Reduciendo costos mediante la virtualización

Mucho se habla en estos días sobre la virtualización pero pocos administradores saben utilizarla de forma eficaz para aprovechar los equipos y reducir costos de su datacenter. En esta nota explicaremos a grandes rasgos lo que se logra virtualizando y cual es la reducción estimada que logramos.

La instalación típica de un servidor es asignar a cada equipo un rol y ponerlo en funcionamiento. Los equipos actuales, aunque compremos los más económicos del mercado en gama Servidores, posee un gran poder de procesamiento que para la mayoria de los casos termina siendo muy holgado para el rol del servidor que vamos a instalar, salvo casos específicos.

Me ha tocado ver casos de datacenter con servidores que solo funcionan al 5% de su capacidad, lo cual hace este datacenter nada eficáz en consumo de energía por la cantidad de equipos y por la refrigeración para mantener la temperatura adecuada.

En estos casos la virtualización puede ayudar a reducir hasta un 80% el consumo eléctrico y además puede aprovecharse las ventajas que nos brindan las plataformas virtuales.

Nombremos algunas ventajas de virtualizar:

- Reducción de costes de energia y climatización del datacenter.

- Independencia de hardware.

- Entornos completamente independientes.

- Asignación de recursos a medida.

- Reducción en tiempo de recuperación ante una falla.

- Independencia de Sistemas Operativos.

Pongamos un ejemplo bastante común y práctico para entender mejor. Tenemos un datacenter con 8 servidores físicos. 

2 Controladores de dominio.

1 Servidor de Archivos.

1 Servidor antivirus y Wsus.

1 Servidor Web bajo Linux.

1 Servidor Proxy bajo Linux.

1 Servidor de Correo.

1 Servidor de Backup.

En la mayoria de los casos, con los servidores actuales, el uso de los equipos rondaría el uso en un porcentaje entre el 2% y el 10%, dejando el 90% de los recursos sin utilizar.

Mediante la virtualización podemos instalar los servidores en plataformas virtuales completamente independientes y reducir el número de equipos de 8 a 3.

Podriamos distribuirlo de la siguiente manera:

Equipo 1: - Controlador de dominio

                 - Servidor de archivos

                 - Servidor de Correo

Equipo 2: - Controlador de dominio

                 - Servidor antivirus y Wsus

                 - Servidor proxy

                 - Servidor Web

Equipo 3:  - Servidor backup 

En este caso el equipo 3 además de tener el servidor de backup, queda disponible si tenemos alguna contingencia para aprovechar la tolerancia a fallos.

En este ejemplo, se ha reducido la cantidad de equipos físicos de 8 a 3 sin perder poder de funcionamiento y se redujo la cantidad de energía utilizada en refrigeración.

  

Actualizar Fedora 22 a 23 en cuatro pasos.

Vamos a ver como actualizar Fedora 22 a su nueva versión 23 de manera online.

Anteriormente se utilizaba el comando “fedup” pero esto ha cambiado.

Ahora utilizaremos un plugin, para el sistema de gestión de paquetería por terminal DNF.

DNF permite:

• Instalar paquetes
• Actualizar paquetería
• Instalar repositorios de software
• Remover paquetería
• Des actualizar Paquetería
• Obtener información de paquetes
• Instalaciones de paquetería por medio de grupos
• Realizar una actualización parcial del sistema –> Nueva función.

1- Lo primero será actualizar el sistema y todos sus paquetes.


$ su -c "dnf update"




2-  Instalamos el plugins.

$ su -c "dnf install dnf-plugin-system-upgrade"


3- Descargamos los paquetes

$ su -c "dnf system-upgrade download --releaserver=23 --best"


4- Reiniciamos y actualizamos

$ su -c "dnf system-upgrade reboot"

 

Para conocer la versión ejecutamos cat /etc/redhat-release 


Listo!!

Requisitos de puerto de Active Directory y Servicios de dominio de Active Directory

Cuando montamos una red de Active Directory y debemos securizarla mediante firewall en cada servidor debemos tener en cuenta que servicios corren en cada uno para solo permitir el trafico que nos interesa dejar pasar.

Especificaremos que puertos abrir para cada servicio:

Intervalo de puertos dinámicos predeterminado

En un dominio de modo mixto que consta de controladores de dominio basados en Windows Server® 2003 y en Microsoft® Windows® 2000 Server o bien equipos cliente de versiones anteriores, el intervalo de puertos dinámicos predeterminado oscila entre 1025 y 5000.

Windows Server 2008 y Windows Vista® han aumentando el intervalo de puertos de cliente dinámicos en el caso de las conexiones salientes de 49152 y el de finalización, 65535.

En consecuencia, será necesario aumentar el intervalo de puertos de llamada a procedimiento remoto (RPC) en los firewalls. Si tiene un entorno de dominio mixto en el que hay un servidor de Windows Server 2008, permita el tráfico por los puertos 1025 a 5000 y 49152 a 65535. 

NOTA: Cuando vea “TCP dinámico” en las columnas relativas a los puertos de las siguientes tablas, hace referencia a los puertos 1025 a 5000 (intervalo de puertos predeterminado en Windows Server 2003 y versiones anteriores del sistema operativo cliente) y a los puertos 49152 a 65535 para Windows Server 2008 y Windows Vista.

 Replicación

 En la siguiente tabla se enumeran las asignaciones de puerto relativas a la replicación de AD DS y Active Directory.

Puerto                             Tipo de tráfico

TCP y UDP 389             LDAP

TCP 636                         LDAP SSL

TCP 3268                       GC

TCP y UDP 88              Kerberos

TCP y UDP 53              DNS

TCP y UDP 445            SMB sobre IP

TCP 25                          SMTP

TCP 135, dinámico       RPC, ECM

Confianzas

En las tablas que aparecen a continuación se enumeran los requisitos de puerto para establecer confianzas en los siguientes entornos:

Microsoft Windows NT

 Puerto de cliente     Puerto de servidor     Tipo de tráfico

UDP 137                   UDP 137                   Resolución de nombres NetBIOS

UDP 138                   UDP 138                   Servicio de datagramas de NetBIOS

TCP dinámico           TCP 139                    Servicio de sesión de NetBIOS

Windows 2000 Server y Windows Server 2003

Puerto de cliente                   Puerto de servidor     Tipo de tráfico

TCP dinámico                      TCP 135                     RPC, EPM

TCP dinámico                      TCP dinámico            Servicios RPC de autoridad de segu. local

TCP y UDP dinámicos        TCP 389                      LDAP

TCP dinámico                      TCP 636                     LDAP SSL

TCP dinámico                      TCP 3268                  GC

TCP dinámico                      TCP 3269                  GC SSL

TCP y UDP 53, dinámicos   TCP y UDP 53          DNS

TCP y UDP dinámicos         TCP y UDP 88          Kerberos

TCP dinámico                      TCP 445                     SMB, DFS, LsaRPC, Nbtss, NetLogonR,                                                                                        SamR, SrvSvc

Windows Server 2008

Puerto de cliente                  Puerto de servidor              Tipo de tráfico

TCP dinámico                     TCP 135, 49152–65535      RPC, EPM

TCP y UDP dinámicos        TCP y UDP 389                  LDAP

TCP dinámico                     TCP 636                              LDAP SSL

TCP dinámico                     TCP 3268                           GC

TCP dinámico                     TCP 3269                           GC SSL

TCP y UDP 53, dinámicos TCP y UDP 53                    DNS

TCP y UDP dinámicos       TCP y UDP 88                    Kerberos

TCP y UDP dinámicos       TCP-NP y UDP-NP 445     Admin. de cuentas de seguridad (SAM), LSA

TCP dinámico                    UDP 138                             Servicio de datagramas de NetBIOS

Catálogo global

Puerto              Tipo de tráfico

TCP 3268         GC

TCP 3269         GC SSL

Controladores de dominio de solo lectura

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre un controlador de dominio grabable en una red corporativa y un controlador de dominio de solo lectura (RODC) en una red perimetral.

Puerto                              Tipo de tráfico

TCP 135                          RPC, EPM

TCP 53248 estático         FRsRpc

TCP 389                          LDAP

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre un RODC en una red perimetral y un controlador de dominio grabable en una red corporativa.

Puerto                               Tipo de tráfico

TCP 57344                       DRSUAPI, LsaRpc, NeLogonR

TCP 53248 estático           FRsRpc

TCP y UDP 389                LDAP

TCP 3268                          GC

TCP 445                            DFS, LsaRpc, NbtSS, NetLogonR, SamR, SMB, SrvSvc

TCP y UDP 53                  DNS

TCP 88                              Kerberos

UDP 123                           Servicio Hora de Windows (W32time)

TCP y UDP 464                Cambiar/establecer contraseña Kerberos

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre los servidores miembro de una red perimetral y un RODC de la red perimetral. Estos puertos deben estar abiertos solo si existe un firewall interno que separe a los servidores miembro en la red perimetral del RODC en la misma red.

Puerto                                Tipo de tráfico

TCP 135                            RPC, EPM

TCP y UDP 389                LDAP

TCP 445                            DFS, LsaRpc, NbtSS, NetLogonR, SamR, SMB, SrvSvc

UDP 53                             DNS

TCP 88                              Kerberos

(En caso de tener un DC en Windows 2003 abrir también UDP 88)

TCP y UDP 464               Cambiar/establecer contraseña Kerberos

TCP dinámico                  DNS, DRSUAPI, NetLogonR, SamR

DNS

En la siguiente tabla se enumeran los requisitos de puerto relativos al Sistema de nombres de dominio (DNS).

Puerto                      Tipo de tráfico

TCP y UDP 53         DNS

DHCP

En la siguiente tabla se enumeran los requisitos de puerto relativos al Protocolo de configuración dinámica de host (DHCP).

Puerto               Tipo de tráfico

UDP 67             DHCP

UDP 2535         MADCAP

Servicio de nombres Internet de Windows

En la siguiente tabla se enumeran los requisitos de puerto relativos al Servicio de nombres Internet de Windows (WINS).

Puerto                      Tipo de tráfico

TCP y UDP 42        Replicación de WINS

UDP 137                 Resolución de nombres NetBIOS

Autenticación de usuarios y equipos

En la siguiente tabla se enumeran los requisitos de puerto para la autenticación de usuarios y equipos.

Puerto                         Tipo de tráfico

TCP y UDP 445         SMB/CIFS/SMB2

TCP y UDP 88           Kerberos

UDP 389                     LDAP

TCP y UDP 53           DNS

TCP dinámico            RPC

Directiva de grupo

En la siguiente tabla se enumeran los requisitos de puerto de la directiva de grupo. Además de los puertos incluidos en la tabla, un equipo cliente también debe ser capaz de ponerse en contacto con un controlador de dominio a través del Protocolo de mensajes de control de Internet (ICMP). ICMP se usa para detectar vínculos lentos.

Puerto                                 Tipo de tráfico

TCP y UDP dinámicos      DCOM, RPC, EPM

TCP 389                            LDAP

TCP 445                            SMB

Servicios web de Active Directory

En la siguiente tabla se enumeran los requisitos de puerto de Servicios web de Active Directory (ADWS).

noteNota

ADWS se usa únicamente en Windows Server 2008 R2.

Puerto             Tipo de tráfico

TCP 9389        SOAP

***Nota: Lo principal a tener cuenta es conocer que sistemas operativos estamos interactuando ya que como hemos visto algunas versiones usan un puerto u otro para el mismo servicio.

Fuente: Microsoft

Nada es gratis, todo se paga mediante su perfil digital.

Cuando nos conectamos a internet y comenzamos a navegar nos rodean propuestas con servicios "totalmente gratuitos". Pero estos servicios son realmente gratuitos? Como hace el dueño de ese servicio para brindarlo sin cobrar por ello?

Como servicios gratuitos más importantes podemos nombrar las redes sociales tipo Facebook, Twitter, etc, servicios de email como Yahoo, Gmail o Hotmail o algún servicio de almacenamiento de nube.

Pero nunca nos detenemos a pensar como esos servicios de mantienen en pié, cuando por ejemplo, empresas como Facebook disponen de miles de servidores y personas trabajando a las cuales se le paga un sueldo para mantener esa infraestructura. 

Es aquí donde aparece el concepto de perfil digital de un usuario. Lo que llamamos "Perfil digital" de un usuario es como una recopilación de información que define a ese usuario cuando está conectado a internet. Dicha información es que servicio de email usa, si usa almacenamiento en la nube o no, si realiza compras online, que articulos compra y que información busca para leer. ¿Y esa información quíen la recopila? Esos datos se van recopilando mientras el usuario navega en internet mediante las cookies y muchas aplicaciones  "gratuitas" se utilizan con el mismo fín, de manera que mediante pasa el tiempo más grande es su perfil digital y mas amplia es la base de datos de gustos y  preferencias de ese usuario. Esa información es la paga por todos estos servicios gratuitos.

¿Y ahora que tienen toda esa información, como ganan dinero? Muy sencillo. Muchos decimos que esta es la Era de la información, y si, dicha información es la que se negocia.

Por ejemplo, un anunciante de un producto a la venta puede contratar alguna red social para que muestre esta publicidad de venta solo a quienen posean un perfil digital determinado u otro ejemplo es que muchos centros comerciales que brindan "WiFi gratis" pueden conocer el flujo de personas y su comportamiento dentro del local, lo cual pueden utilizar para el marketing o el precio de determinados locales.

Un estudio difundido por IAB Argentina muestra varios aspectos del perfil del usuario digital argentino desde donde se desprenden datos como que el 77 por ciento de los argentinos utiliza Internet desde su hogar, que consume 8,3 horas por mes promedio de video en la Web y 99 minutos por mes a leer noticias desde esta vía. - See more at: http://www.infotechnology.com/internet/El-perfil-del-usuario-digital-argentino-20120907-0002.html#sthash.9eL80ODx.dpuf

Un estudio difundido por IAB Argentina muestra varios aspectos del perfil del usuario digital argentino desde donde se desprenden datos como que el 77 por ciento de los argentinos utiliza Internet desde su hogar, que consume 8,3 horas por mes promedio de video en la Web y 99 minutos por mes a leer noticias desde esta vía.

Así que cada vez que navegue por la web sepa que su información puede estar siendo recolectada.

Como ubicar geográficamente a una persona utilizando WeChat

Actualmente vemos muchas aplicaciones de chat o redes sociales que brindan la distancia de un determinado contacto. En esta oportunidad decidimos ver cúan lejos podemos llegar con estas aplicaciones para geolocalizar a una persona.

En este ejemplo utilizaremos WeChat, pero cualquier aplicación que informe la distancia lineal puede utilizarce.

Lo primero que hacemos es medir la distancia entre nosotros y la persona que queremos localizar de forma repetida tres veces como mínimo desde distintas ubicaciones.

Ej: 

Primera Medicion (P1)= 200 mts

Segunda Medicion (P2)= 250 mts

Tercera Medicion (P3)= 230 mts

Ahora, utilizando nuestra localización y tomando la distancia al objetivo como radio (r) iremos marcando por cada medición una circunferencia. Debemos lograr que mediante nuestro movimiento, el "objetivo", quede ubicado mas o menos al centro. Y comenzamos a aplicar geometría básica. 

Ver Figura.

   En posición B, se pueden calcular las coordenadas usando los puntos conocidos P1, P2 y P3 en un plano horizontal. Medir la distancia r1 se pone en un círculo. Medir r2 se pone en dos puntos A o B. Medir la tercera distancia r3, da las coordenadas del punto B. Eso se conoce como resección o trilateración.

Como vemos, siempre debemos usar estas aplicaciones de manera cuidadosa ya que podemos estar brindando nuestra geolocalización a cualquier persona que se interese en nosotros. 
El uso de esta información es para fines educativos e informativos para la correcta configuración de los smartphones para resguardar la privacidad individual.

Como excluir una actualización en particular en Fedora

Los usuarios que usamos Fedora sabemos que las actualizaciones del sistema son muy frecuente. Muchas veces esto es una ventaja pero aveces nos acarrea algún que otro dolor de cabeza.

Si tenemos un sistema que funciona estable y queremos que cuando ejecutemos #yum -y update o #dnf -y update solo actualice algunos grupos de software o que omita otros, podemos configurarlo.

Solo hay que editar el archivo /etc/yum.conf y agregar la linea exclude y el nombre del paquete que queremos omitir. Ej: exclude=kernel*

Virus pornográfico en facebook

En estos días se ha hablado mucho sobre un supuesto virus que se trasmite vía facebook haciendo provecho del desconocimiento y la falta de precaución de los usuarios. Veamos...

En principio hay que aclarar que este virus es un malware y que su funcionalidad depende mucho de las desiciones que tomen los usuarios respecto a su seguridad en sus perfiles de la red social facebook.

Este malware se anuncia a través de una imagen que hace parecer a una captura de un video, invitando a los usuarios curiosos a hacer clic para verlo. Una vez que el usuario hace clic el navegador es redirigido a una página, también falsa, donde se le informa  que para reproducirle es necesario una extensión y lo invita a instalarla. Es aquí donde comienza la infección. Luego esta misma aplicación comparte  la misma imagen y etiqueta automáticamente a 20 amigos de facebook.

Además dicha extensión que se instala en el navegador es capaz de robar las credenciales de gmail utilizadas.

Para prevenir la infección se debe ser precavido a la hora de ingresar a las publicaciones en facebook y siempre rechazar solicitudes de permisos para instalar extensiones o aplicaciones.

Si ya ha sido infectado lo recomendable es que elimine todas las extensiones del navegador  Chrome que desconozca, eliminar todas las aplicaciones extrañas de facebook y como precaución configurar su perfil de facebook, en la sección "seguridad", la solicitud de aprobación cuando haya sido etiquetado, de esta manera nadie podrá etiquetarlo si que usted lo apruebe.

Y por ultima recomendación tener un antivirus debidamente actualizado.

Si ha sido infectado es recomendable cambiar todas las contraseñas de sus cuentas y homebanking. Nunca estamos seguro cual es la información que el malware ha robado.

 

Actualizando Fedora 21 a Fedora 22 sin reinstalar

A la luz de una versión de Linux Fedora (22), es necesario conocer como hacer el upgrade sin reinstalar. Para esto existe una herramienta llamada fedup que nos permite hacer el upgrade desde un repositorio, una imagen ISO o directamente con repositorios en linea. Veamos como es el procedimiento, dicho sea de paso, muy sencillo.

Veamos como se hace.

Este método usa los repositorios a través de internet.

1- Primero instalamos la aplicación fedup y luego ejecutamos el upgrade.        

        #sudo yum install fedup

         #sudo fedup --network 22

2- Una vez que el proceso de fedup finalizó sin errores se hace un reboot y seleccionamos la opción System Upgrade.

3- Ya finalizado el upgrade realizamos una limpieza ejecutando:
     #rpm --rebuilddb
     #yum distro-sync --setopt=deltarpm=0

Y listo, a disfrutar!!

Crear Pendrive booteable

En Internet circulan muchos softwares para crear discos ubs booteables. Pero no es necesario usarlos, solo se debe saber cuales son las condiciones que debe cumplir el disco usb para que este pueda bootear.
1- Debe tener una particion de tipo primaria.
2- La partición primaria debe estar en modo "activa"
3- Debe contener los archivos booteables del sistema operativo que queremos arrancar.

El procedimiento sería en siguiente: (Siempre tratamos con un pendrive limpio ya que el proceso destruirá toda la información.). Utilizaremos la herramienta que incluida en Windows, Diskpart.

1. Conectamos el disco usb a nuestra PC.
2. Ingresamos al CMD de Windows  y ejecutamos Diskpart.
3. Allí listamos los discos con el comando List Disk. Se listarán todas las unidades.
4. Seleccionamos el disco usb. Utilizamos el comando Select Disk número ( donde número corresponde al número del disco usb listado en el paso 2 )
5. Ejecutamos el comando: clean
6. Ahora creamos la partición primaria mediante el comando: create partition primary
7. Activamos la partición primaria creada. Ejecutamos: active
8. Formatemos la partición en modo rápido. Ejecutamos: format fs=fat32 quick
9. Ahora le asignamos una letra a la unidad de forma automática: Ingresamos en la linea de comando: assign
10. Listo! Ejecutamos el comando: exit.
11. Ejecutamos exit nuevamente.

Ahora el disco usb esta listo para bootear, solo falta el último paso. (Copiar los archivos de instalación del Sistema Operativo que queremos arrancar)
Colocamos el DVD (Ej: Windows 8) y copiamos todo su contenido, tal cual está, a la raíz del disco usb.
Listo! Ya está para bootear. Solo debemos modificar el arranque de nuestra BIOS para seleccionar que lea nuestro disco USB.

Procedimiento de desinfección de virus

Cada vez que encendemos nuestra computadora, estamos en riesgo de sufrir una infección de algunos de los tantos tipos de software maliciosos que existen en la actualidad. Es por esta razón que debemos saber como prevenirnos y como proceder si detectamos una filtración.
Si detectamos una infección se debe seguir cierto protocolo para evitar la expanción del virus y lograr su total limpieza. Si bien cada técnico tiene su procedimiento, existen ciertos puntos comunes que vamos a detallar.

1- Aislamiento de la computadora: Si detectamos una infección, lo primero que se deber realizar es aislar la PC de la red de datos. Esto previene que el virus se distribuya por red a otros ordenadores.
2- Si tenemos otra PC limpia, con el antivirus actualizado y con las actualizaciones de seguridad aplicadas, lo mejor es extraer el disco de la PC infectada colocarlo en la otra PC y escanear con el antivirus. De esta manera evitamos bootear desde el disco infectado.
Sino tenemos la opción de la segunda PC, podemos iniciar en Modo seguro y escanear el disco.
3- Una vez escaneado con el antivirus se debe proceder a escanear con un antimalware.
4- Una vez completo los escaneos debemos iniciar la PC y estar atentos a si el comportamiento es correcto. Si no estamos seguro, lo mejor es una nueva instalación limpia del Sistema Operativo.
5- Todas las contraseñas utilizadas en esa PC por parte de los usuarios deberían ser cambiadas para evitar problemas futuros por si hubo fuga de información.

Recordemos que siempre es recomendable tenes todas las actualizaciones de windows instaladas, ya que estas corrigen problemas que pueden ser explotados por virus y malwares.

Seguridad en smartphones

Mucho se habla de los smartphones y de las herramientas que podemos llevar en estos. Nos ofrecen rápido accesos a sitios bancarios, buscadores, aplicaciones de oficina, software de comunicación y hasta utilidades de recreación y redes sociales. Pero... ¿Sé  ha detenido a pensar que más que un teléfono, lo que lleva en la palma de la mano es una computadora? Bueno si no lo ha pensado, ahora si lo sabe. Esta idea no es para alarmarse pero si para tener precaución  a la hora de su utilización.

No muchos saben que, así como una computadora puede infectarse con cualquiera de las variedades de programas maliciosos (virus, troyanos, malware, rootkit, etc), un smartphone también puede ser víctima de estos programas. Entonces es bueno tomar algunas medidas para que no suframos  robo de información o de identidad. (Según estudios realizados por Alcatel-Lucent en el 2014 el malware para móviles igualó por primera vez a los de escritorio).

Las recomendaciones son simples, lo primero es instalar un buen antivirus y que también nos sirva de geolocalizador por si extravíamos en teléfono o sufrimos un robo (LEER Soluciones-antivirus-para-android). Con esto solo cubrimos parte del problema. Como sabemos que los virus disponen de un periódo ventana de unos meses hasta que los antivirus logran su detección, es bueno ser precavido a la hora de descargar e instalar aplicaciones. Lo ideal es no instalar aplicaciones de fuentes desconocidas y solo aquellas bajadas del Google Play y sobretodo prestar antención con aquellos permisos que solicitan a la hora de instalarse. (Pensemos que si estamos instalando una apliacación para retoque de fotográficos y nos solicita acceso completo a los permisos es porque es una aplicación maliciosa o porque va a hacer usos de esos datos. Por ejemplo, los contactos).

Además y como recomendación personal, asignen a su smartphone un objetivo a cumplir. Con esto me refiero que si lo vamos a utilizar para recreación, no lo utilicemos para acceder a los portales bancarios, o si bien, lo vamos a utilizar con fines laborales, evitemos la instalación de aplicaciones sin estos fines.

Y por último, si notamos que nuestro teléfono se pone lento, se comporta de manera extraña, detectamos uso de la red de datos mientra que no lo estamos utilizando o se nos abren ventanas y/o aplicaciones sin que nosotros las ejecutemos, podemos estar en un caso de un smartphone infectado.

También recomendamos leer de nuestro blog: En que fallamos cuando se quiere proteger la información.

Encriptar archivos en linux con Mcrypt

En estos tiempos de mucha fuga de privacidad, Mcrypt es una utilidad disponible para Linux que permite encriptar archivos con el fin de proteger la información.
Para instalarlo en Fedora lo hacemos mediante el comando yum.

[root@localhost fernando]#yum install mcrypt

Una vez instalado, vamos a tener dos utilidades: mcrypt (para encriptar) y mdecrypt (para desencriptar.)
Mcrypt soporta varios tipos de hash y lo podemos ver ejecutando:

[root@localhost fernando]# mcrypt --list
cast-128 (16): cbc cfb ctr ecb ncfb nofb ofb
gost (32): cbc cfb ctr ecb ncfb nofb ofb
rijndael-128 (32): cbc cfb ctr ecb ncfb nofb ofb
twofish (32): cbc cfb ctr ecb ncfb nofb ofb
arcfour (256): stream
cast-256 (32): cbc cfb ctr ecb ncfb nofb ofb
loki97 (32): cbc cfb ctr ecb ncfb nofb ofb
rijndael-192 (32): cbc cfb ctr ecb ncfb nofb ofb
saferplus (32): cbc cfb ctr ecb ncfb nofb ofb
wake (32): stream
blowfish-compat (56): cbc cfb ctr ecb ncfb nofb ofb
des (8): cbc cfb ctr ecb ncfb nofb ofb
rijndael-256 (32): cbc cfb ctr ecb ncfb nofb ofb
serpent (32): cbc cfb ctr ecb ncfb nofb ofb
xtea (16): cbc cfb ctr ecb ncfb nofb ofb
blowfish (56): cbc cfb ctr ecb ncfb nofb ofb
enigma (13): stream
rc2 (128): cbc cfb ctr ecb ncfb nofb ofb
tripledes (24): cbc cfb ctr ecb ncfb nofb ofb


El procedimiento es simple:

Para encriptar ejecutamos mcrypt archivo e ingresamos la password:

[root@localhost fernando]# mcrypt archivo.txt
Ingrese la contraseña (máximo de 512 caracteres).
Por favor, utilice una combinación de letras mayúsculas, minúsculas y números.
Ingrese contraseña: ********
Ingrese contraseña: ********
El archivo `archivo.txt' fue cifrado.



Para desencriptar ejecutamos mdecrypt archivo e ingresamos la password:

[root@localhost fernando]# mdecrypt archivo.txt.nc
mdecrypt: `archivo.txt' todavía existe. ¿Desea sobreescribirlo? (y / n) y
Ingrese contraseña: ********
El archivo `archivo.txt.nc' fue descifrado.

Al momento del cifrado se puede especificar el algoritmo a utilizar, en este ejemplo rc2:

[root@localhost fernando]# mcrypt -a rc2 archivo.txt
Ingrese la contraseña (máximo de 512 caracteres).
Por favor, utilice una combinación de letras mayúsculas, minúsculas y números.
Ingrese contraseña: ********
Ingrese contraseña: ********

El archivo `archivo.txt' fue cifrado.



También se puede comprimir el archivo al momento del cifrado. Si tenemos el gzip instalado en nuestro sistemas le podemos indicar al mcrypt que lo utilice antes de encriptar el archivo:

[root@localhost fernando]# mcrypt -z archivo.txt
Ingrese la contraseña (máximo de 512 caracteres).
Por favor, utilice una combinación de letras mayúsculas, minúsculas y números.
Ingrese contraseña: ********
Ingrese contraseña: ********
El archivo `archivo.txt' fue cifrado.

Se creará un archivo que además de tener la extención mc tendrá gz.
[root@localhost fernando]# ls
 archivo.txt.gz.nc

Hay muchas más opciones a la hora de usar esta utilidad. Podemos ingresar al man de la aplicación.