Desde hace un par de semanas he estado ocupado migrando las herramientas que usamos en la empresa para acceder a los documentos.
De montajes NFS a servicios como Nextcloud podría titularse esta entrada pero la cosa va un poco más allá.
Desde hace un par de semanas he estado ocupado migrando las herramientas que usamos en la empresa para acceder a los documentos.
De montajes NFS a servicios como Nextcloud podría titularse esta entrada pero la cosa va un poco más allá.
… tienen ya una página dedicada a ellas. La he incluído a modo de referencia porque estoy viendo que cualquier cosa que tenga que anotar al respecto se me va a olvidar.
La dirección es: https://esferas.org/msqlu/el-movil/
… por la zona horaria. Que manda narices que a estas alturas estemos así.
El caso es que hace unas semanas me presenté en la consulta cinco minutos antes de la hora de la cita para descubrir, con fastidio, que había llegado una hora tarde. Tuve que pedir disculpas -muchas- porque parecia que lo había hecho a propósito, por dejadez o vete tú a saber.
Me dieron otra cita para hoy y, oh, sorpresa, vuelvo a llegar una hora tarde. Más disculpas, más vergüenza, más confusión.
Delante del administrativo edito la cita y la sitúo en enero en la hora que me indica: las once de la mañana. Salgo de edición y me fijo que el calendario me dice que la cita es a las doce. Entro en la cita, cambio, salgo, miro, vuelvo a mirar, vuelvo a editar … Así hasta que me percato de que la primera vez que puse la cita, por alguna extraña razón, se añadió como zona horaria UTC. Y, claro, son las once UTC pero las doce en la zona España/Madrid. Y así queda. Al no crear una nueva entrada y limitarme a editar la que estaba el error se propagaba hasta casi una tercera vez.
Ya está arreglado, menos mal, y espero ser atendido sin mucho cachondeo el próximo día.
for N user from XXX.XXX.XXX.XXX port XXXX y así hasta que se te colma la paciencia.
… es sólo cuestión de decidirse por el método: suave o por las bravas.
Tiempo atrás escribí una entrada explicando cómo hacer que un sistema usase cuentas de sistema espaciales para recibir datos de copias de seguridad.
Desde hace unos meses estoy perfeccionando, a ratos, un pequeño juego de utilidades para ayudarme en la configuración y uso de máquinas como receptores de copias de seguridad de terceros.
Dicho paquete se llama msat-sb y está incluido dentro de un proyecto mayor llamado msat; un acrónimo atrevido y original que viene a decir algo así como: My System Administration Tools y que puede verse en su propio repositorio: https://git.astillas.net/msat.
El paquete msat-sb (sb procede de secure backups) contiene dos scripts: el primero se llama sb-setup y el segundo sb-adduser. El primero nos sirve para retocar la configuración de varios ejecutables y para advertirnos de cómo deberían estar la de otros.
El segundo es un poco más complejo: solicita un nombre completo de usuario o cliente y con él crea un nombre abreviado que emplear para acceder al sistema. También crea los directorios de usuario, ajustando permisos, y se asegura de que existan al menos los imprescindibles para poder trabajar con el sistema.
El mayor escollo lo he encontrado en que el directorio jaula (chroot) que tiene que ser obligatoriamente propiedad de root así que, evitando trucos como los enlaces blandos dado que pretendemos que este mecanismo sea masivo, al final nos tenemos que conformar con que existan zonas específicas para guardar datos.
No queda tan elegante como sftp://usuario@servidor y tendremos que conformarnos con que exista un directorio llamado data donde poder escribir. Esto, por otra parte, es una oportunidad para añadir un directorio public_html para que publique cosas y otro .ssh para guardar claves de conexión.
El árbol entonces queda de la siguiente forma:
root@backups:/srv/backups# tree -puag .
└── [drwxrwxr-x root root ] sb_servidse
├── [drwxrwsr-x sb_servidse sb ] data
├── [drwxrwsr-x sb_servidse sb ] public_html
│ └── [-rw-rw-r-- sb_servidse sb ] README
├── [-rw-rw-r-- sb_servidse sb ] README
├── [drwxrwsr-x sb_servidse sb ] .ssh
│ └── [-rw-rw-r-- sb_servidse sb ] README
└── [-rw-rw---- sb_servidse sb ] .Xauthority
4 directories, 4 files
La configuración de servicios queda como en la entrada antes mencionada; la diferencia es que hay que emplear el programa sb-adduser como administrador para crear las cuentas.
El programa sshd debe contener el siguiente párrafo:
override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server -u 0002
UsePAM yes
Match Group sb
ChrootDirectory %h
AllowTCPForwarding no
X11Forwarding no
Mientras que el programa rssh debe estar de la siguiente forma:
# Registro de eventos
logfacility = LOG_USER
# Ejecutables permitidos
allowscp
allowsftp
allowrsync
# Máscara de creación de archivos
umask = 002
# Y la siguiente línea deshabilitada porque el cambio de
# directorio ya lo realiza sshd
#chrootpath=/chroot
…. o cómo se puede uno complicar la vida y qué soluciones hay.
… porque al final es un mecanismo casi universal de acceso a la información.
… porque siguen siendo los más mejores en esto de recibir datos de otras máquinas.
… aspectos técnicos sobre la versión 8 (aunque aplicable a versiones superiores) y otras rarezas.