lunes, 12 de febrero de 2018

MacBook Pro con Touch Bar y sudo

¿Tienes un MacBook Pro con Touch Bar (y por ende Touch ID) y quieres poder autenticarte para sudo con tu huella dactilar?

Basado en este tweet de @cabel es tan fácil como agregar un modulo pam al archivo de autenticación de sudo.

Estos son los pasos:

1. Abre una sessión como super usuario, de esta forma si algo sale mal, puedes deshacer los cambios
$ sudo su -

2. Usa tu editor favorito (el mio es vi) para agregar el modulo pam requerido
$ vi /etc/pam.d/sudo
El módulo que se debe agregar es pam_tid por lo que el archivo debe quedar parecido a lo siguiente:
# sudo: auth account password session
auth       sufficient     pam_tid.so
auth       sufficient     pam_smartcard.so
auth       required       pam_opendirectory.so
account    required       pam_permit.so
password   required       pam_deny.so
session    required       pam_permit.so

3. Graba el archivo, al ser de solo lectura, debes "forzar" el guardado, en vi sería
:w!

4. En otra terminal verifica que logras tener acceso como sudo
sudo ls

5. Debe aparecerte un popup pidiendo que pongas tu huella digital para autorizar el uso de sudo

Si algo no funciona simplemente quita el cambio del archivo /etc/pam.d/sudo

Parallels y Avira = Máquinas virtuales leeeentas

¿Estás tratando de levantar una de tus máquinas virtuales en Parallels y toma mucho tiempo hacerlo?

Probablemente también tengas instalado Avira (o algún otro antivirus) y este sea el problema. La detección de amenazas en tiempo real quiere verificar el archivo contenedor de tu máquina virtual el cual por lo general ocupa varios GB. y hasta lograr hacerlo puede que te de timeouts o simplemente que no cargue la máquina virtual.

¿Existe solución?

Claro que si, agregar en las excepciones de monitoreo del antivirus la carpeta donde guardas tus máquinas virtuales.

ADVERTENCIA:
Es perjudicial agregar exclusiones en los antivirus porque las carpetas excluidas no estarán protegidas, cualquier archivo con virus en una de esas carpetas no será detectado por el antivirus.

¿Cómo excluir una carpeta para el monitoreo del antivirus?

La mayoría de antivirus tienen en su interfaz gráfica la opción de seleccionar archivos o carpetas para excluirlos. Por alguna razón Avira en MacOS no lo permite pero siempre podemos hacerlo a mano, para lo cual, debemos correr los siguientes comandos en la terminal:

Paso 1.
$ sudo su
Esto nos permitirá ejecutar el siguiente comando como super usuario, Mac nos preguntará la clave de administrador para poder continuar
Paso 2.
$ echo "ExcludePattern ^/Users/[^.]*/Parallels/" >> /Applications/Avira.app/Contents/config/avguard.conf
Esto agregará el path por defecto de las máquinas virtuales de parallels a las excepciones de Avira. Si no usas el path por defecto debes cambiar el path en el comando como corresponda.

Espero te sea de utilidad

lunes, 5 de junio de 2017

¿Cómo instalar un certificado SSL de Let's Encrypt usando certbot?

¿Tienes un sitio web y quieres ahorrarte unos cuantos dólares del costo de un certificado digital?

Estás de suerte, Let's Encrypt te ofrece certificados digitales gratuitos.

Estos certificados tienen una duración de 90 días y pueden ser renovados con cierta automatización.

Let's Encrypt recomienda usar clientes ACME para actualizar los certificados, el cliente oficial es Certbot

¿Y cuáles son los pasos para usar estos certificados?

Aquí pongo los pasos para usarlo en Ubuntu con Nginx:

- Instalar algunos paquetes
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx

Luego, le pedimos a certbot que genere e instale un certificado en Nginx y vamos respondiendo las preguntas que certbot nos va haciendo
$ certbot --nginx

Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): mi.correo@real.com

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

Which names would you like to activate HTTPS for?
-------------------------------------------------------------------------------
1: mi.dominio.com
2: mi.otrodominio.com
-------------------------------------------------------------------------------
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):1
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for mi.dominio.com
Waiting for verification...
Cleaning up challenges
Deployed Certificate to VirtualHost /etc/nginx/sites-enabled/midominio for set(['mi.dominio.com'])

Please choose whether HTTPS access is required or optional.
-------------------------------------------------------------------------------
1: Easy - Allow both HTTP and HTTPS access to these sites
2: Secure - Make all requests redirect to secure HTTPS access
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 

Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/midominio

-------------------------------------------------------------------------------
Congratulations! You have successfully enabled https://mi.dominio.com

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=mi.dominio.com
-------------------------------------------------------------------------------

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/mi.dominio.com/fullchain.pem. Your
   cert will expire on 2017-09-04. To obtain a new or tweaked version
   of this certificate in the future, simply run certbot again with
   the "certonly" option. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
 

Y no queda más que disfrutar del certificado

viernes, 15 de julio de 2016

Instalación de mongoDB en Ubuntu 16.04

Y bueno, como lo prometido es deuda (al menos un post al año!!!)

Estaba tratando de instalar mongoDB y como niño bueno, estaba siguiendo el paso a paso que en pocas palabras son los siguientes pasos:


# Agregar la clave publica del repositorio de mongoDB
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv EA312927

# Agregar el repositorio de mongoDB al listado de Ubuntu
echo "deb http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.2 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.2.list

# Actualizar la base de datos de apk
sudo apt-get update

# Instalar mongoDB como tal
sudo apt-get install -y mongodb-org

# Y como último paso iniciar el servicio
sudo service mongod start

Pero ¡oh sorpresa!, en lugar de iniciar el servicio, obtengo un muy lindo error

Failed to start mongod.service: Unit mongod.service not found.

Pues resulta que al utilizar el repositorio de mongoDB en lugar de los de Ubuntu, no se instala el archivo de configuración para levantar el servicio.

¿Solución?

Fácil, agregar el archivo de configuración en /etc/systemd/system/mongodb.service con la siguiente información

[Unit]
Description=High-performance, schema-free document-oriented database
After=network.target

[Service]
User=mongodb
ExecStart=/usr/bin/mongod --quiet --config /etc/mongod.conf

[Install]
WantedBy=multi-user.target

Y listo, ahora simplemente correr la siguiente línea y mongoDB estará corriendo:

sudo systemctl start mongodb

jueves, 19 de noviembre de 2015

Cómo configurar nginx utilizando SSL en Ubuntu 14.04

Cada vez es más importante cuidar los datos de nuestros usuarios, por ende cada vez es más importante que utilicemos técnicas para tratar de proteger esos datos, EN sitios web, una de esas técnicas es usar HTTP sobre SSL el cual es más conocido como HTTPS.

¿Cómo podemos configurarlo?

Depende del sistema operativo que uses y el servidor web, aquí daré las instrucciones para realizarlo con Ubuntu y nginx

Debemos generar una solicitud de certificado (lo que suelen llamar un CSR) para lo cual podemos usar OpenSSL como sigue:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
Donde server representa al nombre de tu dominio.

Al ejecutar esta sentencia comenzará un asistente donde deberás llenar cierta información relacionada al sitio web:

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

El más importante de todos los datos es el FQDN que traduciéndolo a español criollo viene a ser algo así como EL NOMBRE DE TU DOMINIO (Fully Qualified Domain Name), por ejemplo: www.aguardientico.com, si quisieras crear un certificado para cualquier subdominio dentro de tu dominio (cualquier cosa en lugar del www antes del nombre de tu dominio puedes quitar el www y reemplazarlo por un asterisco (*.aguardientico.com), ese tipo de certificados se los conoce como wildcards.

Luego de terminar el asistente se generan 2 archivos, en el caso del ejemplo:

  • server.key Cúidalo con tu vida, sacale un respaldo, guardalo bien, dado que es la clave privada con la que se podrá cifrar/descifrar el contenido manejado via HTTPS
  • server.csr Es la solicitud de certificado como tal, donde quiera que compres el certificado te pediran este archivo (o su contenido) para generar el certificado como tal.

El siguiente paso es comprar el certificado digital, usa el vendedor que más te guste convenza, el que te alcance o simplemenet busca en tu navegador favorito algo como ssl certificate.

Cuando ya tengas el certificado (un archivo con extensión crt) el siguiente paso es configurar nginx para que lo use para lo cual edita el archivo de configuración de tu servidor y agrega las siguientes líneas dentro de la definición del server:

listen 443 ssl; #para que escuche por el puerto por defecto de https y habilite ssl
ssl_certificate /el/path/al/certificado.crt;
ssl_certificate_key /el/path/a/server.key;

Graba el archivo y recarga la configuración de nginx:

service nginx reload
o
/etc/init.d/nginx reload

Y listó si vas a un navegador y pones https://tudominio.com, deberías poder acceder via https

¿Qué pasa si solo quieres usar https? Fácil, simplemente quita listen 80; de la configuración de tu servidor en nginx
¿Y si no quiero hacer eso porque tengo correos, enlaces, o lo que sea apuntando a http y quiero redirigirlo a https? También fácil, agrega algo como esto a la configuración:
server {
  listen 80;
  server_name tudominio.com;
  rewrite     ^   https://$host$request_uri? permanent;
}

Espero te sea de utilidad

lunes, 3 de marzo de 2014

Lunes 2 de Enero de 2006 a las 3 de la tarde con 4 minutos y Go

En una de mis tantas travesías por aprender nuevas cosas me encontré con la necesidad de manipular fechas en el lenguaje go y bueno me encontré con la ¿grata? sorpresa de no podía utilizar mis conocimientos "ancestrales" de transformación de fechas, por ejemplo %Y para años o %H para horas sino que go tratando de "facilitarle" la vida a los programadores decidió utilizar la mnemotecnia para el formato de fechas (y obviamente de horas) empleando el siguiente estándar:

  1. Día
  2. Mes
  3. Hora (en realidad se usa el 15 que significa 3pm)
  4. Minutos
  5. Segundos
  6. Año
  7. Timezone

Entonces resumiendo, en lugar de utilizar representaciones para hacer el formato, utiliza una fecha:

01/02 03:04:05PM '06 -0700

Ejemplo:

viernes, 28 de febrero de 2014

Configurar multiples claves ssh

En algunas ocasiones necesitamos usar diferentes cuentas de git para manipular los repositorios, por ejemplo tenemos una cuenta de la empresa y por ende usamos la cuenta de la empresa pero tenemos algún proyecto personal y queremos manejarlo con nuestra cuenta personal.

Cuando esto sucede podemos llegar a tener problemas porque git dice que no se tiene permisos para ver tal o cual repositorio.

¿Cómo podemos solucionarlo?

Una de las opciones es configurar diferentes cuentas ssh y darle alias a los urls para que pueda distinguir que cuenta usar, para lo cual debemos seguir los siguientes pasos:

  1. Crear la clave
    ssh-keygen -t rsa -C "aquí@el_email.com"
  2. Agregar las claves al agente ssh
    ssh-add ~/.ssh/id_rsa_oficina
    ~/.ssh/id_rsa_personal
  3. Crear el archivo de configuración de shh
    cd ~/.ssh
    touch config
    chmod 0600
  4. Agregar las definiciones de alias y autenticación
    #Oficina
    Host github.com-oficina #Este es el alias
        HostName github.com
        User git
        IdentityFile ~/.ssh/id_rsa_oficina #Recuerda usar el path absoluto
    
    #Personal
    Host github.com-personal
        HostName github.com
        User git
        IdentityFile ~/.ssh/id_rsa_personal
  5. Al clonar el proyecto en lugar de usar github.com user el alias
    git clone git@github.com-oficina:oficina/repo.git
  6. Si ya tenías clonado el proyecto simplemente cambia el url del mismo
    git remote set-url origin git://git@githb.com-oficina:oficina/repo.git