«In the future everyone will be famous for 15 minutes».

I blogger sono soli, i blog sono luoghi silenziosi. In questi giorni, un post di Luca circa la solitudine dei blogger (a sua volta spinto da una segnalazione di Nicola) mi ha fatto riflettere parecchio. Le piattaforme social hanno “vinto” nella corsa alla popolarità perché offrono a chiunque la speranza di vivere in vetrina. L’algoritmo, questo oscuro elemento che caratterizza i principali social odierni, concede a tutti la stessa illusione e speranza. Lui, deus-ex-machina del sistema, bugiardamente super-partes promette di garantire a tutti la stessa possibilità. Tutti postano qualcosa alla ricerca di una piccolissima gratificazione: la conferma di esistere e il riconoscimento di valere. Viviamo in una società in cui la visibilità è una delle maggiori aspirazioni, in cui non conta quel che viene detto ma il rumore che quelle parole generano. Lo hanno capito benissimo tutti i gruppi apicali dei vari settori della società moderna che sfruttano proprio questa dinamica per rafforzare la loro popolarità e rilevanza.

I blog non garantiscono questa possibilità, i blog non promettono lettori. I blog non finiscono algoritmicamente catapultati sullo schermo del popolo: non esiste un sistema automatico e questa promessa non è presente proprio by design. I blog al contrario lasciano spazio a forme (e format) di comunicazione più lente. Alla rapidità dei messaggi da 30 secondi con tanto di testo sovrascritto per colpire con maggior rapidità di TikTok, i blog rispondono con un formato assolutamente non uniforme, e quindi riconoscibile, all’interno di quella che (un tempo) veniva chiamata blogosfera.

La diversità è ricchezza, la profondità è valore, la lentezza è vita. I blog incarnano nel loro codice elementi che nel periodo della «costruzione di internet» furono fondamentali. L’assenza di contenuti e l’esplorazione dei possibili formati comunicativi garantiva una varietà enorme. Ogni sito era diverso, ogni pagina aveva il suo metro ed il suo stile. I blog ricordano un po’ l’industria degli anni ’60 e ’70, periodo del boom dell’esplorazione di forme e concetti. I prodotti industriali odierni rispettano standard e regolamenti talmente definiti che spesso imprigionano la diversità e la fantasia.

La società tornerà ai blog? Un cambio radicale non credo sia immaginabile. L’ansia con cui la massa cerca di guadagnare rilevanza non è ancora al culmine anche se sempre più persone diventano consapevoli e infastidite dalla tossicità di quei luoghi e del mondo capitalistico che le governa.

Sono convinto che l’uomo continuerà sempre ad aver bisogno di condividere e di essere riconosciuto nella società. Questi due elementi non sono in contrasto l’uno con l’altro ed entrambi sono necessari all’evoluzione della specie, semplicemente però mi auguro si possa pian piano convergere verso forme meno estreme, polarizzate e imprigionanti.

Emanuele

Onde, boe e nuovi lidi.

Il mare, così come la vita, non sempre è calmo. La vela ci sta insegnando che riconoscere le condizioni in cui si naviga è fondamentale per regolarsi ed eventualmente cambiare rotta, ridurre le vele, rivedere i piani.

Ieri, per festeggiare i nostri primi dieci anni, abbiamo armato e issato insieme il nostro primo spinnaker, con l’augurio di un vento in poppa verso nuovi orizzonti.

Emanuele

Poteva essere un trauma (e invece è un upgrade).

Il ritorno dalle vacanze è spesso un evento traumatico. Questa volta a pagarne le spese è stato il mio Macbook Pro che – dopo quasi due mesi di assenza – non ha retto l’emozione.

Tornati a casa infatti ho acceso il Mac per salvare le foto dell’estate ma pochi istanti dopo aver effettuato il login – booom! – schermo nero e silenzio assoluto. Immediatamente ho pensato fosse dipeso da un crash di macOS ma dopo qualche ora di studio e test (reset di NVRAM, SMC e dopo aver tentato di scollegare e ricollegare un po’ di device all’interno) ho accettato l’idea che a friggersi sia stato qualche componente sulla scheda madre.

Così, dopo poco più di 8 anni, il mio MacBook Pro è stato sostituito da uno scintillante MacBook Air M4 configurato con 24GB di RAM e un disco da 512GB (Apple, che tu sia maledetta un-tera di volte). [1]

Apple MacBook Air

Time Machine mi ha permesso di non perdere una virgola ma durante l’attesa del corriere ho riflettuto tanto su quanto queste nuove macchine – in questi momenti – dipendano dalla bontà del backup. Se un tempo bastava recuperare gli hard disk, oggi i le memorie saldate non permettono questa operazione (e qualora non fossero saldate, in ogni caso, i dati son cifrati con una chiave presente nel “Secure enclave” integrato).

Backup backup backup.

La regola aurea dei backup recita «3, 2, 1». Tre copie differenti dei dati, due media diversi, un supporto remoto.

I dati su Nextcloud – il mio sistema di archiviazione principale – seguono questa regola ma chiaramente al suo interno conservo solo i miei documenti, non tutte le eventuali impostazioni che in un sistema operativo sono sparse tra esso e le applicazioni.

Nei prossimi giorni dovrò rivalutare il mio setup (e verificare se non riesco, in qualche modo, a mettere in piedi un Time Machine remoto) ma se hai suggerimenti in tal senso sfrutta pure l’area commenti, dubito di esser rimasto l’ultimo nerd a non farsi sedurre dalle promesse del cloud.

Emanuele

[1] L’esperienza con il Pro è stata controversa: bella macchina sulla carta ma la tastiera a farfalla non mi ha mai convinto completamente e il modello è stato oggetto di due programmi di richiamo (uno per la tastiera, l’altro per la batteria). Sono tornato ad un modello non Pro perché ho già un computer al lavoro e le mie esigenze hobbistiche, il più delle volte, si esauriscono davanti un terminale.

Migrare istanze Incus su una nuova pool

Da quasi dieci anni sono un grande estimatore di TrueNAS e per anni ho mantenuto un NAS casalingo sul ramo Core (su FreeBSD). Il sistema offre stabilità, prestazioni e un ecosistema di jail che mi ha permesso di ospitare decine di servizi in modo isolato e ordinato.

Purtroppo, come molti già sapranno, iXsystems ha abbandonato ufficialmente lo sviluppo di TrueNAS Core, puntando tutto su TrueNAS SCALE, ora ribattezzato Community Edition, basato su Linux (Debian). Una decisione che, per quanto comprensibile dal punto di vista strategico, ha costretto molti utenti – me compreso – a fare i conti con una migrazione importante.

Da jail a LXC: Incus e TrueNAS 25.04

Per circa un paio d’anni ho mantenuto la mia installazione su Core in quanto non ero un fan della virtualizzazione con kubernets e successivamente con docker (non mi addentro nei dettagli ma ha a che fare con la gestione del network). Con la versione 25.04 di TrueNAS SCALE è finalmente arrivato il supporto nativo a Incus, un fork di LXD pensato per andare a colmare la differenza tra le jail e i sistemi di virtualizzazione offerti fin ora. Questo ha rappresentato per me il momento di cambiare “ramo”: ho migrato sistema e tutte le mie jail FreeBSD in container LXC gestiti da Incus.

Non è stato un passaggio indolore, ma una volta capito il meccanismo, tutto ha preso forma.

SSD is better: migrazione dei container da pool NAS (meccanico) a SSD

All’inizio avevo creato tutti i container sulla mia pool NAS (istanziata su dischi meccanici), ma dopo aver visto i benefici in termini di reattività ho deciso di spostare i container su una nuova pool ZFS su dischi SSD.

In questa guida vedremo come migrare correttamente i container LXC da una pool all’altra, prendendo come esempio Nextcloud, ma gli stessi passaggi sono validi per tutte le altre istanze eventualmente installate.

1. Creare snapshot del container esistente

sudo zfs snapshot NAS/.ix-virt/containers/Nextcloud@migrazione

2. Creare una nuova istanza vuota sulla pool SSD

sudo incus init Nextcloud-new --empty --storage SSD

3. Esportare la configurazione corrente e modificarla

sudo incus config show Nextcloud > nextcloud-config.yaml
sudo nano nextcloud-config.yaml

Modificare la voce:

devices:
root:
pool: SSD # ← cambiare da "default" (NAS) a "SSD"

4. Importare la configurazione modificata nella nuova istanza

sudo incus config edit Nextcloud-new < nextcloud-config.yaml

5. Copiare il dataset tramite ZFS send/receive

sudo zfs send NAS/.ix-virt/containers/Nextcloud@migrazione | sudo zfs receive -F SSD/.ix-virt/containers/Nextcloud-new

Ripetere i passaggi precedenti per ciascuna istanza LXC.

6. Verifica e pulizia

In questo momento tutte le nuove istanze saranno nominate con -new finale. Verifica che tutte le istanze *-new si avviino correttamente:

sudo incus start Nextcloud-new
sudo incus list

Successivamente posso eliminare i vecchi container (da web UI o CLI):

sudo incus delete --force Nextcloud
sudo incus delete --force <nome-istanza>

7. Archiviazione del vecchio dataset

Una volta che sei sicuro che tutto funzioni, puoi mettere in sola lettura il vecchio dataset e rinominarlo (in futuro potrai decidere di eliminarlo definitivamente):

sudo zfs set readonly=on NAS/.ix-virt
sudo zfs rename NAS/.ix-virt NAS/.backup-ix-virt

8. Rinomina delle istanze *-new con i nomi originali

sudo incus rename Nextcloud-new Nextcloud
sudo incus rename <nome-istanza>-new <nome-istanza>

9. Riavvio dei servizi

Per sicurezza, riavvia incus e middlewared:

sudo systemctl restart incus.service
sudo systemctl restart middlewared.service

10. Il DHCP!

Ultimo promemoria: Hai configurato il DHCP per assegnare alle macchine un IP statico? Attenzione ai MAC address!

Poiché le nuove istanze avranno MAC address diversi, se utilizzi delle assegnazioni statiche di IP via DHCP, assicurati di aggiornare le reservation per evitare problemi di rete.

Con questa procedura sono riuscito a spostare tutto su SSD e ora il mio ambiente è ancora più scattante e reattivo.

Hai anche tu un’infrastruttura simile?

Emanuele

Abilitare autenticazione LDAP su macchine linux

Di recente mi è capitato di dover configurare alcune macchine linux per permettere l’accesso agli utenti di dominio.

La procedura, in breve, richiede di configurare l’accesso con NSS/PAM, gestire i certificati SSL per LDAPS e abilitare determinati gruppi come sudoers.

1. Verifica dei requisiti

Prima di iniziare, assicurati di avere:

  • Un account di AD con permessi di lettura sugli utenti e sui gruppi (nel caso di esempio ldapbind).
  • Il certificato SSL per eseguire la connessione LDAPS.

2. Installazione dei pacchetti necessari

Per permettere al sistema di interrogare il server LDAP, installiamo i pacchetti richiesti:

sudo apt update && sudo apt install -y libnss-ldapd libpam-ldapd nslcd

Questi pacchetti consentono a Linux di utilizzare LDAP per la gestione degli utenti e dell’autenticazione.

3. Configurazione di LDAPS

Dobbiamo configurare il file /etc/nslcd.conf per connettere il sistema al server LDAP. Il file deve contenere informazioni come:

  • L’URI del server LDAPS (o più di uno, in caso di failover).
  • Il percorso base per la ricerca degli utenti.
  • Le credenziali dell’account di servizio.
  • Il mapping degli attributi tra LDAP e il sistema Linux.

Ecco un esempio:

uri ldaps://ldap.example.com
base dc=example,dc=com
binddn cn=ldapbind,ou=services,dc=example,dc=com
bindpw Password_Utente_ldapbind
ldap_version 3
pagesize 1000
referrals off
nss_nested_groups yes
ssl on
tls_reqcert demand
tls_cacertfile /etc/ssl/certs/ca-certificates.crt

4. Configurazione dei certificati SSL

Se il server LDAP utilizza LDAPS, è necessario installare il certificato CA. Puoi importare sulla macchina il certificato CA o recuperare i certificati dei singoli server LDAPS (tieni a mente che tipicamente il certificato CA padre ha una scadenza più lunga e con un’unica chiave ti permette di autenticare tutti i DC figli che verranno nel tempo connessi all’infrastruttura). Se non hai il CA root, puoi comunque recuperare il certificato del DC e salvarlo in ldap-ca.crt attraverso:

openssl s_client -connect ldap.example.com:636 -showcerts </dev/null | openssl x509 -outform PEM > /usr/local/share/ca-certificates/ldap-ca.crt
chmod 644 /usr/local/share/ca-certificates/ldap-ca.crt
update-ca-certificates

Dopo aver aggiornato i certificati, il sistema sarà in grado di stabilire connessioni sicure.

5. Configurazione di NSS e PAM

Aggiorniamo il file /etc/nsswitch.conf per abilitare LDAP nella ricerca di utenti e gruppi:

sed -i '/^passwd:/ { / ldap/! s/$/ ldap/ }' /etc/nsswitch.conf
sed -i '/^group:/ { / ldap/! s/$/ ldap/ }' /etc/nsswitch.conf
sed -i '/^shadow:/ { / ldap/! s/$/ ldap/ }' /etc/nsswitch.conf

Poi configuriamo PAM per creare automaticamente la home directory di un utente LDAP al primo login:

cat <<EOF > /usr/share/pam-configs/mkhomedir
Name: Create home directory on login
Default: no
Priority: 0
Session-Type: Additional
Session-Interactive-Only: yes
Session:
        optional                        pam_mkhomedir.so umask=0077
EOF

pam-auth-update --enable mkhomedir ldap

6. Configurazione dei sudoers per i gruppi LDAP

Se vogliamo che alcuni utenti LDAP abbiano accesso privilegiato, possiamo aggiungere i loro gruppi al file /etc/sudoers.d/eossorg.

Esempio di configurazione:

%LDAPAdmins ALL=(ALL) ALL
%Developers ALL=(ALL) NOPASSWD: ALL

7. Riavvio dei servizi e test

Dopo aver completato la configurazione, riavviamo i servizi e svuotiamo la cache relativa ai gruppi:

systemctl restart nslcd
systemctl restart nscd
nscd --invalidate=group

Ora possiamo verificare che il sistema riconosca gli utenti LDAP attraverso getent passwd username o comunque aprendo una nuova shell ed effettuando la connessione SSH con utente di dominio.

That’s all folks.

Emanuele

Nella moltitudine.

Sono quella che sono.
Un caso inconcepibile
come ogni caso.

In fondo avrei potuto avere
altri antenati,
e così avrei preso il volo
da un altro nido,
così da sotto un altro tronco
sarei strisciata fuori in squame.

Nel guardaroba della natura
c’è un mucchio di costumi: di
ragno, gabbiano, topo campagnolo.
Ognuno calza subito a pennello
e docilmente è indossato
finché non si consuma.

Anch’io non ho scelto,
ma non mi lamento.
Potevo essere qualcuno
molto meno a parte.
Qualcuno d’un formicaio, banco, sciame ronzante,
una scheggia di paesaggio sbattuta dal vento.

Qualcuno molto meno fortunato,
allevato per farne una pelliccia,
per il pranzo della festa,
qualcosa che nuota sotto un vetrino.

Un albero conficcato nella terra,
a cui si avvicina un incendio.

Un filo d’erba calpestato
dal corso di incomprensibili eventi.

Uno nato sotto una cattiva stella,
buona per altri.

E se nella gente destassi spavento,
o solo avversione,
o solo pietà?

Se al mondo fossi venuta
nella tribù sbagliata
e avessi tutte le strade precluse?

La sorte, finora,
mi è stata benigna.

Poteva non essermi dato
il ricordo dei momenti lieti.

Poteva essermi tolta
l’inclinazione a confrontare.

Potevo essere me stessa – ma senza stupore,
e ciò vorrebbe dire
qualcuno di totalmente diverso.

«Nella moltitudine», Wisława Szymborska

Devo a mia moglie tantissime delle emozioni vissute in questi anni e devo a lei anche l’aver imparato ad ascoltare ed apprezzare la poesia.

Buon compleanno e grazie. ♥

Emanuele

Le parole sono navi.

Non si può sperare di aprire una vasetto, versarlo su dei maccheroni e gustare un buon ragù. Anch’io, che non sono mai stato un bravo cuoco, ho imparato che fare il ragù come lo faceva la nonna è un’attività che richiede tempo.

Allo stesso modo in questo avvio di autunno tanto, tantissimo, bolle in pentola. Fatico nel trovare il tempo per fare cose banali come passare da qui e lasciare una traccia.

Sto riempiendo la vita di novità e quei momenti così sono sempre un po’ frenetici.

Emanuele

Record permanenti.

Alcuni anni fa, quando ancora partecipavo su Twitter, decisi di fare ordine nella mia casella di posta e cambiare la mail di riferimento all’interno della piattaforma. Per il social network, non si trattò di una modifica di quel campo ma di un nuovo record da mantenere. [1]

Tale comportamento è diffuso tra i vari social network. Twitter (ormai X) non dimentica. E neanche Google, Facebook o Amazon.

Quando però lo fanno, in realtà, è già troppo tardi.

Da tempo infatti si è diffusa la moda del “cancella i tuoi dati più vecchi“. Google permette di farlo, in automatico, per i dati più vecchi di 3 mesi. L’utente pensa di aver gabbato Google e di star proteggendo la sua privacy. In realtà, tutti i metadati da estrarre da quei record, sono già stati recuperati e utilizzati per migliorare il tuo profilo. Che venga eliminato il dato grezzo – a quel punto – è ininfluente per l’utente ma – addirittura – un vantaggio economico per Google (risorse in meno da mantenere).

In realtà, questi strumenti di auto rimozione dei contenuti risolvono ben poco per gli utenti. Gli esperti sostengono che nell’intervallo dei 3 mesi, Google ha già estratto quasi tutto il valore potenziale dai dati, e dal punto di vista della pubblicità, i dati diventano senza valore quando sono vecchi qualche altro mese in più.

«Qualsiasi cosa fino ad un mese è di estremo valore» dice David Dwech, capo del ramo ricerche a pagamento dell’azienda WPromote. «Qualsiasi cosa oltre il mese, probabilmente non sarebbe utile ad inserirti nel target ugualmente».

Google’s auto-delete tools are practically worthless for privacy

L’unico modo per non essere dei record permanenti di queste grosse società è l’utilizzo di strumenti alternativi, etici e rispettosi della privacy. Esistono.

Riprendiamoci i nostri dati.

Emanuele

[1] Se vi vien voglia di verificare, sappiate che nei vostri profili social è ormai presente per legge una sezione attraverso la quale scaricare tutti i vostri dati. Questa è quella di Twitter (attraverso la quale potrete verificare che – appunto – la nuova mail è diventato un nuovo record), questa quella di Google.