<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC-html40/strict.dtd"><html><head><meta name="qrichtext" content="1" /><style type="text/css">p, li { white-space: pre-wrap; }</style></head><body style=" font-family:'DejaVu Sans'; font-size:9pt; font-weight:400; font-style:normal;">On Wednesday 18 February 2009 14:44:26 nanonano@mediagala.com wrote:<br />> >Andrés Núñez Leites wrote:<br />> >paolo, si estoy equivocado, por favor, hacémelo saber, pero<br />> >no me acuses de fomentar la delincuencia, porque es injusto<br />> >y ofensivo.<br />><br />> Hola, Andrés:<br />><br />> Lejos está de mí pensar que querés fomentar la delicuencia, si eso se<br />> entendió de mis mensajes te pido diculpas.<br />><br />><br />> Un saludo<br />><br />> Paolo Benini<br />> Montevideo<br />><br /><br />Esa! Beso y abrazo! Ahora, al tema que nos convoca:<br /><br />2009/2/13 Andrés Núñez Leites <anl@adinet.com.uy><br />> hola a toda la lista. alguno sabe cómo pasar a modo<br />> root en la consola de comandos? es posible? yo<br />> quisiera instalar midnight-commander u otro<br />> gestor de ficheros, pero cuando pulso el botón<br />> "pasar a modo root", no funcional.<br /><br />Como ya se ha dicho, en las máquinas de Ceibal, la clave de superusuario es secreta. <br /><br />Esto _no_ quiere decir ninguna de las siguientes cosas:<br /><br />1) Que no se pueda acceder a los privilegios del usuario root<br />2) Que averiguar la clave de root comprometa al Plan<br /><br />1) se debe a que existe un error en el sistema en la imagen 656, que es la que se encuentra en la inmensa mayoría de las XO en Uruguay, que permite escalar privilegios de manera muy simple. Informé de esto a OLPC hace unos meses y tengo entendido que el LATU está al tanto. (Qué paradoja que el diálogo sea infinitamente más fluido con gente en otro hemisferio que con quienes trabajan a 30 cuadras de casa!)<br /><br />Por supuesto que esto es difícil de solucionar sin actualizar, al menos, partes críticas del sistema. La dos máquinas de Ceibal que probé tenían este problema, por lo tanto no creo que lo hayan solucionado, y que el problema existirá hasta que se actualice a 767 o superior. <br /><br />2) dejando por un momento de lado el dilema de si máquinas destrancadas sumirían al Uruguay en una orgía de criminalidad, lo que es cierto es que conocer la clave de una máquina no necesariamente es conocer la de todas. Y se podría establecer un mecanismo para pedirlas, como el que existe para pedir la clave de desarrollador. <br /><br />Otro problema es el tema de la licencia: Mucho del software distribuido con las XO está licenciado bajo la GNU Public License versión 3, que obliga a quién distribuye el software licenciado a proveer toda la información que el usuario necesite para instalar y correr copias modificadas del software. <br /><br />A mi entender, distribuir software bajo un sistema trancado es una violación de la licencia. Pero de estas cosas mejor que se encargue gente que sepa más que yo. <br /><br />En cuanto al tema del sistema de seguridad de las máquinas, que se mencionó en este hilo, existen 3 formas de seguridad en la máquina:<br /><br />- Activación: La máquina debe ser activada con una clave al llegar a la escuela. <br />- Bloqueo pasivo: La máquina se bloquea si se prende luego de expirar un plazo que obtiene de los servidores del LATU. <br />- Bloqueo activo: La máquina descarga una lista de máquinas "blacklisteadas" (robadas) cuando se conecta a internet. Si está en la lista, se bloquea. <br /><br />Si tienen dudas, el código está en http://dev.laptop.org/git?p=projects/ceibal-scripts;a=summary Tengo entendido que el código en producción es muy similar. (Si hay alguien del LATU por ahí, desasnenme!)<br /><br />> al principio pensé en instalarle debian a mi xo,<br />> pero después pensé más como maestro que como<br />> "usuario final" y consideré que no era una gran<br />> idea pedagógica tener un escritorio diferente al de<br />> mis niños...<br /><br />Puedes tener Sugar en Debian. Te recomiendo la distribución DebXO: http://wiki.laptop.org/go/DebXO Hay una imágen que trae Sugar por defecto :). Pero recuerda: no vas a poder instalar una imágen no firmada si no tienes una clave de desarrollador. <br /><br />Andrés Cabrera escribió:<br />>La seguridad en este caso, está (o por lo menos debería estar) en que<br />>las llaves de desarollador las proporciona OLPC directamente, y están<br />>ligadas al serial del equipo (la misma llave no sirve en diferentes<br />>equipos). La llave se consigue a través de una página en laptop.org, y<br />>supongo que si un laptop de Uruguay o Perú intenta conseguir una<br />>llave, la página no se la entrega. Si el mecanismo no está así<br />>actualmente si hay un problema de seguridad.<br /><br />El sistema por el cual se obtienen las claves de desarrollador tiene una demora de un día desde la petición hasta que se entrega. Esto es suficiente para que la máquina se reporte como robada y se le informe al sistema. <br /><br />Pablo Flores escribió:<br />>Creo que la realidad es que, si bien sería bueno que el sistema de seguridad<br />>de las XO no estuviera basado en el ocultamiento de la clave de root, hasta<br />>el momento no hay otra solución. No lo ha resuelto OLPC, y eso se lo<br />>preguntamos a Chris Ball y Michael Stone (de OLPC) cuando estuvieron aca.<br /><br />Es correcto. Por ahora, el sistema de seguridad está basado en que un atacante no conozca la clave de root. <br /><br />Igual que en mi máquina! Y seguro la de ustedes. Que los niños conozcan la clave de sus máquinas no significa que los ladrones la conozcan, si ese es el problema. <br /><br />Ahora, si la preocupación es que los niños van a "romper" la máquina ejecutando sudo rm -rf /, más allá que reflashear una máquina con una imágen firmada es algo realmente choto, se podrían hacer cosas para que aún teniendo root no se estropee la imágen. <br /><br />Para el curioso, Michael Stone me dice por IRC que el sistema ya corre en un chroot, y que sería fácil dejar a /versions/ fuera del chroot para que no lo afecte un potencial rm -rf /, de manera que sería fácil restaurar la imágen en /versions/pristine/. <br>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;"><br></p>Además, si los niños no pueden romper la máquina, qué esperan que aprendan? :) (es muy fácil para mí decirlo que no tengo que atender esas llamadas, pero no deja de ser verdad). <br>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;"><br></p>Un abrazo!<br />-- <br /> Andrés</p></body></html>