KDE and Qt programs look bad when in a different window manager

If you are using KDE or Qt programs but not in a full KDE session (specifically, you did not run “startkde”), then as of KDE 4.6.1 you will need to tell Qt how to find KDE’s styles (Oxygen, QtCurve etc.)

KDE and Qt programs look without oxygen theme with gnome look 1024x574 KDE and Qt programs look bad when in a different window manager

KDE and Qt programs: look without oxygen theme with gnome look

KDE and Qt programs look with oxygen theme 1024x575 KDE and Qt programs look bad when in a different window manager

KDE and Qt programs: look with oxygen theme

You just need to set the environment variable QT_PLUGIN_PATH. E.g. put

export QT_PLUGIN_PATH=$HOME/.kde4/lib/kde4/plugins/:/usr/lib/kde4/plugins/

into your /etc/profile (or ~/.profile if you do not have root access). qtconfig should then be able to find your kde styles and everything should look nice again!

Helper links:

KDE and Qt programs qtconfig tool menu 300x294 KDE and Qt programs look bad when in a different window manager

KDE and Qt programs: qtconfig tool menu

Etiquetas: , , , , , ,

How to securely activate SSH into your Synology DiskStation with SSH Keys and no root login

I like to have access to my private network at home, wherever I am, and for me the best choice is to have an ssh server available. I use it for privacy reasons, because i don’t want anyone to know what could be my email, what webs do i visit, etc. Like I explained while ago in Jump over private corporate proxy with Firefox (or git, or any SOCKS ready app) through a SSH tunnel.

As I’ve shutdown my own server to avoid the noise, power waste, gain some space, and to stop worrying about hardware or connection failures and I’ve recently purchased and advanced NAS (Synology DiskStation) I would to explain how to securely active ssh on it.

The Synology DiskStation supports both telnet and SSH, but you should never use telnet when dealing with passwords or when you don’t want to be spied, as it is completely insecure.
Everyone should instead use SSH as it is very secure and almost the standard option.

Synology DiskStation ds 211 How to securely activate SSH into your Synology DiskStation with SSH Keys and no root login

Synology DiskStation DS211

How to enable SSH and users to login

It’s easy to enable SSH on your DiskStation by going to Control Panel > Terminal & checking the box next to Enable SSH Service.
You can now log in with your root username & password. If you need to login with any other user, you need to enable user’s home and let them use login with a shell.
To enable your user’s home, go to Control Panel -> User -> User Home -> There enable the user home service.
To enable your user’s to login with a shell, you have to edit the file /etc/passwd. Here is an example with the common contents when you have 2 users, one with a enabled shell (/bin/sh) the other without:

<code>MyDiskStation&gt; cat /etc/passwd
root:x:0:0:root:/root:/bin/ash lp:x:4:7:
lp:/var/spool/lpd:/sbin/nologin
ftp:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin
anonymous:x:21:21:Anonymous FTP User:/nonexist:/sbin/nologin
smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
postfix:x:125:125:Postfix User:/nonexist:/sbin/nologin 
dovecot:x:143:143:Dovecot User:/nonexist:/sbin/nologin
spamfilter:x:783:1023:Spamassassin User:/var/spool/postfix:/sbin/nologin 
nobody:x:1023:1023:nobody:/home:/sbin/nologin 
admin:x:1024:100:System default user:/var/services/homes/admin:/bin/sh 
guest:x:1025:100:Guest:/nonexist:/bin/sh 
    myuserwithlogin:x:1026:100::/var/services/homes/mypersonaluser:/bin/sh
myuserwithoutlogin:x:1026:100::/var/services/homes/mypersonaluser:/sbin/nologin
</code>

How to enable SSH with SSH keys

But that’s not enough. Logging in with a username and password isn’t nearly as secure as requiring SSH keys. When you use password based authentication, anyone can try to reach the port and use bruteforce to gain login credentials.
With public keys authentication, you have a private key on your computer, a public key on the SSH server (the Synology DiskStation in this case). When someone tries to log in via SSH, the server looks at the public key and asks for the corresponding private key. No private key, no login.
NOTE: I’m assuming that you have already generated SSH keys. If you haven’t, you can easily find instructions on the Web.
The needed SSH daemon’s config file to allow access via keys differs from original in :
Edit /etc/ssh/sshd_config using vi, I’ve highlighted in a shortened example the changed options to harden SSH:

<code>
#AllowAgentForwarding yes
AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes

#StrictModes yes 
MaxAuthTries 2
#MaxSessions 10

#RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
</code>

Save the file and restart the SSH daemon. The easier is to use the GUI/WEB login. Click on the Control Panel -> Terminal. Uncheck Enable SSH Service, apply, check it again, and press apply again.

Enabling your user

Of course you have to copy to your home directory your ssh public key inside a ssh directory and file called authorized_keys. I would recommend to be careful with permissions.

<code>
MyDiskStation&gt; ls -la .ssh/
drwx------ 2 myuserwithlogin users 4096 Aug 8 00:12 .
drwxr-xr-x 3 myuserwithlogin users 4096 Aug 19 16:56 ..
-rw-r--r-- 1 myuserwithlogin users 1417 Aug 8 00:12 authorized_keys
MyDiskStation&gt; cat .ssh/authorized_keys
ssh-rsa 1eK8+8yx4KYcpouNXp2C5DC1dPKtrCWPmUzuSk10fGRNmdE4XHEeoAFQzg390u4
vUOQ3fxd5D122+qA2LxBnReIW6uiP+az/KQIH0Ti7kvwFUqjjlGl9cwS/8KuwT1SBMiaW26
pQPfGQIUVcP+u1ef4OcSck33P9w79e+BZtoE6QAX3bmaJAJF680D0UJINKrsBIighmGohEK
RWF/3DET9kSK0W1eriCN8aiyu1j02fuCaz5+V43jqI3bIKW0TrCoGPbRYT8JIsP3GmEIqGy
fOw6qIMXmclZG65dXjN0snLxhQIx7FHXISgqZPNlmR/uEWyXc/6VXZf6lXH4qxWgfiZHlPY
mI7PWk0nTAT7SzMFcWgtarIndoZVXIrWryc3eVjifNmA06lFCjHWsK0Ljo4Orh2L/B9wv33
6T6Qv2naohg1/NH67PH+nzaLt9EGPe036ZJzGM1Kc+MBX5F2JjSFUHOlHLGccst9MiEnfdyP
YDATuXqdYOXJtt0LfP11U1P023e0TGOJ7OA1QwY6ODQJY+XK8zldfqeg77Z5YmztGqGRiOns
dfE$== myuserwithlogin@myPC
</code>

Try logging in now, with a username enabled to login. You won’t be prompted for a password; instead, you’ll get a nice shell see:

<code>myuserwithlogin@jack-sparrow:~$ ssh myuserwithlogin@192.168.0.7
BusyBox v1.16.1 (2012-05-10 02:27:56 CST) built-in shell (ash)
 Enter 'help' for a list of built-in commands.  MyDiskStation&gt;
</code>

To test our hardening Try logging in now, but use a username that doesn’t exist on the server. You won’t be prompted for a password; instead, you’ll see:

<code>Permission denied (publickey). </code>

No key, no admittance. No passwords accepted. Excellent.

Extra point No root login. A must

An Allowed ssh root login for a hacker/juanker is like honey for a bear.
This point is obligatory but must be done carefully or you could loose your root access. You should only do it if you already have all steps before working.

Edit /etc/ssh/sshd_config using vi, I’ve highlighted in a shortened example the changed options to harden SSH:

<code>
# Authentication:
#LoginGraceTime 2m 
PermitRootLogin no
#StrictModes yes
MaxAuthTries 2
#MaxSessions 10
</code>

Save the file and restart the SSH daemon. The easier is to use the GUI/WEB login. Click on the Control Panel -> Terminal. Uncheck Enable SSH Service, apply, check it again, and press apply again.

Extra point enable root login from a shell using su

Of course we still need to have root access to Synology, anything can happen.
If along any of the steps, or whatever, you have seen this error message while trying to use ‘su’:
‘su: must be suid to work properly

What is happening is that permissions on binary /bin/busybox are “wrong”, run this as root to fix it.

chmod u+s /bin/busybox

Restart ssh server from CLI

If you want to restart your ssh server from CLI, use this script. Running it in background guarantees that the command will be completed. Because when you launch it, your currrent ssh session will be lost/closed.

/usr/syno/etc.defaults/rc.d/S95sshd.sh restart &


For some reason, this command is not fully restarting the server or not loading the modified config, so, a workaround in order to restart the ssh server is to restart the whole system.
 

Important

This adds a nice layer of security, but it also means that you’d better keep backups of your SSH keys, or you are hosed!
If you’ve fucked up and you can’t get a root shell or you need help because using vi is boring, try to look for a config file editor

Etiquetas: , , , , , , , , , ,

¿Es posible reparar una hp officejet 8000 pro?

Que asco me da el mundo de las impresoras. Desde hace meses me resisto a dar por muerta a la impresora, pero ya es que ni se puede usar. No imprime, se pasa el tiempo limpiando los cartuchos, vacíandolos cual robot estúpido.
Que asco me da el mundo de las impresoras. No sólo los cartuchos son carísimos (la próxima va con cualquier recarga de tinta manual de esos que existen) además  configurarlas en linux es un dolor y para rematar ahora me es imposible encontrar en la web de HP dónde la podría llevar a reparar.
Y llevo 3 días en ello, menos mal que es una impresora casi profesional….
Al final voy a rendirme, la llevo al centro de reciclaje y compro otra.
Que asco me da el mundo de las impresoras. Me obligan al Consumismo feroz, se rompe, pues compra otra. Te quedas sin tinta, pues compra otra que es más barato que 3 cartuchos.

Bueno, si alguien sabe cómo, que deje un comentario.

Etiquetas: , , , ,

vsftpd: refusing to run with writable anonymous root

Today i was trying to setup a simple ftp to recover some logs from different machines (set top boxes at work).
I wanted to use a python script to enter machines and repeat some commands, because i’ve found really useful telnet libraries, but, anyway, main topic….
My laptop at work uses ubuntu 10.04, so i installed vsftpd, but it was not so easy for ready to use using anonymous login.

After enabling a lot of anonymous options commented i found i needed to create some directory by hand to allow anonymous upload.
being /srv/ftp home directory for ftp user....
sudo mkdir /srv/ftp/uploads

At at last. vsftpd: refusing to run with writable anonymous root
I found out why it wasn’t going through.
/srv/ftp CANNOT be writable.
/srv/ftp/incoming CAN be writable.
sudo chmod -w /srv/ftp/ and problem solved
So the root directory can’t be writable, but subdirectories within the root directory can.

Hope this helps for anyone using a search engine.

Etiquetas: , , , ,

Cómo avalar partidos emergentes en las elecciones generales 20 Noviembre 2011

Reconocerás el siguiente texto cuando hagas uso de la herramienta online YOAVALO
——-
Hola!

He descubierto que para las próximas elecciones generales los partidos extra-parlamentarios deben obtener el aval del 0,1 por ciento de los ciudadanos censados en cada provincia para poder presentarse. No me lo creía, pero es así. Por eso y porque creo que necesitamos otras opciones políticas en el congreso, he decidido avalar Partido de Internet.

Si quieres cambiar las cosas y tener pluralismo político, pásate por http://yoavalo.org/. Si te gusta algún partido que se presente en tu provincia, apóyalos, cómo yo, avalándolos. ¡Gracias!

Yo Avalo, creado por Pirates de Catalunya. http://pirata.cat / http://yoavalo.org
Partido avalado: Partido de Internet.
——-

Por mi parte, creo que hay que seguir avanzando en la democracia, aun más en estos días en que hemos dejado el país en manos de incapaces. Políticos ignorantes cuyos méritos y capacidades están únicamente enfocados en quedar bien con la “prensa” y en dar de comer a su rebaño de familiares y fieles.
Hay que dar espacio y oportunidad de ocupar el espacio que merecen los políticos y personalidades que son defensores de valores y que tienen la capacidad y conocimiento suficiente como para saber de qué hablan.

700px Logo Partido de Internet V2.svg  300x128 Cómo avalar partidos emergentes en las elecciones generales 20 Noviembre 2011

¿Qué es el Partido de Internet?

Muy sencillo:
Los diputados del Partido de Internet votarán en el Congreso de los Diputados (y en el resto de cámaras de representantes) lo que se decida proporcionalmente por Internet en cada momento.
700px Logo Partido de Internet V2.svg  300x128 Cómo avalar partidos emergentes en las elecciones generales 20 Noviembre 2011

Etiquetas: , , , , ,

Debian/Ubuntu and MacOS X. Sharing files using netatalk

Intro

If you are trying to share files using a fast protocol (that’s not samba) which fits into debian and MacOS you should install netatalk package.

You will find the trap only if you are using netatalk from the usual Debian apt-source and if you have altered MacOS X default to do not use clear text passwords.

You’ve 2 solutions:

  • MacOS X won’t connect to the Debian Linux server, just saying that the access name or password wasn’t right, but has never asked for one. Just enable clear text passwords in MacOS X when you connect to an afp server and it will work like a charm.
  • OpenSSL support is currently disabled, because of licensing issues: The Free Software Foundation and Debian consider the GNU General Public License (GPL) under which Netatalk is licensed to be incompatible with the OpenSSL license.You can build locally with OpenSSL using the following commands

Using netatalk you can use any Debian server as a time machine backup, just read some manuals to know how.

Quick reference

To be up to date, look into /usr/share/doc/netatalk/README.Debian
usuario@LOCAL:~/$ sudo aptitude install devscripts
usuario@LOCAL:~/$ sudo aptitude build-dep netatalk
usuario@LOCAL:~/$ apt-get source netatalk
usuario@LOCAL:~/$ cd netatalk-*
usuario@LOCAL:~/$ dch -l +ssl -D local –force-distribution “Local build with OpenSSL.”
usuario@LOCAL:~/$ DEB_AUTO_UPDATE_DEBIAN_CONTROL=1 DEB_BUILD_OPTIONS=openssl debuild -us -uc
(You my need additional build-dependencies not resolved automatically.)
usuario@LOCAL:~/$ dpkg -i ../netatalk*.deb

Alternatively you can subscribe to unofficial(!) precompiled packages by adding the following to your /etc/apt/sources.list:

usuario@LOCAL:~/$ cat /etc/apt/sources.list
….
#where following $DIST=stable, testing, unstable, wheezy, …
#look into http://debian.jones.dk/dists/ to know which one are available
deb http://debian.jones.dk/ $DIST netatalk

Here are my config files

usuario@LOCAL:~/$ cat /etc/netatalk/afpd.conf
# default:
# – -tcp -noddp -uamlist uams_dhx.so,uams_dhx2.so -nosavepassword
- -transall -uamlist uams_dhx.so -nosavepassword -advertise_ssh
.
usuario@LOCAL:~/$ cat /etc/netatalk/AppleVolumes.default
# The line below sets some DEFAULT, starting with Netatalk 2.1.
: DEFAULT: options:upriv,usedots
/PATH/TO/MY/disk MYDISKNAME allow:myselecteduser cnidscheme:dbd options:usedots,upriv
# End of File

Links and references
Etiquetas: , , , , , , , , , , ,

A partir de hoy, Red y Libertad

Consideramos imprescindible la retirada de la disposición final primera de la Ley de Economía Sostenible por los siguientes motivos:
1 -Viola los derechos constitucionales en los que se ha de basar un estado democrático en especial la presunción de inocencia, libertad de expresión, privacidad, inviolabilidad domiciliaria, tutela judicial efectiva, libertad de mercado, protección de consumidoras y consumidores, entre otros.
2 – Genera para la Internet un estado de excepción en el cual la ciudadanía será tratada mediante procedimientos administrativos sumarísimos reservados por la Audiencia Nacional a narcotraficantes y terroristas (…)
3 – Establece un procedimiento punitivo “a la carta” para casos en los que los tribunales ya han manifestado que no constituían delito, implicando incluso la necesidad de modificar al menos 4 leyes, una de ellas orgánica. Esto conlleva un cambio radical en el sistema jurídico y una fuente de inseguridad para el sector de las TIC (Tecnología de la Información y la Comunicación). Recordamos, en este sentido, que el intercambio de conocimiento y cultura en la red es un motor económico importante para salir de la crisis como se ha demostrado ampliamente.

4 – Los mecanismos preventivos urgentes de los que dispone la ley y la judicatura son para proteger a toda ciudadanía frente a riesgos tan graves como los que afectan a la salud pública. El gobierno pretende utilizar estos mismos mecanismos de protección global para beneficiar intereses particulares frente a la ciudadanía. Además la normativa introducirá el concepto de “lucro indirecto”, es decir: a mí me pueden cerrar el blog porque “promociono” a uno que “promociona” a otro que linka a un tercero que hace negocios presuntamente ilícitos.
5 – Recordamos que la propiedad intelectual no es un derecho fundamental contrariamente a las declaraciones del Ministro de Justicia, Francisco Caamaño. Lo que es un derecho fundamental es el derecho a la producción literaria y artística.
6 – De acuerdo con las declaraciones de la Ministra de Cultura, esta disposición se utilizará exclusivamente para cerrar 200 webs que presuntamente están atentando contra los derechos de autor. Entendemos que si éste es el objetivo de la disposición, no es necesaria, ya que con la legislación actual existen procedimientos que permiten actuar contra webs, incluso con medidas cautelares, cuando presuntamente se esté incumpliendo la legalidad. Por lo que no queda sino recelar de las verdaderas intenciones que la motivan ya que lo único que añade a la legislación actual es el hecho de dejar la ciudadanía en una situación de grave indefensión jurídica en el entorno digital.
7 – Finalmente consideramos que la propuesta del gobierno no sólo es un despilfarro de recursos sino que será absolutamente ineficaz en sus presuntos propósitos y deja patente la absoluta incapacidad por parte del ejecutivo de entender los tiempos y motores de la Era Digital.
La disposición es una concesión más a la vieja industria del entretenimiento en detrimento de los derechos fundamentales de la ciudadanía en la era digital.
La ciudadanía no puede permitir de ninguna manera que sigan los intentos de vulnerar derechos fundamentales de las personas, sin la debida tutela judicial efectiva, para proteger derechos de menor rango como la propiedad intelectual. Dicha circunstancia ya fue aclarada con el dictado de inconstitucionalidad de la ley Corcuera (o ley de patada en la puerta). El Manifiesto en defensa de los derechos fundamentales en Internet, respaldado por más de 200.000 personas, ya avanzó la reacción y demandas de la ciudadanía antes la perspectiva inaceptable del gobierno.

Para impulsar un definitivo cambio de rumbo y coordinar una respuesta conjunta, el 9 de enero se ha constituido la “Red SOStenible” una plataforma representativa de todos los sectores sociedad civil afectados. El objetivo es iniciar una ofensiva para garantizar una regulación del entorno digital que permita expresar todo el potencial de la Red y de la creación cultural respetando las libertades fundamentales.
En este sentido, reconocemos como referencia para el desarrollo de la era digital, la Carta para la innovación, la creatividad y el acceso al conocimiento, un documento de síntesis elaborado por más de 100 expertos de 20 países que recoge los principios legales fundamentales que deben inspirar este nuevo horizonte.
En particular, consideramos que en estos momentos es especialmente urgentes la implementación por parte de gobiernos e instituciones competentes, de los siguientes aspectos recogidos en la Carta:
1 – Las/os artistas como todos los trabajadores tienen que poder vivir de su trabajo (referencia punto 2 “Demandas legales“, párrafo B. “Estímulo de la creatividad y la innovación”, de la Carta);

2 – La sociedad necesita para su desarrollo de una red abierta y libre (referencia punto 2 “Demandas legales“, párrafo D “Acceso a las infraestructuras tecnológicas”, de la Carta);
3 – El derecho a cita y el derecho a compartir tienen que ser potenciado y no limitado como fundamento de toda posibilidad de información y constitutivo de todo conocimiento (referencia punto 2 “Demandas legales“, párrafo A “Derechos en un contexto digital”, de la Carta);
4 – La ciudadanía debe poder disfrutar libremente de los derechos exclusivos de los bienes públicos que se pagan con su dinero, con el dinero publico (referencia punto 2 “Demandas legales“, párrafo C “Conocimiento común y dominio público”, de la Carta);

5 -Consideramos necesaria una reforma en profundidad del sistema de las entidades de gestión y la abolición del canon digital (referencia punto 2 “Demandas legales“, párrafo B. “Estímulo de la creatividad y la innovación”, de la Carta).
Por todo ello hoy se inicia la campaña INTERNET NO SERA OTRA TELE y se llevarán a cabo diversas acciones ciudadanas durante todo el periodo de la presidencia española de la UE.
Consideramos particularmente importantes en el calendario de la presidencia de turno española el II Congreso de Economía de la Cultura (29 y 30 de marzo en Barcelona), Reunión Informal de ministros de Cultura (30 y 31 de marzo en Barcelona) y la reunión de ministros de Telecomunicaciones (18 a 20 de abril en Granada).
La Red tiene previsto reunirse con representantes nacionales e internacionales de partidos políticos, representantes de la cultura y legaciones diplomáticas.
Firmado

Red SOStenible
Red-SOStenible.net
La Red Sostenible somos todos. Si quieres adherirte a este texto, cópialo, blogguéalo, difúndelo.

Etiquetas: , , , , , ,

Debian Tip. Purge Removed Packages

Some packages are not *totally* removed when you select them for removal in Debian &Co. They usually left some user customized info, etc. That’s why you should totally remove them, or in Debian world, purge them

dpkg -l |awk ‘/^rc/ {print $2}’ |xargs sudo dpkg –purge

Etiquetas: , , ,