[Sur] pasar a modo root

Andrés Núñez Leites anl en adinet.com.uy
Mie Feb 18 20:19:40 EST 2009 

andrés, andrés, pablo y tod en s:

muy buenos datos en estos últimos mails. voy a intentar 
conseguir la clave de desarrollador e instalar una imagen 
de DebXO, porque debian me resulta mucho más práctico que 
la línea de redhat, y ya que se se puede hacer 
debian+sugar, el resultado puede ser mucho mejor :) y si 
encima le puedo instalar alguna que otra utilidad... ni 
hablar.

me parece que por ahí tiene que ir la distribución de las 
XO, pegada a la filosofía del software libre.

saludos varios



El Wednesday 18 February 2009 18:28:11 Andrés Ambrois 
escribió:
> On Wednesday 18 February 2009 14:44:26 
nanonano en mediagala.com wrote:
> >  >Andrés Núñez Leites wrote:
> >  >paolo, si estoy equivocado, por favor, hacémelo
> >  > saber, pero no me acuses de fomentar la
> >  > delincuencia, porque es injusto y ofensivo.
> >
> > Hola, Andrés:
> >
> > Lejos está de mí pensar que querés fomentar la
> > delicuencia, si eso se entendió de mis mensajes te
> > pido diculpas.
> >
> >
> > Un saludo
> >
> > Paolo Benini
> > Montevideo
>
> Esa! Beso y abrazo! Ahora, al tema que nos convoca:
>
> 2009/2/13 Andrés Núñez Leites <anl en adinet.com.uy>
>
> > hola a toda la lista. alguno sabe cómo pasar a modo
> > root en la consola de comandos? es posible? yo
> > quisiera instalar midnight-commander u otro
> > gestor de ficheros, pero cuando pulso el botón
> > "pasar a modo root", no funcional.
>
> Como ya se ha dicho, en las máquinas de Ceibal, la clave
> de superusuario es secreta.
>
> Esto _no_ quiere decir ninguna de las siguientes cosas:
>
> 1) Que no se pueda acceder a los privilegios del usuario
> root 2) Que averiguar la clave de root comprometa al
> Plan
>
> 1) se debe a que existe un error en el sistema en la
> imagen 656, que es la que se encuentra en la inmensa
> mayoría de las XO en Uruguay, que permite escalar
> privilegios de manera muy simple. Informé de esto a OLPC
> hace unos meses y tengo entendido que el LATU está al
> tanto. (Qué paradoja que el diálogo sea infinitamente
> más fluido con gente en otro hemisferio que con quienes
> trabajan a 30 cuadras de casa!)
>
> Por supuesto que esto es difícil de solucionar sin
> actualizar, al menos, partes críticas del sistema. La
> dos máquinas de Ceibal que probé tenían este problema,
> por lo tanto no creo que lo hayan solucionado, y que el
> problema existirá hasta que se actualice a 767 o
> superior.
>
> 2) dejando por un momento de lado el dilema de si
> máquinas destrancadas sumirían al Uruguay en una orgía
> de criminalidad, lo que es cierto es que conocer la
> clave de una máquina no necesariamente es conocer la de
> todas. Y se podría establecer un mecanismo para
> pedirlas, como el que existe para pedir la clave de
> desarrollador.
>
> Otro problema es el tema de la licencia: Mucho del
> software distribuido con las XO está licenciado bajo la
> GNU Public License versión 3, que obliga a quién
> distribuye el software licenciado a proveer toda la
> información que el usuario necesite para instalar y
> correr copias modificadas del software.
>
> A mi entender, distribuir software bajo un sistema
> trancado es una violación de la licencia. Pero de estas
> cosas mejor que se encargue gente que sepa más que yo.
>
> En cuanto al tema del sistema de seguridad de las
> máquinas, que se mencionó en este hilo, existen 3 formas
> de seguridad en la máquina:
>
> - Activación: La máquina debe ser activada con una clave
> al llegar a la escuela.
> - Bloqueo pasivo: La máquina se bloquea si se prende
> luego de expirar un plazo que obtiene de los servidores
> del LATU.
> - Bloqueo activo: La máquina descarga una lista de
> máquinas "blacklisteadas" (robadas) cuando se conecta a
> internet. Si está en la lista, se bloquea.
>
> Si tienen dudas, el código está en
> http://dev.laptop.org/git?p=projects/ceibal-scripts;a=su
>mmary Tengo entendido que el código en producción es muy
> similar. (Si hay alguien del LATU por ahí, desasnenme!)
>
> > al principio pensé en instalarle debian a mi xo,
> > pero después pensé más como maestro que como
> > "usuario final" y consideré que no era una gran
> > idea pedagógica tener un escritorio diferente al de
> > mis niños...
>
> Puedes tener Sugar en Debian. Te recomiendo la
> distribución DebXO: http://wiki.laptop.org/go/DebXO Hay
> una imágen que trae Sugar por defecto :). Pero recuerda:
> no vas a poder instalar una imágen no firmada si no
> tienes una clave de desarrollador.
>
> Andrés Cabrera escribió:
> >La seguridad en este caso, está (o por lo menos debería
> > estar) en que las llaves de desarollador las
> > proporciona OLPC directamente, y están ligadas al
> > serial del equipo (la misma llave no sirve en
> > diferentes equipos). La llave se consigue a través de
> > una página en laptop.org, y supongo que si un laptop
> > de Uruguay o Perú intenta conseguir una llave, la
> > página no se la entrega. Si el mecanismo no está así
> > actualmente si hay un problema de seguridad.
>
> El sistema por el cual se obtienen las claves de
> desarrollador tiene una demora de un día desde la
> petición hasta que se entrega. Esto es suficiente para
> que la máquina se reporte como robada y se le informe al
> sistema.
>
> Pablo Flores escribió:
> >Creo que la realidad es que, si bien sería bueno que el
> > sistema de seguridad de las XO no estuviera basado en
> > el ocultamiento de la clave de root, hasta el momento
> > no hay otra solución. No lo ha resuelto OLPC, y eso se
> > lo preguntamos a Chris Ball y Michael Stone (de OLPC)
> > cuando estuvieron aca.
>
> Es correcto. Por ahora, el sistema de seguridad está
> basado en que un atacante no conozca la clave de root.
>
> Igual que en mi máquina! Y seguro la de ustedes. Que los
> niños conozcan la clave de sus máquinas no significa que
> los ladrones la conozcan, si ese es el problema.
>
> Ahora, si la preocupación es que los niños van a
> "romper" la máquina ejecutando sudo rm -rf /, más allá
> que reflashear una máquina con una imágen firmada es
> algo realmente choto, se podrían hacer cosas para que
> aún teniendo root no se estropee la imágen.
>
> Para el curioso, Michael Stone me dice por IRC que el
> sistema ya corre en un chroot, y que sería fácil dejar a
> /versions/ fuera del chroot para que no lo afecte un
> potencial rm -rf /, de manera que sería fácil restaurar
> la imágen en /versions/pristine/.
>
> Además, si los niños no pueden romper la máquina, qué
> esperan que aprendan? :) (es muy fácil para mí decirlo
> que no tengo que atender esas llamadas, pero no deja de
> ser verdad).
>
> Un abrazo!

-- 
Andrés Núñez Leites
anl en adinet.com.uy
http://registrosenlinea.blogspot.com

More information about the olpc-Sur mailing list