LinuxAE

Distribución GNU/Linux para el uso de la Administración Electrónica


Manual de configuración de LinuxAE

Algunos pasos importantes para comenzar a usar LinuxAE y otros opcionales. A lo largo del manual aparecerán vídeos, si tu navegador no te permite verlos, aparecerá un enlace para su descarga y que los puedas ver desde tu ordenador, por ejemplo con VLC [1]


Consejos sobre VirtualBox

Aunque la configuración de VirtualBox puede diferir en función del sistema operativo anfitrión (el de tu ordenador), aquí damos algunas directrices generales.

Añadir capacidad

Antes de iniciar LinuxAE puedes hacer algunos cambios en la configuración en función de los recursos de tu sistema. Por ejemplo, aumentar la memoria RAM dedicada, que será el parámetro más importante para su funcionamiento fluido. En el vídeo de la página de inicio dedicado a la instalación se ve como se accede a la configuración y se puede modicar la memoria dedicada.

Pasar a pantalla completa

Durante el uso normal es recomendable que, para trabajar, pases al modo de pantalla completa de VirtualBox. Para ello puedes pulsar Ctrl-Derecho+F o bien ir al menú de la ventana de VirtualBox y seleccionar Ver > Cambiar a pantalla completa

Acceso a dispositivos USB

Tanto para acceder a archivos o guardarlos en un pendrive USB o disco duro como para instalar un lector de tarjetas (DNI electrónico) necesitarás que VirtualBox tenga acceso a tus dispositivos USB. En función del sistema operativo de tu ordenador puede ser que haga falta realizar algún paso adicional para esto. Por ejemplo, en GNU/Linux debes añadir tu usuario al grupo "vboxusers", cerrar la sesión y volver a iniciarla. En tu buscador favorito puedes encontrar información de como hacer que VirtualBox vea tus dispositivos USB conectados.

Para que LinuxAE tome el control del dispositivo (pendrive, disco duro, lector dnie) simplemente conéctalo a tu ordenador como siempre. A continuación -debes salir del modo de pantalla completa primero- ve a Dispositivos > Dispositivos USB y allí -si está todo bien configurado según el párrafo anterior- encontrarás el dispositivo. Pulsa sobre el mismo y a continuación verás como linuxae lo detectará. Ahora ya lo podrás ver en el navegador de archivos o usar para el DNIe si es el caso (se puede ver más adelante en el vídeo de configuración de los certificados).

Configuración opcional

Una serie de pasos orientados principalmente a la seguridad. El primero es muy recomendable, que es cambiar la contraseña de ciudadano por una más segura. Los siguientes están orientados a tener un entorno muy seguro de navegación, aunque no están activados por defecto para no interferir en el funcionamiento general.

Cambio de la contraseña

Es conveniente cambiar la contraseña del usuario ciudadano (por defecto ciudadano) y la contraseña de root (por defecto también ciudadano). En el siguiente vídeo podemos observar el procedimiento.

La contraseña del usuario ciudadano se cambia accediendo a Sistema > Preferencias > Acerca de mi > Cambiar contraseña. Para cambiar la contraseña de root es necesario emplear un terminal. Es importante no olvidar ninguna de estas contraseñas.

Firewall

El firewall o cortafuegos está configurado para denegar todas las conexiones hacia LinuxAE y denegar también todas las conexiones salientes, con las siguientes excepciones:

  • Conexiones salientes al puerto 80 (para acceder a páginas http)
  • Conexiones salientes al puerto 443 (para acceder a páginas https)
  • Conexiones salientes al puerto 53 (para usar el DNS)

Es lo mínimo que se necesita para navegar y va a funcionar el 99,99% de los sitios, pero aun así me he encontrado con servicios configurados en algún puerto raro, así que si notas algún problema puedes optar por:

  • Permitir todas las conexiones salientes en el firewall (fácil pero inseguro)
  • Averiguar a qué puerto se intenta conectar el servicio que no funciona y permitirlo (no tan fácil, mucho más seguro)

A continuación tenemos dos vídeos. En el primero de ellos se permiten todas las conexiones salientes para resolver por la via fácil y en el segundo se averigua la IP y puerto del servicio inaccesible para permitir el acceso a él.

Activación de NoScript

El navegador de LinuxAE lleva una extensión cargada pero inactiva, NoScript, que simplemente desactiva todos los programas Javascript de cualquier página, mientras no la añadas a una lista blanca. Es el modo más seguro y rápido de navegar. A continuación vemos como activarla y como sería el proceso para permitir los scripts en una página. Los permisos se pueden dar a nivel de origen de los scripts (y así puedes por ejemplo permitir los de la página que te interesa y olvidarte de los demás) o a nivel de toda la página, para complicarte menos.

Configuración de los certificados

Los pasos que realmente hay que dar para empezar a operar son éstos, aunque recomiendo al menos cambiar la contraseña por defecto del usuario ciudadano, en el apartado de Seguridad.

Certificado FNMT

Si no cuentas ya con él, es muy recomendable obtener un certificado criptográfico de la FNMT. Es un archivo que se obtiene una vez has confirmado tu identidad en alguna oficina de la Administración y sirve prácticamente para lo mismo que el DNI electrónico. Si no lo tienes, dirígete en LinuxAE a la sede electrónica de la FNMT [2] para averiguar como obtenerlo.

Firefox

Hay extensa documentación de como instalar un .p12 como el de la FNMT en el navegador web. Hay que ir a Preferencias > Avanzado > Certificados > Ver certificados > sus certificados > botón Importar.... Nos centraremos en la instalación del mismo certificado directamente en Java, que es necesario para las notificaciones de la Dirección Electrónica Habilitada del 060. Aunque en el vídeo anterior se ve la instalación en ambos sitios.

Java

Hay que añadir el certificado seleccionando previamente Autenticación de Cliente en Tipo de Certificado. Primero se selecciona en el desplegable el tipo de certificado y luego se pulsa el botón Importar y se busca tal y como lo hicimos con el navegador web.

En el escritorio abre Panel de Control de Java. Una vez abierto ve a la pestaña Seguridad y pulsa el botón Certificados...

Hay que añadir el certificado seleccionando previamente Autenticación de Cliente en Tipo de Certificado. Primero se selecciona en el desplegable el tipo de certificado y luego se pulsa el botón Importar y se busca tal y como lo hicimos con el navegador web.

Llegados a este punto -cuando ya hemos seleccionado el certificado- nos van a pedir dos contraseñas. La primera es la que sirve para abrir el archivo .p12 que contiene el certificado, que es el que nos da la FNMT o bien el que hemos exportado desde el navegador. La segunda es una contraseña nueva que usará Java para el acceso al almacén de certificados. Aquí lo más práctico es ponerla igual que la contraseña del archivo .p12 y así no habrá confusiones. Es importante porque cuando alguna página intente realizar una operación usando el certificado instalado en Java te pedirá esta segunda contraseña.

Te pide la contraseña del archivo .p12

Te pide CREAR la contraseña del almacén de certificados Java

DNI electrónico

En este caso hay dos tipos de consideraciones, las relativas al lector y su soporte en GNU/Linux, además de su comunicación con VirtualBox, y por otro lado -una vez que funciona lo anterior- el propio día a día de uso del DNIe.

Una vez que hemos conseguido pasarle el lector a la máquina virtual (es indiferente que esté funcionando o no en tu sistema operativo anfitrión) lo primero es asegurarnos de que GNU/Linux reconoce el lector y el DNIe.

Para comprobar su correcto funcionamiento abrimos una consola en la máquina virtual (Aplicaciones > Herramientas de sistemas > Terminal de MATE) y escribimos pcsc_scan. En este punto debería detectar el lector y esperar a la inserción de una tarjeta -en este caso el DNIe- tal y como se observa en la siguiente captura:

Ahora insertamos el DNIe y nos debería salir algo como lo siguiente:

No es necesario hace este procedimiento cada vez, ha sido solo para comprobar que nuestro lector va bien en GNU/Linux, que le hemos pasado el control a LinuxAE y que detecta el DNIe. Si salen los mensajes parecidos a los de la captura anterior, entonces el lector funciona correctamente. Hay que tener en cuenta que todo esto es preferible hacerlo sin ningún otro programa intentando acceder al DNIe. Cuando terminemos y antes de usar el navegador o cualquier otro programa, pulsar Ctrl+C para salir de pcsc_scan

Operativa normal

En el día a día y una vez que tenemos correctamente configurado nuestro lector de tarjetas solo hay un par de cosas que tengamos que tener en cuenta para su uso.

  • El orden en que hacemos las cosas. Primero se conecta el lector al ordenador, luego se le pasa el control a la máquina virtual, después se inserta el DNIe en el lector y finalmente se abre el navegador. Es importante hacer todas las conexiones e insertar el DNIe antes de iniciar Firefox.
  • A veces puede pasar que el navegador no detecte los certificados del DNIe. Lo que se puede intentar es iniciar la sesión con el lector de forma manual. Hay que ir en Firefox a Preferencias > Avanzado > Certificados > Ver certificados. En ese momento debería pedir la contraseña del DNIe (el "PIN"). Si no lo pide algo ha ido mal. Se puede intentar cerrar la sesión (@TODO decir como) para cerrar y volver a abrir el navegador o arreglarlo a la vieja usanza: reinicia LinuxAE

Firefox se comunica con el lector de DNIe estableciendo sesiones. A veces puede ocurrir que no la abra o que ésta quede bloqueada. Para acceder a la gestión de las sesiones hay que ir a Preferencias > Avanzado > Dispositivos de seguridad. Hay que situarse en el dispositivo del DNI electrónico. Si creemos que todo debería estar bien pero no se accede a los certificados podemos probar a terminar la sesión aquí y luevo volver a iniciarla.

¿Qué certificado usar?

El DNIe cuenta con un certificado de autenticación y con otro de firma. En principio, se debería usar el primero para servicios que pidan confirmar tu identidad (por ejemplo, accede a ver un resumen de los puntos del carnet de conducir) y el segundo para realizar solicitudes que requieran firma (por ejemplo, presentar la declaración de la renta).

Esta es la teoría y suele cumplirse, pero me he encontrado con algunos problemas. Uno suele ser que, una vez accedes a una aplicación que primero requiere autenticación y luego requiere firma, eliges obviamente el certificado de autenticación y luego la aplicación parece "olvidarse" del certificado de firma. Así que cuando tienes que firmar, no lo encuentra. Como el que elegiste al principio no sirve para firmar, solo te quedaría disponible el certificado (si lo tienes y si lo admiten). La solución de este problema están en manos del responsable del procedimiento. Deberían listar los certificados disponibles cada vez que se intenta realizar cualquier operación y no solo una vez al principio. Lo que podemos hacer en estos casos es simplemente hacerlo todo con el certificado y, por supuesto, encontrar la manera de contactar con la persona responsable y quejarnos educadamente.

Otro problema que puede aparecer es que en algunas operaciones de firma, te permite realizarla con el certificado de autenticación y no con el de firma. Aunque esto técnicamente no supone ningún problema, legalmente nunca deberías firmar algo con un certificado que no tiene la firma entre sus propósitos.