Ahi van 10 consejos de seguridad de Alfresco adaptados de blyx.com

1. No uses la contraseña de administrador por defecto (admin/admin). Configura el usuario administrador añadiendo el usuario elegido a través de la interfaz administrativa añadiendolo en el grupo ALFRESCO_ADMINISTRATORS o bien a través de authority-services-context.xml, y la contraseña por defecto en el <extension>/web-client-config-custom.xml

2. No uses el usuario y contraseña de base de datos de alfresco por defecto.

3. Nunca ejecutes Alfresco con un super usuario (root). Por otro lado, protege el directorio alf_data de otros usuarios del sistema, sobre todo el directorio de índices de Lucene. Consejo: No le toques los índices al Alfresco.

4. Usa un firewall como iptables en la máquina donde está instalado para hacer portforward de los puertos inferiores al 1024.

5. Usa un Apache y Proxy Pass para proteger tu servidor de aplicaciones.

6. Protege los accesos y autenticaciones con SSL instalando el módulo de Apache mod_ssl, y protegiendo de paso los accesos via Webdav y REST.

7. Revisa los logs de Apache (access_log y error_log y sus variantes SSL) y del servidor de aplicaciones continuamente (catalina.out y alfresco.log). Usa log4j.properties para trazar y depurar los errores.

8. Ten cuidado con los permisos y roles heredados en Alfresco, pueden ser un problema.

9. Aprovecha el encadenamiento (chaining) que soporta Alfresco en la autenticación.

10. Realiza backup del repositorio y la base de datos a diario, ya sea en frío (parando Alfresco) o en caliente, haciendo backup de la base de datos e inmediatamente del repositorio (en este orden).

Os dejo algunos de los cursos del catálogo de 2010 de zylk.net, que venimos impartiendo desde hace algún tiempo en la zona metropolitana de Bilbao, Donosti y Vitoria.

Productos open-source:

• Curso de administración de Liferay Portal
• Curso de desarrollo de Liferay Portal
• Curso de administración Joomla CMS
• Curso de introducción a Joomla CMS
• Curso de usuario de Alfresco ECM
• Curso de administración de Alfresco ECM
• Curso de API de Alfresco ECM
• Curso de usuario del cliente de correo Zimbra
• Curso de administración de Zimbra

Entornos Linux:

• Curso de administración de Linux
• Curso de usuario y administrador web de Apache 2.x
• Curso de administración de Tomcat
• Curso de administración de Jboss
• Curso de administración de servidores web y aplicaciones java
• Curso de monitorización de sistemas y servicios con Nagios
• Curso de copias de seguridad con herramientas de software libre

Firma digital:

• Introducción a la firma digital (Sinadura) y facturación electrónica (ef4ktur)

Iremos actualizando y poniendo más información de los temarios próximamente. Más información en zylk.net

En general, existe bastante confusión en las implicaciones legales de las licencias de software libre, y un desconocimiento de las diferencias de las principales licencias open source como pueden ser GPL, LGPL, MIT, Apache o BSD. Para que una licencia pueda considerarse como "open" debe cumplir una serie de requisitos recogidos por la OSI (Open Source Initiative). De forma resumida:

• Acceso al código fuente
• Redistribución gratuita del software
• Debe permitir modificaciones y obras derivadas, y poder redistribuirlas con la misma licencia del software original.
• No discriminar a ningun grupo o persona, es decir, todo el mundo puede utilizarlo y en cualquier ámbito de uso.
• No efectuar restricciones sobre otro software que es distribuido con el sofware licenciado.

Una vez establecidos los principios básicos, hay clausulas particulares entre las numerosas licencias open source. Aquí dejo una pequeña comparativa entre las principales licencias:

[*] = Bajo ciertas circustancias

Desde este punto de vista, y aunque cada licencia contiene clausulas específicas podemos decir, que las licencias MIT, BSD y Apache son licencias permisivas tipo "business friendly". La GPL es el arquetipo de licencia de software libre "de barba, toga y sandalias" - cualquiera que haya asistido a una conferencia de Richard Stallmann puede dar fe de ello  - de tal modo que ningún código propietario puede incorporar código con esta licencia y en ese sentido puede considerarse más estricta (o más libre según se mire). Y por su parte, la LGPL presenta ciertas válvulas de escape inteligentemente diseñadas para enlazar un software LGPL con un software propietario.

Por poner algunos ejemplos, productos como el servidor web Apache, o el contenedor de servlets Tomcat se licencian con licencia Apache, el servidor de aplicaciones JBoss y el gestor de documental Nuxeo se licencian bajo LGPL. Tenemos noticias recientes que Liferay Community 6 va a licenciarse con LGPL, cuando las versiones anteriores se han licenciado con MIT, y que Alfresco Community también cambiará, en este caso de GPL a LGPL.

Artículos originales:

• http://www.codinghorror.com/blog/2007/04/pick-a-license-any-license.html
• http://www.petefreitag.com/item/533.cfm