SysLinuxOS Archives - Pagina 2 di 3

SysLinuxOS 12 for System Integrators rilasciato

SysLinuxOS 12 for System Integrators

Dopo il nuovo rilascio di Debian 12 Bookworm, arriva anche SysLinuxOS 12 (for System Integrators). In questa versione ci sono diversi miglioramenti e nuove features che la differenziano da Debian 12, alcune sono nascoste sotto il cofano. SyslinuxOS 12 arriva subito con Mate desktop environment come desktop principale, mentre la versione con Gnome verrà rilasciata successivamente.

Features principali:

Kernel 6.3.8 stable
OS-Prober abilitato di default, a differenza di Debian 12, utile per il riconoscimento degli altri OS già installati.
Interfacce di rete riconosciute di default come eth0, wlan0, per semplificare la gestione delle stesse. In più sono presenti altre differenze nascoste, che verranno approfondite successivamente.

Desktop:

Per quanto riguarda la parte estetica, sono stati integrati/modificato due conky, tra cui auzia, che oltre ad abbellire il desktop, sono utili per vedere le prestazioni del pc, della rete, compreso indirizzamento ip privato ed ip pubblico, oltre ai vari processi in esecuzione. In più il menu è ordinato in base all’utilità dei programmi. C’è anche un nuovo menu chiamato Networking che racchiude gli strumenti per l’analisi della rete. Questi strumenti sono solo quelli che utilizzano la Gui, tutti gli altri sono presenti da riga di comando. Mate si offre proriamente per un ambiente semplice, ordinato e veloce.

Sicurezza:

Presenti di default vari firewall, oltre Gufw e Firewalld, anche Opensnitch, Shorewall. Inoltre è presente Suricata come Intrusion Prevention System (IPS). Firejail, Firetools, Firewalk e molto altro.

Networking:

Packet Tracer 8.2.1, ed in alternativa è presente GNS3. Inserito Sparrow Wifi, Presente Virtualbox 7.0.2, ed inoltre sotto il cofano sono presenti tutti i tools di scansione e testing delle reti.

Monitoring:

Inseriti Cacti, Fail2ban, Icinga, Monit, Munin, Nagios4, Zabbix-Agent2 e Zabbix-Fronted, più molto altro.

Conclusione:

SysLinuxOS 12 (for System Integrators) offre un sistema operativo robusto e ricco di funzionalità, progettato specificamente per i professionisti. Con il suo desktop migliorato, misure di sicurezza migliorate, funzionalità di rete avanzate e strumenti di monitoraggio completi, SysLinuxOS 12 offre una piattaforma affidabile ed efficiente per le attività di networking.

SysLinuxOS 12 for System Integrators

enjoy 😉

Cambiare nome interfaccia di rete a eth0 su Debian 12

Guida su come cambiare il nome alle interfaccia di rete a eth0/wlan0, su Debian 11/12 e SysLinuxOS in modo permanente, utilizzando systemd-networkd. Attualmente vengono riconosciute con molteplici nomi, anche abbastanza lunghi e difficili da ricordare. Questi sono assegnati alle interfacce di rete direttamente dal kernel. Ma tutti questi nomi hanno in comune le due iniziali, “en” ” wl”, infatti se si digita il comando:

sudo dmesg | grep -i eth
sudo dmesg | grep -i wl

si può leggere che le interfacce vengono rinominate partendo da eth0 e wlan0. Personalmente conosco due modi funzionanti per ritornare al vecchio standard.

Metodo 1

questo modo dovrebbe funzionare nella maggior parte dei casi e si limita a fare una piccola aggiunta a grub:

sudo nano /etc/default/grub

ed aggiungere

GRUB_CMDLINE_LINUX="net.ifnames=0 biosdevname=0"

come sotto:

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
GRUB_CMDLINE_LINUX="net.ifnames=0 biosdevname=0"

generare un nuovo file di configurazione di grub, e riavviare.

sudo grub-mkconfig -o /boot/grub/grub.cfg
sudo reboot

se tutto è andato bene le interfacce saranno eth0 e wlan0. Se si usa il dhcp non c’è bisogno di modificare nulla, in caso di ip statico, si utilizza il solito metodo:

sudo nano /etc/network/interfaces

auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
dns-nameservers 192.168.1.1
gateway 192.168.1.1

Metodo 2

questo metodo da utilizzare in alternativa al primo, consiste nell’andare a trovare i nomi ed i percorsi delle attuali schede di rete, per poi manualmente creare due file che conterranno i nuovi nomi.

sudo udevadm info /sys/class/net/nome_interfaccia

il comando sopra ci trova i dati che ci interessano:

E: ID_PATH=pci-0000:03:00.0
E: ID_PATH_TAG=pci-0000_03_00_0

di conseguenza potremo creare il file manualmente:

sudo nano /etc/systemd/network/10-rename-nome_interfaccia

ed aggiungere come esempio sotto

per eth0:

[Match]
Path=pci-0000:03:00.0
pci-0000_03_00_0
[Link]
Name=eth0

o questo per wlan0

[Match]
Path=pci-0000:05:00.0
pci-0000_05_00_0
[Link]
Name=wlan0

dopo il riavvio il nome delle interfacce di rete saranno viste permanentemente con il vecchio standard. In realtà ci sarebbe anche un altro metodo, più semplice 🙂 e cioè uno script bash che fa tutto da solo:

Metodo semplice

sempre in alternativa al primo

git clone https://github.com/fconidi/rename-interfaces.git
cd rename-interfaces/
chmod +x rename-interfaces.sh
sudo ./rename-interfaces.sh
sudo reboot

Cambiare nome interfaccia di rete a eth0 su Debian 12

enjoy 😉

Convertire Fumetti Cbr/Cbz in Pdf con AllCbrztoPdf

Convertire Fumetti Cbr/Cbz in Pdf con AllCbrztoPdf

Uno dei problemi più comuni che gli utenti devono affrontare è la conversione dei file di immagine di fumetti, come i file CBR e CBZ, in formato PDF. Per questo ho creato AllCbrztoPdf, uno script Bash che semplifica notevolmente questo processo. Lo script in questione è stato progettato per eseguire automaticamente la conversione di file CBR e CBZ in formato PDF, utilizzando una serie di comandi Bash standard, rendendo la conversione di grandi quantità di file una questione semplice e veloce.
L’esecuzione dello script è semplice. una volta eseguito scaricherà ed installerà i programmi che servono, per le distribuzioni come Debian based e SysLinuxOS, poi chiederà all’utente di selezionare una cartella principale tramite Zenity e, successivamente, avvierà la conversione di tutti i file CBR e CBZ in formato PDF all’interno della cartella e delle sue sottocartelle.
Durante la conversione, lo script visualizzerà l’avanzamento tramite pv e creerà un unico file PDF combinato utilizzando pdftk. Infine, lo script salverà il file PDF risultante nella stessa cartella in cui si trovava il file originale. Di default lascerà solo i files PDF e cancellerà TUTTI i file CBR e CBZ.

Download ed utilizzo via GitHub

$ git clone https://github.com/fconidi/AllCbrztoPdf.git
$ cd AllCbrztoPdf/
$ chmod +x allcbrztopdf.sh
$ ./allcbrztopdf.sh

Download ed utilizzo anche via Sourceforge

AllCbrztoPdf script completo:

per le distribuzioni NON Debian based, si possono commentare/eliminare le stringhe con sudo, ed installare i pacchetti tramite il proprio gestore.

Se si volesse mantenere i file CBR/CBZ basta commentare la stringa in fondo rm “$file”

#!/bin/bash
set -xev
sudo apt update
sudo apt upgrade -y
sudo apt install -y pv imagemagick pdftk img2pdf unrar-free rar unrar p7zip-full

# Select the root folder
folder=$(zenity --file-selection --directory --title="Select the root folder")

# Rename all files .cbr to .rar and .cbz to .zip (recursively)
find "$folder" -type f -name "*.cbr" -execdir rename 's/ /_/g' '{}' \;
find "$folder" -type f -name "*.cbr" -execdir mv '{}' '{}'.rar \;
find "$folder" -type f -name "*.cbz" -execdir rename 's/ /_/g' '{}' \;
find "$folder" -type f -name "*.cbz" -execdir mv '{}' '{}'.zip \;

# Convert all files .cbr and .cbz to PDF (recursively)
find "$folder" -type f \( -name "*.rar" -o -name "*.cbr" -o -name "*.zip" -o -name "*.cbz" \) |
while read file; do
ORIGINAL_FOLDER=$(dirname "$file")
TMP_FOLDER=$(mktemp -d)
cd "$TMP_FOLDER"
case "$file" in
*.rar|*.cbr)
unrar e "$file" "$TMP_FOLDER"
;;
*.zip|*.cbz)
unzip -j "$file" -d "$TMP_FOLDER"
;;
esac
ls -1 ./*jpg ./*jpeg ./*png | pv -lep -s $(ls -1 ./*jpg ./*jpeg ./*png | wc -l) | xargs -L1 -I {} img2pdf {} -o {}.pdf
pdftk *.pdf cat output combined.pdf
cp "$TMP_FOLDER/combined.pdf" "$ORIGINAL_FOLDER/$(basename "$file" .cbr | sed 's/.rar$//;s/.zip$//;s/.cbz$//').pdf"
rm -rf "$TMP_FOLDER"
rm "$file"
done

zenity --info --text="Conversion completed!"

PS: script aggiornato su GitHub o SourceForge

Convertire Fumetti Cbr/Cbz in Pdf con AllCbrztoPdf

Video:

enjoy 😉

Creare VLAN in Linux utilizzando il comando ip

Per creare VLAN in SysLinuxOS e Debian GNU/Linux utilizzando il comando ip, seguire questi passaggi:

sudo apt-get install vlan

Caricare il modulo del kernel 8021q utilizzando il comando modprobe:

sudo modprobe 8021q

verificare:

lsmod | grep 8021q

output:

edmond@syslinuxos:~$ lsmod | grep 8021q
8021q 40960 0
garp 16384 1 8021q
mrp 20480 1 8021q

Creare una sottointerfaccia VLAN per l’interfaccia di rete desiderata. Ad esempio, per creare una sottointerfaccia VLAN per eth0 con un ID VLAN 10, eseguire il comando:

sudo ip link add link eth0 name eth0.10 type vlan id 10

Assegnare un indirizzo IP alla nuova sottointerfaccia VLAN utilizzando il comando ip addr. Ad esempio, per assegnare l’indirizzo IP 192.168.10.1/24 alla nuova sottointerfaccia VLAN, eseguire il comando:

sudo ip addr add 192.168.10.1/24 dev eth0.10

Attivare la nuova sottointerfaccia VLAN utilizzando il comando ip link:

sudo ip link set dev eth0.10 up

Ripetere i passaggi precedenti per creare ulteriori sottointerfacce VLAN se necessario. Per rendere la configurazione VLAN persistente dopo il riavvio, aggiungere le seguenti righe al file /etc/network/interfaces:

sudo nano /etc/network/interfaces

aggiungere:

auto eth0.10
iface eth0.10 inet static
address 192.168.10.1
netmask 255.255.255.0

successivamente caricare permanentemente il modulo al boot:

sudo su -c 'echo "8021q" >> /etc/modules'

Riavviare il servizio di rete per applicare le modifiche:

sudo systemctl restart networking.service

Ecco fatto! Hai creato una sottointerfaccia VLAN in Linux utilizzando il comando ip.

enjoy 😉

Installare Zabbix su SysLinuxOS e Debian 11

Zabbix è un sistema di monitoraggio di rete e server open-source, che consente di tenere sotto controllo la disponibilità, la performance e lo stato degli apparati di rete, dei server e delle applicazioni. Zabbix è in grado di raccogliere dati da vari tipi di dispositivi, come server, switch, router, firewall, sensori e applicazioni, e di analizzarli per identificare eventuali problemi o anomalie. Inoltre, permette di definire soglie di allarme e di notificare gli amministratori di sistema in caso di problemi tramite vari canali, come e-mail, SMS, messaggi instantanei, ecc.
Zabbix è altamente flessibile e personalizzabile, grazie alla sua architettura modulare e al supporto di numerose estensioni e plugin. Inoltre, offre una vasta gamma di funzionalità avanzate, come la visualizzazione grafica dei dati, la generazione di report, la gestione di agenti distribuiti, la tracciabilità degli eventi, la gestione delle configurazioni, ecc. Zabbix è una soluzione affidabile e scalabile, adatta a soddisfare le esigenze di monitoraggio di qualsiasi tipo di infrastruttura, dalle piccole alle grandi imprese.

Ecco i passi per installare Zabbix su SysLinuxOS e Debian 11 con MariaDB e Apache2:

Passo 1 – Aggiornare il sistema:

$ sudo apt update
$ sudo apt upgrade

Passo 2 – Scaricare la versione di Zabbix dal sito

$ wget https://repo.zabbix.com/zabbix/6.2/debian/pool/main/z/zabbix-release/zabbix-release_6.2-4%2Bdebian11_all.deb
$ sudo dpkg -i zabbix-release_6.2-4+debian11_all.deb
$ sudo apt update

Installare i pacchetti necessari:

$ sudo apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent

Passo 3 – Installare Mariadb e Apache2

sudo apt install mariadb-server mariadb-client

Configurare il database MariaDB:

sudo mysql_secure_installation

Seguire le istruzioni per configurare il server MariaDB. Creare un nuovo utente e un nuovo database:

sudo mysql -u root -p

CREATE DATABASE zabbixdb CHARACTER SET UTF8 COLLATE UTF8_BIN;
CREATE USER 'zabbixuser'@'localhost' IDENTIFIED BY 'PASSWORD_FORTE';
GRANT ALL PRIVILEGES ON zabbixdb.* TO 'zabbixuser'@'localhost';
FLUSH PRIVILEGES;
exit;

Passo 4 – Configurare il server Zabbix:

sudo nano /etc/zabbix/zabbix_server.conf

Verificare ed aggiornare i seguenti parametri:

DBName=zabbixdb
DBUser=zabbixuser
DBPassword=PASSWORD_FORTE

Salvare e chiudere il file.

Importare lo schema del database:

sudo zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | sudo mysql -u zabbixuser -p zabbixdb

inserire password creato sopra

Passo 5 – Configurare Apache2:

sudo nano /etc/apache2/conf-available/zabbix.conf

modificare eventualmente le seguenti linee:

php_value max_execution_time 300
php_value memory_limit 512M
php_value post_max_size 32M
php_value upload_max_filesize 256M
php_value max_input_time 300
php_value date.timezone Europe/Rome

Attivare il modulo Apache2:

sudo a2enconf zabbix.conf

Riavviare Apache2 e il server Zabbix:

sudo systemctl restart apache2
sudo systemctl restart zabbix-server
sudo systemctl enable zabbix-server zabbix-agent apache2

Passo 6 – Accedere alla pagina web di Zabbix:

http://<tuo_indirizzo_ip_server>/zabbix

Seguire le istruzioni per completare l’installazione.

Installare Zabbix su SysLinuxOS e Debian 11

enjoy 😉

Configurare Wake-on-LAN usando systemd

Configurare Wake-on-LAN usando systemd per inviare un magic packet sulla rete. Per utilizzare questa funzione, è necessario abilitare il supporto WoL nel BIOS/UEFI e configurare il sistema operativo per rilevare e rispondere ai pacchetti magici. In questa guida, vedremo come configurare Wake-on-LAN su un sistema Debian, SysLinuxOS utilizzando systemd.

Passo 1 – Verificare la compatibilità hardware

Prima di procedere, è importante verificare che il dispositivo di rete del computer supporti Wake-on-LAN. È possibile farlo eseguendo il seguente comando:

sudo ethtool <interface-name> | grep "Wake-on"

dove <interface-name> è il nome dell’interfaccia di rete (ad esempio eth0 o enp3s0). Se il comando restituisce una riga con “Wake-on: d“, significa che la scheda di rete supporta WoL.

edmond@SysLinuxOS:~$ sudo ethtool enp3s0 | grep "Wake-on"
Supports Wake-on: pumbg
Wake-on: d

$ sudo ethtool enp3s0

edmond@SysLinuxOS:~$ sudo ethtool enp3s0
Settings for enp3s0:
Supported ports: [ TP MII ]
Supported link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
Supported pause frame use: Symmetric Receive-only
Supports auto-negotiation: Yes
Supported FEC modes: Not reported
Advertised link modes: 10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
Advertised pause frame use: Symmetric Receive-only
Advertised auto-negotiation: Yes
Advertised FEC modes: Not reported
Speed: Unknown!
Duplex: Unknown! (255)
Auto-negotiation: on
master-slave cfg: preferred slave
master-slave status: unknown
Port: Twisted Pair
PHYAD: 0
Transceiver: external
MDI-X: Unknown
Supports Wake-on: pumbg
Wake-on: d
Link detected: no

la lettera d, significa che WOL sulla scheda è disabilitato, per abilitarlo con g:

$ sudo ethtool --change enp3s0 wol g

il comando sopra però è provvisorio.

Passo 2 – Configurare systemd per abilitare Wake-on-LAN al boot

$ sudo tee /etc/systemd/network/10-enp3s0.link << EOF
[Match]
MACAddress=e8:d8:d1:86:cd:ce

[Link]
WakeOnLan=magic
EOF

dove <MAC-address> è l’indirizzo MAC della scheda di rete del computer.

Passo 3 – Identificare il pc in rete

Determinare l’indirizzo MAC del dispositivo di destinazione che si desidera risvegliare:

$ ip neigh show

Passo 4 – Testare Wake-on-LAN

Per testare Wake-on-LAN, inviare un pacchetto magico sulla rete utilizzando uno strumento come wakeonlan o etherwake:

$ sudo apt-get install wakeonlan etherwake

comandi:

$ sudo etherwake -i <nome_interfaccia> <indirizzo_MAC>
$ sudo wakeonlan <indirizzo_MAC>

Il computer dovrebbe avviarsi dopo aver ricevuto il pacchetto magico.

Conclusioni

In questa guida, abbiamo visto come configurare Wake-on-LAN su un sistema Debian GnuLinux, SysLinuxOS, utilizzando systemd. Questa funzionalità può essere utile per accendere un computer a distanza e risparmiare energia evitando di tenerlo acceso costantemente.

Configurare Wake-on-LAN usando systemd

enjoy 😉

TorrentBox con qBittorrent su Raspberry Pi

TorrentBox con qBittorrent su Raspberry Pi

Guida su come installare qBittorrent su Raspberry Pi, per ottenere un server Torrent e scaricare files h24 in sicurezza.

sudo apt update
sudo apt install qbittorrent-nox -y

Aggiungere l’utente qbitorrent al sistema come non root

sudo useradd -r -m qbittorrent
sudo usermod -a -G qbittorrent $USER

Creazione servizio:

sudo nano /etc/systemd/system/qbittorrent.service

ed inserire:

Unit]
Description=BitTorrent Client
After=network.target

[Service]
Type=forking
User=qbittorrent
Group=qbittorrent
UMask=002
ExecStart=/usr/bin/qbittorrent-nox -d --webui-port=8080
Restart=on-failure

[Install]
WantedBy=multi-user.target

Avvio qBittorrent:

sudo systemctl start qbittorrent
sudo systemctl enable qbittorrent

Adesso abbiamo Accesso alla WEB UI con utente admin e password adminadmin

http://ip_address:8080

1) cambiare user e password

2) installare una vpn

TorrentBox con qBittorrent su Raspberry Pi

enjoy 😉

ChatGPT da Terminale in Linux

Guida su come utilizzare ChatGPT direttamente da un terminale Linux, Debian, SysLinuxOS, utilizzando ChatGPT Wrapper, un tool opensource scritto in python che si interfaccia con ChatGPT.

Requisiti:

$ sudo apt-get update
$ sudo apt install python3-pip git-all

Installare: setuptools, pytest-playwright, rich

$ pip install setuptools
$ pip install pytest-playwright
$ python3 -m pip install rich

con playwright installare Firefox per fare il login su ChatGPT

$ python3 -m playwright install firefox
$ pip install pyreadline3

Installare adesso ChatGPT Wrapper

$ pip install git+https://github.com/mmabrouk/chatgpt-wrapper
$ chatgpt install

si aprirà Firefox, quindi fare il login e poi chiudere e riavviare il terminale. Ricordarsi di modificare il PATH, poiche ChatGPT crea le cartelle in /home/user/.local/bin, oppure avviarlo da lì.

$ chatgpt

ChatGPT da Terminale in Linux

enjoy 😉

NordVPN su SysLinuxOS e Debian 11

Guida su come configurare NordVPN, su SysLinuxOS e Debian 11 Bullseye, in modo grafico utilizzando Network Manager oppure direttamente da terminale.

Prerequisiti:

Abbonamento a NordVPN
SysLinuxOS Debian Bullseye e derivate

SysLinuxOS:

cd /etc/openvpn
sudo wget https://downloads.nordcdn.com/configs/archives/servers/ovpn.zip
sudo unzip ovpn.zip
sudo rm ovpn.zip
cd ovpn_udp
ls -al

Debian:

sudo apt-get install openvpn network-manager-openvpn-gnome ca-certificates unzip
sudo service network-manager restart
cd /etc/openvpn
sudo wget https://downloads.nordcdn.com/configs/archives/servers/ovpn.zip
sudo unzip ovpn.zip
sudo rm ovpn.zip
cd ovpn_udp
ls -al

per far partire la VPN, basta scegliere un server della lista:

sudo openvpn de1022.nordvpn.com.udp.ovpn

OpenVPN chiederà le credenziali, quindi inserire user e password.

Per utilizzare Network Manager, basta solo importare la configurazione del server scelto

NordVPN su SysLinuxOS e Debian 11

NordVPN su SysLinuxOS e Debian

enjoy 😉

Nextcloud Server su Raspberry Pi

Guida su come installare un server, utilizzando Nextcloud su Raspberry Pi 3/4. A differenza della guida precedente, dove ho utilizzato Nginx come web server, adesso utilizzerò Apache2. Ci saranno anche 10 consigli per rendere più sicuro il server.

Prerequisiti ed info

Raspberry Pi 3/4
Raspberry Pi OS Bullseye già installato con accesso ssh.
Consiglio di utilizzare rpi-imager per preparare la sd card, e nelle impostazioni abilitare subito ssh, e sopratutto creare un nuovo utente.
La guida è stata testata su una installazione pulita di Raspberry Pi OS Lite.

1) Accedere al Raspberry via ssh ed aggiornare

sudo apt update; sudo apt upgrade -y
sudo reboot

2) Installazione php8.0 Mariadb Apache2

sudo apt install apache2 php8.0 php8.0-gd php8.0-sqlite3 php8.0-curl php8.0-zip php8.0-xml php8.0-mbstring php8.0-mysql php8.0-bz2 php8.0-intl php-smbclient php8.0-imap php8.0-gmp libapache2-mod-php8.0 mariadb-server python3-certbot-apache

3) Verifica Apache2

sudo systemctl restart apache2
sudo systemctl status apache2

4) Creazione utente nextcloud e db

sudo mysql -u root -p

ed invio

create database nextcloud_db;

create user nextclouduser@localhost identified by 'YOUR-STRONG-PWD';

grant all privileges on nextcloud_db.* to nextclouduser@localhost identified by 'YOU-STRONG-PWD';

flush privileges;
exit

5) Download Nextcloud

cd /var/www/
sudo wget -v https://download.nextcloud.com/server/releases/latest.zip
sudo unzip latest.zip
sudo rm latest.zip

creazione della directory di storage, quest’ultima può essere creata anche all’esterno della cartella Nextcloud o su unità esterna.

sudo mkdir -p /var/www/nextcloud/data
sudo chown -R www-data:www-data /var/www/nextcloud/
sudo chmod 750 /var/www/nextcloud/data

6) Configurazione Apache2

sudo nano /etc/apache2/sites-available/nextcloud.conf

ed incollare questa semplice configurazione, che punterà a http://ip-server/nextcloud/

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>

</Directory>

sudo a2ensite nextcloud.conf
sudo systemctl reload apache2

se si volesse utilizzare invece un proprio dominio:

<VirtualHost *:80>
DocumentRoot /var/www/nextcloud/
ServerName your.domain.com

<Directory /var/www/nextcloud/>
Require all granted
AllowOverride All
Options FollowSymLinks MultiViews

<IfModule mod_dav.c>
Dav off
</IfModule>
</Directory>
</VirtualHost>

sudo a2ensite nextcloud.conf
sudo systemctl reload apache2

7) Nextcloud post installazione

andare all’indirizzo del server: http://my-ip-address/nextcloud/

# hostname -I

creare username e password per l’accesso via web, e poi inserire nextclouduser e nextclouddb. I dati di default saranno in /var/www/nextcloud/data, ma si possono anche spostare successivamente.

8) Tuning Apache2

alcune essenziali modifiche:

sudo nano /etc/php/8.0/apache2/php.ini

trovare queste tre stringhe e modificarle da così:

memory_limit = 128M
post_max_size = 8M
upload_max_filesize = 2M

a così:

memory_limit = 512M
post_max_size = 1024M
upload_max_filesize = 1024M

sudo systemctl restart apache2

9) Certificato SSL

nell’esempio sotto, userò un auto-certificato, ma è consigliato un certificato del tipo Let’s Encrypt, come mostrato nella guida precedente.

sudo mkdir -p /etc/apache2/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
sudo a2enmod ssl
sudo systemctl restart apache2

trovare queste due stringhe:

sudo nano /etc/apache2/sites-available/default-ssl.conf

e modificarle da così:

SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

a così:

SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key

sudo a2ensite default-ssl.conf
sudo systemctl reload apache2

10) Sicurezza

10.1) Installazione e configurazione firewall ufw:

sudo apt install ufw
sudo ufw enable

bloccare tutte le connessioni in ingresso:

sudo ufw default allow outgoing
sudo ufw default deny incoming

aprire solo le porte interessate, come quella ssh o https, ad ogni modo mai utilizzare porte standard:

sudo ufw allow 22
sudo ufw allow 443/tcp

verifica:

sudo ufw status verbose
sudo iptables -S

10.2) Installazione e configurazione fail2ban:

sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

proteggere tutti i servizi usati, utilizzando /etc/fail2ban/jail.local, fail2ban arriva già con dei filtri predefiniti che possono essere abilitati:

ls /etc/fail2ban/filter.d/

esempio:

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 120
ignoreip = whitelist-IP

# detect password authentication failures
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# detect potential search for exploits and php vulnerabilities
[apache-noscript]
enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

# detect Apache overflow attempts
[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

# detect failures to find a home directory on a server
[apache-nohome]
enabled = true
port = http,https
filter = apache-nohome
logpath = /var/log/apache*/*error.log
maxretry = 2

sudo systemctl restart fail2ban 
sudo fail2ban-client status

10.3) Trusted Domain

indicare solo gli ip ed i domini che possono accedere:

sudo nano /var/www/nextcloud/config/config.php

'trusted_domains' => 
array (
0 => '192.168.1.122',
1 => 'my-domain.com',

10.4) Forzare la connessione via SSL

sudo nano /etc/apache2/sites-available/000-default.conf

sostituire http con https:

<VirtualHost *:80>
ServerAdmin admin@example

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

10.5) Aggiornamenti di sicurezza automatici giornalieri:

sudo apt install unattended-upgrades
sudo nano /etc/apt/apt.conf.d/02periodic

inserire:

APT::Periodic::Enable "1";
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "1";
APT::Periodic::Verbose "2";

aggiornare:

sudo unattended-upgrades -d

10.6) Sudo DEVE sempre chiedere la password:

sudo nano /etc/sudoers.d/010_pi-nopasswd

diventa da così:

YOUR-USER ALL=(ALL) NOPASSWD: ALL

a così:

YOUR-USER ALL=(ALL) PASSWD: ALL

10.7) Mysql in sicurezza

sudo mysql_secure_installation

Enter current password for root (enter for none): Press Enter
Set root password? [Y/n] Y 
Remove anonymous users? [Y/n] Y 
Disallow root login remotely? [Y/n] Y 
Remove test database and access to it? [Y/n] Y 
Reload privilege tables now? [Y/n] Y

10.8) SSH in sicurezza

cambiare subito la porta di default e verificare che non sia abilitato il login come root, ma soprattutto usare una chiave ssh:

sudo nano /etc/ssh/sshd_config

#PermitRootLogin prohibit-password
Port 2223

10.9) Backup

backup da eseguire periodicamente su supporti esterni ed in remoto. Si può utilizzare rsync (guida), tar (guida), dd (guida), scp (guida), lsyncd (guida).

10.10) VPN

il sistema più sicuro per accedere da remoto è tramite vpn, se si ha un router che supporta ipSec o Wireguard (fritzbox 7590) il tutto è semplice, in alternativa si può creare un server vpn, utilizzando openvpn o wireguard

Nextcloud Server su Raspberry Pi

enjoy 😉