Dagorret

Etiqueta: Debian

  • Unbound: el DNS recursivo que domina en entornos ISP

    Unbound: el DNS recursivo que domina en entornos ISP

    Seguridad, velocidad y confiabilidad para redes profesionales.

    Unbound, desarrollado por NLnet Labs, es uno de los resolutores DNS recursivos más usados en ISP, universidades y datacenters. Su foco está en la validación DNSSEC, la recursión directa a la raíz, una caché flexible y un diseño robusto que prioriza estabilidad y seguridad.

    ¿Por qué los ISP eligen Unbound?

    • DNSSEC completo: validación criptográfica del árbol DNS.
    • Recursión directa: no depende de forwarders externos; consulta a raíz y TLD.
    • Caché agresiva y configurable: millones de registros posibles; TTLs ajustables.
    • Prefetch y Serve-expired: respuestas rápidas incluso si los autoritativos están lentos.
    • Protecciones integradas: hardening contra envenenamiento de caché, amplificación y NXDOMAIN floods.
    • Arquitectura modular: módulos como subnetcache (ECS), cachedb (Redis/LMDB), python, dnstap.

    Distribuciones recomendadas para producción

    En servidores, la consistencia y el soporte a largo plazo son clave. Por eso:

    • Debian / Ubuntu Server: estables, automatizables (systemd, apt) y con versiones de Unbound bien mantenidas.
    • Rocky Linux / AlmaLinux / RHEL: base empresarial, kernel y toolchain confiables, actualizaciones previsibles.
    • No recomendado: Arch Linux: su modelo rolling release puede introducir cambios de librerías o kernel que afecten la estabilidad en producción. Para servidores DNS, priorizá stability over novelty.

    Instalación rápida en Debian / Ubuntu Server

    Comandos listos para copiar y pegar:

    sudo apt update
sudo apt install unbound -y
sudo wget -O /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache
sudo unbound-anchor -a "/var/lib/unbound/root.key"
sudo systemctl enable --now unbound
sudo systemctl status unbound

    Ubicaciones útiles:

    • Configuración: /etc/unbound/unbound.conf
    • Validación de configuración: unbound-checkconf
    • Control y estadísticas: unbound-control
    • Logs: journalctl -u unbound

    Instalación rápida en Rocky Linux / AlmaLinux / RHEL

    Comandos listos para copiar y pegar:

    sudo dnf install unbound -y
sudo curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache
sudo unbound-anchor -a "/var/lib/unbound/root.key"
sudo systemctl enable --now unbound
sudo systemctl status unbound

    Ubicaciones útiles:

    • Configuración: /etc/unbound/unbound.conf
    • Validación de configuración: unbound-checkconf
    • Logs: journalctl -u unbound

    Buenas prácticas de ajuste (opcional)

    • Buffers y MTU: usar edns-buffer-size y max-udp-size a 1232 para evitar fragmentación.
    • Concurrencia: ajustar num-threads, outgoing-range y num-queries-per-thread según CPU.
    • Caché: ampliar rrset-cache-size y msg-cache-size para reducir recursiones.
    • Monitoreo: observar requestlist.exceeded, num.queries_timed_out y tiempos de recursión.

    Conclusión: Unbound ofrece un balance excelente entre rendimiento, seguridad y estabilidad. Para servidores en producción, preferí Debian o Rocky Linux. No recomiendo Arch en este rol por su carácter rolling y la posibilidad de cambios disruptivos.

  • Por qué uso Arch Linux (y GNOME) en mi escritorio y Debian en mis servidores

    Por qué uso Arch Linux (y GNOME) en mi escritorio y Debian en mis servidores

    Uso Arch Linux en mi desktop porque me permite trabajar exactamente como quiero. No es un sistema pensado para esconderte las tripas del software, sino para dejarte interactuar con ellas. En Arch nada está preconfigurado: cada paquete, cada servicio, cada detalle lo definí yo. Ese proceso —que muchos ven como un obstáculo— es precisamente lo que me da libertad. No tengo que “adaptarme” al sistema; el sistema se adapta a mí.

    Arch es rápido, limpio y predecible. Gracias a su modelo rolling release siempre tengo acceso al software más reciente sin depender de actualizaciones forzadas o versiones intermedias. Y con el AUR instalo lo que necesito —inclusive herramientas de nicho o en desarrollo activo— con la misma simplicidad que si vinieran del repositorio oficial. Además, la Arch Wiki es un recurso invaluable: documentación clara, mantenida por gente que entiende y comparte.

    En servidores, en cambio, uso Debian. Ahí la prioridad es otra: estabilidad y previsibilidad para infraestructura que no puede fallar. Debian es la roca sobre la que corro producción; Arch es el laboratorio donde experimento, desarrollo y aprendo. No son opuestos: se complementan.

    En el escritorio elijo GNOME. Algunos dicen que es “minimalista” o “poco personalizable”; para mí, eso es una virtud. KDE es excelente, pero a mí me sobran los menús y las opciones redundantes. GNOME me ofrece una interfaz limpia, coherente y sin ruidos. Y si quiero personalizar, puedo: lo tengo exactamente a mi gusto.

    Con unas cuantas extensiones, GNOME se comporta casi como un gestor tiling, ideal para desarrollar sin perder foco:

    • Material Shell – transforma el flujo en tiling real, con espacios organizados y navegación por teclado.
    • Pop Shell – mosaico automático y atajos inteligentes inspirados en System76.
    • Tiling Assistant – liviana y suficiente si prefiero mantener el GNOME clásico con mosaicos útiles.
    • Dash to Dock o Dash to Panel – barra y lanzador integrados, más prácticos para el día a día.
    • Just Perfection – afina la interfaz: quito lo que no suma y dejo solo lo que uso.

    Al final, Arch + GNOME no es una pose ni un “porque sí”. Es una forma de trabajo: entender, ajustar, optimizar. Cada actualización me recuerda que sigo al mando; cada extensión, que puedo construir el entorno que necesito. Vuelvo a Arch todos los días por lo mismo que enseño en el aula: cuando entendés cómo funciona, lo podés mejorar. Y cuando lo mejorás, también te mejora a vos.

  • Debian y su postura con el firmware no libre

    Debian y su postura con el firmware no libre

    Los desarrolladores de Debian han estado pensando en una postura actualizada para adoptar firmware que no sea libre considerando el creciente número de dispositivos que ahora tienen controladores Linux de código abierto pero que requieren firmware de código cerrado para cualquier nivel de funcionalidad. 

    La votación sobre el asunto del firmware no libre ahora ha concluido y los votos se han contado…

    Debian vota la opción 5 como ganadora: ” Cambiar SC por firmware no libre en el instalador, un instalador “

    Según Debian Wiki , esa opción equivale a :

    El contrato social de Debian se reemplaza con una nueva versión que es idéntica a la versión actual en todos los aspectos, excepto que agrega la siguiente oración al final del punto 5:”Los medios oficiales de Debian pueden incluir firmware que de otro modo no formaría parte de Debian” para habilitar el uso de Debian con hardware que requiere dicho firmware”. El Proyecto Debian también hace la siguiente declaración sobre un tema del día:Incluiremos paquetes de firmware no libres de la sección “firmware no libre” del archivo de Debian en nuestros medios oficiales (imágenes de instalación e imágenes en vivo). Los binarios del firmware incluidos normalmente estarán habilitados de forma predeterminada cuando el sistema determine que son necesarios, pero cuando sea posible, incluiremos formas para que los usuarios deshabiliten esto en el arranque (opción del menú de arranque, línea de comando del kernel, etc.).

    Cuando el instalador/sistema en vivo se esté ejecutando, proporcionaremos información al usuario sobre qué firmware se ha cargado (tanto gratuito como no gratuito), y también almacenaremos esa información en el sistema de destino para que los usuarios puedan encontrarla. Cuando se determine que es necesario un firmware no libre, el sistema de destino también se configurará para usar el componente de firmware no libre de manera predeterminada en el archivo apt sources.list. Nuestros usuarios deberían recibir actualizaciones de seguridad y correcciones importantes para los binarios de firmware como cualquier otro software instalado.Publicaremos estas imágenes como medios oficiales de Debian, reemplazando los conjuntos de medios actuales que no incluyen paquetes de firmware no libres.


    Básicamente, los medios del instalador de Debian ahora podrán incluir firmware no libre y cargarlo/usarlo automáticamente donde sea necesario mientras se informa al usuario.

    Teniendo en cuenta el estado del ecosistema de hardware en estos días, es razonable y de sentido común ya que menos usuarios podrán hacer uso fácilmente de sus tarjetas gráficas, adaptadores de red y más. 

    Además de una serie de mitigaciones de seguridad de la CPU moderna que también requieren el microcódigo de código cerrado actualizado. 

    Así que, en general, estoy personalmente contento con esta decisión, ya que permitirá una experiencia más agradable para Debian en los sistemas modernos y una similar a la que se encuentra con otras distribuciones de Linux.