LinuxAE

Distribución GNU/Linux para el uso de la Administración Electrónica


Estás viendo la versión 5 de LinuxAE, mucha de la literatura e instrucciones de la versión 4 sigue siendo válida.

LinuxAE versión 5

La versión 5 de la máquina virtual de linux para la Administración Electrónica será un poco diferente, ya que la distribuiré también como playbook de Ansible para crear tu propia máquina lista para la Administración Electrónica.

Ansible [1] es una herramienta simple y potente de gestión declarativa de configuraciones de todo tipo de máquinas. Un playbook es una receta, una serie de expresiones en un lenguaje declarativo específico que expresa el estado de configuración de un ordenador en un momento dado, con esta herramienta se pueden realizar instalaciones de software, gestión de ficheros de configuración, activación de reglas de firewall y un largo sinfín de cosas que se implementan en módulos Python.

Distribuir, no la máquina virtual, sino la receta, permite incrementar la transparencia de este software, permite recibir actualizaciones (solo tendría que actualizar el playbook), permite personalizaciones y aumenta la flexibilidad en cuanto a donde instalarla, algunos ejemplos son:

  • Una máquina virtual: Virtualbox, KVM, Xen, Vmware, Hyper-V [2]
  • Tu propia máquina, si ya tienes Debian 9 o 10
  • Una máquina física aparte que solo quieras usar para tareas de administración electrónica, etc.

Software en la versión 5

En cuanto al software que queda instalado, por primera vez tengo una versión que funciona con software 100% libre, ya que la versión de Java es OpenJDK 11:

  • La ejecución del playbook funcionará en Debian 9 o 10 de 64 bit. Mi elección es Debian 10 64 bit con XFCE [3]
  • Open JDK 11
  • Autofirma 1.6.5
  • Librería acceso multicard FNMT (tarjetas criptográficas certificados fnmt y DNI electrónico)
  • Sin applets para @Firma, porque los applets son cosa del pasado remoto y OpenJDK no distribuye plugin para el navegador y hace tiempo que deberían estar olvidados. Si alguna administración no se ha integrado con Autofirma, ínstales a hacerlo, o acude a LinuxAE 4

Software en la versión 5.1

Funciona con OpenJDK 8 y las versiones del resto de componentes son:

  • Autofirma 1.6.5
  • Librería acceso multicard FNMT y opción librería de Policía exclusiva DNIe
  • Programas de gestión de los certificados en tarjeta criptográfica, de cambio de PIN y de desbloqueo del PIN

Instalación / Actualización

Opción 1. Imagen virtualizada OVA para VirtualBox

Primera instalación

La imagen virtualizada no es más que aplicar el playbook de Ansible (ver "instalar en Debian") a una instalación limpia de Debian sobre VirtualBox. Si no quieres realizar el proceso la puedes descargar con BitTorrent.

Todos los pasos relativos a la importación, configuración y uso de la imagen en VirtualBox los encontrarás en la documentación de la versión 4

Actualización

Abre un terminal, cambia al directorio donde está clonado el repositorio con cd ~/linuxae y sigue los pasos de actualización

Opción 2. Instalar en Debian

Es necesario haber abierto Firefox al menos una vez antes de realizar los pasos del playbook, porque de esta manera creará el perfil de usuario con todos los ficheros de seguridad que hacen falta. Así que ahora sería un buen momento para abrirlo, si es un sistema recien instalado.

Aquí debes decidir entre instalar LinuxAE 5 o 5.1. Notas de la versión 5.1: https://danielside.nom.es/2021/06/05/llega-linuxae-5-1/

Lo más recomendable es partir de una máquina limpia Debian 10. En Debian 9 también funciona perfectamente pero la versión de Ansible que empaqueta es demasiado antigua y hay que instalarlo manualmente desde los repositorios, siguiendo las instrucciones de su web [4]. En lo sucesivo voy a asumir Debian 10.

Primera instalación

Abrir una terminal y hacer lo siguiente:

  • su
  • apt-get install ansible git

En un terminal diferente, como usuario normal, hacer:

  • git clone https://gitlab.com/danielside/linuxae.git
  • cd linuxae
  • Opcional, para la versión 5.1: git checkout v5.1
  • cp linuxaeparam.yml.dist linuxaeparam.yml

Lo mínimo que debemos editar de linuxaeparam.yml es el nombre de usuario para el cual queremos realizar la instalación, ya que el playbook tendrá que acceder a su directorio home para crear accesos directos y acceder al perfil de Firefox.

  • cd ~/linuxae

Actualización

Como usuario normal, nos movemos al directorio donde está clonado linuxae y ejecutamos:

  • git fetch
  • git checkout v5.1
  • rm linuxaeparam.yml
  • cp linuxaeparam.yml.dist linuxaeparam.yml

Lo mínimo que debemos editar de linuxaeparam.yml es el nombre de usuario para el cual queremos realizar la instalación, ya que el playbook tendrá que acceder a su directorio home para crear accesos directos y acceder al perfil de Firefox.

Instalación/actualización de la versión elegida

Ahora vamos a volver al terminal de root y movernos al directorio donde se ha clonado el playbook, porque la instalación debe hacerse como root:

Antes de comenzar, advertir que por defecto el playbook desinstala todo rastro de Java para poder instalar OpenJDK y que sea la única en el sistema. El problema de esto es que LibreOffice tiene Java 8 como dependencia y por tanto LibreOffice desaparecerá (siempre puedes instalarlo más tarde usando el software descargado desde su web). Para realizar la instalación por defecto, es muy conveniente cerrar todas las ventanas de Firefox y luego (siendo root o con sudo):

  • ansible-playbook makemelinuxae.yml

Si estás instalando LinuxAE5 en tu propia máquina y te la quieres jugar sin quitar Java 8:

  • ansible-playbook makemelinuxae.yml --skip-tags="javauninstall"

Después de un rato tenemos nuestra máquina LinuxAE5. Queda un último paso que no se puede realizar de manera automatizada (o al menos no he encontrado la manera). Es la instalación del módulo de seguridad del DNI electrónico en Firefox. Lo usa firefox cuando quieres identificarte usando el DNI, pero no es necesario para firmar con el DNI usando Autofirma (Nota junio 2021: este problema ha quedado resuelto en LinuxAE 5.1). Para instalarlo:

  • Abrir Preferencias
  • Privacidad y Seguridad
  • Scroll hasta el final de la página
  • Dispositivos de seguridad
  • Cargar
  • Poner un nombre descriptivo como "DNIe" (no importa el nombre) e introducir la ruta /usr/lib/libpkcs11-fnmtdnie.so

La gran mayoría de pasos de configuración de LinuxAE 4 te van a valer para la nueva versión. Los pasos para añadir el certificado fnmt a Java ya no son relevantes, porque no hay panel de control, ni de hecho hace falta añadirlos. También comentar que esta versión no configura firewall ni módulos firefox, aunque recomiendo que lo hagas por tu cuenta.

Problemas conocidos

Si decides instalar en firefox el módulo de seguridad para permitir usar el DNI electrónico para identificarte, AutoFirma accederá al DNI electrónico por duplicado a la hora de buscar certificados, ya que usa los almacenes de Firefox.

Para evitarlo, asegúrate de tener siempre habilitado el check de "Recordar contraseña durante la sesión" cuando te lo pida la primera vez. Tal y como se ve en la captura de arriba.

Más información

Entradas publicadas en mi web relativas al proyecto