Problemas de Autofirma con el navegador web.

AutoFirma es una aplicación ideal e intuitiva para firmar digitalmente documentos. Hay veces en que no se usa de forma interactiva por el usuario, sino que se lanza desde una página web para firmar un documento o petición generada al vuelo. Es lo que sucede, por poner un ejemplo cercano, con la pagina web de Registro de la Junta de Extremadura.

El problema que se presenta a veces es que directamente AutoFirma en esta página web no funciona. Hay muchos motivos para que no funcione, ya que los procesos de firma y manejo de certificados digitales dependen de muchos factores y servicios web externos y cuando falla la versión y/o la comunicación con alguno, falla todo. El mensaje de error que obtenía era este:

Cuando me sucede esto, lo que suelo hacer es, con el mismo ordenador, probar en servicios de conocida robustez que usan el certificado digital, y asi descartar que sea un problema local de la página donde estoy trabajando. Para probar el certificado digital, la página de la Carpeta Ciudadana es ideal. Para probar AutoFirma, la página de test de autofirma de los Registradores de la Propiedad es también muy buena. Si fallan estas páginas al probarlas podemos estar casi seguros de que el problema es de la configuración de nuestras máquinas.

Descartando que tenemos AutoFirma actualizado, la versión correcta de Java (a día de hoy openjdk 11.X) y nuestro certificado digital en regla lo único que nos queda es confirmar que AutoFirma está correctamente configurado en nuestro ordenador.

Uno de los motivos más frecuentes es que el certificado raíz de AutoFirma_ROOT.cer no ha quedado bien instalado (o se ha desinstalado) en el navegador web. Pasa mas de lo que debiera. Este certificado está en la ruta /usr/lib/AutoFirma/AutoFirma_ROOT.cer y hay que proceder a instarlo dentro del perfil del navegador del usuario.

Hay 3 formas de hacerlo:

• Desde la propia aplicación de AutoFirma: abrimos la aplicación y vamos a Herramientas-Restaurar Instalación. Esta opción, por algún motivo que se me escapa, nos pedirá la contraseña de root para instalar el certificado localmente, pero solucionará el problema.
  
• A mano en el navegador: añadir el fichero /usr/lib/AutoFirma/AutoFirma_ROOT.cer dentro de la opción de "Autoridades/Entidades Emisoras" de la configuración de certificados de los navegadores, marcando todas las opciones de configuración que nos ofrecen.
• Mediante línea de comando, con este script tan majo:

  # cat configura-cert-autofima.sh 
  #!/bin/bash
  certificado="/usr/lib/AutoFirma/AutoFirma_ROOT.cer"
  
  echo "Instalando $certificado en Chrome y Firefox"
  
  if ! test -e "$certificado" 
  then
     echo "No encuentro $certificado"
     exit 0
  fi
  
  #Cerramos chrome
  pkill --oldest chrome
  echo "Instalando certificado $certificado en Chrome"
  certutil -A -n "AutoFirmaRoot" -t "CT,C,C" -i "$certificado" -d $HOME/.pki/nssdb
  echo ""
  echo "Instalado. Puede verificar que  está correcto haciendo:"
  echo '     certutil -L -d sql:$HOME/.pki/nssdb'
  
  #Cerramos firefox
  pkill --oldest firefox
  
  echo "Instalando certificado $certificado en Firefox"
  perfiles=$(ls $HOME/.mozilla/firefox/ | grep .default)
  for i in $perfiles
  do
       certutil -A -n "AutoFirmaRoot" -t "CT,C,C" -i  "$certificado" -d $HOME/.mozilla/firefox/$i
  done
  echo "Instalado. Puede verificar que está instalado mirando en la configuración de Certificados (Servidores/Autorizados) en su Firefox."
  
  exit 0
  

Una vez hecho esto vamos a la página de Test de Autofirma de Registradores y vemos si ya funciona la firma digital:

Si funciona aquí, ya podemos probarlo en el Registro de la Junta a ver si hay suerte. Adjunto esta guía, díficil de encontrar y algo obsoleta, con los problemas más frecuentes del Registro Telemático.

Monitorización del SAI con nut en Debian 12.

Ya hemos tratado varias veces en el pasado de este blog el tema de la monitorización del SAI del servidor desde Debian. Vamos a hacer ahora una recopilación de todo lo aplicado otras veces montado sobre Debian 12, que es el sistema que usamos a día de hoy. Vamos allá.

SAI que tenemos: un Salicru SPS One, que conectado por USB se detecta así:

# lsusb
...
Bus 002 Device 004: ID 0665:5161 Cypress Semiconductor USB to Serial
...

Paquetes a instalar:

# apt-get install nut-client nut-server nut-cgi

Antes de empezar la configuración se aconseja tener un servidor de correo activo para poder enviar los mensajes de cambio de estado del SAI. En el Apartado 2 de esta entrada del blog cuento como montar el sistema que mejor me ha funcionado: postfix reenviando los correos a través de una cuenta de gmail.com

Vamos ahora a ver los distintos ficheros de configuración. El primero es ups.conf, que tiene los datos para conecar al SAI. Una buena manera de saber que ponemos aquí es usar la salida del comando "nut-scanner".

# cat /etc/nut/ups.conf
maxretry = 3
[salicru]
driver = "nutdrv_qx"
port = "auto"
vendorid = "0665"
productid = "5161"
product = "HID UPS"
serial = ""
vendor = "HID UPS"

Los otros ficheros quedarían:

# cat /etc/nut/upsd.conf 
LISTEN 127.0.0.1
LISTEN 172.1.1.2 # PONER LA IP de la maquina donde se ejecuta la monitorización
LISTEN 0.0.0.0 3493

# cat /etc/nut/upsd.users
[admin]
password = mipasswordfavorita
actions = set
actions = fsd
instcmds = ALL
upsmon primary

# cat /etc/nut/hosts.conf 
MONITOR salicru@localhost "SAI Salicru Servidor"

# cat /etc/nut/nut.conf
MODE=standalone

# cat /etc/nut/upsmon.conf 
RUN_AS_USER nut
MONITOR salicru@localhost 1 admin mipasswordfavorita primary
MINSUPPLIES 1
SHUTDOWNCMD "/usr/local/bin/apagar_servidores.sh"
NOTIFYCMD "/sbin/upssched"
NOTIFYMSG ONLINE "UPS: Normal state"
NOTIFYMSG ONBATT "UPS: On battery"
NOTIFYMSG LOWBATT "UPS: Battery low"
NOTIFYMSG FSD "UPS: Starting shutdown"
NOTIFYMSG COMMOK "UPS: Communication restored"
NOTIFYMSG COMMBAD "UPS: Communication lose"
NOTIFYMSG SHUTDOWN "UPS: Shutting down"
NOTIFYMSG NOCOMM "UPS: No communication"
NOTIFYMSG REPLBATT "UPS: Replace battery"
NOTIFYFLAG ONLINE SYSLOG+WALL+EXEC
NOTIFYFLAG ONBATT SYSLOG+WALL+EXEC
NOTIFYFLAG LOWBATT SYSLOG+WALL+EXEC
NOTIFYFLAG FSD SYSLOG+WALL+EXEC
NOTIFYFLAG COMMOK SYSLOG+WALL+EXEC
NOTIFYFLAG COMMBAD SYSLOG+WALL+EXEC
NOTIFYFLAG SHUTDOWN SYSLOG+WALL+EXEC
NOTIFYFLAG NOCOMM SYSLOG+WALL+EXEC
NOTIFYFLAG REPLBATT SYSLOG+WALL+EXEC
POLLFREQ 5
POLLFREQALERT 5
HOSTSYNC 15
DEADTIME 15
POWERDOWNFLAG /etc/killpower
RBWARNTIME 43200
NOCOMMWARNTIME 300
FINALDELAY 5

# cat /etc/nut/upsset.conf 
# Network UPS Tools - upsset.conf sample file
#
# This file is provided to ensure that you do not expose your upsd server
# to the world upon installing the CGI programs.  Specifically, it keeps
# the upsset.cgi program from running until you have assured it that you
# have secured your web server's CGI directory.
#
# By default, your web server will probably let anyone access upsset.cgi
# once it is installed.  This means that anyone could attempt to crack
# upsd logins since they would appear to be coming from your web server,
# rather than the outside world, slipping through any ACL/ACCESS definitions.
#
# For this reason, you *MUST* first secure your CGI programs before
# enabling upsset in this configuration file.  If you can't do this in
# your web server, then you should *not* run this program.
#
# For Apache, the .htaccess file can be used in the directory with the
# programs.  You'll need something like this:
#
#   <Files upsset.cgi>
#       deny from all
#       allow from your.network.addresses
#   </Files>
#
# You will probably have to set "AllowOverride Limit" for this directory in
# your server-level configuration file as well.
#
# If this doesn't make sense, then stop reading and leave this program alone.
#
# Assuming you have all this done (and it works), then you may uncomment
# the line below and start using upsset.cgi through your web browser.
#
###
I_HAVE_SECURED_MY_CGI_DIRECTORY
###

# cat /etc/nut/upssched.conf
CMDSCRIPT  /usr/local/bin/avisoups.sh
PIPEFN /tmp/upssched.pipe
LOCKFN /tmp/upssched.lock
AT ONBATT * START-TIMER  ups-on-battery-shutdown  600
AT ONLINE * CANCEL-TIMER  ups-on-battery-shutdown
AT ONBATT * START-TIMER ups-on-battery 5
AT ONLINE * CANCEL-TIMER ups-on-battery
AT ONLINE * EXECUTE ups-back-on-line
AT REPLBATT * EXECUTE ups-change_battery
AT LOWBATT * EXECUTE ups-low-battery
AT COMMOK * EXECUTE ups-comunication-ok
AT COMMBAD * EXECUTE ups-comunication-bad
AT NOCOMM * EXECUTE ups-nocomm
AT FSD * EXECUTE ups-fsd
AT SHUTDOWN * EXECUTE ups-shutdown

Para probar que funciona podemos reiniciar los servicios e intentar conectar manualmente con SAI a ver si nos da los datos de carga, voltaje y demás:

# service nut-server restart
# service nut-monitor restart
# upsc salicru
Init SSL without certificate database
battery.charge: 100
battery.voltage: 27.10
battery.voltage.high: 26.00
battery.voltage.low: 20.80
battery.voltage.nominal: 24.0
device.type: ups
driver.name: nutdrv_qx
driver.parameter.pollfreq: 30
driver.parameter.pollinterval: 2
driver.parameter.port: auto
driver.parameter.product: HID UPS
driver.parameter.productid: 5161
driver.parameter.serial: 
driver.parameter.synchronous: auto
driver.parameter.vendor: HID UPS
driver.parameter.vendorid: 0665
driver.version: 2.8.0
driver.version.data: Mustek 0.07
driver.version.internal: 0.32
driver.version.usb: libusb-1.0.26 (API: 0x1000109)
input.current.nominal: 6.0
input.frequency: 50.1
input.frequency.nominal: 50
input.voltage: 232.7
input.voltage.fault: 232.7
input.voltage.nominal: 230
output.voltage: 234.8
ups.beeper.status: enabled
ups.delay.shutdown: 30
ups.delay.start: 180
ups.load: 10
ups.productid: 5161
ups.status: OL
ups.type: offline / line interactive
ups.vendorid: 0665

Con lo anterior se ha instalado un interface web al que podemos acceder en la URL: "http://ip-maquina/cgi-bin/nut/upsstats.cgi?host=salicru@localhost". De los diferentes ficheros .cgi que permiten gestionar vía web el SAI me gusta dejar, por temas de seguridad, el fichero "upsset.cgi" sin permisos:

 ls -l /usr/lib/cgi-bin/nut/
total 140
-rwxr-xr-x 1 root root 45416 ene 25  2023 upsimage.cgi
-rwx------ 1 root root 43336 ene 25  2023 upsset.cgi
-rwxr-xr-x 1 root root 47456 ene 25  2023 upsstats.cgi

Ahora muestro los scripts que uso para manejar los eventos y comunicarlos al servidor:

# cat /usr/local/bin/apagar_servidores.sh
#!/bin/bash
# Ejecutado desde  upsmon.conf cuando se la la orden de apagado de servidores.

function mailSend() {

   echo "$2" | mail -s "$1" -a "From: Avisos.ies <tu.correo@gmail.com>"  tu.correo@educarex.es

}

FECHA=$(date)
estado=$(upsc salicru ups.status 2> /dev/null)
en_bateria=$(echo $estado | tr ' ' '\n' | grep "OB")

if [ -z $en_bateria ]  #Si en up.status no parece OB, no estamos en bateria. Es un SHUTDOWNCMD innecesario
then
   MESSAGE_MAIL="Evento SHUTDOWNCMD pero estado $estado. No apagamos el servidor"
   mailSend  "$FECHA => $MESSAGE_MAIL"  "[UPS] Evento SHUTDOWNCMD"
   echo "$FECHA => SAI: $MESSAGE_MAIL" >> /var/log/sai.log  # /var/log/sai.log permisos 644 y nut:nut
else
   MESSAGE_MAIL="Apagado servidor por evento SHUTDOWNCMD"
   mailSend  "$FECHA => $MESSAGE_MAIL"  "[UPS] Evento SHUTDOWNCMD"
   echo "$FECHA => SAI: $MESSAGE_MAIL" >> /var/log/sai.log  # /var/log/sai.log permisos 644 y nut:nut
   ssh root@tercero "/sbin/shutdown -h +0"
   sleep 10
   /sbin/shutdown -h +0
fi

exit 0

# cat /usr/local/bin/avisoups.sh
#!/bin/bash

function mailSend() {

   echo "$2" | mail -s "$1" -a "From: Avisos.ies <tu.correo@gmail.com>"  tu.correo@educarex.es

}

MESSAGE_MAIL=""
EVENT_TYPE=$1
APAGADO=0
FECHA=$(date)

case "$EVENT_TYPE" in
    "ups-on-battery-shutdown")
        MESSAGE_MAIL="UPS on battery: shutdown now"
        APAGADO=1
        ;;
    "ups-on-battery")
        MESSAGE_MAIL="UPS on battery: warning"
        ;;
    "ups-comunication-bad")
        MESSAGE_MAIL="Communications with UPS lost"
        ;;
    "ups-change_battery")
        MESSAGE_MAIL="UPS battery needs to be replaced"
        ;;
    "ups-back-on-line")
        MESSAGE_MAIL="UPS on line power"
        ;;
    "ups-low-battery")
        MESSAGE_MAIL="UPS battery is low"
        ;;
    "ups-comunication-ok")
        MESSAGE_MAIL="Communications with UPS established"
        ;;
    "ups-nocomm")
        MESSAGE_MAIL="No communication with UPS"
        ;;
    "ups-fsd")
        MESSAGE_MAIL="UPS FSD: forced shutdown received"
        APAGADO=1
        ;;
    "ups-shutdown")
        MESSAGE_MAIL="UPS shutdown: shutdown received"
        APAGADO=1
        ;;
esac

mailSend  "$FECHA => $MESSAGE_MAIL"  "[UPS] Event $EVENT_TYPE de SAI Virgen de Guadalupe:"
echo "$FECHA => SAI: $MESSAGE_MAIL" >> /var/log/sai.log

if [ $APAGADO = "1" ]
then
    sleep 30
    /usr/local/bin/apagar_servidores.sh
fi

Por último, si tenemos monit podemos controlar que los servicios están levantados:

# cat /etc/monit/conf.d/monitrc.nut
check process nut-monitor with pidfile /var/run/nut/upsmon.pid
   group nut
   start program = "/bin/systemctl start nut-monitor.service"
   stop  program = "/bin/systemctl stop nut-monitor.service"
   if not exist then restart
   if 5 restarts within 5 cycles then timeout

check process nut-server matching "/lib/nut/upsd"
   group nut  
   start program = "/bin/systemctl start nut-server.service"
   stop  program = "/bin/systemctl stop nut-server.service"
   if not exist then restart
   if 5 restarts within 5 cycles then timeout

Y con esto lo tenemos ya, el porqué de todas las cosas que se configuran en estos ficheros está explicado en los anteriores artículos dedicados a nut en este blog. Espero que este sea la entrada definitiva.

OpenWRT: unir todos los puertos de red bajo el mismo bridge.

Tenemos por los centros muchos routers DIR‑860L sobrantes de las antiguas pizarras digitales. Ya he dedicado varios articulos a estos router porque que me parecen bastante interesantes.

Lo primero que suelo hacer es quitarles el sistema DD-WRT que traen de serie y poner un OpenWRT que es mucho más versatil y parecido a un Linux.

Estos router traen 5 puertos GigaEthernet. 4 de ellos están en un mismo bridge, llamado LAN, y el otro puerto está aparte y es el puerto WAN del router, lo que permite que por defecto el router interconecte 2 redes cableadas distintas, en distintas VLANs, y enrute el tráfico entre ambas.

Pero puede ser que no queramos eso, sino que los 5 puertos ethernet estén en la misma red. Eso convierte el router en un miniswitch de 5 puertos GigaEthernet, el cual nos puede venir bien en algunas estancias del centro. Para unir los 5 puertos una vez hemos cargado OpenWRT los pasos son sencillos:

Editamos /etc/config/network para que quede asi:

config interface 'loopback'
	option ifname 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fdda:86a9:b1ad::/48'

config interface 'lan'
	option force_link '1'
	option macaddr '9a:45:4a:fb:74:c1'
	option type 'bridge'
	option proto 'dhcp'
	option ip6assign '60'
	option _orig_ifname 'eth0.1 radio0.network1 radio1.network1'
	option _orig_bridge 'true'
	option ifname 'eth0.1 eth0.2'

config switch
	option name 'switch0'
	option reset '1'
	option enable_vlan '1'

config switch_vlan
	option device 'switch0'
	option vlan '1'
	option ports '0 1 2 3 4 6t'
	option vid '1'  

Comentarios:

• La macaddr habrá que cambiarla para poner la tuya.
• Vease que todo se mete en la misma VLAN, la otra VLAN que tenía el router desaparece.
• En ports metemos todos los puertos dentro del bridge, de manera que están en la misma red y no hay que enrutar el tráfico entre ellos.

Para hacer esto me he basado en este hilo de Reddit.

Bueno, pues con esto podemos reaprovechar mejor esos router ociosos que nos dejaron las pizarras Siatic.

回头见!

Paquete hp-health para servidores HP con Debian modernos.

A los que tenemos servidores HP el paquete hp-health viene muy bien para monitorizar (por ejemplo con monit) distintos parámetros físicos, como la temperatura, los ventiladores o el estado de las fuentes de alimentación redudantes que trae.

El paquete mas actualizado que ofrece HP para Debian en https://downloads.linux.hpe.com/SDR/repo/mcp/pool/non-free/ es hp-health_10.80-1874.10_amd64.deb, de 2019.

Si lo intentamos instalar sobre Debian 11 o superior con "dpkg -i health_10.80-1874.10_amd64.deb" nos da problemas de dependencias por librerías obsoletas. Muchas veces, cuando pasa esto la explicación es que las versiones o nombres de las librerias vinculadas están puestas a piñon y si pudieramos editar el .deb y cambiar esas dependencias por versiones mas modernas el paquete se instalaría sin problema. Vamos a ello:

# wget https://downloads.linux.hpe.com/SDR/repo/mcp/pool/non-free/hp-health_10.80-1874.10_amd64.deb
# dpkg-deb -R hp-health_10.80-1874.10_amd64.deb hp-health  
# nano hp-health/DEBIAN/control

En este fichero se guardan las dependencias. Tenemos que editar la linea "Version: XXX" para poner una versión mayor, por ejemplo "Version: 10.81" y la linea "Depends: XX" para poner las versiones actuales de las librerías que nos han dado error al intentar instalar el paquete. En mi caso, para instalarlo sobre Debian 12 lo debemos dejar así:

Depends: libc6 (>= 2.14), binutils, dmidecode, pciutils, libc6-i386 | lib32gcc-s1

Simplemente, en este caso cambiamos "libc6-i686 | lib32gcc1" por "libc6-i386 | lib32gcc-s1", su equivalente en Debian 12. Una vez editado el fichero de control reempaquetamos todo en un nuevo .deb:

# dpkg -b hp-health hp-health_10.81_amd64.deb 
# dpkg -i hp-health_10.81_amd64.deb 

Y con esto se instala sin problemas en nuestro Debian. Ya tenemos el paquete disponible para otra temporada.

Mirror para los repositorios de paquetes de Ubuntu 22.

Siempre me gusta hacer un mirror local de los repositorios de paquetes más frecuentes, ya que esto garantiza que mis equipos se actualizarán dentro de la red local sin depender de servicios ni conexiones externas. Ya traté esto en este articulo de hace 10 años, cuando trabajabamos con Debian. Ahora voy a contar como montarlo en Ubuntu 22.

Antaño usamos la utilidad debmirror. Las cosas han cambiado y ahora usaremos una herramienta más sencilla, apt-mirror. Primero instalamos el paquete en el servidor donde vamos a crear el repositorio mirror de paquetes:

# apt-get install apt-mirror

En /etc/apt/mirror.list metemos la lista de repositorios a clonar. Este configuración, a diferencia de la antigua debmirror, tiene un formato similar a los sources.list habituales de Debian/Ubuntu:

############# config ##################
#
# set base_path    /var/spool/apt-mirror
#
# set mirror_path  /mirror
# set skel_path    /skel
# set var_path     /var
# set cleanscript /clean.sh
# set defaultarch  >running host architecture<
# set postmirror_script /postmirror.sh
# set run_postmirror 0

set cleanscript /clean.sh
set defaultarch amd64  #Solo amd64
set nthreads     20
set _tilde 0
#set limit_rate 1000k 

############# end config ##############

#------------------------------------------------------------------------------#
#                            OFFICIAL UBUNTU REPOS                             #
#------------------------------------------------------------------------------#

deb-amd64 http://es.archive.ubuntu.com/ubuntu/ jammy main restricted universe multiverse
deb-amd64 http://es.archive.ubuntu.com/ubuntu/ jammy-updates main restricted universe multiverse
deb-amd64 http://es.archive.ubuntu.com/ubuntu/ jammy-backports main restricted universe multiverse
deb-amd64 http://security.ubuntu.com/ubuntu jammy-security main restricted universe multiverse

#######################
# REPOS DE LA SECCION #
#######################

deb-amd64 http://desarrollo.educarex.es/solointranet/ubuntu/jammy/ jammy linex
deb-amd64 http://linex.educarex.es/ubuntu/jammy/ jammy linex

###### 3rd Party Binary Repos

deb-amd64 http://dl.google.com/linux/earth/deb/ stable main

clean http://es.archive.ubuntu.com/ubuntu
clean http://desarrollo.educarex.es/solointranet/ubuntu
clean http://linex.educarex.es/ubuntu
clean http://desarrollo.educarex.es/es.archive.ubuntu.com/ubuntu

En el fichero anterior configuramos la clonación de los repos de Ubuntu Jammy, el repositorio interno de nuestra red (desarrollo.educarex.es y linex.educarex.es) y el repositorio de Google Earth. Solo clono los paquetes amd64, ya que la versión i386 de los paquetes tiene un uso marginal, ocupa mucho y no tengo suficiente espacio de disco para clonar dicha parte.

Todo se descargará en var/spool/apt-mirror/mirror. Para poder hacer uso del repositorio clonado en nuestra red hay que instalar apache2 y hacer que /var/www/html/ubuntu apunte a /var/spool/apt-mirror/mirror:

# ln -sf /var/spool/apt-mirror/mirror /var/www/html/ubuntu

Para que los repositorios se clonen diariamente creamos los ficheros /etc/cron.d/apt-mirror y /etc/cron.d/apt-mirror-die:

# cat /etc/cron.d/apt-mirror
# Regular cron jobs for the apt-mirror package
00 22	* * *	apt-mirror	rm -f /var/spool/apt-mirror/var/apt-mirror.lock; /usr/bin/apt-mirror > /var/spool/apt-mirror/var/cron.log

# cat /etc/cron.d/apt-mirror-die 
# Matar el proceso apt-mirror
00 01	* * *	root	/usr/bin/killall -9 apt-mirror

A las 22:00 se lanza apt-mirror y tres horas después se corta. Por supuesto podemos cambiar estas horas para ajustar a nuestro caso. Harán falta varios días para bajar todos los repositorios completos, ya que el total son 670GB, repartidos así:

# du -sh *
5,4G	desarrollo.educarex.es
111M	dl.google.com
389G	es.archive.ubuntu.com
574M	linex.educarex.es
275G	security.ubuntu.com

Si tenemos prisa siempre podemos forzar la actualización a mano o lanzar el siguiente comando para ver si está todo ya bajado:

# apt-mirror

Una vez tenemos los repositorios clonados hay que distribuir a nuestros clientes unos ficheros *.list que apunten al mirror local en lugar de a los repositorios externos a la red. Tendriamos este /etc/apt/sources.list:

#Arquitectura amd64 tira del repositorio local
deb [arch=amd64] http://servidor-mirror/ubuntu/es.archive.ubuntu.com/ubuntu/ jammy main restricted universe multiverse
deb [arch=amd64] http://servidor-mirror/ubuntu/es.archive.ubuntu.com/ubuntu/ jammy-updates main restricted universe multiverse
deb [arch=amd64] http://servidor-mirror/ubuntu/es.archive.ubuntu.com/ubuntu/ jammy-backports main restricted universe multiverse
deb [arch=amd64] http://servidor-mirror/ubuntu/security.ubuntu.com/ubuntu/   jammy-security main restricted universe multiverse

#Arquitectura i386 tira de repositorios en Internet
deb [arch=i386] http://es.archive.ubuntu.com/ubuntu jammy main restricted universe multiverse
deb [arch=i386] http://es.archive.ubuntu.com/ubuntu jammy-updates main restricted universe multiverse
deb [arch=i386] http://es.archive.ubuntu.com/ubuntu jammy-backports main restricted universe multiverse
deb [arch=i386] http://security.ubuntu.com/ubuntu   jammy-security main restricted universe multiverse

Fichero /etc/apt/sources.list.d/repoXubuntuLinex.list:

#Repositorio Linex Desarrollo 
deb [arch=amd64] http://servidor-mirror/ubuntu/desarrollo.educarex.es/solointranet/ubuntu/jammy jammy linex
deb [arch=i386]  http://desarrollo.educarex.es/solointranet/ubuntu/jammy/ jammy linex

#Repositorio Linex para Ubuntu
deb [arch=amd64] http://servidor-mirror/ubuntu/linex.educarex.es/ubuntu/jammy jammy linex
deb [arch=i386]  http://linex.educarex.es/ubuntu/jammy/ jammy linex

Fichero /etc/apt/sources.list.d/google.list:

#Google Earth
deb [ arch=amd64 ] http://servidor-mirror/ubuntu/dl.google.com/linux/earth/deb/  stable main 

En los ficheros anteriores cambiamos "servidor-mirror" por el nombre o ip de nuestro mirror local. Lo más cómodo es distribuir estos tres ficheros *.list mediante una tarea puppet y una vez hecho esto hacer "apt-get update" en los clientes para que sincronicen con los mirrors locales.

Y ya está, una vez completado veremos que los apt-get y pkgsync van bastante más rápidos y apenas saturan nuestra salida a Internet.

Chequear y reparar el sistema de ficheros Linux en el arranque.

Por algún motivo los ordenador AIO que nos han mandado a los centros educativos tienen ciertos problemas con el disco SSD. Con mas frecuencia de la esperade te encuentras con que en el arranque ha encontrado que el sistema de ficheros está corrupto y se parado en el prompt del initramfs para que hagas un chequeo y reparación de disco.

Es una lata tener que ir a hacer ese chequeo a mano cada vez que pasa, así que vendría bien que se hiciese de forma autómatica. La buena noticia es que se puede. Solo hay que editar /etc/default/grub y modificar la línea:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash fsck.mode=force fsck.repair=yes"

Con fsck.mode=force fsck.repair=yes le decimos que haga chequeo de disco y, si procede, lo repare. Para aplicar esta configuración tenemos que hacer además un:

# update-grub

El pero de esto es que el arranque se ralentiza un poco (en los AIO apenas se nota porque tienen un disco rápido y solo se suelen encender de forma automática una vez al día). La ventaja es que nos ahorramos esos molestos viajes a escribir un fscs y darle a enter.

Evitar el aviso "Google Chrome no está actualizado"

El Google Chrome siempre quiere estar actualizado. Tan pronto como la versión es un poco antigua te presenta en la parte superior derecha el mensaje de que no está actualizado y necesita una actualizacion ya mismo. Si estamos en un entorno donde las actualizaciones están controladas y escalonadas eso provoca que muchas veces ese mensaje esté presente en el navegador.

Por algún motivo eso parece provocar una profunda zozobra en algunos usuarios, hasta el punto de que intentan insistentemente tener el navegador actualizado al último byte. Si además no tienen los permisos para actualizarlo eso genera una cierta frustración que acaban intentando contagiar al sysadmin.

Una buena opción para evitar esto consiste en hacer que Chrome no muestre tal mensaje y deje de dar la vara con que debería estar actualizado. Lo ideal seria que hubiese un fichero de configuración para regular esto, pero parece ser que no se le ha ocurrido a nadie en Google. Afortunadamente se puede anular el mensaje usando un parámetro en el comando que invoca a Chrome:

# google-chrome-stable --simulate-outdated-no-au='Tue, 31 Dec 2099 23:59:59 GMT' 

Con esto decimos que hasta el 2099 no se preocupe por las actualizaciones. Como los usuarios no lanzan Chrome desde la linea de comandos lo adecuado sería editar /usr/share/applications/google-chrome.desktop (y en general todos los google-chrome.desktop que tengamos en los escritorios y en cualquier otro lado) y cambiar dentro esta línea:

Exec=/usr/bin/google-chrome-stable --simulate-outdated-no-au='Tue, 31 Dec 2099 23:59:59 GMT' %U

Tras eso habria que ejecutar un "update-desktop-database".

En resumen: ojos que no ven, corazón que no siente.

Obtener los parámetros de uso de un disco duro en Linux

Cuando queremos saber el estado de uso y salud de un disco duro en Windows podemos usar herramientas como CrystalDiskInfo. No solo vale para discos internos, también funciona normalmente para discos conectados mediante USB ya que la mayoría de los chipsets que convierten SATA a USB permite enviar información de uso al PC.

Por supuesto, en Linux tenemos nuestra propia solución. La mas simple es usar el programa smartctl del paquete smartmontools.

# smartctl --all /dev/sdb 
smartctl 7.4 2023-08-01 r5530 [x86_64-linux-6.8.0-39-generic] (local build)
Copyright (C) 2002-23, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     Seagate Barracuda 7200.14 (AF)
Device Model:     ST2000DM001-1ER164
.....
.....
SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x002f   102   099   006    Pre-fail  Always       -       4651736
  3 Spin_Up_Time            0x0023   097   095   000    Pre-fail  Always       -       0
  4 Start_Stop_Count        0x0032   094   094   020    Old_age   Always       -       6262
  5 Reallocated_Sector_Ct   0x0033   100   100   010    Pre-fail  Always       -       0
  7 Seek_Error_Rate         0x002f   076   060   030    Pre-fail  Always       -       46075685
  9 Power_On_Hours          0x0032   097   097   000    Old_age   Always       -       3270
 10 Spin_Retry_Count        0x0033   100   100   097    Pre-fail  Always       -       0
 12 Power_Cycle_Count       0x0032   094   094   020    Old_age   Always       -       6260
......

En un interfaz de consola nos muestra los mismos parámetros que CrystalDiskInfo. De todos estos datos los mas significativos son:

9 Power_On_Hours          0x0032   097   097   000    Old_age   Always       -       3270
12 Power_Cycle_Count       0x0032   094   094   020    Old_age   Always       -       6260

Siendo los mas importantes Power_On_Hours (las horas de uso del disco duro, 3270 horas en este caso) y Power_Cycle_Count (el número de arranques que ha tenido, 6262 en este caso).

De regalo también tenemos una versión gráfica que permite además realizar tests de discos. Se llama gsmartmontools (aviso: debe ejecutarse con permisos de superusuario para funcionar). He aquí una captura:

El interfaz es bastante mas espartano que el de CrystalDiskInfo y no muestra imágenes de waifus, pero la información que da es igual de válida.

Convertir una impresora USB en una impresora de red mediante OpenWRT

Cuando tenemos una impresora USB y queremos compartirla en una red podemos hacer lo típico: conectarla a un PC y compartirla desde allí, pero queda mas profesional y glamouroso convertirla en una impresora de red con su IP propia sin tener que depender de un PC de usuario que puede estar apagado o encendido.

Para ello sólo necesitamos un punto de acceso wifi o router wifi casero que cuente con un puerto USB y tenga OpenWRT instalado. Ese tema lo hemos tratado largo y tendido en el blog y hay mucha documentación en Internet al respecto.

Una vez configurado el dispositivo OpenWRT debemos conectarlo a la red local con una dirección IP fija, esto dependerá de cada caso y puede hacerse via ethernet o como cliente de la red wifi. Es también un tema visto anteriormente en el bloq en esta entrada y esta otra entrada.

En mi caso conecto el OpenWRT a una red wifi, ya que donde quiero poner la impresora no hay puntos de red cercanos. La configuración seria algo así como:

# cat /etc/config/wireless 

config wifi-device 'radio0'
	option type 'mac80211'
	option hwmode '11g'
	option path 'pci0000:00/0000:00:00.0/0000:01:00.0/bcma0:1'
	option disabled '0'
	option country 'ES'

config wifi-iface 'wifinet0'
	option ssid 'NOMBRE_RED'
	option device 'radio0'
	option mode 'sta'
	option key 'PASSWORD_RED'
	option network 'wwan'
	option encryption 'psk2'

La red cableada la dejo con una IP fija por mi propia tranquilidad, aunque no la voy a usar para nada:

# cat /etc/config/network 

config interface 'loopback'
	option ifname 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fda2:68de:6428::/48'

config interface 'lan'
	option type 'bridge'
	option ifname 'eth0.1'
	option proto 'static'
	option ipaddr '192.168.2.1'
	option netmask '255.255.255.0'
	option ip6assign '60'

config switch
	option name 'switch0'
	option reset '1'
	option enable_vlan '1'

config switch_vlan
	option device 'switch0'
	option vlan '1'
	option ports '0 1 2 3 8t'

config interface 'wan'
	option proto 'dhcp'

config interface 'wwan'
	option proto 'dhcp'

Hecho esto, instalo los paquetes de OpenWRT necesarios para compartir la impresora USB:

# opkg update
# opkg install kmod-usb-printer
# opkg install p910nd luci-app-p910nd
# opkg install usbutils

A continuación pincho la impresora USB en el router y verifico que ha sido detectada con:

# lsusb

Si todo ha ido bien, debe haber creado en /dev un dispositivo para la impresora:

# ls /dev/usb/lp*
/dev/usb/lp0

Bien, nuestra impresora es /dev/usb/lp0. A continuación configuramos el servico p919nd, que es el encargado de compartir nuestra impresora USB por la red local.

# cat /etc/config/p910nd 

config p910nd
	option device '/dev/usb/lp0'
	option runas_root '0'
	option mdns '0'
	option mdns_ty 'My Printer Manufacturer/Model'
	option mdns_note 'Basement'
	option enabled '1'
	option port '0'
	option bidirectional '1'

Puntualizaciones:

• En algunos modelos de impresora el parámetro bidirectional debe valer 0. No hay regla, es cuestión de prueba y error.
• Cambiar device según el nombre del dispositivo detectado en /dev/usb/...
• El port con valor 0 hará que la impresora escuche en el puerto TCP 9100. Puede tener los valores 0, 1 y 2 (9100, 9101 y 9102), compartiendo en 3 puestos distintos hasta tres impresoras.
• Los parámetros mdns tienen que ver con el protocolo Bonjour y yo no los uso. Si te gusta usar esos protocolos tan vociferantes tienes mas información al respecto en este enlace.

Hemos dicho que el servivio p910nd escuchará en el puerto 9100, pero no hay que olvidar abrirlo en el firewall de OpenWRT:

# cat /etc/config/firewall 
...
...
...
#Allow attached network printer
config 'rule'
        option name 'p910nd'
        option 'src' 'lan wan'
        option 'proto' 'tcp'
        option 'dest_port' '9100'
        option 'target' 'ACCEPT'

Una vez definido todo, reiniciamos los servicios:

# /etc/init.d/firewall restart
# /etc/init.d/p910nd restart

Y verificamos que el proceso p910nd está corriendo:

# ps w | grep 910
1282 p910nd     936 S    {p910nd} /usr/sbin/p9100d -d -b -f /dev/usb/lp0 0

Ya en plan maniático plus, tampoco está de más verificar desde un PC de la red (repito: un PC distinto al router con el que estamos trabajando) que el puerto 9100 está abierto en el openwrt:

# nc -zv ip-router 9100
Connection to ip-router 9100 port [tcp/*] succeeded!

Con esto ya tenemos todo, solo faltaría configurar la impresora en los clientes que vayan a usarla. En este enlace se explica en detalle como hacerlo para Windows y OSX/Linux. Yo por mi parte como uso Linux simplemente añado esto a /etc/cups/printers.conf:

<Printer HP-ML1210>
PrinterId 488303
UUID urn:uuid:8a19c7aa-3365-356a-70cd-736155c2fcfc
Info 
Location 
MakeModel Samsung ML-1210 Foomatic/gdi (recommended)
DeviceURI socket://ip-router:9100
State Idle
StateTime 1737140264
ConfigTime 1737134460
Type 8392708
Accepting Yes
Shared No
JobSheets none none
QuotaPeriod 0
PageLimit 0
KLimit 0
OpPolicy default
ErrorPolicy retry-job
</Printer>

Cada cual deberá cambiar la ip-router y el Modelo/Driver de impresora según sea su caso. Usar CUPS para añadir la impresora en lugar de editar mano el printers.conf siempre es una buena idea.

再见，同志!

Baterías genéricas para HP x360 310 G2

Nuestros ordenadores "HP x360 310 G2" llevan ya muchos años con nosotros y las báterías modelo HV03XL que tienen están empezando a fallar. De momento se pueden encontrar baterías genéricas sobre 35-40€ (usualmente de marca Voltistar) y originales de HP por mas de 80€.

Después de comprar e instalar varias baterías genéricas sin tener problemas de repente me encontré con que en algunos portátiles no se reconocían. Al ponerlas el equipo se encendía pero no lograba arrancar, se quedaba colgado sin avanzar en los mensajes de arranque de la BIOS. Después de dar muchas vueltas comprobé la versión de la BIOS y me di cuenta de que tengo portátiles con BIOS F35 y otros con BIOS F57A. Los que tienen esta última BIOS no admiten baterías genéricas. Una vez más, HP ha hecho de las suyas y ha puesto un firmware que rechaza productos no certificados por ellos simplemente porque son así de malvados.

Bueno, pues la solución es hacer un downgrade de la BIOS, desde F57A a F35. Y aquí surgen nuevos problemas:

1. En la web de HP la BIOS mas antigua que puede descargarse fácilmente la F54A. Esa BIOS también rechaza baterías genéricas.
2. Anteriormente, HP tenía un sitio FTP donde podías buscar software antiguo (ftp.hp.com/pub/softpaq/). Este sitio ya no está disponible usando protoclo FTP desde hace unos años y es imposible hacer una búsqueda sobre él.
3. El software de actualización de las BIOS de HP no permite hacer downgrade de BIOS. No podemos instalar BIOS anteriores a la que ya tenemos.

Contra HP rendirse no es una opción. Tras preguntar en los foros de soporte de HP, gestionados por voluntarios, me dan la pista que me permite llegar hasta el firmware F48 (y luego F44, aunque no descarto encontrar algun día la F35). Las rutas son:

• https://ftp.hp.com/pub/softpaq/sp80001-80500/sp80294.html
• https://ftp.hp.com/pub/softpaq/sp77001-77500/sp77168.html

La descarga se hace cambiando el .html final por .exe. Es un fichero descomprimible que tiene las BIOS y el software. La BIOS para nuestra máquina está en el fichero 08074.bin.

El siguiente problema es como hacer el downgrade de la BIOS en los equipos que tienen F57A. Esto lo cuentan aquí: https://www.bios-mods.com/forum/showthread.php?tid=40777. Enlazan una versión "adaptada" del software de HP que si permite escribir BIOS anteriores a la actual, saltando la restricción de HP.

He juntado aquí todo: https://drive.google.com/file/d/1RNHaK0esv-Xz_2dpepKwLQ6NZnoW_FvF. Ahi está el fichero InsydeFlash625 y el fichero con la bios F48 (08074.fd, que es el 08074.bin comentado antes con la extensión cambiada). Las instrucciones son:

1. En el portátil donde queremos cambiar la BIOS, arrancamos con Windows y con un usuario administrador descargamos el fichero anterior y lo descomprimimos.
2. Ejecuta el fichero HPFlashWinx64.exe. Paciencia, se toma su tiempo. Verás como te avisa de que vas a bajar la BIOS a la F48. Sigue los pasos y asegurate de que el portátil está conectado a la corriente y que no se va a interrumpir el proceso.
3. La escritura de la BIOS se hace en parte en Windows, luego el portátil se apaga y al encenderlo a mano se realiza la segunda fase de actualización.

Una vez comprobado que tenemos la BIOS F48(o F44 en su caso) ponemos la batería genérica y podremos comprobar que ya funciona. Chuparos esa HdeP.