General

13/03 – Resumen administrativo

Este es un resumen administrativo de mi actividad a cargo de algunos equipos utilizados por proyectos nacionales de tecnologías abiertas y software libre, particularmente el equipo comunidad.sapi.gob.ve, cedido por el Servicio Autónomo de la Propiedad Intelectual en 2004 para su uso por parte de los grupos de usuarios, activistas y desarrolladores del conocimiento libre en Venezuela y Latinoamérica.

Dominios propios

En la actualidad soy el contacto técnico, administrativo y de cobranza para los dominios: debconf.org.ve, ucvlug.info, ucvlug.org.ve. Anteriormente he estado a cargo de otros dominios (como flisolcaracas.org.ve, evento del cual fui organizador) pero fueron suspendidos por falta de pago.

Los DNS principales y secundarios de la mayoría de esos dominios están alojados gratuitamente en FreeDNS, también conocido popularmente como Afraid. La única consideración tomada para alojarlos allí fue su interfaz Web, fácil de usar, directa y con soporte para SSL y la gratuidad del servicio. Técnicamente el servicio tiene algunos flaws. Ha tenido un par de caídas importantes (de un día) y los cuatro DNS están en el mismo bloque de red, cosa que no está recomendada.

Dominios administrados

Administro el DNS del Servicio Autónomo de la Propiedad Intelectual (sí, a diferencia de la creencia popular, aun tengo acceso a los equipos del SAPI pues aun colaboro con dicha institución) que hospeda, principalmente, a las zonas de solve.net.ve y solve.org.ve. La segunda no está operativa por problemas logisticos que escapan de mi área de colaboración.

Adicionalmente, algunos dueños de dominios han delegado su administración en mi persona a través de la interfaz de FreeDNS. Estos dominios son los relacionados con Debian Venezuela (debian.org.ve, debianvenezuela.org.ve, etc.)

Equipos

Mantengo acceso al servidor estefania.debianvenezuela.org.ve, establecido en Fundacite Mérida. Los administradores del sitio le cambiaron la clave de superusuario, por lo que no dispongo de ningún privilegio en el equipo para trabajar. Los correos de administración de logcheck y logwatch en ese equipo son enviados a mi persona (realmente se redirigen a webmaster en debianvenezuela.org.ve, IIRC) En dos ocasiones he tenido que ejecutar exploits en el equipo para apagarlo, pues en los correos informativos veo intentos (no siempre frustrados) de acceso ilegítimo a la máquina, y el contacto con el personal técnico en el sitio donde está ubicado el equipo ha sido imposible. Es decir, no solo no se ha podido cambiar la clave de root sino que ni siquiera se apaga el equipo cuando se solicita. Más aun, cuando logro apagar la máquina con un exploit, al cabo de dos o tres días alguien lo vuelve a encender.

En cierto momento, Fundacite Mérida cedió un equipo para unos proyectos gubeamentales y para el equipo de Debian Venezuela. Ese equipo fue bautizado desarrollo.debian.org.ve, pues la función que iba a cumplir era la de demonio de compilación y entoo de trabajo para developers. Allí instalé un mirror (con debmirror) además de las herramientas administrativas tradicionales. El equipo se esfumó hace ya un par de meses.

Por supuesto, soy el administrador de toda la red de g33k! — actualmente hay dos equipos “públicos”, faraday y gauss, en uno de los cuales hay desarrolladores venezolanos que tienen acceso SSH (contra un OpenLDAP) para trabajar básicamente en soluciones corporativas usando GNU/Linux, desarrollo para Debian, desarrollo en tecnologías como Perl y Python, etc. El segundo hospeda aplicaciones para proyectos comunitarios. Más notablemente, hospedó el Sistema de Registro realizado para el Foro Mundial de Conocimiento Libre y luego adaptado y puesto en producción para el Congreso Nacional de Software Libre. Actualmente hospeda aplicaciones de SL en desarrollo, hechas por venezolanos.

El equipo en el que más tiempo me he dedicado es comunidad.sapi.gob.ve. Este equipo aloja casi todos los servicios de Software Libre Venezuela (SOLVE), de Debian Venezuela y del Grupo de Usuarios de Linux de la Universidad Central de Venezuela (UCVLUG), además de algunos servicios pequeños para grupos como VELUG. En este equipo también tienen acceso con privilegios de superusuario: Héctor Colina, Francisco Andrades y Milton Mazzarri, aunque no todos los citados se mantienen activos trabajando en el equipo.

Este equipo respalda sus bases de datos MySQL y PostgreSQL (cuando se está utilizando Postgres) diariamente, de forma desatendida, utilizando respaldos totales. Para ahorrar CPU y ancho de banda, recientemente el SAPI ha propuesto integrar este equipo a su solución de respaldos diferenciales con rdiff-backup hacia su SAN de 9.5 TB. También respalda archivos estáticos, para recuperación rápida de algunas aplicaciones. El equipo hospeda granjas de Drupal, MediaWiki, MoinMoin, y algunas otras aplicaciones exóticas o no tan exóticas.

Además hospeda un servidor de listas de correo para Debian Venezuela, SOLVE y UCVLUG, y aliases para SOLVE y Debian Venezuela. En total el servidor de correo (Sendmail) maneja unos 30 mil correos diarios. En cuanto a Web, el servidor no mantiene mucho tráfico, quizás unas 400 o 500 mil visitas mensuales. Recientemente se está implementando un servidor OpenLDAP para migrar las identidades y mantener un control más estricto de permisos y actividades en el equipo. Sobre la conectividad, el equipo disfruta de la conexión frame relay del SAPI, con latencias bajas hacia servidores críticos (como el SMTP de Cantv.net y el de PDVSA), aunque su ancho de banda está restringido (con cuatro bandas HTB) a 256/256 Kbps. El uptime a la fecha es de 273 días.

Por supuesto el equipo está monitoreado por logcheck, logwatch y tiger (que comprende tanto pruebas de integridad de archivos, como escaneo de puertos y verificación de algunos parámetros tediosos como los cubiertos en Hackers en Linux, segunda edición, de Hatch et. al.) En un futuro no muy lejano es probable que el equipo cuente con notificación remota vía SMS, aunque el flujo de información actualmente es bastante alto (recibo entre 30 y 50 mensajes diarios con información sobre el equipo)

Problemas

Este resumen ha sido realizado con la finalidad de que las personas que tengan algún tipo de duda sobre el proceso de administración de estos equipos puedan conocer toda la información que por razones de seguridad sea posible dar. De esta forma se pretende que la gente sea más activa y menos pasiva y destructiva en sus críticas. Por ello, cito a continuación una serie de problemas actuales de los que estoy consciente y creo que muchos podrían ayudar a mejorarlo.

  • En primer lugar, necesitamos un par de DNSs buenos, en bloques distintos. Como veran, incluso si me quemo los ojos manteniendo 20 VirtualHost’s en un servidor Apache, aun sigo dependiendo del DNS, y cuando el DNS se cae todo el resto del trabajo deja de verse. Los DNS son los puntos mas criticos de todo este proceso, por ello en 2007 disminui el numero de dominios bajo mi control. Aunque, por supuesto, siempre es preferible que la persona que esta a cargo sepa del tema, porque tener el dominio en manos de alguien peligroso (por accion o inaccion) es igual de malo que tenerlo en un DNS caido. El primer paso quizas sea delegar en otro servicio gratuito a-la-Xname que permita XFRs.
  • En segundo lugar, necesitamos no solo descentralizar el manejo de la informacion sino tambien descargar un poco los equipos del trabajo que estan haciendo. Me parece inconcebible que a la fecha solo
    el SAPI, un organismo autonomo y pequeno, con unas instalaciones casi en escombros, sea el unico organismo del Gobieo que haya logrado efectivamente ceder una infraestructura tecnologica para las comunidades. Es hora de que hayan mas SAPIs, que se que los hay, y que aparezcan mas equipos para los proyectos locales. Pero es importante mantener el nivel de compromiso y calidad en el trabajo voluntario (hola Octavio!) y que si el compromiso se va a dar, se de completo (nada de “espacio” en un servidorcito al cual nunca podras meterle mano, la verdad, gracias, pero para eso nos abrimos una cuenta en geocities)
  • En ningun momento he hablado de guacharo, el equipo de GLoVE. Es un equipo al que no tengo acceso (y por los vientos que soplan, jamas lo tendre) en el que se puede aspirar a un canal IRC monitoreado por los IRCops, una pagina Web, un blog y una lista de correo. Este servicio es bueno y administrado por gente con muy buena experiencia, y si su proyecto solo requiere de una pagina y una lista, es una buena opcion. De resto, como por ejemplo para Debian Venezuela, necesitamos un equipo con shells, bajo nuestro control total. Actualmente eso no entra en los planes de GLoVE, por razones de logistica. g33k! si ofrece shells, pero es importante tener en cuenta que nos basamos mucho en la red de confianza. Si estas interesado, deja un comentario.
  • Hay otros dos casos interesantes. El primero es el del mirror de la UNESR, administrado por Eesto Heandez-Novich. Es el unico mirror oficial de Debian en Venezuela, y Eesto ha conseguido que la institucion educativa provea cantidades impresionantes de ancho de banda para el mismo. El segundo es el de un equipo que esta en proceso de donacion por parte de Raul Odria. Actualmente g33k! tambien esta interesado en donar un equipo, pero se necesita la colocacion. Sobre eso estoy conversando con el CNTI, pero si alguien tiene una mejor propuesta, por favor hable.
  • Necesitamos mejorar la red de confianza a nivel nacional. Es de esperar que un administrador, como yo, o como Hector, o como cualquiera, sea reacio a delegar trabajo en personas desconocidas. En primer lugar porque al estar involucrados en los proyectos a los que les proveemos infraestructura, nos interesa que no tengan downtime, y en segundo lugar porque en “la Comunidad” las cosas se hacen en base a meritos. Para ello es importante que mas personas participen en eventos de firmado de llaves GPG y certificados CACert, y se empiecen a involucrar en tareas de administracion. Este valor humano es necesario para garantizar que en un mediano plazo (espero) podamos tener infraestructura para todo lo que queramos hacer.

Si usted tiene algun comentario sobre estas actividades, puede optar por dejar un comentario en este blog, escribir en el suyo haciendo trackback, contactarme por IRC (bureado en irc.unplug.org.ve, irc.debian.org, irc.freenode.net) o por Jabber/Google Talk y correo en (joseparrella en gmail.com). Tambien puede consultar los archivos de este blog con respecto a la administracion de estos equipos, con informacion sobre las actividades desde hace ya mas de un año.

Standard

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s