[Sur] pasar a modo root

Andrés Ambrois andresambrois en gmail.com
Mie Feb 18 15:28:11 EST 2009


On Wednesday 18 February 2009 14:44:26 nanonano en mediagala.com wrote:
>  >Andrés Núñez Leites wrote:
>  >paolo, si estoy equivocado, por favor, hacémelo saber, pero
>  >no me acuses de fomentar la delincuencia, porque es injusto
>  >y ofensivo.
>
> Hola, Andrés:
>
> Lejos está de mí pensar que querés fomentar la delicuencia, si eso se
> entendió de mis mensajes te pido diculpas.
>
>
> Un saludo
>
> Paolo Benini
> Montevideo
>

Esa! Beso y abrazo! Ahora, al tema que nos convoca:

2009/2/13 Andrés Núñez Leites <anl en adinet.com.uy>
> hola a toda la lista. alguno sabe cómo pasar a modo
> root en la consola de comandos? es posible? yo
> quisiera instalar midnight-commander u otro
> gestor de ficheros, pero cuando pulso el botón
> "pasar a modo root", no funcional.

Como ya se ha dicho, en las máquinas de Ceibal, la clave de superusuario es 
secreta. 

Esto _no_ quiere decir ninguna de las siguientes cosas:

1) Que no se pueda acceder a los privilegios del usuario root
2) Que averiguar la clave de root comprometa al Plan

1) se debe a que existe un error en el sistema en la imagen 656, que es la que 
se encuentra en la inmensa mayoría de las XO en Uruguay, que permite escalar 
privilegios de manera muy simple. Informé de esto a OLPC hace unos meses y 
tengo entendido que el LATU está al tanto. (Qué paradoja que el diálogo sea 
infinitamente más fluido con gente en otro hemisferio que con quienes trabajan a 
30 cuadras de casa!)

Por supuesto que esto es difícil de solucionar sin actualizar, al menos, 
partes críticas del sistema. La dos máquinas de Ceibal que probé tenían este 
problema, por lo tanto no creo que lo hayan solucionado, y que el problema 
existirá hasta que se actualice a 767 o superior. 

2) dejando por un momento de lado el dilema de si máquinas destrancadas 
sumirían al Uruguay en una orgía de criminalidad, lo que es cierto es que 
conocer la clave de una máquina no necesariamente es conocer la de todas. Y se 
podría establecer un mecanismo para pedirlas, como el que existe para pedir la 
clave de desarrollador. 

Otro problema es el tema de la licencia: Mucho del software distribuido con 
las XO está licenciado bajo la GNU Public License versión 3, que obliga a 
quién distribuye el software licenciado a proveer toda la información que el 
usuario necesite para instalar y correr copias modificadas del software. 

A mi entender, distribuir software bajo un sistema trancado es una violación 
de la licencia. Pero de estas cosas mejor que se encargue gente que sepa más 
que yo. 

En cuanto al tema del sistema de seguridad de las máquinas, que se mencionó en 
este hilo, existen 3 formas de seguridad en la máquina:

- Activación: La máquina debe ser activada con una clave al llegar a la 
escuela. 
- Bloqueo pasivo: La máquina se bloquea si se prende luego de expirar un plazo 
que obtiene de los servidores del LATU. 
- Bloqueo activo: La máquina descarga una lista de máquinas "blacklisteadas" 
(robadas) cuando se conecta a internet. Si está en la lista, se bloquea. 

Si tienen dudas, el código está en 
http://dev.laptop.org/git?p=projects/ceibal-scripts;a=summary Tengo entendido 
que el código en producción es muy similar. (Si hay alguien del LATU por ahí, 
desasnenme!)

> al principio pensé en instalarle debian a mi xo,
> pero después pensé más como maestro que como
> "usuario final" y consideré que no era una gran
> idea pedagógica tener un escritorio diferente al de
> mis niños...

Puedes tener Sugar en Debian. Te recomiendo la distribución DebXO: 
http://wiki.laptop.org/go/DebXO Hay una imágen que trae Sugar por defecto :). 
Pero recuerda: no vas a poder instalar una imágen no firmada si no tienes una 
clave de desarrollador. 

Andrés Cabrera escribió:
>La seguridad en este caso, está (o por lo menos debería estar) en que
>las llaves de desarollador las proporciona OLPC directamente, y están
>ligadas al serial del equipo (la misma llave no sirve en diferentes
>equipos). La llave se consigue a través de una página en laptop.org, y
>supongo que si un laptop de Uruguay o Perú intenta conseguir una
>llave, la página no se la entrega. Si el mecanismo no está así
>actualmente si hay un problema de seguridad.

El sistema por el cual se obtienen las claves de desarrollador tiene una 
demora de un día desde la petición hasta que se entrega. Esto es suficiente 
para que la máquina se reporte como robada y se le informe al sistema. 

Pablo Flores escribió:
>Creo que la realidad es que, si bien sería bueno que el sistema de seguridad
>de las XO no estuviera basado en el ocultamiento de la clave de root, hasta
>el momento no hay otra solución. No lo ha resuelto OLPC, y eso se lo
>preguntamos a Chris Ball y Michael Stone (de OLPC) cuando estuvieron aca.

Es correcto. Por ahora, el sistema de seguridad está basado en que un atacante 
no conozca la clave de root. 

Igual que en mi máquina! Y seguro la de ustedes. Que los niños conozcan la 
clave de sus máquinas no significa que los ladrones la conozcan, si ese es el 
problema. 

Ahora, si la preocupación es que los niños van a "romper" la máquina 
ejecutando sudo rm -rf /, más allá que reflashear una máquina con una imágen 
firmada es algo realmente choto, se podrían hacer cosas para que aún teniendo 
root no se estropee la imágen. 

Para el curioso, Michael Stone me dice por IRC que el sistema ya corre en un 
chroot, y que sería fácil dejar a /versions/ fuera del chroot para que no lo 
afecte un potencial rm -rf /, de manera que sería fácil restaurar la imágen en 
/versions/pristine/. 

Además, si los niños no pueden romper la máquina, qué esperan que aprendan? :) 
(es muy fácil para mí decirlo que no tengo que atender esas llamadas, pero no 
deja de ser verdad). 

Un abrazo!
-- 
  Andrés
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.laptop.org/pipermail/olpc-sur/attachments/20090218/d28bccc3/attachment.htm 
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 197 bytes
Descripción: This is a digitally signed message part.
Url        : http://lists.laptop.org/pipermail/olpc-sur/attachments/20090218/d28bccc3/attachment.pgp 


More information about the olpc-Sur mailing list