The openSUSE Project has posted results from a recent survey that ran between Oct. 7 and Oct. 29.

The aim was to gather more information from open-source developers, development teams, packagers and maintainers. The survey also aimed to determine the satisfaction level of contributors and better understand the complexities and challenges they encounter with the project’s development. The survey provided an area to comment and provide suggestions to improve relevant aspects of the project and its tools.

An email to the factory mailing list about the results has provided fun discussions. The highest majority of people submitting the survey were between the ages of 35 and 49. Almost 90 percent were from the northern hemisphere and almost 60 percent had a university degree. A vast majority had or are working in the Information Technology field. On average, maintainers and packagers interact with 11.34 people for their development projects.

More information about the results can be found on the openSUSE wiki.

Tal y como estaba previsto en el calendario de lanzamiento de los desarrolladores, hoy martes 9 de noviembre la Comunidad KDE ha comunicado que ha sido lanzada la tercera actualización de Plasma 5.23. Una noticia que aunque es esperada y previsible es la demostración palpable del alto grado de implicación de la Comunidad en la mejora continua de este gran entorno de escritorio de Software Libre.

Lanzada la tercera actualización de Plasma 5.23

No existe Software creado por la humanidad que no contenga errores. Es un hecho incontestable y cuya única solución son las actualizaciones. Es por ello que en el ciclo de desarrollo del software creado por la Comunidad KDE se incluye siempre las fechas de las actualizaciones.

De esta forma, el martes 9 de noviembre ha sido lanzada la tercera actualización de Plasma 5.23, la cual solo trae (que no es poco) soluciones a los bugs encontrados en esta semana de vida del escritorio y mejoras en las traducciones. Es por tanto, una actualización 100% recomendable.

Más información: KDE

Las novedades básicas de Plasma 5.22

Aún tengo pendiente el resumen de las novedades pero he aquí la lista preliminar de ellas.

• Nuevo fondo para el escritorio
• Nuevo tema: Brisa — Océano azul que mejora el aspecto de Plasma y aclara su cometido.
• Nuevos efectos visuales permanentes: los elementos activos de una ventana de diálogo, por ejemplo, se «iluminan» cuando la ventana obtiene el foco, las casillas de verificación muestran marcas reales y los botones de radio se encienden como bombillas.
• Las barras de desplazamiento y los controles numéricos son más grandes, haciéndolos más accesibles y fáciles de usar en las pantallas táctiles
• Nueva opción que le permite escoger los colores de acentuación del escritorio.
• Diálogo con una cuenta atrás al cambiar la resolución de pantalla.
• Nuevas opciones para Activar, desactivar o recordar el estado del Bluetooth.
• Reescrito grandes partes del código del lanzador de aplicaciones para hacerlo más rápido y fácil de usar.
• Mejoras en la bandeja del sistema.
• Mejoras en Wayland.

Más información: KDE

Sequence – making PatternDB creation for syslog-ng easier

We are well into the 21st century, but most of the log messages still arrive in an unstructured format. For well over a decade, syslog-ng had a solution to turn unstructured messages into name-value pairs, called PatternDB. However, creating a pattern database for PatternDB from scratch is a source of major pain. Or rather, it was: sequence-rtg – a fork of the sequence log analyzer – provides a new hope! It can easily create ready-to-use patterns for your most frequent log messages.

Sequence-rtg is still in beta phase, and therefore is a bit rough around the edges. However, once you deal with the initial struggles of creating the database, it works just fine. Especially if you have lots of log messages. My experience was that the more log messages and larger batch sizes I had, the better quality patterns were generated.

Read my blog at https://www.syslog-ng.com/community/b/blog/posts/sequence-making-patterndb-creation-for-syslog-ng-easier

En el escritorio Plasma de KDE podemos de una manera sencilla realizar configuraciones alternativas del teclado

Hace un tiempo, en el blog escribí cómo poder intercambiar la tecla Escape y Bloqueo de Mayúsculas, lo que facilita a la hora de editar en el editor Vim:

• https://victorhckinthefreeworld.com/2020/09/21/intercambiar-funcionamiento-teclado-linux/

En ese artículo para realizar la tarea había que modificar diferentes archivos de configuración, etc. Pero si, como yo, utilizas Plasma de la comunidad KDE como entorno de escritorio para tu distribución GNU/Linux o similar podemos realizar esta y muchas otras tareas de una manera gráfica más sencilla.

Para ello, abrimos las preferencias del sistema para configurar nuestro escritorio Plasma y en la casilla de búsqueda escribimos teclado o bien vamos a la sección: Hardware → Dispositivos de entrada → Teclado. Y vamos a la pestaña Avanzado.

Marcamos la opción de «Configurar opciones de teclado» y se nos habilita un gran menú de opciones donde podemos configurar un montón de características del teclado. En concreto vamos a configurar cómo funcionan las teclas Escape y la tecla de Bloque Mayúsculas.

Vamos al apartado de Comportamiento de Bloq Mayús y en mi caso he seleccionado que la tecla de Bloqueo Mayúsculas sea un Escape adicional, pero si pulso Shift siga funcionando como Bloqueo Mayúsculas.

Pero si habéis entrado en el menú, veréis que hay un montón más de posibilidades y opciones. Y al igual que esta configuración muchas otras que podemos adaptar a nuestro hardware y nuestra forma de trabajo para personalizarlo a nuestros gustos.

Otra opción que tengo activada es la combinación de teclas Ctrl+Alt+Back Space para matar el servidor gráfico. Podéis echar un vistazo a todas las opciones disponibles para que descubráis alguna que os interese.

Bola extra

Y ya que estamos en esta sección de las preferencias del sistema del teclado, ahora vayamos a la pestaña Distribuciones, donde podremos configurar distintas distribuciones de nuestro teclado y además nos mostrará un gráfico de nuestro teclado y las teclas que están mapeadas.

Seleccionamos la distribución de teclado que queramos (en mi caso solo tengo una) y pulsamos sobre el botón Vista Previa. Se nos abrirá una ventana con el mapeado de nuestro teclado.

Puede que en alguna ocasión nos pueda ser útil para reportar una solución o un problema en un foro, o sitio de ayuda… Es simplemente una curiosidad que descubrí hace unos días y quería compartirla por el blog.

¿Ya conocías estos menús de configuraciones del teclado? ¿Tienes algún truco más sobre esta sección de Preferencias del Sistema de Plasma? Compártelo en los comentarios.

We don’t stop improving the integration between OBS and SCMs. We heard your feedback and created a section in our OBS user manual and redesigned the tokens UI, among other improvements you can read below. To start integrating OBS with SCMs, just join the beta program. We started off the continuous integration between OBS and GitHub/GitLab in May 2021, then made some improvements in June 2021. We introduced advanced features like reporting filters and support...

The openSUSE Project is seeking nominations and applications for openSUSE Board candidacy. The projecct also looks to gain more members leading up to the elections.

A notice was sent by the election committee informing project members of the timeline for the election process.

There are two seats open for this election cycle. The call for nominations and applications will continue until Monday, Nov. 22. If you would like to nominate a member from the openSUSE community or declare yourself as a candidate, please send an email to the election committee at election-officials@opensuse.org.

The process is scheduled to take place in three phases. Phase 0, which is the current phase, announces the election schedule, seeks candidates to run for the board and has membership drive for people who want to become members of the project. Phase 1 continues with the membership drive to gain new members and declared candidates, who will be announced in this phase, can begin campaigning. Moving to the final Phase 2, members can begin casting votes for the candidates while the candidates can continue to campaign for votes. Phase 2 is scheduled to begin on Dec. 13 and the results are expected on the last day of 2021.

Only openSUSE members are eligible to run for openSUSE Board openings.

Me encanta cuando las aplicaciones toman impulso y empiezan a generar noticias alrededor de ella. Es por ello que me complace compartir con vosotros que ha sido lanzada la versión de Kalendar 0.1, es decir, la primera versión «estable» de un nuevo calendario de la Comunidad KDE para su entorno de trabajo.

Lanzada la versión de Kalendar 0.1

En palabras de sus desarrolladores:

¡Así es! Kalendar está ahora en la versión 0.1, y tenemos un primer lanzamiento. Todavía nos queda mucho por trabajar antes de llegar a la 1.0, ¡pero lo estamos consiguiendo!

Si nos vamos a la página web podremos ver un registro de cambios verdaderamente titánico desde las últimas dos semanas.

Hay cambios grandes y un montón de otros más pequeños hacen que Kalendar sea mejor que nunca (lo cual es algo lógico en una nueva aplicación) y debería significar una beta que es mejora significativa sobre las anteriores versiones.

No obstante hay que recordar que Kalendar está todavía en pleno desarrollo. Eres libre de probarlo, pero aún no es un software final. Si quieres contribuir a su desarrollo, únete a los desarrolladores en la sala Matrix de Kalendar.

Entra las novedades más destacadas podemos encontrarnos:

• Revisión de la asignación de modelos en las vistas y gestión centralizada de los mismos, que traducido para los mortales significa mayor rapidez a la hora de cargar, cambiar las vistas y cambiar las fechas de lo que era antes.
• Ahora puedes importar archivos iCal (.ics) a Kalendar.
• Mejoras en las animaciones que hacen que la aplicación se mueva de forma más suave.
• Mejoras de la barra lateral.
• La vista de tareas es más rápida y bonita que nunca.
• Mejoras visuales que hacen más clara la vista semanal.
• El editor de acontecimientos es más rápido y mucho más estable.

Como podemos ver, muchas mejoras que auguran un gran futuro de este software.

Introduction

During 2021 we have been starting to focus more in security for MicroOS. By default MicroOS is a fairly secure distribution: during the development all the changes are publicly reviewed, fixes (including CVEs) are integrated first (or at the same time) in Tumbleweed, we have read-only root system and a tool to recover old snapshots, and periodically the security team audit some of the new components. Also, the move from AppArmor to SELinux should help to standardize the security management.

But we really want to rise the bar when it is possible. For example, we are starting to think on how to enable IMA/EVM properly in the distribution, or what alternatives we have for full disk encryption supported by a TPM. There are some evaluation on dm-verity inside the new Transactional Image Update installer.

Another area where we make progress in MicroOS is how to measure the health of our systems, detect remotely when an unauthorized change has been made (remote attestation), and actuate over it globally and as fast as possible.

TPM as a root of trust

Today all our devices (laptops, desktops, servers, phone or tablets) includes a cryptoprocessor known as TPM (from the initials Trusted Platform Module). Sometimes is inside the CPU, but can also be found soldered in the motherboard or implemented as a software in our firmware. Those co-processors are really cheap (and sadly slow), but very useful when we want to design software that requires a hardware based root of trust.

For example, imagine that we want to encrypt the disk but we do not want to be asked for the password at the beginning of the boot. We should need some trusted component that can provide the password very early in the boot process, and that the system can - somehow - validate that it is the real deal and not some other agent trying to impersonate it. A TPM provides mechanisms to do this validation, and if every this goes OK to unseal the password to the kernel so it can decrypt the disk.

This same role is required for many other operations, like accessing to a VPN that requires the validation of the combination machine / user. Because of how the TPMs are designed, they can generate keys that we can check that comes from this specific TPM and no other. This property is valuable to open the access to the internal network, for example.

Another activity where a root of trust is require is when we need to validate the health of our systems via measured boot.

Measured Boot and remote attestation

The general mechanism goes like this: during the boot process, a very early piece of the firmware takes care of initializing some hardware components and setting some clocks, and when is done, before delegating the execution to the next stage (maybe some early stage in the UEFI firmware), it will load in memory this next stage and will calculate a hash of it (like SHA256), and will communicate this information to some piece of hardware that we trust (the TPM in this case). This component can now delegate the boot process to this second stage, that will do the same operation when needs to move to the third stage (load, measure and communicate the measurement to the TPM), and this goes on until Grub2 enter in action and load the kernel.

If we do this we effectively have a measurement of every step in the bootloader chain, from the most early stage deep in the firmware until (and included) the kernel. This process is known “measured boot”. And the TPM have a record of all those measurements!

Actually I am lying (well, sort off, as we will see a bit later).

TPMs are cheap and do not have a lot of space inside, so the TPM by itself cannot have the full record of measurement. Inside the TPM we have some registers known as platform configuration registers (PCR) that have one feature: we can read them, but we cannot directly write on them. To change the value of a register we have an operation known as extension, that can be viewed as taking the current value of the register, attaching at the end the value of the hash that we want to extend with (in this case the measurement done), and calculating the hash of the full string (again, like SHA256). This new value calculated is the one that will be stored in the PCR instead.

This extend operation makes that the current value of the PCR depends on all the previous values of it and the values (measurements) used before. So in order to replicate a value we need to know the correct measurement of each stage of the boot chain (including the initial value of the PCR after the reset, that is usually 0x00..0).

The goal here is that once all is booted, the user can ask for those PCR values to the TPM via another operation named quote. This operation returns a report signed by a key that only the TPM knows, and that I can validate to see if, indeed, comes from my TPM or not. I can later compare the PCR values with the ones that I expect for my current version of UEFI, Grub2 and kernel. If they match I know for sure that the boot chain has not been tampered, and if do not match … well … we have been hacked (or we have an unauthorized updated somewhere that we need to check).

To be honest, comparing raw PCR values is hard. If we do not know all the measurements of our boot chain, they are impossible to predict.

This is why for each measurement, from the UEFI until the kernel, besides extending a PCR register in the TPM we are also storing in memory a log of all those measurements. We register (in the normal memory) some bits extra of information used during the measurement, like the PCR number and the value used for the extension. We can also see in the log some signatures found (and expected if we are using secure boot), text data (for example the kernel command line used in Grub2), etc.

This log will be passed between stages until it reaches the kernel, that will make is available to the user space via the security file system. This log is known as the event log.

Another point here is that we can now ask, remotely from a different machine, the current values of the PCRs via a quote to the TPM, and the full content of the event log. With this information we can attest remotely that the system has not been compromised during the boot process. Of course, this is known as remote attestation.

Keylime

If we have a device with a TPM we can go to the BIOS / UEFI boot menu and activate it. After that, every boot of this system will be measured as described here, and we can do the attestation ourselves requesting a quote to TPM (via the tpm2.0-tool package in MicroOS) and comparing the values with the event log.

But this is cannot scale properly, we need a tool to help us doing this automatically.

Keylime is an open source project designed to do exactly what we need: do remote attestation of our devices, using a TPM as a root of trust of all the measurements.

In Keylime we have some services available. The agent is the service that needs to be installed in all of the nodes that we want to monitor. This service is responsible of collecting some data (TPM quotes, event log, IMA logs, etc) under demand.

This information is requested by another service known as verifier, that will validate this data based on some user provide information.

For example, it will check that the PCR values are the expected ones. It can also inspect the event log using an user provided policy (as a Python code) that will search for some signatures, will see the Grub menu used for booting and will compare some of the measurements that known of (like the kernel one, for example).

Also, if IMA is enabled in the remote node, it can validate the hashes of all the programs and services that we are running!

With Keylime we can deploy secrets to our nodes (like certificates or keys), and we can execute user-defined actions when we detect an unauthorized change in our nodes.

For example, if Keylime detect the execution of a program with a different IMA hash that the one expected, we can execute a program that will try to isolate this node from their peers, and will revoke any access to the shared resources in the network, like databases.

The good news is that Keylime has been integrated in MicroOS via two new system roles in YaST. During the installation we can see know two new roles, one should be used for the nodes that we want to monitor (agent role), and the other for the node that will take care of collecting the information of the agents, doing the verification and triggering the revocation actions when required (verifier role).

Those roles make very easy to start doing remote attestation in MicroOS today and the process is fully documented.

More information!

We documented all this information (and more) in the MicroOS portal. There you can find a more technical description, including how to configure the agent services in order that they can find the verifier, how to enable IMA in the nodes and prepare a white list of hashes, and how to write programs that can acts when an intrusion has been detected.

There is also some more details about the TPM and how to check if they are present in the system and recognized by MicroOS.

Also recently we had the SUSE Labs 2021 conference, and all the videos has been published recently, including a talk about Keylime and TPM in the context of MicroOS that you can check. In the proceedings of this conference there is also a paper that can be useful to complement this topic!

Macchina es una interfaz para la línea de comandos que muestra información de tu sistema GNU/Linux de manera rápida, mínima y personalizable

Software para GNU/Linux para mostrar información de manera más o menos gráfica en una terminal hay varias opciones: neofetch, screenfetch por poner un par de ejemplos.

Y en este artículo vengo a hablar sobre otra opción más ligera y más rápida llamada macchina.

Macchina está empaquetada para openSUSE, así que para esta distribución de GNU/Linux está disponible desde los repositorios.

Es un software escrito en Rust multiplataforma disponible para GNU/Linux, FreeBSD y otros sistemas privativos, incluso Android publicado bajo una licencia MIT.

macchina te permite ver la información del sistema, como la versión del kernel de tu equipo, el tiempo de actividad, el uso de la memoria, la carga del procesador y mucho más desde la línea de comandos de una manera rápida y muy facilmente.

Macchina, además de la propia interfaz que muestra la información, también se desarrolla una biblioteca para obtener información del sistema, echa un vistazo a libmacchina

Una vez instalado, al ejecutarlo, el software nos muestra la información de nuestro sistema. Pero lo bueno, es que podemos dedicarle un tiempo a configurarlo a nuestros gustos y aplicar temas y colores que nos gusten.

He creado una carpeta llamada ~/.config/macchina y dentro he creado un archivo de configuración llamado macchina.toml donde ir configurando el comportamiento de la herramienta y configurar el tema que quiero que muestre.

Para los temas he creado una carpeta llamada ~/.config/macchina/themes y ahí he copiado un tema llamado hydrogen.toml de muestra sobre el que he ido configurando cosas a mi gusto para dejarlo como la imagen que encabeza el artículo.

Para saber más sobre cómo configurar macchina o aprender más para crear tus propios temas puedes visitar la wiki del proyecto que tiene toda esa información.

Macchina es una de esas herramientas que utilizamos los GNU/Linuxeros a la hora de poner una captura de pantalla de nuestro sistema o nuestra terminal y con la que puedes darle un toque distinto y exclusivo. ¿Te animas a instalarla?

En este domingo, cercano ya a la Akademy-es 2021, me complace presentar un el episodio #142 «I Encuentro Podcast Linux» del podcast del mismo nombre, presentado por el increíble Juan Febles. Un audio muy especial por las razones que contaremos a continuación.

I Encuentro Podcast Linux, episodio #142

En esta ocasión, no voy a de decir nada en la introducción y me fío íntegramente en las palabras de Juan Febles.

¡¡¡Muy buenas amante del Software Libre!!!
Bienvenido a otra entrega, la número 142, de Podcast Linux. Un saludo muy fuerte de quien te habla, Juan Febles. Hoy estrenamos formato: Encuentros Podcast Linux. Inauguramos un espacio para la audiencia a través de un chat de audio.

Recordar a los oyentes que estamos en una sala Jam para este encuentro, un servicio libre de salas de audio, y que este podcast aloja su web en Gitlab, un servicio libre de repositorios git y su contenido en Archive.org, la biblioteca digital libre con licencias Creative Commons.

De esta forma Juan nos presenta un podcast diferente, basado en utilizar la la sala Jam para establecer una conversación con diferentes participantes en el Encuentro para comprobar las bondades de este servicio. Y los participantes en el mismo no son moco de pavo, encontrándonos a Elav de System Inside, Yoyo Fernández de Salmorejo Geek, Paco Estrada de Compilando Podcast, José Jiménez de 24h24l y el gran Víctorhck, del blog Victorhck in the free world.

Enlaces:

• Gitlab Jam: https://gitlab.com/jam-systems/jam
• Servidor Jam: https://jam.systems/
• Evento 24H24L: https://24h24l.org/
• Distro Hiperbola: https://www.hyperbola.info/

Así que os invito a escuchar esta charla distendida de un buen número de amantes del Software Libre (algunos muy conocidos) con Juan Febles de casi hora y media que seguro que no os defraudará. ¡Dentro audio!

.

Más información: Podcast Linux

Sigue a Podcast Linux

Aprovecho para animaros a seguir Podcast Linux en algunos de los canales de comunicación que tiene:

• Twitter: https://twitter.com/podcastlinux
• Mastodon: https://mastodon.social/@podcastlinux/
• Correo: podcastlinux@disroot.org
• Web: https://podcastlinux.com/
• Telegram: https://t.me/podcastlinux
• Telegram Juan Febles: https://t.me/juanfebles
• Youtube: https://www.youtube.com/PodcastLinux
• Feed Podcast Linux: https://podcastlinux.com/feed
• Feed Linux Express (Audios Telegram): https://podcastlinux.com/Linux-Express/feed