1 |
chiguire 08/10/11 22:33:10 |
2 |
|
3 |
Modified: openssh-key-management-p3.xml |
4 |
Log: |
5 |
revised spanish translation--spellchecking is not an evil practice |
6 |
|
7 |
Revision Changes Path |
8 |
1.2 xml/htdocs/doc/es/articles/openssh-key-management-p3.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/articles/openssh-key-management-p3.xml?rev=1.2&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/articles/openssh-key-management-p3.xml?rev=1.2&content-type=text/plain |
12 |
diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/es/articles/openssh-key-management-p3.xml?r1=1.1&r2=1.2 |
13 |
|
14 |
Index: openssh-key-management-p3.xml |
15 |
=================================================================== |
16 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/es/articles/openssh-key-management-p3.xml,v |
17 |
retrieving revision 1.1 |
18 |
retrieving revision 1.2 |
19 |
diff -u -r1.1 -r1.2 |
20 |
--- openssh-key-management-p3.xml 11 Oct 2008 21:58:21 -0000 1.1 |
21 |
+++ openssh-key-management-p3.xml 11 Oct 2008 22:33:10 -0000 1.2 |
22 |
@@ -1,5 +1,5 @@ |
23 |
<?xml version = '1.0' encoding = 'UTF-8'?> |
24 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/articles/openssh-key-management-p3.xml,v 1.1 2008/10/11 21:58:21 chiguire Exp $ --> |
25 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/es/articles/openssh-key-management-p3.xml,v 1.2 2008/10/11 22:33:10 chiguire Exp $ --> |
26 |
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> |
27 |
|
28 |
<guide link="/doc/es/articles/openssh-key-management-p3.xml" disclaimer="articles" lang="es"> |
29 |
@@ -12,9 +12,9 @@ |
30 |
</author> |
31 |
|
32 |
<abstract> |
33 |
-En este tercer artículo de la serie, Daniel Robbins muesta como |
34 |
-mejorar las conexiones del agente OpenSSH. Así como las recientes |
35 |
-mejoras en el guión de consola keychain. |
36 |
+En este tercer artículo de la serie, Daniel Robbins muestra como |
37 |
+mejorar las conexiones del agente OpenSSH, así como las recientes |
38 |
+mejoras en el guión keychain. |
39 |
</abstract> |
40 |
|
41 |
<!-- La versión original de este artículo fue publicada por IBM |
42 |
@@ -48,14 +48,14 @@ |
43 |
</p> |
44 |
|
45 |
<p> |
46 |
-Desde la Parte 2 publicada en developWorks en Septiembre de 2001, y |
47 |
-más tarde referenciados en Slashdot y Freshmeat (vease <uri |
48 |
+Desde la Parte 2 publicada en developerWorks en Septiembre de 2001, y |
49 |
+más tarde referenciados en Slashdot y Freshmeat (véase <uri |
50 |
link="#recursos">Recursos</uri> más adelante en este artículo los |
51 |
enlaces a estos sitios), muchas personas han empezado a usar keychain, |
52 |
y le han realizado algunos cambios, he recibido sobre unos 20 parches |
53 |
de gran calidad de desarrolladores de todo el mundo. He incorporado |
54 |
muchos de estos parches al código de keychain, que está ahora en la |
55 |
-versión 1.8 (vea <uri link="#recursos">Recursos</uri>). Envío mis más |
56 |
+versión 1.8 (vea <uri link="#recursos">Recursos</uri>). Envío mis más |
57 |
sincero agradecimiento a todos aquellos que enviaron parches, informes |
58 |
de errores, y notas de agradecimiento. |
59 |
</p> |
60 |
@@ -75,10 +75,10 @@ |
61 |
recibí un e-mail de Charles Karney de Sharnof Corporation, que |
62 |
amablemente me informó de las nuevas habilidades del nuevo agente |
63 |
intermedio de validación de OpenSSH, le echaremos un vistazo en |
64 |
-breve. Además, Charles hizo incapié que la ejecución de ssh-agent en |
65 |
+breve. Además, Charles hizo hincapié que la ejecución de ssh-agent en |
66 |
máquinas poco fiables es muy peligroso: si alguien logra acceso como |
67 |
-root en el sistema, entonces sus claves descifradas puedes ser |
68 |
-extraidas desde ssh-agent. Aunque la extracción de las claves sería |
69 |
+superusuario en el sistema, entonces sus claves descifradas puedes ser |
70 |
+extraídas desde ssh-agent. Aunque la extracción de las claves sería |
71 |
algo difícil, está dentro de las habilidades de los crackers |
72 |
profesionales. Y ante mero hecho de que el robo de la clave privada |
73 |
sea medianamente posible deberemos tomar medidas en primer lugar para |
74 |
@@ -88,24 +88,24 @@ |
75 |
<p> |
76 |
Para formular una estrategia para proteger nuestras claves privadas, |
77 |
debemos primero poner las máquinas a las que accedemos dentro de una |
78 |
-de dos categorías. Si un host particular está bien asegurado o |
79 |
-aislado -- siendo poco probable el acceso con éxito del root por medio |
80 |
-de una vulnerabilidad -- entonces la máquina debe ser considerada un |
81 |
-host de confianza. Sin embargo, si una máquina es usada por muchas |
82 |
-personas o si tiene alguna duda acerca de la seguridad del sistema, |
83 |
-entonces la máquina debería ser considerada como un host no |
84 |
-confiable. De esta manera, incluso si la seguridad del sistema se ve |
85 |
-comprometida, en primer lugar no habrá un ssh-agent a mano del intruso |
86 |
-para extraer las claves. |
87 |
+de dos categorías. Si un anfitrión particular está bien asegurado o |
88 |
+aislado -- siendo poco probable el acceso con éxito del superusuario |
89 |
+por medio de una vulnerabilidad -- entonces la máquina debe ser |
90 |
+considerada un anfitrión de confianza. Sin embargo, si una máquina es |
91 |
+usada por muchas personas o si tiene alguna duda acerca de la |
92 |
+seguridad del sistema, entonces la máquina debería ser considerada |
93 |
+como un anfitrión no confiable. De esta manera, incluso si la |
94 |
+seguridad del sistema se ve comprometida, en primer lugar no habrá un |
95 |
+ssh-agent a mano del intruso para extraer las claves. |
96 |
</p> |
97 |
|
98 |
<p> |
99 |
Sin embargo, esto crea un problema, si no se puede ejecutar ssh-agent |
100 |
-en hosts no confiables, entonces ¿como podemos establecer conexiónes |
101 |
+en anfitriones no confiables, entonces ¿como podemos establecer conexiones |
102 |
ssh, sin contraseñas y seguras en estos sistemas? La respuesta es usar |
103 |
-solamente ssh-agent y keychain en hosts confiables, y usar la nueva |
104 |
+solamente ssh-agent y keychain en anfitriones confiables, y usar la nueva |
105 |
capacidad de OpenSSH de validación intermedia para extender la |
106 |
-validación sin contraseña en los hosts inseguros. En pocas palabras, |
107 |
+validación sin contraseña en los anfitriones inseguros. En pocas palabras, |
108 |
el trabajo de la validación intermedia es permitir a las sesiones ssh |
109 |
remotas contactar con un ssh-agent que esté ejecutándose en un sistema |
110 |
confiable. |
111 |
@@ -114,7 +114,7 @@ |
112 |
</section> |
113 |
|
114 |
<section> |
115 |
-<title>Agente de vaiidación intermedia</title> |
116 |
+<title>Agente de validación intermedia</title> |
117 |
<body> |
118 |
|
119 |
<p> |
120 |
@@ -131,14 +131,15 @@ |
121 |
máquinas confiables y no confiables"/> |
122 |
|
123 |
<p> |
124 |
-El problema con este enfoque es que si alguien consigue acceso de root |
125 |
-en notrust1 o notrust2, entonces, por supuesto, es posible que estas |
126 |
-personas extraigan las claves desde el ahora vulnerable proceso |
127 |
-ssh-agent. Para solucionar este problema, drobbins para la ejecución |
128 |
-de ssh-agent y keychain en los inseguros hosts notrust1 y notrust2. De |
129 |
-hecho, es incluso más cuidadoso, drobbins decide usar solamente |
130 |
-ssh-agent y keychain en lappy. Esto limita la exposición de sus claves |
131 |
-privadas descifradas, protegiéndolas contra el robo. |
132 |
+El problema con este enfoque es que si alguien consigue acceso de |
133 |
+superusuario en notrust1 o notrust2, entonces, por supuesto, es |
134 |
+posible que estas personas extraigan las claves desde el ahora |
135 |
+vulnerable proceso ssh-agent. Para solucionar este problema, drobbins |
136 |
+para la ejecución de ssh-agent y keychain en los inseguros anfitriones |
137 |
+notrust1 y notrust2. De hecho, es incluso más cuidadoso, drobbins |
138 |
+decide usar solamente ssh-agent y keychain en lappy. Esto limita la |
139 |
+exposición de sus claves privadas descifradas, protegiéndolas contra |
140 |
+el robo. |
141 |
</p> |
142 |
|
143 |
<figure link="/images/docs/l-ssh-4.jpg" caption="ssh-agent ejecutándose |
144 |
@@ -147,7 +148,7 @@ |
145 |
<p> |
146 |
Por supuesto, el problema con este enfoque es que drobbins solamente |
147 |
puede establecer conexiones sin contraseña desde lappy. Veamos como |
148 |
-habilitar la validacion intermedia y solucionar este problema. |
149 |
+habilitar la validación intermedia y solucionar este problema. |
150 |
</p> |
151 |
|
152 |
<p> |
153 |
@@ -198,19 +199,19 @@ |
154 |
Si intenta una configuración similar y se da cuenta que la transmisión |
155 |
no funciona, pruebe utilizando <c>ssh -A</c> en lugar del anterior ssh |
156 |
a secas para habilitar explícitamente la validación intermedia. Aquí |
157 |
-hay un driagrama sobre lo que sucede detrás del escenario cuando |
158 |
+hay un diagrama sobre lo que sucede detrás del escenario cuando |
159 |
accedemos a trustbox y notrust1 usando la validación intermedia: |
160 |
</p> |
161 |
|
162 |
<figure link="/images/docs/l-ssh-5.jpg" caption="Agente intemedio en acción"/> |
163 |
|
164 |
<p> |
165 |
-Como puede ver, cuando ssh conecta a trustbox, mantuiene una conexión |
166 |
+Como puede ver, cuando ssh conecta a trustbox, mantiene una conexión |
167 |
con el ssh-agent ejecutado en lappy. Cuando una conexión ssh se |
168 |
-realiza desde trustbox hacia notrust1, este nuevo proceso ssh mantenie |
169 |
+realiza desde trustbox hacia notrust1, este nuevo proceso ssh mantiene |
170 |
la conexión validada por el anterior ssh, extendiendo la cadena de |
171 |
-manera efectiva. Si esta cadena de validacion puede ser extendida más |
172 |
-allá de notrust1 a otros hosts depende de como |
173 |
+manera efectiva. Si esta cadena de validación puede ser extendida más |
174 |
+allá de notrust1 a otros anfitriones depende de como |
175 |
<path>/etc/ssh/ssh_config</path> en notrust1 esté configurado. Mientas |
176 |
el agente intermedio este habilitado, todas las partes de la cadena |
177 |
serán capaces de validarse usando el ssh-agent ejecutado en el seguro |
178 |
@@ -225,7 +226,7 @@ |
179 |
|
180 |
<p> |
181 |
La validación intermedia ofrece una serie de ventajas de seguridad no |
182 |
-mostradas. Para convencerme de la importancia del agente de conexión |
183 |
+mostradas. Para convencerme de la importancia del agente de conexión |
184 |
intermedia, Charles Karney ha compartido conmigo estas tres conceptos |
185 |
de seguridad: |
186 |
</p> |
187 |
@@ -238,7 +239,7 @@ |
188 |
</li> |
189 |
<li> |
190 |
ssh-agent sólo se ejecuta en la máquina de confianza. Esto evita |
191 |
- que un intruso reealice un volcado de memoria de un proceso |
192 |
+ que un intruso realice un volcado de memoria de un proceso |
193 |
ssh-agent remoto y entonces extraiga su clave descifrada desde el |
194 |
volcado. |
195 |
</li> |
196 |
@@ -250,7 +251,7 @@ |
197 |
</ol> |
198 |
|
199 |
<p> |
200 |
-El incoveniente de confiar en el agente de validación intermedio es |
201 |
+El inconveniente de confiar en el agente de validación intermedio es |
202 |
que no resuelve el problema que permita a los cron jobs aprovechar la |
203 |
validación RSA/DSA. Una solución a este problema es crear todos los |
204 |
cron jobs que necesiten la validación RSA/DSA para que sean ejecutados |
205 |
@@ -280,32 +281,32 @@ |
206 |
fichero <path>~/.ssh-agent</path>; el nombre de este fichero ha |
207 |
cambiado a <path>~/.ssh-agent-[hostname]</path> de modo que keychain |
208 |
puede trabajar con los directorios home montados por NFS para que se |
209 |
-puedan acceder desde varios hosts físicos. Además del fichero |
210 |
+puedan acceder desde varios anfitriones físicos. Además del fichero |
211 |
<path>~/.ssh-agent-[hostname]</path>, ahora hay un fichero |
212 |
<path>~/.ssh-agent-csh-[hostname]</path> que puede ser leído por |
213 |
-consolas csh y compatibles. Po último, una nueva opción |
214 |
+consolas csh y compatibles. Por último, una nueva opción |
215 |
<c>--nocolor</c> ha sido añadida a fin de que la característica |
216 |
coloración pueda ser desactivada en caso de que se utilice un terminal |
217 |
-no compatilble vt100. |
218 |
+no compatible vt100. |
219 |
</p> |
220 |
</body> |
221 |
</section> |
222 |
|
223 |
<section> |
224 |
-<title>Correcciones de compatibilidas de la consola</title> |
225 |
+<title>Correcciones de compatibilidades de la consola</title> |
226 |
<body> |
227 |
|
228 |
<p> |
229 |
Si bien la funcionalidad de las mejoras han sido importantes, la gran |
230 |
-mayoría de las correciones se han ocupado de los problemas de |
231 |
-compatibilidad de la consola. Verá, mientras keychain 1.0 requiere de |
232 |
+mayoría de las correcciones se han ocupado de los problemas de |
233 |
+compatibilidad de la consola. Verá, mientras keychain 1.0 requiere de |
234 |
bash, versiones posteriores fueron cambiadas para trabajar con |
235 |
cualquier consola compatible con sh. Este cambio permite a keychain |
236 |
trabajar "de forma poco común" en casi cualquier sistema UNIX, |
237 |
incluyendo Linux, BSD, Solaris, IRIX, y AIX así como de otras |
238 |
plataformas UNIX. Si bien la transición a sh y a la compatibilidad |
239 |
general UNIX ha sido un camino lleno de baches, también ha sido una |
240 |
-tremenda experiencia de aprendizaje. La creación de un único guión |
241 |
+tremenda experiencia de aprendizaje. La creación de un único guión |
242 |
que funcione en todas estas plataformas ha sido muy difícil, |
243 |
principalmanete por mi, ¡sencillamente no tengo acceso a la mayoría de |
244 |
estos sistemas operativos!. Afortunadamente, lo hicieron los usuarios |
245 |
@@ -320,9 +321,9 @@ |
246 |
integraba expresiones y operadores que estuvieran plenamente |
247 |
soportados bajos todas las implementaciones de sh, incluyendo todas |
248 |
las consolas sh populares libres y las comerciales UNIX, zsh (en modo |
249 |
-compatible sh), y las versiones 1 y 2 de bash. Estos son algunas de |
250 |
-las correciones de compatilibilidad de consola enviadas por los |
251 |
-usuarios que fueron aplicadas al código funete de keychain: |
252 |
+compatible sh), y las versiones 1 y 2 de bash. Estos son algunas de |
253 |
+las correcciones de compatibilidad de consola enviadas por los |
254 |
+usuarios que fueron aplicadas al código fuente de keychain: |
255 |
</p> |
256 |
|
257 |
<p> |
258 |
@@ -338,8 +339,8 @@ |
259 |
</pre> |
260 |
|
261 |
<p> |
262 |
-A continuaciòn, todas las referencias al código fuente fueron |
263 |
-cambiadas por un . para asegurar la compatibilidad con la purista |
264 |
+A continuación, todas las referencias al código fuente fueron |
265 |
+cambiadas por un . para asegurar la compatibilidad con la purista |
266 |
/bin/sh de NetBSD, que no es compatible con el comando source: |
267 |
</p> |
268 |
|
269 |
@@ -366,11 +367,11 @@ |
270 |
<p> |
271 |
Sobre la base de usar la sintaxis interna de la consola en lugar de un |
272 |
binario externo, un fork() es evitado y el guión se convierte en algo |
273 |
-más eficiente. > foo debería trabajar con cualquier consola |
274 |
-compatible sh; sin embargo, no parece estar soportado por ash. Esto no |
275 |
-debería ser un problema para la mayoría de la gente, ya que ash es una |
276 |
-consola para un disco de recuperación en lugar de algo que la gente |
277 |
-use en el día a día básico. |
278 |
+más eficiente. > foo debería trabajar con cualquier consola compatible |
279 |
+sh; sin embargo, no parece estar soportado por ash. Esto no debería |
280 |
+ser un problema para la mayoría de la gente, ya que ash es una consola |
281 |
+para un disco de recuperación en lugar de algo que la gente use en el |
282 |
+día a día básico. |
283 |
</p> |
284 |
</body> |
285 |
</section> |
286 |
@@ -381,7 +382,7 @@ |
287 |
|
288 |
<p> |
289 |
Obtener un guión que trabaje en múltiples sistemas operativos UNIX |
290 |
-requiere algo más que ceñirse a la sintaxix pura de sh. Recuerde que, |
291 |
+requiere algo más que ceñirse a la sintaxis pura de sh. Recuerde que, |
292 |
la mayoría de los guiones también hacen llamadas a comandos externos, |
293 |
tales como grep, awk, ps, y otros, y estos comandos deben ser llamados |
294 |
de una manera compatible en la medida de lo posible. Por ejemplo, |
295 |
@@ -422,7 +423,7 @@ |
296 |
<p> |
297 |
Probablemente, la más significativa revisión de compatibilidad ha |
298 |
implicado cambios en como keychain detecta los actuales procesos |
299 |
-ssh-agent en ejecución. Anteriormente yo estaba usando el comando |
300 |
+ssh-agent en ejecución. Anteriormente yo estaba usando el comando |
301 |
pidof para hacerlo, pero he tenido que eliminarlo desde que varios |
302 |
sistemas no tienen un pidof. Realmente, pidof no es la mejor solución |
303 |
de todos modos, ya que lista todos los procesos ssh-agent ejecutándose |
304 |
@@ -432,7 +433,7 @@ |
305 |
</p> |
306 |
|
307 |
<p> |
308 |
-Así que, en lugar de depender de pidof, pasamos sobre las tuberias de |
309 |
+Así que, en lugar de depender de pidof, pasamos sobre las tuberías de |
310 |
la salida ps a grep y awk con el fin de extraer el proceso ids |
311 |
necesario. Esto es un arreglo enviado por un usuario: |
312 |
</p> |
313 |
@@ -534,10 +535,10 @@ |
314 |
<body> |
315 |
|
316 |
<p> |
317 |
-Con este artículo concluye mi covertura de OpenSSH. Afortunadamente, |
318 |
+Con este artículo concluye mi cobertura de OpenSSH. Afortunadamente, |
319 |
ha aprendido lo suficiente para empezar a utilizar OpenSSH para |
320 |
asegurar sus sistemas. El próximo mes continuaré con la serie de |
321 |
-articulos con la "Guía avanzada de implementación de ficheros" |
322 |
+artículos con la "Guía avanzada de implementación de ficheros" |
323 |
</p> |
324 |
</body> |
325 |
</section> |