(y otra versión) Distribución Linux para Administración Electrónica

Actualización Sept. 2016 La última versión de la máquina virtual LinuxAE se puede encontrar en linuxae.org.es

ATENCIÓN: Si al iniciar el navegador de la máquina virtual da un aviso diciendo algo así como que hace mucho tiempo que no se inicia iceweasel y que quiere resetear, decir que no, porque se perderían configuraciones importantes.

(Act. 07 junio ’16) Nuevos torrent y magnet disponibles.

He vuelto a crear el torrent y he añadido nuevos trackers, que los que había no iban muy finos.
LinuxAE_v3.1.ova.torrent
magnet.txt

(Act. 14 enero ’15) Torrent disponible.
Aquí os dejo el enlace magnet para la descarga, tened paciencia sobre todo al principio por la escasez de semillas que habrá, y os agradecería que no borraseis inmediatamente el archivo, para hacer de semilla y que cada vez sea más fácil de descargar.

(Act. 15 diciembre) Ya estoy enviando los enlaces.
Página principal del proyecto: Configuración LinuxAE

(Act. 9 diciembre)
Me he dado cuenta de que había un par de cosas que tenía que ajustar, por lo tanto lo estoy haciendo antes de colgar la versión nueva. Por otro lado, estoy intentando resolver un asuntillo con el DNIe, que funciona casi por completo, pero hay un problema al firmar en ciertos sitios con @firma.
No he contestado a todo el mundo que ha puesto comentario, pero os enviaré el enlace a todos, será cosa de esta tarde o mañana a más tardar.

4 dic 2014 ¡He sido meneado! xD

Debido a la saturación de la cuenta de dropbox, por favor, enviadme un correo a la dirección que figura en contacto y os haré llegar un enlace de descarga.
Nada de esto estaba previsto, de hecho desde que esto está colgado (abril) y más aun desde la primera versión que hice, esto se lo habrán bajado no más de 50 personas, por tanto daba de sobra la capacidad dropboxera. Pero claro, llega el día que te menean y salen 30 gurús de internet de debajo de una seta.
Se agradecen comentarios sobre el funcionamiento, cuando la probéis.
PD. Para desconfiados, yo más bien desconfiaría de las grandes corporaciones xDD. Y el que quiera hacerle una auditoría a la imagen, puede hacerla con total libertad y contará con mi colaboración en todo momento.

Vamos con una nueva versión de la máquina virtual para Administración Electrónica basada en Linux (Debian 7).

Vuestros comentarios me han ayudado mucho. En especial uno que hacía referencia a porqué no tenía páginas de test que usaran las librerías WebSigner. Me sorprendió mucho la apreciación porque en mi concepción de la administración electrónica todo el mundo usaba @firma, pero está claro que no es así y que hay que dar soporte a las librerías WebSigner para que la máquina virtual tenga más alcance.

Así que dicho y hecho, he pasado a incorporar las librerías de WebSigner en sus versiones 6.1, 6.2 y 6.3 y hasta el momento todo ha ido bien en las siguientes páginas:

Evidentemente no conozco todas las páginas que hay por ahí que usan WebSigner, así que si probáis y encontráis algún problema me ayudaría que me lo dijerais. Por otro lado, el soporte a @Firma sigue en plena forma y en la máquina podréis encontrar todos los tests que me han ido funcionando. Igualmente, si encontráis algún problema con alguna versión de @Firma me lo podéis contar.

Por otro lado, en el aspecto de seguridad, he incluido tres extensiones de firefox importantes (Ver Lo que hago después de instalar Firefox) y he puesto un firewall. También he configurado actualizaciones desatendidas de seguridad.

Into The Wild

O “hacia lo salvaje”. Internet, ya sea por descuido u omisión o por ataques premeditados, es LA SELVA. En esta nueva versión he hecho posible que la máquina virtual se pueda poner en modo paranoide. Las tres extensiones que mencionaba anteriormente mejoran la privacidad y la seguridad, al mismo tiempo que aumentan la velocidad de navegación -se evita la descarga de contenido indeseado- pero no interfieren con el uso de la máquina. La habilitación del firewall para conexiones salientes y el uso de la extensión NoScript sí pueden interferir, pero asumiendo que solo se usa la máquina para operaciones delicadas (banca electrónica, administración electrónica) se puede trabajar sin problemas con ella.

Cambiar la contraseña

Lo primero que debemos hacer es cambiar la contraseña para el usuario ciudadano por una más segura. Para ello podemos ir a Inicio > Accesorios > LxTerminal y teclear passwd. Seguiremos el proceso de cambio de contraseña.

Firewall

El firewall normalmente se configura para denegar todas las conexiones entrantes y permitir todas las conexiones salientes. Esto está bien para evitar intrusiones en la máquina. Pero lo más seguro es habilitar solo el tráfico saliente -iniciado por ti- que realmente se necesita y evitar todo lo demás. Tengo activado el modo paranoico, puedes permitir solo las conexiones salientes hacia los puertos 80 -http-, 443 -https- y 53 -DNS- y a continuación detallo como lo he hecho. El software de firewall es ufw y el administrador gráfico gufw. Si encuentras cualquier problema de conectividad, puedes intentar añadir la regla adecuada. Si no, como último recurso, puedes permitir todas las conexiones salientes.

Debes hacer doble clic en el icono Firewall del escritorio. Introduciremos la contraseña del usuario ciudadano -espero que la hayas cambiado ya- y luego pulsaremos en Desbloquear. Pondremos el valor de Saliente a Deny (denegar). Ahora crearemos las reglas para permitir únicamente las conexiones hacia los puertos 80, 443 y 53.

Vamos a Archivo > Añadir Regla, elegiremos Simple y seleccionamos los valores Allow, Out, Both y como puerto ponemos el 80. Pulsamos Añadir. Repetimos la acción para el 443 (podemos simplemente borrar el 80, poner 443 y darle otra vez a Añadir). Volvemos a repetirla para el puerto 53, que es el DNS. En el futuro, si quisiéramos instalar un cliente de correo o de chat deberíamos añadir aquí los puertos correspondientes. Le damos a Cerrar, pulsamos F5 para recargar reglas y ya podemos cerrar esta ventana, que el firewall seguirá a lo suyo. La cosa debería quedar como en la siguiente captura.

Firewall con reglas para navegación web
Firewall con reglas para navegación web

NoScript

JavaScript -esos pequeños programas que hacen cosas dinámicas en las páginas- se ha convertido en un medio de ataque muy utilizado. Lo que hace NoScript es evitar la ejecución de TODO el código JavaScript. Es evidente que muchos sitios no funcionarán. Por defecto viene desactivada tal extensión pero los/as atrevido/as seguro que querrán habilitarla haciendo Firefox > Complementos > Extensiones > NoScript > Activar.

La idea es que se puede definir una lista blanca de sitios que sí tienen permitido ejecutar JavaScript, sitios en los que confías, mientras evitas que se ejecute en todos los que no están en la lista blanca. La lista blanca admite sitios concretos (como administracionelectronica.gob.es) pero también patrones (como gob.es). Yo tengo añadidos gob.es, 060.es y redsara.es y así todas las páginas cuyo dominio termine en esos valores, funcionarán bien.

Pero a veces incluso estas páginas -las que están en lista blanca- pueden dar una advertencia. Eso pasa cuando las páginas traen JavaScript desde sitios diferentes. El ejemplo típico es código de Google Analytics. Por ejemplo la página que tengo puesta como página de inicio, masdestacados.060.es, veréis que trae código de Google Analytics. A nosotros eso no nos aporta nada, así que en vuestra mano está si queréis permitirlo o no. Comprobaréis que masdestacados.060.es funciona perfectamente sin Google Analytics. A continuación una captura del procedimiento para admitir una página en concreto. El menú sale haciendo clic en el icono que tiene una S.

Añadiendo fnmt.es a la lista de confianza de noscript
Añadiendo fnmt.es a la lista de confianza de noscript

Conclusiones (¡y descarga!)

En esta época que nos ha tocado vivir en la que cada vez hacemos más trámites críticos por internet creo que es recomendable contar con la plataforma más segura y estable que podamos. Así que por supuesto me olvidaría de windows, android, iOS o lo que se quieran inventar en el futuro. Yo, de aquí en adelante, pienso hacer mis operaciones administrativas y con el banco usando esta máquina.

Usando la página de mi banco, me he dado cuenta de algo que no me gusta. No me importa que en la parte pública de la web tire de Google Analytics, pero ¿porqué necesita usarlo también en la parte privada cuando estoy haciendo mis operaciones?…

Visita la página de ayuda y configuración para los detalles de descarga

42 thoughts on “(y otra versión) Distribución Linux para Administración Electrónica

  1. Hola!

    Dropbox te ha cerrado los enlaces por que tienen mucho tráfico para ellos. ¿Por qué no lo subes a mega.co.nz?
    Así no vamos a tener estos problemas t.t

    Gracias! Gran idea 🙂

  2. Hola Daniel, muchas gracias por la distro. ¿Has probado si funciona con el registro electrónico del SEPE? A mi me dio muchos problemas y tuve q hacerlo con windows.

    1. ¿cual es la dirección de ese registro? me interesa tener cuantos más casos de prueba mejor y ver como se comporta.
      Gracias.

    1. Hola Alexis,
      en principio sí, a mi me ha funcionado pero el driver que usé la verdad es que no lo vi muy estable. A veces, al iniciar ffox con el dni insertado, éste no arrancaba. Otras veces no aceptaba el PIN… en fin que sí lo he llegado a usar pero no es del todo fiable, aunque si saco una versión nueva, a lo mejor ya han hecho evolucionar el driver.

  3. Hola a todos/as así en general, enviaré un enlace de descarga a quien haya comentado, en cuanto lo suba a otro sitio. Dropbox daba capacidad suficiente, hasta que dejó de darla 🙂 😉

  4. Hola!

    Soy otro de los interesados en probar tu criatura 🙂 . En su momento me he tenido que pelear con el DNI-e para la presentación de solicitudes de subvención para una asociación, y aunque conseguí firmar documentos, entrar en páginas que lo requiriesen, etc…, el último paso para la presentación telemática de la solicitud nunca llegó a funcionar con Linux (creo que es un problema con Java)

    Si te sirve de caso de prueba, disponen de una página de pruebas donde comprobar si tienes correctamente configurado el navegador en:

    http://www.dicoruna.es/dicoruna-subtel/configuracionnavegador

    En mi caso, como ya te comento, falla el último paso. Cruzo los dedos para que funcione en tu máquina, y si no es el caso, a ver que se puede hacer 🙂

    Un saludo!

      1. No me queda claro: con certificado del navegador o con el dni-e? En cualquier caso, parece que pinta bien 🙂
        Si puedes pasarme el enlace para descarga te lo agradezco, y si te parece bien podemos subirlo a la red torrent para evitar problemas. Pero bueno, con calma, que imagino que estaremos un montón de gente agobiandote 😛

  5. Muy buena idea, estoy interesado en probarla. He tenido problemas con la renovación del certificado de FNMT aunque ahora te puedes bajar un configurador.

  6. Una idea muy interesante, se agradece el trabajo realizado. Espero disponer de ese enlace para la descarga cuando sea posible 😉

  7. Hola!

    Me encantaria probar la distro, soy usuario de LinuxMint y tuve que resignarme a windows para poder trabajar con el DNI-E.

  8. ¡¡Yo la quiero!!!.
    He tratado de hacer de todo para hacer funcionar el dnie en mi kubuntu, hasta que me di por vencido y cada vez que hacía un trámite de autónomo me tocaba pasarme al win7.
    Si me la mandas me librarás de esa tortura jejeje.
    Gracias de antemano
    Un saludo

  9. hola!
    yo tambien quiero probarla.
    Date de alta en http://linuxtracker.org
    y ya lo subes ahi habitualmente, es lo que suelen hacer todos los que hacen distros e inventos.
    no tienes que estar de semilla, siempre hay alguien con alguna maquina 24/7 que lo deja puesto. Yo mismo seguramente.
    Saludos!

  10. Muchas gracias por compartir.
    Espero que me ayude a evitar numerosas horas de pelea para que me funcione el DNIe y la firma electronica de la FNMT en LinuxMint.
    Dado que hay muchas personas en la misma situación y solo unas poquitas lo expresan aquí y en otros sitios similares, espero que la administración se cuesque y resuelva la multitud de problemas que presenta el uso de esos certificados.
    Saludos y, nuevamente, muchas gracias!

  11. Estoy mas que interesado. Por favor, proporciona un enlace. La opcion que te han ofrecido sobre linuxtracker me parece mas que apropiada. Yo tambien estoy 24×7.

  12. Estoy haciendo unas gestiones con la universidad y tengo problemas con los certificados y demás y desde el departamento técnico no me cogen el teléfono tras 12 llamadas a un 902, necesitaría tu distribución a ver si se solucionan, muchas gracias. Un placer.

  13. Hola,
    Estoy deseando probar la distribución ¿me puedes dar el enlace? A lo mejor sería interesante poderlo distribuir en forma de torrent.

    Luis.

  14. Hoy he intentado renovar un certificado digital de la FNMT y me ha dado un error: sistema operativo o navegador no soportado.
    Como añadido, hace poco más de un mes renové otro certificado, igualmente de la FNMT, y pude hacerlo sin problema.
    Creo que descargué la imagen en enero, siento no poder ser más concreto, por si hubiera alguna actualización.

    1. Hola Mariano, me faltarían más detalles para poder ayudarte.
      ¿Las dos veces lo has intentado con la máquina virtual y la primera funcionó y la segunda sí? ¿Una vez lo has intentado con la máquina y la otra sin? ¿cual?
      Y otra pregunta ¿la renovación del certificado se hace con el DNIe?
      Saludos.

      1. Siempre con la misma máquina virtual, no la he cambiado desde que la bajé la primera vez.
        La renovación es por software, no por DNIe

        1. Mariano, he mirado un poco y creo que tiene que ver con el User Agent que el navegador envia. Hay que engañar a la página diciéndole que eres Firefox. Así me ha dejado pasar.
          Te respondo por correo con más detalles.

  15. Daniel, enhorabuena por la iniciativa. No obstante, tratándose de una cuestión tan crítica, ¿no deberías publicar un hash de la imagen, o hay otra forma de verificar su integridad? (especialmente desde que la distribuyes por Torrent, se presta a alteraciones).

Responder

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *