentro de nuestra vpn se correra el protocolo IP donde de ser necesario se volver a utilizar el protocolo TCP y no tiene sentido utilizar 2 veces este protocolo. En otras palabras, utilizar TCP solo cuando no lo puedan hacer con UDP.

Definimos las rutas a los certifiados. Recordar que en este ejemplo estamos utilizando /etc/openvpn/claves

ca claves/ca.crt
cert claves/servidor.crt
key claves/servidor.key
dh dh1024.pem


Por último, en el mismo archivo, decimos a que redes queremos que los clientes vpn puedan acceder.

push "route 192.168.45.0 255.255.255.0"

Listo podremos iniciar el servidor:

/etc/init.d/openvpn start

En caso de necesitar corregir errores se puede iniciar el servicio así:

openvpn <archivo de configuración>

Nota: El servidor VPN debería poder trabajar como ruteador por lo que debemos activar esto a nivel del kernel:

echo 1 > /proc/sys/net/ipv4/ip_forward

Para que la configuración quede grabada y no se pierda al reiniciar la máquina se debe editar el archivo /etc/sysctl.conf y poner el valor de 1 a la variable correspondiente:

net.ipv4.ip_forward=1

Configuración de un Cliente

Instalar OpenVPN en el cliente. En el caso de usar Linux, la instalación es igual a como se instala el servidor.
Copiamos los archivos correspondientes al cliente dentro de la máquina del mismo (Ver la tabla de arriba). En mi caso los copie en /etc/openvpn/claves

Una vez que tenemos las claves, copiamos un archivo de configuración de ejemplo para cliente y lo configuramos para nuestras necesidades:

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
vim client.conf

Definimos el protocolo como UDP igual que en el servidor:

proto udp


De manera similar al servidor, editamos las varialbes ca, cr y key:

ca claves/ca.crt
cert claves/clienteX.crt
key claves/clientX.key

El cliente debe saber a que servidor se debe conectar. Para esto debemos utilizar un nombre de dominio o el IP público y el puerto a conectarse. Por defecto OpeVPN corre en el puerto 1194.

remote miservidor.com 1194

Iniciamos OpenVPN en el cliente

/etc/init.d/openvpn start

En caso de tener errores podemos probar con

openvpn <archivo de configuracion>

Para probar la conectividad podemos hacer ping al ip 10.8.0.1 que es el ip de nuestro servidor. Si lo hacemos ya estamos con la VPN arriba. en caso de haber puesto la sentencia push podríamos hacer ping a ips dentro de la red LAN donde se encuentra la VPN. Ojo que las máquinas de la red LAN deberían saber como llegar a la red 10.8.0.0/24, para esto deberíamos ver la configuración del servidor.

Referencias Adicionales

• How to OpenVPN

En esta imagen se puede ver a mi sobrina montada en el caballo

Con esto de ser papá e informático tenía que llegar el momento de compartir la computadora con las hijas. Actualmente la Ana Martina le encanta jugar con Gcompris, pero en especial con Tux Paint. Estos son 2 aplicaciones de software libre educativas excelentes para los más pequeños y sus padres ;).
Para los que no han utilizado alguna vez Tux Paint saben que una de las partes más interesantes son las sellos. Con los sellos podemos agregar imágenes, las mismas que suelen ser asociadas con un sonido y un texto descriptivo. Por ejemplo si añadimos la vaca, al seleccionarla va a sonar «moo» y luego el audio nos dice la palabra «vaca». Así el niño asocia la vaca con la imagen, el sonido y su nombre.
Si bien hay muchos sellos con muchos sonidos, me parece interesante poder añadir más. Por ejemplo, me gustaría tener animales andinos como el condor, las llamas, etc… Esto todavía no lo hago, probablemente alguien ya lo ha hecho y sino espero que este artículo ayude a alguien a hacerlo ;).
Una de las libertades del software libre es poder modificar sus aplicaciones y entender como funcionan. En este artículo vamos a ver lo sencillo que es hacer estos cambios en Tux Paint sin tocar el código fuente.

Añadir Sellos a 1 Usuario

En este caso en particular es necesario crear el directorio ~/.tuxpaint/stamps (/hpme/usuario/.tuxpaint/stamps). Dentro del mismo creamos los sub directorios que necesitemos para organizar nuestros sellos.

En cada sub directorio deberíamos añadir una imagen PNG (con transparencia) o SVG para lo que se puede usar el Gimp u otra aplicación gráfica. Listo luego ya podremos ver los sellos en Tux Paint.

Nota: Además de los sellos se pueden crear las carpetas ~/.tuxpaint/brushes y ~/.tuxpaint/starters para añadir brochas e imagenes de fondo para iniciar los dibujos.

Añadir Sellos para todos los Usuarios

Esta solución es útil si tenemos más de una persona usando la computadora. Por ejemplo podría ser el caso de una escuela donde cada niño tiene su propio usuario, pero queremos que todos tengan acceso a nuestras personalizaciones.

TuxPaint guarda las imagenes, sellos y sonidos dentro del directorio /usr/share/tuxpaint. En este directorio esta el subdirectorio /usr/share/tuxpaint/stamps. Si revisamos este directorio vamos a ver varios subdirectorios. Lo que yo hice fue crear el directorio personal y asignar privilegios de escritura a mi usuario.

mkdir /usr/share/tuxpaint/stamps/personal/


De esta manera tendré un directorio donde podré copiar las imágenes sin preocuparme e los permisos.. En mi caso subí una foto de mi sobrina para que mi hija tenga a su prima dentro del Tux Paint. Para esto con mis pocas habilidades en el Gimp cree el archivo sobrina.png. Uso este formato porque soporta transparencias. El archivo lo guardé en el directorio personal recién creado. Luego cree un archivo de texto llamado sobrina.txt dentro del mismo directorio y dentro del mismo puse el texto «nombre de mi sobrina». Además utilizando el micrófono puede haber creado el archivo sobrina.ogg y copiarlo ahí mismo. Listo ahora hay una nueva categoría dentro de los sellos donde esta mi sobrina. Ahora a agregar a toda la familia :).

Conclusión

No se si esta es la manera en la que se debe hacer. La verdad leí cero documentación, solo revisé el árbol de directorio y vi como estaban estructuradas las otras imágenes. El resto fue experimentar :). Si alguien sabe una mejor forma de hacerlo avise ;).

Gracias a Ricardo Arguello y a Bill Kendrick mejore este mini how to y encontré este tutorial en Inglés mucho más detallado y con explicaciones para Windows y Mac.

Seguro esto también se puede hacer en Mac y Windows, solo hay que revisar donde estan los archivos.

Se que existe un plugin para Firefox que sirve para guardar los videos, pero a mi me gusta hacerlo de la forma más genérica posible. Una gran ventaja de GNU/Linux es que es fácil entender como funcionan las cosas en el sistema. Cuando descargamos un video desde internet, este es grabado de forma temporal en el directorio /tmp, por lo que bastará con copiar ese video a un directorio dentro de nuestra carpeta personal.

Un Ejemplo Práctico

Como ejemplo voy a utilizar un video de Wikirebels con subtítulos en Español. Un video altamente recomendable, pero dura una hora y pesa cerca de 200M. Una ejemplo perfecto de porque es recomendable guardar videos en nuestro computador.

Pantallazo del video de en Youtube Wikirebels

Una vez que se descarga el video completo y sin cerrar la ventana del navegador web, abrimos nuestro explorador archivos favoritos y vamos a la ruta /tmp y buscamos un archivo con un nombre similar a FLASHXX7fywGT. Básicamnete la palabra FLASH seguida por algún código aleatorio.  En el caso de GNOME con Nautilus el archivo se vería así:

Video Youtube en Nautilus

Este archivo lo copiamos y pegamos dentro de nuestra carpeta personal y le ponemos un nombre fácil de recordar. En mi caso lo copié a  /home/rafael/Videos/Wikirebels.flv. La extensión flv es implemente para recordar que es un video en formato Flash. Ahora ya podré ver el video cuando quiera y sin Internet utilizando mi reproductor de videos favoritos.

1. SSH con Llaves Públicas y Privadas: Autentificar un usuario con contraseñas tiene sus problemas. Si administramos varios servidores debemos recordar la clave de todos y muchas veces para no olvidaras utilizamos claves débiles. Al utilizar llaves públicas y privadas solucionamos estos 2 problemas.
2. Túneles SSH (parte 1): Es muy probable que alguna vez sea necesario ingresar a un servidor dentro de una Intranet con IP privada desde Internet. Si tenemos un servidor con acceso a SSH accesible desde Internet y que puede ver esta IP privada, asunto solucionado con túnles SSH
3. Túneles SSH (parte 2): En este how to se aprende como compartir servicios desde mi máquina con IP privada hacia Internet gracias a los túneles SSH. El ejemplo más interesante es como con un servidor SSH en un ip pública, 2 máquinas con IPs privadas en distintas redes se pueden ver entre sí sin necesidad de VPNs.
4. Aplicaciones Gráficas en Red con SSH: Todos usamos SSH para acceder a línea de comandos en un servidor. No todos saben que también podemos usar SSH para acceder a aplicaciones gráfica en nuestra red.
5. SSH y Proxy Socks navegación segura en Internet: Con una simple opción de SSH podemos navegar en Internet de forma encriptada y sin restricciones. Muy útil cuando navegamos en sitios done los servidores proxy no dejan navegar a ningún lugar o donde queremos tener mayor seguridad al navegar.
6. SSH y HTTPS en el puerto 443: Muchas veces el puerto 22 puede estar bloqueado en una red, haciendo que la mayoría de estos tips no sean útiles. Sin embargo, muy rara vez una red bloqueaa el puerto 443, en este ejemplo se enseña como hacer para compartir el puerto 443 para HTTPS y SSH de manera simultanea.
7. Copia Remota con SCP: La herramienta SCP permite copiar archivos a través de la red utilizando el protocolo SSH. En este tip aprenderemos como hacer esto y además como hacerlo limitando el ancho de banda si queremos copiar archivos muy grandes.
8. Simplifica tu vida gracias a  ~/.ssh/config: Manejamos varios servidores, cada uno de ellos utiliza puertos diferentes. Podemos configurar nuestro cliente SSH para que algo como «ssh -p 2200 usuariox@servidorremoto.com» sea tan simple como «ssh serv«
9. SSH y SFTP con usuarios enjaulados: Muchas veces se tiene la necesidad de dar acceso a nuestro servidor a personas en las que no confiamos. En este tip se aprende como hacer para crear un ambiente limitado para estos usuarios y que tengan solamente las herramientas que necesitan.
10. Sincronizar Directorios con SSH y RSYNC: RSYNC, es una poderosa herramienta de sincronización a través de la red. En este tip se aprende como combinar su poder con SSH y poder sacar respaldos o crear mirrors de forma segura.
11. Proteger SSH con Fail2Ban: Muchas personas creen que cambiar el puerto de SSH significa asegurar su servidor. Cualquier persona que conoce poco de nmap y sabe usar Google seguro podrá descubrir en que puerto se ejecuta SSH. Fail2Ban es una herramienta mucho más poderosa que bloquea los IPs luego de X números de intentos fallido por un tiempo Y. De esta manera se hacen inútiles los ataques de diccionario.
12. Acceder a un Computador a través de Tor sin IP Públicor: Los servicios ocultos de Tor permiten que cualquier protocolo TCP sea accedido a través de la red Tor. En este post explico como hacerlo para ssh.

Instalar Fail2Ban

En las distros basadas en Debian, basta con instalar el paquete fail2ban. Supongo que en otras distros la instalación es igual de simple

aptitude install fail2ban


Configurar Fail2Ban

Como cualquier aplicación de Linux, su configuración se encuentra dentro del directorio /etc. En este caso el directorio donde debemos buscar es /etc/fail2ban. El archivo que modicaremos en este mini tutorial es el /etc/fail2ban/jail.conf. Por defecto viene con varios templates para proteger servicios de nuestros servidores, no solo SSH. Algunas variables interesantes para modificar:
Al inicio del archivo encontraremos las variables ignoreip y bantime La primera sirve para que no bloquee mi IP si algo sale mal y la segunda especifica el tiempo a bloquear un IP en segundos. Por defecto son 10 minutos (600 segundos).

ignoreip = 192.168.182.3
bantime = 600


Luego bajamos a la sección de SSH y verificamos que la configuración este correcta:

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6


Reiniciamos fail2ban

/etc/init.d/fail2ban restart


Listo ahora estamos protegidos contra los ataques de diccionario a nuestro servidor SSH

Si bien RSYNC no necesita de SSH para sincronizar, utilizar los 2 en conjunto tiene algunas ventajas entre las que destaco algunas:

• La información viaja encriptada
• No necesito correr un servidor RSYNC
• Solo necesito preocuparme de tener abierto el puerto de SSH

Nota: todos los ejemplos son una sola línea

Ejemplo 1: Sincronizar 2 servidores web

rsync -avz --delete  -e ssh /var/www/sitioweb usuario@servidorremoto.com:/var/www/mirror

Las opciones quieren decir:

• -a Sirve para hacer una sincronización recursiva
• -v Sirve para mostrar en pantalla información de lo que esta haciendo el proceso
• -z Sirve para enviar la información comprimida y ahorrrar ancho de banda
• –delete Sirve para borrar del destino todo lo que no esta en el origen. En otras palabras para tener un mirror 100% igual.
• -e ssh: Es la parte del comando que hace que este artículo sea catalogado como un tip ssh ;). Básicamente sirve para hacer la sincronización utilizando el protocolo ssh

Al igual que SCP el primer directorio es el origen y el segundo es el destino.

Ejemplo 2: Sincronizar con puerto  no Estandard

Algo muy común es que la gente  corra el servidor SSH en un puerto distinto al 22. Inclusive hace unos días publiqué como hacer para que escuche en el puerto 443. Ahora explicamos como sincronizar los 2 directorios donde el puerto del destino no es estandard.

rsync -avz –delete –rsh=’ssh -p 443′ /var/www/sitioweb usuario@servidorremoto.com:/var/www/mirror

Como pueden ver hay un solo cambio en este ejemplo. En lugar de usar -e ssh utilizamos –-rsh=’ssh -p 443′. Básicamente estamos diciendo que se utilice el puerto 443 en lugar del puerto 22.

Recomendaciones

Si desean hacer tareas automatizadas como usar su servidor como un mirror de un tercer (ej. Elastix, Wikileaks ) es muy recomendable crear un ambiente enjaulado para ese usuario SSH y seguro necesitará trabajar con autenticación con llaves públicas y privadas.