unbound-adblock es el firewall DNS definitivo
Por el 15 de Octubre de 2022
unbound-adblock es un cortafuegos o firewall DNS altamente personalizable, seguro y eficiente. Incluye instrucciones para su instalación en distintas distribuciones de Linux, OpenBSD, NetBSD, FreeBSD y DragonflyBSD y funciona con el servidor unbound aunque en OpenBSD también puede funcionar con unwind(8).
ungoogled-chromium ya está disponible en OpenBSD-current
Por el 12 de Octubre de 2022
Los usuarios de OpenBSD-current ya podemos disfrutar de ungoogled-chromium, una solución minimalista para eliminar las conexiones con los servidores de Google en el navegador Chromium. Además de eliminar la dependencia con los servicios de Google, ungoogled-chromium incorpora mejoras para mejorar la privacidad, el control y la transparencia, aunque estas funciones extra deben ser activadas manualmente ya que la prioridad es hacer la experiencia tan parecida a Chromium como sea posible.
Nueva protección de memoria en OpenBSD: mapeos de memoria inmutables
Por el 8 de Octubre de 2022
Theo de Raadt acaba de añadir a la rama -current la nueva protección de memoria llamada mapeos de memoria inmutables (mimmutable o immutable userland mappings) la cual hace más estricta la plantilla de memoria del espacio de usuario.
DNS sobre TLS con NSD
Por el 8 de Mayo de 2022
DNS sobre TLS, también llamado DNS over TLS (DoT), es una especificación definida en el RFC 7858 que indica como proveer de privacidad y evitar la manipulación para las consultas DNS usando cifrado mediante TLS. DNS sobre TLS es al DNS lo que HTTPS al HTTP.
Aquí explico lo necesario para hacerlo funcionar con un servidor NSD ya configurado que funciona en OpenBSD, aunque las instrucciones deben funcionar para otros sistemas operativos que usen este servidor DNS.
Firma DKIM múltiple RSA y Ed25519 en OpenSMTPD con dkimsign
Por el 4 de Mayo de 2022
El RFC 8463 describe el uso del algoritmo de firma Ed25519-SHA256 para DKIM (RFC 6376).
Gracias a los filtros de OpenSMTPD y a dkimsign es posible incluir una firma DKIM múltiple con RSA-1024 (para máxima compatibilidad) y Ed25519 como periodo de transición hasta que la firma Ed25519 sea comúnmente aceptada. No obstante, a día de hoy obtengo los mejores resultados usando una sola firma RSA de 1024 bits la cual aunque es menos segura es más compatible.
Configuración de MTA-STS con httpd
Por el 26 de Abril de 2022
MTA-STS es el acrónimo de MTA Strict Transport Security y sirve para comunicar a otros servidores de correo que prefieres que la comunicación sea exclusivamente cifrada con TLS. Queda definido en el RFC 8461.
Esta configuración tiene el inconveniente de necesitar un servidor web por lo que a día de hoy no lo uso ni lo recomiendo por las razones que explica el artículo Why not use the new MTA-STS?.
Como desactivar KARL en OpenBSD
Por el 25 de Abril de 2022
Cuando arranca OpenBSD se produce una reordenación de los objetos de las librerías (ASLR) y del kernel (KARL). Esto sirve para mejorar la seguridad del sistema, aunque en máquinas de 1GB o menos de RAM provoca el uso de memoria swap.
No es una práctica recomendada, aunque puede ser conveniente cuando es necesario minimizar el consumo de memoria. Aún desactivando estas funciones, en la instalación ambos espacios de direcciones están aleatorizados; la diferencia está en que no se reordenarán cada vez que inicie el sistema como ocurre con la configuración por defecto.
Web Key Directory (WKD) con httpd y relayd
Por el 22 de Abril de 2022
Web Key Directory (WKD) ofrece una forma fácil de conseguir la llave pública OpenPGP para una determinada dirección de correo, distribuyendo esta llave a través de un servidor web.
Publicado OpenBSD 7.1
Por el 21 de Abril de 2022
Theo de Raadt ha anunciado el lanzamiento de OpenBSD 7.1, correspondiente a la quincuagésimo segunda edición, la cual incluye numerosas mejoras en prácticamente todas las áreas del sistema.
Registro DNS OPENPGPKEY
Por el 19 de Abril de 2022
El registro de recurso DNS OPENPGPKEY permite publicar claves públicas en formato OpenPGP a través del servidor DNS mediante un tipo de registro especial. Aquí explico como se configura en un sistema OpenBSD que funciona con el servidor DNS NSD.