Aquí trataremos aspectos básicos de Administración centrados en la seguridad: firewall, chequeos, backups, acceso seguro, revisión de logs,...

Actualizaciones en Mandriva

Bueno, dentro del buen funcinamiento del Sistema y de la seguridad, en particular, tenemos el asunto de las actualizaciones. Actualizamos un equipo principalmente por dos motivos: las nuevas versiones añaden nuevas funcionalidades que nos parecen útiles, y que no existían cuando realizamos una primera instalación, y por motivos de seguridad, al corregir bugs o fallos de código que permiten un uso malicioso del software. Éstas últimas son las más importantes para un Servidor.

En lo que respecta a Mandriva, ahora hay un debate sobre el ciclo de soporte de cada versión de la distribución. Observemos que eso aquí es fundamental, pues no podemos estar a cada momento reinstalando todo como si un pc de escritorio se tratase. La idea es lograr un equilibrio entre el esfuerzo que requiere mantener versiones antiguas y lanzar otras nuevas que satisfagan la sed de novedades de los seguidores.

Para mantener actualizada nuestro equipo tenemos que Mandriva nos proporcina un repositorio o fuente de paquetes denominado updates. Aquí van apareciendo las actualizaciones que cubren problemas de seguridad o fallos de diseño de los paquetes oficiales. Recordemos cómo se añade esa fuente, señalando aquí el código para el espejo disponible en RedIris (es una línea de código, ojo):

# urpmi.addmedia --update updates ftp://ftp.rediris.es/pub/linux/distributions/mandriva/updates/2006.0/main_updates with media_info/hdlist.cz

Para refrescar en nuestro equipo la lista de paquetes disponibles en el instante actual, ejecutamos:

# urpmi.update updates

Para que busque todo aquello que pueda ser actualizable con los paquetes de nuestra fuente updates ejecutaremos lo siguiente:

# urpmi --auto-select --update

La actualización, no obstante, es interactiva. Y es que el administrador deberá aceptar o rechazar (sí/no) la instalación de los paquetes propuestos. Bastará un sí para que la instalación se produzca y un no para que se aborte el proceso de actualización. Algunos usuarios, muy a la ligera y con poco jucio en mi modesta opinión, sugieren en foros incluir ese proceso en un script, con un pequeño añadido, para que mediante cron se ejecute periódica y automáticamente y se libere al admistrador de la "tediosa tarea de actualizar". Recordemos que un buen administrador nunca instala nada en un equipo en producción sin haberlo probado antes en otro equipo que debe tener para realizar chequeos. Aún recuerdo cuando una actualización de samba dejó a mi servidor casero sin funcionar. Y recordemos dos pequeños detalles:

1. El núcleo nunca se actualiza mientras que las fuentes sí.
   Supongamos que se ha descubierto un fallo crítico en el núcleo y entonces se añade un paquete, en el repositorio de actualizaciones, para el núcleo y otro para sus fuentes: kernel-version y kernel-source-version. Si tenemos instalado éste último, al ejecutar el comando urpmi --auto-select --update sólo aparecerá el paquete de las fuentes, no el del núcleo propiamente dicho; y si tenemos instaladas las fuentes en nuestro sistema no aparecerá nada sobre actualizaciones del núcleo. Si aceptamos, o dejamos que esto se produzca sin nuestra intervención, nos quedamos con un núcleo no actualizado o con versiones diferentes instaladas del núcleo (no actualizado) y de las fuentes del núcleo (actualizadas). Esto podría provocar que cierto software deje inmediatamente de funcionar al requerir que coincidan, lógicamente, el núcleo y las fuentes instaladas).
2. Los paquetes instalados desde repositorios como contrib no se actualizan en updates.
   ¿Dónde encontrar paquetes para nuestra distro que nos permitan testear y actualizar, sin tener que lanzarnos a compilar o ejecutar instaladores? Un buen sitio para buscarlos es mandriva-devel:
   ftp://ftp.rediris.es/pub/linux/distributions/mandriva-devel/2006.0/i586/media/contrib
   Pero ojo, se trata de versiones para chequear. Deberemos sopesar la necesidad de actualizar con el riesgo de un fallo de funcionamiento. No obstante, la estabilidad de estos paquetes es muy buena. Es por ello que me olvido de las versiones de desarrollo de cooker por ser ya demasiado atrevido.

Actualizando php-Nuke

Aún no he realizado esto, aunque tengo preparada una pequeña receta para este menester. En cuanto la pruebe aquí estará.