# Consulta sobre filosofía en Gentoo [solucionado].

## walter_2007

Hola:  

      me presento, mi nombre es Walter y soy un viejo Debianero. Me interesa mucho Gentoo, y tengo ganas de pasarme. Las preguntas que le quería hacer son estas:

1 - Luego de leer y leer, por TODOS lados, no me queda claro algo. En Debian un paquete se pone como estable luego de mucho tiempo de prueba, cosa que para mi no molesta porque uso solo la consola: vim, latex, remind, sc, links2, etc. Lo que nunca me terminó de convencer son las opciones de compilación que no son a mi gusto.

Asimismo puedo esperar puesto que los cambios entre versiones a nivel de funcionalidad no son categóricos. Leí que en gentoo es similar, solo que con un tiempo menor que creo es de 30 días aprox (con un tiempo de prueba prudencial esta bien, para mí este tema es crítico no quiero tener en mi notebook aplicaciones de pruebas). La duda surge de que en Debian hay gente aparte del desarrollador, que asegura que el código fuente va a ser totalmente neutral. 

2 - De allí viene la otra pregunta, según lo que entendí gentoo utiliza código fuente como lo dejo el desarrollador. ¿Es esto así? Si es así ¿que seguridad tengo que las apliciaciones, no tienen intenciones non-sanctas?

Agardeceré muchos vuestros comentario ó links donde puede certificar estas informaciones.

Un cordial abrazo.

Walter.Last edited by walter_2007 on Sat Jul 27, 2013 6:46 pm; edited 1 time in total

----------

## kabutor

sobre la 2:

Gentoo hace un chequeo md5 contra el fichero con el codigo fuente para comprobar que no se ha modificado antes de empezar a compilar/instalar, asi es q el codigo viene tal cual (salvo que el propio portage añada parches a posteriori) asi te cercioras q usas el codigo original del autor.

----------

## ekz

Imagina que un programa ve la luz cierto día, y su autor puso a nuestra disposición el código fuente mediante un paquete targz, la noticia al poco tiempo se comenta en los foros y/o en el bugzilla y así se van sumando usuarios en el testeo del programa/paquete, cuando este está en condiciones (y otros factores, p.ej, voluntarios para mantenerlo) es añadido al árbol oficial de portage, generalmente en la rama de pruebas, aquí ya es testeado por una cantidad de usuarios  mucho más amplia, y lo mismo, el reporte de posibles bugs y cosas así, en esta etapa, al ser probado en variadas configuraciones y entornos, podrían descubrirse problemas con ciertas opciones de compilación, ya que cada usuario tiene las propias. Una vez que el paquete está listo para trabajar en "cualquier" entorno* , es pasado a la rama estable donde el 100% de los usuarios lo puede disfrutar con toda seguridad (* separadamente por cada arquitectura, hay paquetes que nunca serán estables para amd64 por ejemplo).

Bueno espero haberme explicado bien en el "recorrido" que sigue un paquete, es casi lo mismo cuando un paquete se actualiza.

SAludos! bienvenido al foro

----------

## Stolz

1.- No se puede dar un tiempo medio de lo que tarda un paquete en marcarse como "estable". Sé por lo que comentan usuarios de otras distribuciones que el tiempo en Gentoo es muy inferior. De todas formas, es un error considerar los programas marcados como "inestables" (como odio esa denominación) como inestables ,valga la redundancia. Como comenta ekz los programas que instalas ya han pasado sufientes pruebas como para considerarse estables. Primero sus propios autores los han considerado estables. Segundo, el mantenedor del ebuild los ha probado antes de añadirlo a Portage. Después ha sido subido a la rama "testing" y finalmente a la "estable". Si se tratase de un servidor en producción se entiende que exista cierto grado de paranoia con las versiones recientes de los programas, pero tratándose de un laptop, creo que es incluso beneficioso usar versiones recientes de muchos programas, por tener las últimas tecnologías y avances disponibles.

2.- Además de las comprobaciones hash pertinentes, casi siempre lo que bajas es código abierto. ¿enviarías una carta bomba en un sobre transparente?  :Wink: 

Saludozzzzzzz

----------

## walter_2007

Ok, entonces. Les agadezco mucho las respuestas. Igualmente en mi laptop quiero apl. convenientemente probadas, aunque llegado el caso, ¿cuántos errores puede tener por ej. el editor vi?

Por otro lado, es cierto, nadie mandaría una carta bomba en un sobre transparente, pero si quizás antrax. Quiero decir al ser una pc personal guardo muchos datos privados, y quizás la idea sea con un ataque no dejarme sin pc, pero si roben datos, de allí mi enamoramiento con Debian que controla el software publicado y no lo deja a la deriva de lo que hizo el desarrolador original. ¿Muy paranoico? Puede ser, pero ese fue el motivo de mi llegada a Debian.

Asimismo, vengo viendo con MUY buenos ojos Gentoo, ya que con las USE podría restringir aún más lo instalado, y de esa manera lograr tener sólo lo estrictamente necesario. Ya saben, menos aplicaciones = menos recursos = menos máquina = menos actualizaciones = menos dependencias = menos potenciales agujeros de seguridad. Repito, sólo uso la consola (amo el minimalismo).

Les mando un abrazo, y agadeceré más opiniones.

Walter.

----------

## sefirotsama

¿VI en versión estable? Aunque yo no lo uso, diria que el mínimo de errores o ninguno, siempre y cuando no hagas alguna burrada a la hora de compilar, como poner flags raras pq te parecian bonitas y absurdeces por el estilo. Sí que uso otros programas para consola, y en ellos nunca he visto un solo error (escepto mp3blaster que se colgó una vez hace años al intentar reproducir una caratula).

Por lo general no hay demasiados errores en gentoo versión estable y lo que hay sabes que lo puedes arreglar tu mismo poco a poco. Ya te digo si solo vas a usar gentoo para consola y pocos programas como lo que has dicho no vas a tener casi ni de que preocuparte.

A parte lo puedes configurar para cierto nivel de paranoia; vease particiones encriptadas, destrucción y creación de la swap en cada arranque y uso de llaves con gpg. Claro que todo eso esta en el resto de distribuciones, pero por complicado que parezca gentoo a la larga sale a cuenta.

En otro post se hablaba de el tiempo que llevan usuarios sin formatear, los habia que decian que llevaban más de 5 años. Sólo e saber configurarlo bien y el resto es ir manteniendo. Siempre hay un listado de cosillas para ir haciendo poco a poco con el tiempo y detallitos para arreglar pero llegado un momento sabras que tu sistema, para ti, será perfecto. Sabes que mejor que lo que tienes en gentoo en ese determinado momento en ningún otro lado va a estar, ni más personalizado, ni más optimizado, ya que no hay nada más versatil que gentoo (esceptuando LFS que no tiene gestor de paquetes, maldita la gracia).

Lo que preguntabas del codigo fuente... las descargas se hacen de los mirrors de gentoo, que siempre són los mismos paquetes (comprobado por md5) que los que ofrecen los programadoreso oficiales en su página web. En algún caso al codigo fuente se le aplican dteerminados parches de gentoo para corregir determinadas cosas que no se han tenido en cuenta por parte del desarrollador (ya sea correcón de errores o lo que sea).

Siempre que pasa eso lo ves a simple vista durante una instalación sin mayor complicación. Y por último decir que si tu nivel de paranoia es altísimo puedes mirar los tarballs de codigo fuente antes de ser compilados, que se guardan en /usr/portage/distfiles.

Pruebalo, no te arrepentiras. Eso si, preparate a compilar, más vale que te guste, sin embargo se autimatiza todo o casi todo el proceso.

----------

## walter_2007

Tema seguridad: utilizo particiones encriptadas, utilizo gpg y no uso swap  :Smile:  Tengo 512MB de ram, más que suficiente para lo que necesito. El micro lo hago correr a 1ghz, para no tener problemas de temperatura. El modelo de máquina es Apple Powerbook g4 1.5Ghz, 512MB hd 80Gb grabadora de DVD.

Tema LFS: interesante, pero quiero control de dependencias automáticas, como bien decís. Sin esto no hay nada, al menos para mí, por supuesto.

Algunas aplicaciones que utilizo: vim, remind, bc, latex, links2, fbi, mutt, abook, sc, clacct, gnuchess, tint, ispell, xpdf, y algo más.  

Nuevamente muchas gracias por las recomendanciones, y como no, voy a arrancar a trabajar por una Stage1. (me gustan los desafíos).

Un abrazo, y de nuevo gracias a todos.

----------

## jgascon

Si tanto te preocupa la seguridad quizás te interese el proyecto Hardened Gentoo.

----------

## Inodoro_Pereyra

 *jgascon wrote:*   

> Si tanto te preocupa la seguridad quizás te interese el proyecto Hardened Gentoo.

 

Me sacaste las palabras de la boca! jeje...

Este post me ha dejado intrigado: A que viene la necesidad de tanta seguridad? Fuiste víctima de codigo malicioso alguna vez anteriormente?

Hay algúna aplicación que se "roba" información o algo por el estilo?

Agrego mi granito de arena a todo el asunto: Aun que no uses swap al menos durante la instalación aseguráte de tener un lugracito del disco haciendo swap de por lo menos 512Mb, vas a compilar todo mucho mas rápido.

Salud!

----------

## sefirotsama

Sí eso es cierto, aunque no compiles oppen office... la swap es imprescindible para gentoo y las compilaciones, con 1 GB te sobra, yo uso 2Gb de swap y 1 de RAM (entendiendo que entre en hibernación y ya tenga cosas en la RAM).

No cal que exageres con la swap, además si te molesta tener siempre esa partición puedes alojarla en un archivo a parte (y mantenerlo para que no se corrompa con el tiempo).

Es un consejo (no sé si has compilado OOffice alguna vez).

----------

## walter_2007

Bueno, en mi pc personal guardo claves bancarias, de correo, del trabajo, mi agenda, mi presupuesto, fotos personales, hago home banking, etc. Es (para mì) información sensible. Asimsimo utilizo wi-fi en lugares públicos.

Amén de que no quisiera caer presa de algún vivo, que guardase en mi máquina fotos relacionadas con por ej, pedofilia, ó que se pudiese utilizar, para por ejemplo efectuar ataques contra servidores.

Igualmente lo considero un forma íncreible de aprender, me refiero ver hasta donde se puede llegar ¿no?.

Un saludo.

Walter.

PD: saludos Inodoro, intuyo que sos de Argentina.

----------

## 2uncas

Esta es  mi experiencia. 

Hace tiempo tenía ssh visible desde internet por el puerto 22 y desde el curro me dio por mirar el fichero de "messages", bueno pues empiezo a ver intentos de conexiones usando algun tipo de diccionario, hasta que de pronto veo en una de ellas  "Establecida" y yo no era, rápidamente quite el servicio ssh y lo puse en otro puerto, esto fue de forma casual no quiero pensar que hubiera pasado si no me da por mirar el fichero, también por que acababa de activar el servicio y  lo estaba monitorizando pero no me duro ni 24h, evidentemente este es mi caso.

La conclusión que saqué fué que se debe utilizar otro puerto diferente, contraseñas superiores a 14 carácteres, cambiarlas con frecuencia y si es posible solo permitir de algunas direcciones IP como por ejemplo la del curro que suele ser fija.

Saludos.

----------

## sefirotsama

 *walter_2007 wrote:*   

> Igualmente lo considero un forma íncreible de aprender, me refiero ver hasta donde se puede llegar ¿no?.

 

A mi también me gusta aumentar la seguridad por eso mismo, nunca he visto una gran necesidad de hacerlo... pero siempre esta bien prevenir... y aprender (de paso uno se divierte aprendiendo).

 *2uncas wrote:*   

> La conclusión que saqué fué que se debe utilizar otro puerto diferente, contraseñas superiores a 14 carácteres, cambiarlas con frecuencia y si es posible solo permitir de algunas direcciones IP como por ejemplo la del curro que suele ser fija.

 

 :Idea:  me acabo de acordar que me toca renovar passwords... aunque de los que uso ahora mismo, ninguno llega actualmente a los 14 carácteres...

¿Vosotros usais anillo de llaves o historias de esas? (kde wallet, etc)

----------

## 2uncas

 *Quote:*   

> 
> 
> La conclusión que saqué fué que se debe utilizar otro puerto diferente, contraseñas superiores a 14 carácteres, cambiarlas con frecuencia y si es posible solo permitir de algunas direcciones IP como por ejemplo la del curro que suele ser fija.

 

Lo de contraseñas superiores a 14 caracteres es por que he leído que ya hay diccionarios capaces de sacar claves de esa longitud.

----------

## Inodoro_Pereyra

Nada como iptables + fail2ban para los paranoicos. (Lo estoy usando desde hace un tiempo y funciona)

Guia para Gentoo en el blog de Stolz

Ahí no hay diccionario que valga, simplemente teniendo la precaución de que no exista el usuario test/test y root/god o nombres faciles de esos que son los primeros en cualquier ataque de diccionario...

Salud!

***EDITO***

 *Quote:*   

> PD: saludos Inodoro, intuyo que sos de Argentina.

 

Me descubriste... Somos varios argentinos por acá, así que bienvenido al club.

----------

## gringo

hay un par de reglas de oro que si se aplican funcionan a las mil maravillas con ssh:

- no permitir login a root - ni en ssh ni en nada, sólo en los terminales físicos. Bueno, o denegar el login a root por completo y ceñirse a su /sudo.

- no tener ssh corriendo en el puerto estándar

- no usar contraseñas, para eso están los certificados

fácil no ?  :Smile: 

saluetes

----------

## Inodoro_Pereyra

De todo lo que dice gringo, todo válido por cierto, se puede segurizar aún mas:

- No correr el servicio SSH por defecto.

Y me dirán: Y si me quiero conectar desde afuera?

Port Knocking para levantar el servicio y bajarlo cuando se deje de usar.

Salud!

----------

## the incredible hurd

 *walter_2007 wrote:*   

> soy un viejo Debianero. Me interesa mucho Gentoo, y tengo ganas de pasarme.

 

He aquí un error desde el principio. Espero que Gentoo te sirva para abrir tu mente y no para cerrarla, entiendo por "pasarme" olvidar Debian para pasarte únicamente a Gentoo... Yo no lo haría; de hecho tengo ambas distribuciones instaladas y jamás eliminaré debian de mis PCs, básicamente porque necesito un lugar seguro que jamás me ocasione problemas; el último de ellos, muy conocido, ha sido el gran downtime ocasionado por libexpat. Si manejas datos tan importantes, imagino que no podrás permitirte downtimes tan prolongados; Gentoo presenta ese pequeño inconveniente, antes o después tendrás algún downtime a no ser que consultes el foro y que actualices una vez por mes (lo cual no exime de riesgos, sencillamente los reduce).

Mi consejo está claro: por mucho que instales Gentoo y que seas muy feliz con ella y la disfrutes al máximo (de eso es de lo que se trata), no desinstales Debian. No creo que tengas el más mínimo problema para tener ambas distribuciones instaladas. Y eso es lo más seguro que creo que puedes hacer...

Edito: Acerca del downtime de libexpat, entre otros consulta: https://forums.gentoo.org/viewtopic-t-576770.html

----------

## achaw

Creo que libexpat fue uno de los ultimos grandes problemas, pero, no se si es necesario tener otra distro instalada...levantando un Live CD se soluciona. Yo uso Gentoo como unico SO en mi PC (aunque tengo un XP virtualizado por ahi)...pocas son las veces que recuerde que me haya quedado sin sistema, y que no lo solucionara al ratito (estuve y estoy en ~arch).

Saludos

----------

## Inodoro_Pereyra

arch en todas mis pc,  las que uso para trabajar diariamente y servidores en producción y tengo que reconocer que el día de libexpat me complicó toda la mañana... 

Se solucionaba rápido, si, pero pero multiplicado por la cantidad de veces que lo tuve que hacer contrareloj... Un parto.

Salud!

***EDITO***

No tengo ningun otro SO instalado en varios metros a la redonda que no sea Gentoo.

----------

## walter_2007

Bueno, muy bien. Agradezco a todos, las respuestas sobre como implementar esta maravillosa distribución. 

Me pondré a trabajar a la brevedad, y les iré contando mis avances.

Un fuerte abrazo.

----------

## ensarman

salud por eso walter!!!

yo tambien era debianero pero termine con pasarme completamente a Gentoo... para que voya a mantener 2 distribuciones en mi PC??? 

Gentoo es completamente seguo si no le abres agujeros de seguridad  y como la instalacion es practicamente de 0 vas a tener un cntrol de tu sistema que no te imaginas!!!

bueno ps si aun asi no te conformas... puedes usar OpenBSD que es el sistema opertaivo mas segro en su instalacion por defecto, con ese SO si te puedes olvidar del mundo en el exterior. ademas que Unix tiene mas compatibiladad con wireless que linux(segun aun amigo desarrollador de FreeBSD).

pero por ahora me gusta solo Gentoo ya que su virtud es el control del sistema. Si haz escuchado de Gentoo como el sistema mas veloz!!! te han engañado ya que tu lo haces a tu gusto, de esa forma puede ser muy rapido o muy lento, depende como lo configures

----------

## walter_2007

Hola:

       bueno, creo que no está bien retormar una consulta vieja, pero a esto apuntaba yo cuando hacía la consulta original:

http://linux.slashdot.org/article.pl?sid=09/12/09/2215253

Bueno, muchas gracias y solo decir que Gentoo es increíble.

Saludos.

Walter.

----------

## gringo

 *Quote:*   

> http://linux.slashdot.org/article.pl?sid=09/12/09/2215253

 

gentoo no está exento de estos problemas y a medida que linux ( entendido como distro, no el kernel ) sea mas popular esto pasará mas a menudo me temo.

Quiero decir, no he mirado como funciona el ddos este pero cualquier usuario de gentoo que se haya bajado ese tema de la web de gnome-look y lo haya instalado a mano seguramente habrá tenido el mismo problema.

Realmente de lo que se trata es que es el usuario quien decide que instalar y si se instala algo desde una fuente no segura o no fiable pues atente a las consecuencias. 

Esto es un problema serio que tienen todas las distros ahora mismo, que sus repositorios de software y sus gestores de software sean fiables y seguros al 100%. Comprometer un servidor y los hash de seguridad de los paquetes no es moco de pavo asi que lo mas habitual es atacar directamente a los gestores de software. 

Hay un excelente artículo en la lwn en donde se muestra que con técnicas poco sofisticadas se puede comprometer cualquier gestor de software de linux hoy en día :

http://lwn.net/Articles/327847/

saluetes

----------

## edgar_uriel84

 *walter_2007 wrote:*   

> http://linux.slashdot.org/article.pl?sid=09/12/09/2215253

 

Esto ya lo había visto, y creo que el problema esta en el usuario, si bajas un programa de una fuente "dudosa" debes revisar que hace, para eso esta el código fuente, una leída rápida no esta demás, lo que pasa es que la mayoría de los usuarios vienen de windows, donde no tienes esta ventaja en el 90% de los casos, por lo tanto "no saben que pueden hacerlo", saben del código fuente, pero nunca les han dicho como leerlo y eso lleva a problemas mucho más profundos y lamentables   :Crying or Very sad:  .

Si bien hoy día cualquier repo puede ser comprometido fácilmente, eso nunca cambiará, GNU/Linux NO es seguro por naturaleza, solo tiene vulnerabilidades diferentes a Windows y debes estar al pendiente de los problemas en los programas que usas, usar solo software oficial de tu distro o con código fuente que haya sido leído por ti o por alguien más, implementar tu sistema con seguridad básica como lo que ya se ha dicho (yo creo que debes poner ojo en tu navegador), revisa tus logs porque si alguien quiere tus contraseñas, o tus cuentas de banco, tarde o temprano si no estas a las vivas lo va a lograr.

Yo creo mis contraseñas con Diceware, solo me compre mis 2 daditos en la papelería y recibo noticias del CERT de mi país (México) y veo las vulnerabilidades que pueden afectarme.

----------

