diff --git a/docs/gemstones/perl_search_replace.zh.md b/docs/gemstones/perl_search_replace.zh.md index a1d05bdab1..64d0cdcbb0 100644 --- a/docs/gemstones/perl_search_replace.zh.md +++ b/docs/gemstones/perl_search_replace.zh.md @@ -12,6 +12,7 @@ author: Steven Spencer ``` perl -pi -w -e 's/search_for/replace_with/g;' ~/Dir_to_search/*.html ``` + 对于可能有多个字符串实例的单个文件,可以指定该文件: ``` diff --git a/docs/guides/index.es.md b/docs/guides/index.es.md new file mode 100644 index 0000000000..808829accf --- /dev/null +++ b/docs/guides/index.es.md @@ -0,0 +1,11 @@ +--- +title: Guías de inicio +--- + +# Guías de Rocky Linux + +Bienvenido a la sección de **Guías** de la documentación de Rocky Linux. Aquí encontrará una gran cantidad de documentos "aprende y practica" y mucho más. Esta sección está cambiando constantemente. También hay algunos grupos de documentos más largos que se pueden encontrar en "Books" así como en el futuro habra laboratorios educativos "Labs", cada uno de los cuales se encuentra en el menú superior. + +La mayoría de las categorías no requieren explicación. Si quieres saber cómo ayudar en el desarrollo continuo de Rocky Linux, únete al [Canal de Desarrollo en nuestro comunidad de Mattermost](https://chat.rockylinux.org/rocky-linux/channels/development). Para aquellos que deseen participar en la documentación, únase al [canal de documentación](https://chat.rockylinux.org/rocky-linux/channels/documentation) y únase a la discusión para obtener más información. + +Si quieres sumergirte inmediatamente, ¡puedes [instalar Rocky Linux](installation.md) ahora! diff --git a/docs/guides/security/authentication/active_directory_authentication.it.md b/docs/guides/security/authentication/active_directory_authentication.it.md new file mode 100644 index 0000000000..5c2154d203 --- /dev/null +++ b/docs/guides/security/authentication/active_directory_authentication.it.md @@ -0,0 +1,158 @@ +--- +author: Hayden Young +contributors: Steven Spencer, Sambhav Saggi, Franco Colussi +--- + +# Autenticazione Active Directory + +## Prerequisiti + +- Alcune conoscenze di Active Directory +- Alcune conoscenze di LDAP + +## Introduzione + +Active Directory (AD) di Microsoft è, nella maggior parte delle imprese, il sistema di autenticazione de facto per i sistemi Windows e per i servizi esterni connessi con LDAP. Consente di configurare utenti e gruppi, controllo accessi, permessi, montaggio automatico e altro ancora. + +Ora, mentre si collega Linux a un cluster AD non è possibile supportare _tutte_ le funzionalità menzionate, è in grado di gestire utenti, gruppi e controllo di accesso. È anche possibile (attraverso alcuni tweaks di configurazione sul lato Linux e alcune opzioni avanzate sul lato AD) distribuire le chiavi SSH usando AD. + +Questa guida, tuttavia, coprirà solo la configurazione di autenticazione per Active Directory, e non includerà alcuna configurazione extra sul lato di Windows. + +## Scoprire e unire AD utilizzando SSSD + +!!! Note "Nota" + + In tutta questa guida, il nome di dominio `ad.company.local` verrà utilizzato per + rappresentare il dominio Active Directory. Per seguire questa guida, sostituiscila con + il nome di dominio utilizzato dal tuo dominio AD. + +Il primo passo lungo la strada per unire un sistema Linux in AD è quello di scoprire il tuo cluster AD, per garantire che la configurazione di rete sia corretta su entrambi i lati. + +### Preparazione + +- Assicurati che le seguenti porte siano aperte al tuo host Linux sul tuo controller di dominio: + + | Servizio | Porta(e) | Note | + | -------- | ----------------- | ---------------------------------------------------------- | + | DNS | 53 (TCP+UDP) | | + | Kerberos | 88, 464 (TCP+UDP) | Usato da `kadmin` per impostare & aggiornare le password | + | LDAP | 389 (TCP+UDP) | | + | LDAP-GC | 3268 (TCP) | LDAP Global Catalog - consente di generare ID utenti da AD | + +- Assicurati di aver configurato il tuo controller di dominio AD come server DNS sul tuo host Rocky Linux: + + **Con NetworkManager:** + ```sh + # dove la tua connessione principale a NetworkManager è 'System eth0' e il tuo server AD + # è accessibile all'indirizzo IP 10.0.0.2. + [root@host ~]$ nmcli con mod 'System eth0' ipv4.dns 10.0.0.2 + ``` + + **Modifica manuale del file /etc/resolv.conf:** + ```sh + # Modificare il file resolv.conf + [user@host ~]$ sudo vi /etc/resolv.conf + Search lan + nameserver 10.0.0.2 + nameserver 1.1.1.1 # sostituiscilo con il tuo DNS pubblico preferito (come backup) + + # Rendere il resolv.conf file non scrivibile, impedendo a NetworkManager di + # sovrascriverlo. + [user@host ~]$ sudo chattr +i /etc/resolv.conf + ``` + +- Assicurarsi che l'ora su entrambi i lati (host AD e sistema Linux) sia sincronizzata + + **Per verificare l'ora su Rocky Linux:** + ```sh + [user@host ~]$ date + Mer 22 set 17:11:35 BST 2021 + ``` + +- Installare i pacchetti richiesti per la connessione AD sul lato Linux: + + ```sh + [user@host ~]$ sudo dnf install realmd oddjob oddjob-mkhomedir ssd adcli krb5-workstation + ``` + +### Scoprire + +Ora, dovresti essere in grado di scoprire con successo i tuoi server AD dal tuo host Linux. + +```sh +[user@host ~]$ realm discover ad.company.local +ad.company.local + type: kerberos + realm-name: AD.COMPANY.LOCAL + domain-name: ad.company. ocal + configured: no + server-software: active-directory + client-software: ssd + required-package: oddjob + required-package: oddjob-mkhomedir + required-package: ssd + required-package: adcli + required-package: samba-common +``` + +Questo verrà scoperto utilizzando i record SRV pertinenti memorizzati nel servizio DNS Active Directory. + +### Unirsi + +Una volta che hai scoperto con successo la tua installazione di Active Directory dall'host Linux, dovresti essere in grado di usare `realmd` per entrare nel dominio, che orchestrerà la configurazione di `sssd` usando `adcli` e alcuni altri strumenti. + +```sh +[user@host ~]$ sudo realm join ad.company.local +``` + +Se questo processo si lamenta della crittografia con `KDC has no support for encryption type`, prova ad aggiornare la politica globale di crittografia per consentire gli algoritmi di crittografia più vecchi: + +```sh +[user@host ~]$ sudo update-crypto-policies --set DEFAULT:AD-SUPPORT +``` + +Se questo processo ha successo, dovresti ora essere in grado di estrarre le informazioni `passwd` per un utente di Active Directory. + +```sh +[user@host ~]$ sudo getent passwd administrator@ad.company.local +administrator@ad.company.local:*:1450400500:1450400513:Amministrator:/home/administrator@ad.company.local:/bin/bash +``` + +### Tentativo di Autenticazione + +Ora i tuoi utenti dovrebbero essere in grado di autenticare il tuo host Linux con Active Directory. + +**Su Windows 10:** (che fornisce la propria copia di OpenSSH) + +``` +C:\Users\John.Doe> ssh -l john.doe@ad.company.local linux.host +Password for john.doe@ad.company.local: + +Activate the web console with: systemctl enable --now cockpit.socket + +Last login: Wed Sep 15 17:37:03 2021 from 10.0.10.241 +[john.doe@ad.company.local@host ~]$ +``` + +In caso di successo, hai configurato con successo Linux per utilizzare Active Directory come fonte di autenticazione. + +### Impostazione del dominio predefinito + +In una configurazione predefinita completa, dovrai accedere con il tuo account AD specificando il dominio nel tuo nome utente (e.. `john.doe@ad.company.local`). Se questo non è il comportamento desiderato, e si desidera invece essere in grado di omettere il nome di dominio al momento dell'autenticazione, puoi configurare SSSD come predefinito per un dominio specifico. + +Questo è in realtà un processo relativamente semplice, e richiede solo una configurazione nel vostro file di configurazione SSSD. + +```sh +[user@host ~]$ sudo vi /etc/ssd/sssd.conf +[sssd] +... +default_domain_suffix = ad.company.local +``` + +Aggiungendo il `default_domain_suffix`, stai istruendo SSSD a (se non è specificato nessun altro dominio) dedurre che l'utente sta cercando di autenticarsi dal dominio `ad.company.local`. Questo ti permette di autenticarti con qualcosa come `john.doe` invece di `john.doe@ad.company.local`. + +Per rendere effettiva questa modifica della configurazione, è necessario riavviare l'unità `sssd.service` con `systemctl`. + +```sh +[user@host ~]$ sudo systemctl restart sssd +``` diff --git a/docs/guides/security/enabling_iptables_firewall.it.md b/docs/guides/security/enabling_iptables_firewall.it.md new file mode 100644 index 0000000000..4a38cfb1d5 --- /dev/null +++ b/docs/guides/security/enabling_iptables_firewall.it.md @@ -0,0 +1,41 @@ +# Abilitazione Firewall iptables + +## Prerequisiti + +* Un ardente, inestinguibile desiderio di disabilitare l'applicazione di default _firewalld_ e abilitare _iptables_. + +## Introduzione + +_firewalld_ è ora il firewall predefinito su Rocky Linux. _firewalld_ **era** nient'altro che un'applicazione dinamica di _iptables_ che utilizzando i file xml caricava le modifiche senza il flushing delle regole in CentOS 7/RHEL 7. Con CentOS 8/RHEL 8/Rocky 8, _firewalld_ è ora un wrapper intorno a _nftables_. È ancora possibile, tuttavia, installare e utilizzare direttamente _iptables_ se questa è la tua preferenza. Per installare ed eseguire direttamente _iptables_ senza _firewalld_ puoi farlo seguendo questa guida. Ciò che questa guida **non ti dirà** è come scrivere le regole per _iptables_. Si presume che se vuoi sbarazzarti di _firewalld_, devi già sapere come scrivere regole per _iptables_. + +## Disabilita firewalld + +Non è possibile eseguire la vecchia utility _iptables_ accanto a _firewalld_. Semplicemente non sono compatibili. Il modo migliore per aggirare questo è disabilitare _firewalld_ interamente (non c'è bisogno di rimuoverlo a meno che tu non lo voglia), e reinstallare le utilità _iptables_. Disabilitare _firewalld_ può essere fatto utilizzando questi comandi: + +Stop _firewalld_: + +`systemctl stop firewalld` + +Disabilita _firewalld_ in modo che non si parta all'avvio: + +`systemctl disabilita firewalld` + +Maschera il servizio in modo che non possa essere trovato: + +`systemctl mask firewalld` + +## Installazione e abilitazione dei servizi iptables + +Successivamente abbiamo bisogno di installare i vecchi servizi e le vecchie utility _iptables_. Ciò è fatto con quanto segue: + +`dnf install iptables-services iptables-utils` + +Questo installerà tutto ciò che è necessario per eseguire una regola _iptables_ impostata. + +Ora abbiamo bisogno di abilitare il servizio _iptables_ per assicurarsi che parta all'avvio: + +`systemctl enable iptables` + +## Conclusione + +È possibile tornare a utilizzare di seguito _iptables_ se si preferisce al posto di _firewalld_. Puoi tornare a usare il _firewalld_ predefinito semplicemente invertendo queste modifiche. diff --git a/docs/guides/security/generating_ssl_keys_lets_encrypt.it.md b/docs/guides/security/generating_ssl_keys_lets_encrypt.it.md new file mode 100644 index 0000000000..6ee9382726 --- /dev/null +++ b/docs/guides/security/generating_ssl_keys_lets_encrypt.it.md @@ -0,0 +1,258 @@ +# Generazione di Chiavi SSL - Let's Encrypt + +## Prerequisiti + +* Comfort con la riga di comando +* La familiarità con la protezione dei siti web con i certificati SSL è un plus +* Conoscenza degli editor di testo a riga di comando (questo esempio utilizza _vi_) +* Un server web già in esecuzione aperto al mondo sulla porta 80 (http) +* Familiarità con _ssh_ (secure shell) e la possibilità di accedere al tuo server con _ssh_ + +# Introduzione + +Uno dei modi più popolari per proteggere un sito web, attualmente, è l'utilizzo di certificati SSL Let's Encrypt, che sono anche gratuiti. + +Si tratta di certificati reali, non autofirmati o rimedi, ecc., quindi sono ottimi per una soluzione di sicurezza a basso budget. Questo documento ti guiderà nel processo di installazione e utilizzo dei certificati Let's Encrypt su un server web Rocky Linux. + +## Premesse + +* Tutti i comandi presuppongono che tu sia l'utente root o che tu abbia usato _sudo_ per ottenere l'accesso root. + +## Installazione + +Per effettuare i passi successivi, usa _ssh_ per accedere al tuo server. Se il nome DNS completamente qualificato del tuo server fosse www.myhost.com, utilizzeresti: + +`ssh -l root www.myhost.com` + +Oppure, se devi prima accedere al tuo server come utente non privilegiato. Usa il tuo nome utente: + +`ssh -l username www.myhost.com` + +E quindi: + +`sudo -s` + +In questo caso avrai bisogno delle tue credenziali utente _sudo_ per accedere al sistema come root. + +Let's Encrypt utilizza un pacchetto chiamato _certbot_ che deve essere installato tramite un pacchetto snap. Per installare _snapd_ su Rocky Linux, dovrai installare il repository EPEL se non lo hai già fatto: + +`dnf install epel-release` + +Oltre a _snapd_ potresti aver bisogno di _fuse_ e _squashfuse_ a seconda del tuo sistema. Dobbiamo anche assicurarci che _mod\_ssl_ sia installato. Per installarli tutti usare: + +`dnf install snapd fuse squashfuse mod_ssl` + +_snapd_ richiede una serie di dipendenze che verranno installate insieme ad esso, quindi rispondi sì al prompt di installazione. + +Una volta che _snapd_ e tutte le dipendenze sono installate, abilita il servizio _snapd_ con: + +`systemctl enable --now snapd.socket` + +_certbot_ richiede il supporto classico _snapd_, quindi dobbiamo abilitarlo con un link simbolico: + +`ln -s /var/lib/snapd/snap /snap` + +Prima di continuare, vogliamo assicurarci che tutti i pacchetti snap siano aggiornati. Per fare questo usa: + +`snap install core; snap refresh core` + +Se ci sono degli aggiornamenti, verranno installati qui. + +Solo nel caso in cui ti sia anticipato e abbia già installato _certbot_ dal RPM (che non funzionerà, a proposito), assicurati di rimuoverlo con: + +`dnf remove certbot` + +E infine, è il momento di installare _certbot_ con: + +`snap install --classic certbot` + +Questo dovrebbe installare _certbot_. Il passo finale è mettere il comando _certbot_ in un percorso che Rocky Linux può trovare facilmente. Questo viene fatto con un altro link simbolico: + +`ln -s /snap/bin/certbot /usr/bin/certbot` + +## Ottenere il Certificato di Let's Encrypt + +Ci sono due modi per recuperare il certificato, o usando il comando per modificare il file di configurazione http, o semplicemente recuperare il certificato. Se si sta utilizzando la procedura per una configurazione multi-sito suggerita per uno o più siti nella procedura [Apache Web Server Multi-Site Setup](../web/apache-sites-enabled.md), allora si desidera solo recuperare il certificato. + +Diamo per scontato che voi **stiate** utilizzando questa procedura, quindi recupereremo solo il certificato. Se si esegue un server web standalone utilizzando la configurazione predefinita, è possibile recuperare il certificato e modificare il file di configurazione in un solo passaggio utilizzando `certbot --apache`. + +Per recuperare solo il certificato, utilizzare questo comando: + +`certbot certonly --apache` + +Questo genererà un insieme di prompt a cui dovrai rispondere. Il primo è quello di fornire un indirizzo email per le informazioni importanti: + +``` +Saving debug log to /var/log/letsencrypt/letsencrypt.log +Plugins selected: Authenticator apache, Installer apache +Enter email address (used for urgent renewal and security notices) + (Enter 'c' to cancel): yourusername@youremaildomain.com +``` + +Il prossimo ti chiede di leggere e accettare i termini dell'accordo sottoscritto. Una volta letto l'accordo rispondete 'Y' per continuare: + +``` +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +Please read the Terms of Service at +https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must +agree in order to register with the ACME server. Do you agree? +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +(Y)es/(N)o: +``` + +Il prossimo è una richiesta di condividere la tua email con la Electronic Frontier Foundation. Rispondi 'Y' o 'N' a seconda della tua preferenza: + +``` +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +Would you be willing, once your first certificate is successfully issued, to +share your email address with the Electronic Frontier Foundation, a founding +partner of the Let's Encrypt project and the non-profit organization that +develops Certbot? We'd like to send you email about our work encrypting the web, +EFF news, campaigns, and ways to support digital freedom. +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +(Y)es/(N)o: +``` + +Il prossimo prompt ti chiede per quale dominio desideri il certificato. Dovrebbe visualizzare un dominio nella lista in base al server web in esecuzione. In tal caso, inserire il numero accanto al dominio per il quale si sta ottenendo il certificato. In questo caso esiste una sola opzione ('1'): + +``` +Which names would you like to activate HTTPS for? +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +1: yourdomain.com +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +Select the appropriate numbers separated by commas and/or spaces, or leave input +blank to select all options shown (Enter 'c' to cancel): +``` + +Se tutto va bene, si dovrebbe ricevere il seguente messaggio: + +``` +Requesting a certificate for yourdomain.com +Performing the following challenges: +http-01 challenge for yourdomain.com +Waiting for verification... +Cleaning up challenges +Subscribe to the EFF mailing list (email: yourusername@youremaildomain.com). + +IMPORTANT NOTES: + - Congratulations! Your certificate and chain have been saved at: + /etc/letsencrypt/live/yourdomain.com/fullchain.pem + Your key file has been saved at: + /etc/letsencrypt/live/yourdomain.com/privkey.pem + Your certificate will expire on 2021-07-01. To obtain a new or + tweaked version of this certificate in the future, simply run + certbot again. To non-interactively renew *all* of your + certificates, run "certbot renew" + - If you like Certbot, please consider supporting our work by: + + Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate + Donating to EFF: https://eff.org/donate-le +``` + +## La Configurazione del Sito - https + +Applicare il file di configurazione al nostro sito è leggermente diverso da quello di un certificato SSL acquistato da un altro provider. + +Il file certificate e chain sono inclusi in un unico file PEM (Privacy Enhanced Mail). Questo è un formato comune per tutti i file di certificato ora, quindi anche se ha "Mail" nel riferimento, è solo un tipo di file di certificato. Per illustrare il file di configurazione, lo mostreremo nella sua interezza e poi descriveremo cosa sta succedendo: + +``` + + ServerName www.yourdomain.com + ServerAdmin username@rockylinux.org + Redirect / https://www.yourdomain.com/ + + + ServerName www.yourdomain.com + ServerAdmin username@rockylinux.org + DocumentRoot /var/www/sub-domains/com.yourdomain.www/html + DirectoryIndex index.php index.htm index.html + Alias /icons/ /var/www/icons/ + # ScriptAlias /cgi-bin/ /var/www/sub-domains/com.yourdomain.www/cgi-bin/ + + CustomLog "/var/log/httpd/com.yourdomain.www-access_log" combined + ErrorLog "/var/log/httpd/com.yourdomain.www-error_log" + + SSLEngine on + SSLProtocol all -SSLv2 -SSLv3 -TLSv1 + SSLHonorCipherOrder on + SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384 +:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS + + SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem + SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem + SSLCertificateChainFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem + + + Options -ExecCGI -Indexes + AllowOverride None + + Order deny,allow + Deny from all + Allow from all + + Satisfy all + + +``` + +Ecco cosa sta succedendo sopra. Si consiglia di rivedere le impostazioni [Apache Web Server Multi-Site Setup](../web/apache-sites-enabled.md) per vedere le differenze nell'applicazione di un SSL acquistato da un altro provider e il certificato Let's Encrypt: + +* Anche se la porta 80 (http) è in ascolto, stiamo reindirizzando tutto il traffico alla porta 443 (https) +* SSLEngine on - dice semplicemente di usare SSL +* SSLProtocol all -SSLv2 -SSLv3 -TLSv1 - dice di utilizzare tutti i protocolli disponibili, tranne quelli in cui sono stati trovate vulnerabilità. Dovresti ricercare periodicamente quali protocolli sono attualmente accettabili per l'uso. +* SSLHonorCipherOrder on - si tratta della prossima linea che riguarda le suite di cifratura, e dice di occuparsi di loro nell'ordine dato. Questa è un'altra area dove si dovrebbe rivedere periodicamente le suite di cifratura che si desidera includere +* SSLCertificateFile - questo è il file PEM che contiene il certificato del sito **E** il certificato intermedio. Abbiamo ancora bisogno della linea 'SSLCertificateChainFile' nella nostra configurazione, ma semplicemente specificherà nuovamente lo stesso file PEM. +* SSLCertificateKeyFile - il file PEM per la chiave privata, generato con la richiesta _certbot_. +* SSLCertificateChainFile - il certificato del provider di certificati, spesso chiamato certificato intermedio, in questo caso esattamente come la posizione 'SSLCertificateFile' sopra. + +Una volta che hai apportato tutte le modifiche, riavvia semplicemente _httpd_ e se parte testa il tuo sito per assicurarti di avere un file di certificato valido. Se è così, si è pronti a passare al passo successivo. + +## Automatizzare il Rinnovo del Certificato Let's Encrypt + +La bellezza di installare _certbot_ è che il certificato Let's Encrypt verrà rinnovato automaticamente. Non c'è bisogno di creare un processo per farlo. Dobbiamo testare il rinnovo con: + +`certbot renew --dry-run` + +Quando esegui questo comando, otterrai un piacevole output che mostra il processo di rinnovo: + +``` +Saving debug log to /var/log/letsencrypt/letsencrypt.log + +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +Processing /etc/letsencrypt/renewal/yourdomain.com.conf +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +Cert not due for renewal, but simulating renewal for dry run +Plugins selected: Authenticator apache, Installer apache +Account registered. +Simulating renewal of an existing certificate for yourdomain.com +Performing the following challenges: +http-01 challenge for yourdomain.com +Waiting for verification... +Cleaning up challenges + +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +new certificate deployed with reload of apache server; fullchain is +/etc/letsencrypt/live/yourdomain.com/fullchain.pem +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - + +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +Congratulations, all simulated renewals succeeded: + /etc/letsencrypt/live/yourdomain.com/fullchain.pem (success) +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +``` + +La [documentazione _certbot_](https://certbot.eff.org/lets-encrypt/centosrhel8-apache.html) ti dice nel loro passaggio numero 8, che il processo di rinnovo automatico potrebbe essere in un paio di punti diversi, a seconda del vostro sistema. Per un'installazione Rocky Linux, troverai il processo utilizzando: + +`systemctl list-timers` + +Che ti dà un elenco di processi, uno dei quali sarà per _certbot_: + +``` +Sat 2021-04-03 07:12:00 UTC 14h left n/a n/a snap.certbot.renew.timer snap.certbot.renew.service +``` + +# Conclusioni + +I certificati Let's Encrypt SSL sono un'altra opzione per proteggere il tuo sito web con un SSL. Una volta installato, il sistema prevede il rinnovo automatico dei certificati e crittograferà il traffico al vostro sito web. + +Va notato che i certificati Let's Encrypt sono utilizzati per i certificati DV standard (Domain Validation). Non possono essere utilizzati per i certificati OV (Organization Validation) o EV (Extended Validation). diff --git a/docs/guides/security/learning_selinux.it.md b/docs/guides/security/learning_selinux.it.md new file mode 100644 index 0000000000..7399c678f1 --- /dev/null +++ b/docs/guides/security/learning_selinux.it.md @@ -0,0 +1,428 @@ +--- +title: Sicurezza SELinux +--- + +# Sicurezza SELinux + +Con l'arrivo del kernel versione 2.6, è stato introdotto un nuovo sistema di sicurezza per fornire un meccanismo di sicurezza a supporto delle politiche per il controllo di sicurezza dell'accesso. + +Questo sistema si chiama **SELinux** (**S**ecurity **E**nhanced **Linux**) ed è stato creato dalla **NSA** (**N**ational **S**ecurity **A**dministration) per implementare una robusta **M**andatory **A**ccess **C**ontrol (**MAC**) nei sottosistemi Linux del kernel. + +Se, durante tutta la tua carriera, hai disabilitato o ignorato SELinux, questo documento sarà una buona introduzione a questo sistema. SELinux lavora per limitare i privilegi o rimuovere i rischi associati alla compromissione di un programma o un demone. + +Prima di iniziare, dovresti sapere che SELinux è destinato principalmente alle distribuzioni RHEL, anche se è possibile implementarlo su altre distribuzioni come Debian (ma buona fortuna!). Le distribuzioni della famiglia Debian integrano generalmente il sistema AppArmor, che funziona diversamente da SELinux. + +## Generalità + +**SELinux** (Security Enhanced Linux) è un sistema Mandatory Access Control. + +Prima della comparsa dei sistemi MAC, la sicurezza di gestione degli accessi standard era basata su sistemi **DAC** (**D**iscretionary **A**ccess **C**ontrol). Un'applicazione, o un demone gestito con diritti **UID** o **SUID** (**S**et **O**wner **U**ser **I**d) che ha il permesso di valutare le autorizzazioni (file, socket e altri processi..) corrispondenti a quell'utente. Questa operazione non limita a sufficienza i diritti di un programma corrotto, consentendole potenzialmente di accedere ai sottosistemi del sistema operativo. + +Un sistema MAC rafforza la separazione delle informazioni di riservatezza e integrità nel sistema per ottenere un sistema di contenimento. Il sistema di contenimento è indipendente dal sistema tradizionale dei diritti e non esiste alcuna nozione di superutente. + +Con ogni chiamata di sistema, il kernel interroga SELinux per vedere se permette di eseguire l'azione. + +![SELinux](../images/selinux_001.png) + +SELinux utilizza un insieme di regole (policies) per questo. Viene fornito un insieme di due set di regole standard (**targeted** e **strict**) e ogni applicazione di solito fornisce le proprie regole. + +### Il contesto SELinux + +Il funzionamento di SELinux è totalmente diverso dai tradizionali diritti Unix. + +Il contesto di sicurezza SELinux è definito dal trio **identity**+**role**+**domain**. + +L'identità di un utente dipende direttamente dal suo account Linux. A un'identità è assegnato uno o più ruoli, ma ad ogni ruolo corrisponde un dominio, e uno solo. + +È in base al settore del contesto di sicurezza (e quindi al ruolo) che vengono valutati i diritti di un utente su una risorsa. + +![Contesto SELinux](../images/selinux_002.png) + +I termini "dominio" e "tipo" sono simili. Tipicamente "dominio" viene utilizzato quando si riferisce a un processo, mentre "tipo" si riferisce a un oggetto. + +La convenzione dei nomi è: **user_u:role_r:type_t**. + +Il contesto di sicurezza è assegnato a un utente al momento della sua connessione, in base ai suoi ruoli. Il contesto di sicurezza di un file è definito dal comando `chcon` (**ch**ange **con**text), che vedremo più avanti in questo documento. + +Considerare i seguenti pezzi del puzzle SELinux: + +* Gli argomenti +* Gli oggetti +* Le politiche +* La modalità + +Quando un oggetto (un'applicazione per esempio) cerca di accedere a un oggetto (un file per esempio), la parte SELinux del kernel Linux interroga il suo database di criteri. A seconda della modalità di operazione, SELinux autorizza l'accesso all'oggetto in caso di successo, altrimenti registra il fallimento nel file `/var/log/messages`. + +#### Il contesto SELinux dei processi standard + +I diritti di un processo dipendono dal suo contesto di sicurezza. + +Per impostazione predefinita, il contesto di sicurezza del processo è definito dal contesto (identità + ruolo + dominio) dell'utente che lo avvia. + +Un dominio che è un tipo specifico (nel senso SELinux) collegato a un processo ed ereditato (normalmente) dall'utente che lo ha lanciato, i suoi diritti sono espressi in termini di autorizzazione o rifiuto su tipi collegati agl oggetti: + +Un processo il cui contesto ha la sicurezza __dominio D__ può accedere a oggetti di __tipo T__. + +![Il contesto SELinux dei processi standard](../images/selinux_003.png) + +#### Il contesto SELinux di processi importanti + +I programmi più importanti sono assegnati a un dominio dedicato. + +Ogni eseguibile è etichettato con un tipo dedicato (qui **sshd_exec_t**) che passa automaticamente il processo associato al contesto **sshd_t** (invece di **user_t**). + +Questo meccanismo è essenziale in quanto limita il più possibile i diritti di un processo. + +![Il contesto SELinux di un processo importante - esempio di sshd](../images/selinux_004.png) + +## Gestione + +Il comando `semanage` viene utilizzato per gestire le regole SELinux. + +``` +semanage [object_type] [options] +``` + +Esempio: + +``` +$ semanage boolean -l +``` + +| Opzioni | Osservazioni | +| ------- | ------------------- | +| -a | Aggiunge un oggetto | +| -d | Elimina un oggetto | +| -m | Modifica un oggetto | +| -l | Elenca gli oggetti | + +Il comando `semanage` potrebbe non essere installato di default in Rocky Linux. + +Senza conoscere il pacchetto che fornisce questo comando, si dovrebbe cercare il suo nome con il comando: + +``` +dnf provides */semanage +``` + +quindi installarlo: + +``` +sudo dnf install policycoreutils-python-utils +``` + +### Amministrazione degli oggetti Booleani + +I booleani consentono il contenimento dei processi. + +``` +semanage boolean [options] +``` + +Per elencare i Booleani disponibili: + +``` +semanage boolean –l +SELinux boolean State Default Description +… +httpd_can_sendmail (off , off) Allow httpd to send mail +… +``` + +!!! Note "Nota" + + Come puoi vedere, c'è uno stato `default` (ad esempio all'avvio) e uno stato in esecuzione. + +Il comando `setsebool` viene utilizzato per cambiare lo stato di un oggetto booleano: + +``` +setsebool [-PV] boolean on|off +``` + +Esempio: + +``` +sudo setsebool -P httpd_can_sendmail on +``` + +| Opzioni | Osservazioni | +| ------- | ------------------------------------------------------------------------ | +| `-P` | Cambia il valore predefinito all'avvio (altrimenti solo fino al riavvio) | +| `-V` | Elimina un oggetto | + +!!! Warning "Attenzione" + + Non dimenticare l'opzione `-P` per mantenere lo stato dopo il prossimo avvio. + +### Amministrazione degli oggetti Port + +Il comando `semanage` viene utilizzato per gestire oggetti di tipo port: + +``` +semanage port [options] +``` + +Esempio: abilita la porta 81 per i processi di dominio httpd + +``` +sudo semanage port -a -t http_port_t -p tcp 81 +``` + +## Modalità operative + +SELinux ha tre modalità operative: + +* Enforcing + +Modalità predefinita per Rocky Linux. L'accesso sarà limitato secondo le norme in vigore. + +* Permissive + +Le regole sono interrogate, gli errori di accesso sono registrati, ma l'accesso non sarà bloccato. + +* Disabled + +Nulla sarà limitato, niente sarà registrato. + +Per impostazione predefinita, la maggior parte dei sistemi operativi sono configurati con SELinux in modalità Enforcing. + +Il comando `getenforce` restituisce la modalità operativa corrente + +``` +getenforce +``` + +Esempio: + +``` +$ getenforce +Enforcing +``` + +Il comando `sestatus` restituisce informazioni su SELinux + +``` +sestatus +``` + +Esempio: + +``` +$ sestatus +SELinux status: enabled +SELinuxfs mount: /sys/fs/selinux +SELinux root directory: /etc/selinux +Loaded policy name: targeted +Current mode: enforcing +Mode from config file: enforcing +... +Max kernel policy version: 33 +``` + +Il comando `setenforce` cambia la modalità operativa corrente: + +``` +setenforce 0|1 +``` + +Passa a SELinux in modalità permissiva: + +``` +sudo setenforce 0 +``` + +### Il file `/etc/sysconfig/selinux` + +Il file `/etc/sysconfig/selinux` consente di modificare la modalità operativa di SELinux. + +!!! Warning "Attenzione" + + La disattivazione di SELinux è fatta a proprio rischio! È meglio imparare come funziona SELinux che disabilitarlo sistematicamente! + +Modifica il file `/etc/sysconfig/selinux` + +``` +SELINUX=disabled +``` + +!!! Note "Nota" + + `/etc/sysconfig/selinux` è un collegamento simbolico a `/etc/selinux/config` + +Riavviare il sistema: + +``` +sudo reboot +``` + +!!! Warning "Attenzione" + + Attenzione al cambiamento della modalità SELinux! + +In modalità permissiva o disabilitata, i nuovi file creati non avranno alcuna etichetta. + +Per riattivare SELinux, dovrai riposizionare le etichette sull'intero sistema. + +Etichettatura dell'intero sistema: + +``` +sudo touch /.autorelabel +sudo reboot +``` + +## Il Tipo di Policy + +SELinux fornisce due tipi standard di regole: + +* **Targeted**: solo i demoni di rete sono protetti (`dhcpd`, `httpd`, `named`, `nscd`, `ntpd`, `portmap`, `snmpd`, `squid` e `syslogd`) +* **Strict**: tutti i demoni sono protetti + +## Contesto + +La visualizzazione dei contesti di sicurezza viene eseguita con l'opzione `-Z`. È associata a molti comandi: + +Esempi: + +``` +id -Z # the user's context +ls -Z # those of the current files +ps -eZ # those of the processes +netstat –Z # for network connections +lsof -Z # for open files +``` + +Il comando `matchpathcon` restituisce il contesto di una directory. + +``` +matchpathcon directory +``` + +Esempio: + +``` +sudo matchpathcon /root + /root system_u:object_r:admin_home_t:s0 + +sudo matchpathcon / + / system_u:object_r:root_t:s0 +``` + +Il comando `chcon` modifica un contesto di sicurezza: + +``` +chcon [-vR] [-u USER] [–r ROLE] [-t TYPE] file +``` + +Esempio: + +``` +sudo chcon -vR -t httpd_sys_content_t /data/websites/ +``` + +| Opzioni | Osservazioni | +| -------------- | ------------------------------------ | +| `-v` | Passa in modalità dettagliata | +| `-R` | Applica ricorsione | +| `-u`,`-r`,`-t` | Si applica a un utente, ruolo o tipo | + +Il comando `restorecon` ripristina il contesto di sicurezza predefinito (quello fornito dalle regole): + +``` +restorecon [-vR] directory +``` + +Esempio: + +``` +sudo restorecon -vR /home/ +``` + +| Opzioni | Osservazioni | +| ------- | ----------------------------- | +| `-v` | Passa in modalità dettagliata | +| `-R` | Applica ricorsione | + +Per far sopravvivere un cambio di contesto a un `restorecon`, è necessario modificare i contesti dei file predefiniti con il comando `semanage fcontext`: + +``` +semanage fcontext -a options file +``` + +!!! Note "Nota" + + Se si esegue un cambio di contesto per una cartella che non è standard per il sistema, creare la regola e quindi applicare il contesto è una buona prassi, come nell'esempio qui sotto! + +Esempio: + +``` +$ sudo semanage fcontext -a -t httpd_sys_content_t "/data/websites(/.*)?" +$ sudo restorecon -vR /data/websites/ +``` + +## comando `audit2why` + +Il comando `audit2why` indica la causa di un rifiuto di SELinux: + +``` +audit2why [-vw] +``` + +Esempio per ottenere la causa dell'ultimo rifiuto da parte di SELinux: + +``` +sudo cat /var/log/audit/audit.log | grep AVC | grep denied | tail -1 | audit2why +``` + +| Opzioni | Osservazioni | +| ------- | ------------------------------------------------------------------------------------------------------------------ | +| `-v` | Passa in modalità dettagliata | +| `-w` | Traduce la causa di un rifiuto da parte di SELinux e propone una soluzione per porvi rimedio (opzione predefinita) | + +### Andando oltre con SELinux + +Il comando `audit2allow` crea un modulo per consentire un'azione SELinux (quando non esiste un modulo) da una riga in un file "audit": + +``` +audit2allow [-mM] +``` + +Esempio: + +``` +sudo cat /var/log/audit/audit.log | grep AVC | grep denied | tail -1 | audit2allow -M mylocalmodule +``` + +| Opzioni | Osservazioni | +| ------- | ----------------------------------------------------------- | +| `-m` | Creare solo il modulo (`*.te`) | +| `-M` | Creare il modulo, compilarlo e creare il pacchetto (`*.pp`) | + +#### Esempio di configurazione + +Dopo l'esecuzione di un comando, il sistema restituisce il prompt dei comandi ma il risultato atteso non è visibile: nessun messaggio di errore sullo schermo. + +* **Passo 1**: Leggi il file di log sapendo che il messaggio a cui siamo interessati è di tipo AVC (SELinux), rifiutato (denied) e il più recente (quindi l'ultimo). + +``` +sudo cat /var/log/audit/audit.log | grep AVC | grep denied | tail -1 +``` + +Il messaggio è isolato correttamente, ma non ci aiuta. + +* **Passo 2**: Leggi il messaggio isolato con il comando `audit2why` per ottenere un messaggio più esplicito che potrebbe contenere la soluzione del nostro problema (tipicamente un booleano da impostare). + +``` +sudo cat /var/log/audit/audit.log | grep AVC | grep denied | tail -1 | audit2why +``` + +Ci sono due casi: o possiamo inserire un contesto o riempire un booleano, o dobbiamo andare al terzo passo per creare il nostro contesto. + +* **Passo 3**: Crea il tuo modulo. + +``` +$ sudo cat /var/log/audit/audit.log | grep AVC | grep denied | tail -1 | audit2allow -M mylocalmodule +Generating type enforcement: mylocalmodule.te +Compiling policy: checkmodule -M -m -o mylocalmodule.mod mylocalmodule.te +Building package: semodule_package -o mylocalmodule.pp -m mylocalmodule.mod + +$ sudo semodule -i mylocalmodule.pp +``` diff --git a/docs/guides/security/ssh_public_private_keys.it.md b/docs/guides/security/ssh_public_private_keys.it.md new file mode 100644 index 0000000000..41e4494c78 --- /dev/null +++ b/docs/guides/security/ssh_public_private_keys.it.md @@ -0,0 +1,91 @@ +# SSH Chiave Pubblica e Privata + +## Prerequisiti + +* Una certa comodità ad operare dalla linea di comando +* Server Rocky Linux e/o workstations con *openssh* installati + * Va bene tecnicamente, questo processo funziona su qualsiasi sistema Linux con openssh installato +* Facoltativo: familiarità con i permessi linux di file e directory + +# Introduzione + +SSH è un protocollo utilizzato per accedere da una macchina ad un'altra, di solito tramite la riga di comando. Con SSH è possibile eseguire comandi su computer e server remoti, inviare file e in genere gestire tutto ciò che si fa da un unico posto. + +Quando si lavora con più server Rocky Linux in più posizioni, o se stai semplicemente cercando di risparmiare un po' di tempo per accedere a questi server, vorrai usare una coppia di chiavi private e pubbliche SSH. Le coppie di chiavi rendono sostanzialmente più facile accedere a macchine remote e eseguire i comandi. + +Questo documento vi guiderà attraverso il processo di creazione delle chiavi e nella configurazione dei server per un accesso facilitato, con tali chiavi. + +### Processo Per Generare Le Chiavi + +I seguenti comandi sono tutti eseguiti dalla riga di comando sulla tua workstation Rocky Linux: + +`ssh-keygen -t rsa` + +Che mostrerà quanto segue: + +``` +Generating public/private rsa key pair. +Enter file in which to save the key (/root/.ssh/id_rsa): +``` + +Premi Invio per accettare la posizione predefinita. Successivamente il sistema mostrerà: + +`Enter passphrase (empty for no passphrase):` + +Quindi clicca Invio qui. Infine, vi chiederà di reinserire la passphrase: + +`Inserisci nuovamente la stessa passphrase:` + +Quindi premi Invio ancora una volta. + +Ora dovresti avere una coppia di chiavi pubbliche e private di tipo RSA nella tua directory .ssh: + +``` +ls -a .ssh/ +. .. id_rsa id_rsa.pub +``` + +Ora abbiamo bisogno di inviare la chiave pubblica (id_rsa.pub) a ogni macchina a cui andremo ad accedere... ma prima di farlo, dobbiamo assicurarci di poter entrare in SSH nei server a cui invieremo la chiave. Per il nostro esempio, useremo solo tre server. + +È possibile accedervi tramite SSH tramite un nome DNS o un indirizzo IP, ma per il nostro esempio useremo il nome DNS. I nostri server di esempio sono web, mail e portale. Per ogni server, cercheremo di SSH (i nerd amano usare SSH come un verbo) e lasciare una finestra del terminale aperta per ogni macchina: + +`ssh -l root web.ourourdomain.com` + +Supponendo che possiamo effettuare il login senza problemi su tutte e tre le macchine, il passo successivo è quello di inviare la nostra chiave pubblica su ogni server: + +`scp .ssh/id_rsa.pub root@web.ourourdomain.com:/root/` + +Ripetere questo passaggio con ciascuna delle nostre tre macchine. + +In ciascuna delle finestre di terminale aperte, dovresti ora essere in grado di vedere *id_rsa.pub* quando inserisci il seguente comando: + +`ls -a | grep id_rsa.pub` + +Se così fosse, ora siamo pronti a creare o aggiungere il file *authorized_keys* nella directory *.ssh* di ogni server. Su ciascuno dei server, inserire questo comando: + +`ls -a .ssh` + +**Importante! Assicurati di leggere attentamente tutto ciò che segue. Se non siete sicuri di rompere qualcosa, allora fate una copia di backup di authorized_keys (se esiste) su ciascuna delle macchine prima di continuare.** + +Se non c'è nessun file *authorized_keys* elencato, lo creeremo inserendo questo comando mentre siamo nella nostra directory _/root_: + +`cat id_rsa.pub > .ssh/authorized_keys` + +Se _authorized_keys_ esiste, dobbiamo semplicemente aggiungere la nostra nuova chiave pubblica a quelle che sono già lì: + +`cat id_rsa.pub >> .ssh/authorized_keys` + +Una volta che la chiave è stata aggiunta a _authorized_keys_, o il file _authorized_keys_ è stato creato, prova di nuovo a SSH dalla tua workstation Rocky Linux al server. Non vi dovrebbe richiedere una password. + +Una volta verificato che è possibile accedere a SSH senza password, rimuovere il file id_rsa.pub dalla directory _/root_ di ogni macchina. + +`rm id_rsa.pub` + +### Directory SSH e Sicurezza authorized_keys + +Su ciascuna delle macchine di destinazione, assicurati che siano applicate le seguenti autorizzazioni: + +`chmod 700 .ssh/` `chmod 600 .ssh/authorized_keys` + + + diff --git a/docs/guides/security/ssl_keys_https.it.md b/docs/guides/security/ssl_keys_https.it.md new file mode 100644 index 0000000000..4bdbe9e5c3 --- /dev/null +++ b/docs/guides/security/ssl_keys_https.it.md @@ -0,0 +1,116 @@ +# Generazione di Chiavi SSL + +# Prerequisiti + +* Una workstation e un server con in esecuzione Rocky Linux (OK, Linux, ma in realtà vuoi Rocky Linux, giusto?) +* _OpenSSL_ installato sulla macchina dove si sta per generare la chiave privata e il CSR, così come sul server dove alla fine si andrà ad installare la chiave e i certificati +* Capacità di eseguire comandi comodamente dalla riga di comando +* Utile: conoscenza dei comandi SSL e OpenSSL + + +# Introduzione + +Quasi tutti i siti web oggi _dovrebbero_ essere in esecuzione con un certificato SSL (secure socket layer). Questa procedura vi guiderà attraverso la generazione della chiave privata per il vostro sito web e poi da questa, verrà generato il CSR (certificate signing request) che utilizzerai per acquistare il nuovo certificato. + +## Genera La Chiave Privata + +Per le chiavi private SSL non inizializzate, si possono avere dimensioni diverse, misurate in bit, che determinano fondamentalmente quanto sono difficili da decifrare. + +A partire dal 2021, la dimensione della chiave privata raccomandata per un sito web è ancora 2048 bits. Si può aumentare, ma raddoppiare la dimensione della chiave da 2048 bit a 4096 bit è solo circa il 16% più sicuro, richiede più spazio per memorizzare la chiave, provoca carichi di CPU più elevati quando la chiave viene elaborata. + +Questo rallenta le prestazioni del sito web senza ottenere alcuna sicurezza significativa. Rimaniamo con la dimensione della chiave a 2048 tenendo sempre sotto controllo ciò che è attualmente raccomandato. + +Per cominciare, assicuriamoci che OpenSSL sia installato sia sulla tua workstation che sul server: + +`dnf install openssl` + +Se non è installato, il sistema lo installerà assieme a tutte le dipendenze necessarie. + +Il nostro dominio di esempio è ourownwiki.com. Tieni presente che dovresti acquistare e registrare il tuo dominio in anticipo. È possibile acquistare domini attraverso un certo numero di "Registrars". + +Se non si esegue il proprio DNS (Domain Name System), è spesso possibile utilizzare gli stessi provider per l'hosting DNS. DNS traduce il tuo nome a dominio in numeri (indirizzi IP, IPv4 o IPv6) che Internet può comprendere. Questi indirizzi IP saranno dove il sito web è effettivamente ospitato. + +Generiamo la chiave usando openssl: + +`openssl genrsa -des3 out ourownwiki.com.key.pass 2048` + +Nota che abbiamo chiamato la chiave, con estensione .pass. Questo perché non appena eseguiamo questo comando, richiede di inserire una frase segreta. Inserisci una frase segreta semplice che puoi ricordare poichè andremo a rimuoverla a breve: + +``` +Enter pass phrase for ourownwiki.com.key.pass: +Verifying - Enter pass phrase for ourownwiki.com.key.pass: +``` + +Quindi, rimuoviamo quella frase segreta. La ragione di questo è che se non la rimuovi, ogni volta che il server web si riavvia e carica la chiave, è necessario inserire quella passphrase. + +Potreste anche non essere in giro per inserirla, o peggio, potreste non avere una console a portata di mano per inserirla. Rimuoverla ora per evitare tutto questo: + +`openssl rsa -in ourownwiki.com.key.pass -out ourownwiki.com.key` + +Questo richiederà quella frase segreta ancora una volta per rimuovere la frase segreta dalla chiave: + +`Enter pass phrase for ourownwiki.com.key.pass:` + +Ora che hai inserito la frase segreta una terza volta, è stata rimossa dal file della chiave e salvato come ourownwiki.com.key + +## Generare il CSR + +Successivamente, abbiamo bisogno di generare il CSR (certificate signing request) che useremo per acquistare il nostro certificato. + +Durante la generazione della CSR, vi saranno richieste diverse informazioni. Si tratta degli attributi X.509 del certificato. + +Una delle richieste sarà il "Nome comune (ad esempio, il TUO nome)". È importante che questo campo sia riempito con il nome di dominio completamente qualificato del server che deve essere protetto da SSL. Se il sito web da proteggere sarà https://www.ourownwiki.com, inserisci www.ourownwiki.com a questo prompt: + +`openssl req -new -key ourownwiki.com.key out ourownwiki.com.csr` + +Questo apre un dialogo: + +`Country Name (2 letter code) [XX]:` inserisci il codice paese a due caratteri in cui risiede il tuo sito, esempio "US" `State or Province Name (full name) []:` inserisci il nome ufficiale completo del tuo stato o provincia, esempio "Nebraska" `Locality Name (eg, city) [Default City]:` inserisci il nome completo della città, esempio "Omaha" `Organization Name (eg, company) [Default Company Ltd]:` Se vuoi, puoi inserire un'organizzazione di cui questo dominio fa parte, o semplicemente premere 'Invio' per saltare. `Organizational Unit Name (eg, section) []:` Questo descrive la divisione dell'organizzazione in cui rientra il tuo dominio. Anche in questo caso, puoi semplicemente premere 'Invio' per saltare. `Common Name (eg, your name or your server's hostname) []:` Qui, dobbiamo inserire il nostro nome host, esempio "www.ourownwiki. om" `Email Addressl []:` Questo campo è opzionale, puoi decidere di compilarlo o semplicemente premere 'Invio' per saltare. + +Successivamente, ti verrà chiesto di inserire attributi aggiuntivi che possono essere saltati premendo 'Invio' per entrambi: + +``` +Please enter the following 'extra' attributes +to be sent with your certificate request +A challenge password []: +An optional company name []: +``` + +Ora dovresti aver generato il tuo CSR. + +## Acquisto Del Certificato + +Ogni fornitore di certificati avrà fondamentalmente la stessa procedura. Si acquista il SSL e il termine (1 o 2 anni, ecc.) e poi si invia il proprio CSR. Per fare questo, è necessario utilizzare il comando `more` e quindi copiare il contenuto del file CSR. + +`more ourownwiki.com.csr` + +Che vi mostrerà qualcosa del genere: + +``` +-----BEGIN CERTIFICATE REQUEST----- +MIICrTCCAZUCAQAwaDELMAkGA1UEBhMCVVMxETAPBgNVBAgMCE5lYnJhc2thMQ4w +DAYDVQQHDAVPbWFoYTEcMBoGA1UECgwTRGVmYXVsdCBDb21wYW55IEx0ZDEYMBYG +A1UEAwwPd3d3Lm91cndpa2kuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB +CgKCAQEAzwN02erkv9JDhpR8NsJ9eNSm/bLW/jNsZxlxOS3BSOOfQDdUkX0rAt4G +nFyBAHRAyxyRvxag13O1rVdKtxUv96E+v76KaEBtXTIZOEZgV1visZoih6U44xGr +wcrNnotMB5F/T92zYsK2+GG8F1p9zA8UxO5VrKRL7RL3DtcUwJ8GSbuudAnBhueT +nLlPk2LB6g6jCaYbSF7RcK9OL304varo6Uk0zSFprrg/Cze8lxNAxbFzfhOBIsTo +PafcA1E8f6y522L9Vaen21XsHyUuZBpooopNqXsG62dcpLy7sOXeBnta4LbHsTLb +hOmLrK8RummygUB8NKErpXz3RCEn6wIDAQABoAAwDQYJKoZIhvcNAQELBQADggEB +ABMLz/omVg8BbbKYNZRevsSZ80leyV8TXpmP+KaSAWhMcGm/bzx8aVAyqOMLR+rC +V7B68BqOdBtkj9g3u8IerKNRwv00pu2O/LOsOznphFrRQUaarQwAvKQKaNEG/UPL +gArmKdlDilXBcUFaC2WxBWgxXI6tsE40v4y1zJNZSWsCbjZj4Xj41SB7FemB4SAR +RhuaGAOwZnzJBjX60OVzDCZHsfokNobHiAZhRWldVNct0jfFmoRXb4EvWVcbLHnS +E5feDUgu+YQ6ThliTrj2VJRLOAv0Qsum5Yl1uF+FZF9x6/nU/SurUhoSYHQ6Co93 +HFOltYOnfvz6tOEP39T/wMo= +-----END CERTIFICATE REQUEST----- +``` + +Dovrete copiare tutto, comprese le linee "BEGIN CERTIFICATE REQUEST" e "END CERTIFICATE REQUEST". Poi incollarlo nel campo CSR sul sito web dove si sta acquistando il certificato. + +Potresti dover eseguire altri passaggi di verifica, a seconda della proprietà del dominio, del registrar che stai usando, ecc., prima che il tuo certificato venga rilasciato. Quando viene rilasciato, dovrebbe essere rilasciato insieme a un certificato intermedio del provider, che userai anche nella configurazione. + +# Conclusione + +La generazione di tutti i bits e passaggi per l'acquisto di un certificato del sito web non è terribilmente difficile e può essere eseguita dall'amministratore del sistema o dall'amministratore del sito web utilizzando la procedura di cui sopra. + diff --git a/docs/release_notes/8-changelog.it.md b/docs/release_notes/8-changelog.it.md index f33a92480f..fd28ebaae2 100644 --- a/docs/release_notes/8-changelog.it.md +++ b/docs/release_notes/8-changelog.it.md @@ -15,41 +15,58 @@ Gli aggiornamenti rilasciati dall'upstream sono pubblicati attraverso le nostre Tutti i componenti di Rocky Linux sono costruiti dalle fonti ospitate su [git.rockylinux.org](https://git.rockylinux.org). Inoltre, gli SRPM sono in corso di pubblicazione accanto ai repository in una corrispondente directory "source". Puoi trovarli su uno qualsiasi dei nostri mirrors. Questi pacchetti sorgente corrispondono ad ogni RPM binario che rilasciamo. -## 8.5 - 2022-01-11 +# 8.5 - 2022-01-12 I seguenti pacchetti sono stati aggiornati dal 11 gennaio 2022: * firefox: firefox-91.4.0-1.el8_5 -> firefox-91.5.0-1.el8_5 * thunderbird: thunderbird-91.4.0-2.el8_5 -> thunderbird-91.5.0-1.el8_5 * thunderbird: thunderbird-91.4.0-2.el8.plus -> thunderbird-91.5.0-1.el8.plus - -## 8.5 - 2022-01-03 +* kernel-rt: kernel-rt-4.18.0-348.7.1.rt7.137.el8_5 -> kernel-rt-4.18.0-348.12.2.rt7.143.el8_5 +* libarchive: libarchive-3.3.3-1.el8 -> libarchive-3.3.3-1.el8_5 +* libreswan: libreswan-4.4-1.el8 -> libreswan-4.4-4.el8_5 I seguenti pacchetti sono stati aggiornati dal 03 gennaio 2022: * dotnet6.0: dotnet6.0-6.0.100-0.10.el8_5 -> dotnet6.0-6.0.101-2.el8_5 * rpaste: rpaste-0.1-3.el8.2 -> rpaste-0.2.0-1.el8 +* CVE-2021-4155 -## 8.5 - 2021-12-22 +## 8.5 - 2022-01-11 I seguenti pacchetti sono stati aggiornati dal 22 dicembre 2021: * grafana: grafana-7.5.9-4.el8 -> grafana-7.5.9-5.el8_5 +* thunderbird: thunderbird-91.4.0-2.el8_5 -> thunderbird-91.5.0-1.el8_5 +* thunderbird: thunderbird-91.4.0-2.el8.plus -> thunderbird-91.5.0-1.el8.plus + +## 8.5 - 2022-01-03 CVE Associati: * CVE-2021-44716 +* rpaste: rpaste-0.1-3.el8.2 -> rpaste-0.2.0-1.el8 -## 8.5 - 2021-12-17 +## 8.5 - 2021-12-22 I seguenti pacchetti sono stati aggiornati dal 17 dicembre 2021: * 389-ds-base: 389-ds-base-1.4.3.23-10.module+el8.5.0+700+370e33d5 -> 389-ds-base-1.4.3.23-12.module+el8.5.0+722+e2a0b219 -* accountsservice: accountsservice-0.6.55-2.el8 -> accountsservice-0.6.55-2.el8_5.2 -* cloud-init: cloud-init-21.1-7.el8 -> cloud-init-21.1-7.el8_5.3 -* freeradius: freeradius-3.0.20-9.module+el8.5.0+704+21fb769d -> freeradius-3.0.20-10.module+el8.5.0+723+cc9aee6c -* gnome-shell-extensions: gnome-shell-extensions-3.32.1-20.el8_5.1 -> gnome-shell-extensions-3.32.1-22.el8_5 -* java-11-openjdk: java-11-openjdk-1:11.0.13.0.8-3.el8_5 -> java-11-openjdk-1:11.0.13.0.8-4.el8_5 + +I seguenti pacchetti sono stati aggiornati dal 03 gennaio 2022: + +* CVE-2021-20321 + +## 8.5 - 2021-12-17 + +I seguenti moduli sono stati aggiornati: + +* virt-rhel-8050020211221163306.b4937e53 +* virt-devel-rhel-8050020211221163306.b4937e53 +* postgresql-13-8050020211221161313.b4937e53 +* postgresql-12-8050020211221161311.b4937e53 +* freeradius-3.0-8050020211221161359.ab0f257b +* 389-ds-1.4-8050020211221162652.1a75f91c * kernel: kernel-4.18.0-348.2.1.el8_5 -> kernel-4.18.0-348.7.1.el8_5 * kernel-rt: kernel-rt-4.18.0-348.2.1.rt7.132.el8_5 -> kernel-rt-4.18.0-348.7.1.rt7.137.el8_5 * kexec-tools: kexec-tools-2.0.20-57.el8 -> kexec-tools-2.0.20-57.el8_5.1 @@ -61,117 +78,117 @@ I seguenti pacchetti sono stati aggiornati dal 17 dicembre 2021: * rocky-release: rocky-release-8.5-2.el8 -> rocky-release-8.5-3.el8 * sssd: sssd-2.5.2-2.el8_5.1 -> sssd-2.5.2-2.el8_5.3 -CVE Associati: +I seguenti pacchetti sono stati aggiornati dal 03 gennaio 2022: -* CVE-2021-20321 -* CVE-2021-3930 +* selinux-policy: selinux-policy-3.14.3-80.el8 -> selinux-policy-3.14.3-80.el8_5.2 +* systemd: systemd-239-51.el8 -> systemd-239-51.el8_5.3 * CVE-2021-20257 * CVE-2021-3712 -I seguenti moduli sono stati aggiornati: +I seguenti pacchetti sono stati aggiornati dal 16 Dicembre, 2021: -* virt-rhel-8050020211221163306.b4937e53 -* virt-devel-rhel-8050020211221163306.b4937e53 -* postgresql-13-8050020211221161313.b4937e53 -* postgresql-12-8050020211221161311.b4937e53 -* freeradius-3.0-8050020211221161359.ab0f257b -* 389-ds-1.4-8050020211221162652.1a75f91c +* dotnet5.0: dotnet5.0-5.0.209-1.el8_5 -> dotnet5.0-5.0.210-1.el8_5 +* go-toolset: go-toolset-1.16.7-1.module+el8.5.0+694+f77f0bfd -> go-toolset-1.16.12-1.module+el8.5.0+720+c057d5cf +* golang: golang-1.16.7-1.module+el8.5.0+694+f77f0bfd -> golang-1.16.12-1.module+el8.5.0+720+c057d5cf +* ipa: ipa-4.9.6-6.module+el8.5.0+675+61f67439 -> ipa-4.9.6-10.module+el8.5.0+719+4f06efb6 +* nodejs: nodejs-1:16.8.0-1.module+el8.5.0+702+221f14e6 -> nodejs-1:16.13.1-3.module+el8.5.0+721+4c107270 +* 389-ds-1,4-8050020211221162652,1a75f91c ### Note Tecniche di Rilascio -il pacchetto rocky-release è stato aggiornato per aggiungere il countme=1 ai repository base di Rocky Linux, analogamente a come epel ha nei loro repos. Se hai modificato i file dei repository, avrete i file .rpmnew generati, per non sovrascrivere le vostre modifiche. +il pacchetto rocky-release è stato aggiornato per aggiungere il countme=1 ai repository base di Rocky Linux, analogamente a come epel ha nei loro repos. Se avete modificato i file dei repository, avrete i file .rpmnew generati, per non sovrascrivere le vostre modifiche. ## 8.5 - 2021-12-16 -I seguenti pacchetti sono stati aggiornati dal 16 Dicembre, 2021: +CVE Associati: -* selinux-policy: selinux-policy-3.14.3-80.el8 -> selinux-policy-3.14.3-80.el8_5.2 +* CVE-2020-25717 * systemd: systemd-239-51.el8 -> systemd-239-51.el8_5.3 ## 8.5 - 2021-12-13 -I seguenti pacchetti sono stati aggiornati dal 13 Dicembre, 2021: +I seguenti moduli sono stati aggiornati: -* dotnet5.0: dotnet5.0-5.0.209-1.el8_5 -> dotnet5.0-5.0.210-1.el8_5 -* go-toolset: go-toolset-1.16.7-1.module+el8.5.0+694+f77f0bfd -> go-toolset-1.16.12-1.module+el8.5.0+720+c057d5cf -* golang: golang-1.16.7-1.module+el8.5.0+694+f77f0bfd -> golang-1.16.12-1.module+el8.5.0+720+c057d5cf +* go-toolset-rhel8-8050020211215173118-8aa62369 +* idm-DL1-8050020211215093947-3d2c466f +* nodejs-16-8050020211215195043-b4937e53 * ipa: ipa-4.9.6-6.module+el8.5.0+675+61f67439 -> ipa-4.9.6-10.module+el8.5.0+719+4f06efb6 * nodejs: nodejs-1:16.8.0-1.module+el8.5.0+702+221f14e6 -> nodejs-1:16.13.1-3.module+el8.5.0+721+4c107270 * nodejs-nodemon: nodejs-nodemon-2.0.7-1.module+el8.5.0+702+221f14e6 -> nodejs-nodemon-2.0.15-1.module+el8.5.0+721+4c107270 -* kernel-rt: kernel-rt-kvm added to RT +* kernel-rt: kernel-rt-kvm aggiunto a RT -CVE Associati: +Sulla base di una richiesta, il pacchetto kernel-rt-kvm è stato aggiunto al repository RT. -* CVE-2020-25717 +* samba: samba-4.14.5-2.el8 -> samba-4.14.5-7.el8_5 -I seguenti moduli sono stati aggiornati: +I seguenti pacchetti sono stati aggiornati dal 12 Dicembre, 2021: -* go-toolset-rhel8-8050020211215173118-8aa62369 -* idm-DL1-8050020211215093947-3d2c466f -* nodejs-16-8050020211215195043-b4937e53 +* CVE-2016-2124 +* CVE-2020-25717 +* CVE-2021-23192 ### Note Tecniche di Rilascio -Sulla base di una richiesta, il pacchetto kernel-rt-kvm è stato aggiunto al repository RT. +CVE Associati: ## 8.5 - 2021-12-12 -I seguenti pacchetti sono stati aggiornati dal 12 Dicembre, 2021: +I seguenti pacchetti sono stati aggiornati dal 10 Dicembre, 2021: -* samba: samba-4.14.5-2.el8 -> samba-4.14.5-7.el8_5 +* WALinuxAgent: WALinuxAgent-2.3.0.2-2.el8 -> WALinuxAgent-2.3.0.2-2.el8.rocky.0 -CVE Associati: +I seguenti moduli sono stati aggiornati: -* CVE-2016-2124 -* CVE-2020-25717 +* python27 +* samba: samba-4.14.5-2.el8 -> samba-4.14.5-7.el8_5 * CVE-2021-23192 ## 8.5 - 2021-12-10 -I seguenti pacchetti sono stati aggiornati dal 10 Dicembre, 2021: +Questi aggiornamenti sono per lo più di natura estetica e non influenzano le funzionalità. -* WALinuxAgent: WALinuxAgent-2.3.0.2-2.el8 -> WALinuxAgent-2.3.0.2-2.el8.rocky.0 +* WALinuxAgent -> Abbiamo aggiunto il supporto diretto a Rocky quì così come a monte in un PR a Microsoft * libreoffice: libreoffice-1:6.4.7.2-5.el8.1 -> libreoffice-1:6.4.7.2-5.el8.2.rocky -* openscap: openscap-1.3.5-6.el8 -> openscap-1.3.5-6.el8.rocky.0.1 -* pcs: pcs-0.10.10-4.el8 -> pcs-0.10.10-4.el8.rocky.0 -* python2: python2-2.7.18-7.module+el8.5.0+706+735ec4b3.rocky.0.1 -> python2-2.7.18-7.module+el8.5.0+718+67e45b5f.rocky.0.2 -* rocky-release: rocky-release-8.5-1.el8 -> rocky-release-8.5-2.el8 +* openscap -> Mancavano delle informazioni per Rocky Linux. +* pcs -> Il logo aveva un marchio che non è stato rimosso +* rocky-release -> semplifica CPE_NAME +* python2 -> aggiunge rocky alle dists supportate -I seguenti moduli sono stati aggiornati: +I seguenti pacchetti sono stati aggiornati dal 09 dicembre 2021: -* python27 +* thunderbird: thunderbird-91.3.0-2.el8_4 -> ### Note Tecniche di Rilascio Questi aggiornamenti sono per lo più di natura estetica e non influenzano le funzionalità. -* WALinuxAgent -> Abbiamo aggiunto il supporto diretto a Rocky quì così come a monte in un PR a Microsoft +* abrt: abrt-2.10.9-21.el8 -> abrt-2.10.9-21.el8.rocky.0 * libreoffice -> È stato trovato un marchio del cappello rosso. Questo aggiornamento riguarda il marchio. -* openscap -> Mancavano delle informazioni per Rocky Linux. +* sos: sos-4.1-5.el8 -> sos-4.1-5.el8.rocky.2 * pcs -> Il logo aveva un marchio che non è stato rimosso * rocky-release -> semplifica CPE_NAME * python2 -> aggiunge rocky alle dists supportate ## 8.5 - 2021-12-09 -I seguenti pacchetti sono stati aggiornati dal 09 dicembre 2021: +I seguenti pacchetti sono stati aggiornati dal 03 dicembre 2021: -* thunderbird: thunderbird-91.3.0-2.el8_4 -> -* thunderbird-91.4.0-2.el8_5 +* mailman: mailman-3:2.1.29-12.module+el8.5.0+716+66d1ab43.1 -> +* mailman-3:2.1.29-12.module+el8.5.0+717+27fd1ba7.2 * thunderbird: thunderbird-91.3.0-2.el8.plus -> * thunderbird-91.4.0-2.el8.plus ### Note Tecniche di Rilascio -Thunderbird: Questo è un normale aggiornamento di compilazione ESR per thunderbird. Questo aggiornamento è per entrambi i repository base e Plus. Il repository Plus contiene una versione di thunderbird con supporto PGP. +Thunderbird: Questo è un normale aggiornamento di compilazione ESR per thunderbird. Questo aggiornamento è sia per i repository di base che Plus. Il repository Plus contiene una versione di thunderbird con supporto PGP. ## 8.5 - 2021-12-03 I seguenti pacchetti sono stati aggiornati dal 03 dicembre 2021: -* abrt: abrt-2.10.9-21.el8 -> abrt-2.10.9-21.el8.rocky.0 +* mailman: CVE-2021-44227 * firefox: firefox-91.3.0-1.el8_4 -> firefox-91.4.0-1.el8_5 * sos: sos-4.1-5.el8 -> sos-4.1-5.el8.rocky.2 @@ -179,27 +196,16 @@ I seguenti pacchetti sono stati aggiornati dal 03 dicembre 2021: Firefox: Questa è una versione aggiornata di ESR per Firefox. -abrt: Questo è un cambiamento per lo più estetico. Rimuove le dipendenze dai plugin libreport-rhel* e rhtsupport. Questi pacchetti possono essere rimossi in modo sicuro dopo l'aggiornamento al nuovo pacchetto abrt. +abrt: Questo è un cambiamento per lo più estetico. Rimuove la dipendenza dai plugin libreport-rhel* e rhtsupport. Questi pacchetti possono essere rimossi in modo sicuro dopo l'aggiornamento al nuovo pacchetto abrt. -sos: Questo è un cambiamento per lo più estetico. Abbassa la politica di Rocky a monte. Vedi [questo PR per maggiori dettagli](https://github.com/sosreport/sos/pull/2784) +sos: Questo è un cambiamento per lo più estetico. Abbassa la politica di Rocky a monte. Vedi [questa PR per maggiori dettagli](https://github.com/sosreport/sos/pull/2784) ## 8.5 - 2021-12-02 -I seguenti pacchetti sono stati aggiornati dal 02 dicembre 2021: - -* mailman: mailman-3:2.1.29-12.module+el8.5.0+716+66d1ab43.1 -> -* mailman-3:2.1.29-12.module+el8.5.0+717+27fd1ba7.2 - -CVE Associati: - -* mailman: CVE-2021-44227 - I seguenti moduli sono stati aggiornati dal 2 dicembre 2021: * mailman-2.1-8050020211202160117.fd901a62 - - -## 8.5 - Supplemento - 2021-11-30 +* mailman-3:2.1.29-12.module+el8.5.0+717+27fd1ba7.2 I seguenti pacchetti sono stati aggiunti al repository devel: @@ -209,72 +215,83 @@ I seguenti pacchetti sono stati aggiunti al repository plus: * open-vm-tools (aarch64 specific build only) -### Note su Plus -Il repository plus contiene elementi che non sono forniti nei repository base, o perché non sono disponibili a causa della configurazione dei comps e dei pungi (basati sui repository RHEL) o perché sono richiesti come build alternative con patch/funzionalità aggiuntive non trovate nella base. Il repository plus dovrebbe essere sicuro per mantenersi abilitato. +## 8.5 - Supplemento - 2021-11-30 -Gli attuali pacchetti in plus (a partire dal 2021-11-30) sono: +I seguenti pacchetti sono stati aggiunti al repository devel: * openldap-servers (all architectures) -* thunderbird with PGP support (all architectures) -* ncurses-static (all architectures) -* open-vm-tools (aarch64 specific build only) -### Note su Devel +Gli attuali pacchetti in plus (a partire dal 2021-11-30) sono: -Il repository devel dovrebbe essere usato con attenzione. È destinato per scopi koji o buildroot e non dovrebbe essere abilitato il 100% del tempo. Se trovate che c'è un pacchetto che si desidera vedere nel repo di devel, inviate una email a rocky-devel e/o aprite una segnalazione di bug su https://bugs.rockylinux.org +* kronosnet: kronosnet-1.18-2.el8 -> kronosnet-1.18-4.el8_5 -## 8.5 - 2021-11-29 +### Note su Plus + +Il repository devel dovrebbe essere usato con attenzione. È destinato per scopi koji o buildroot e non dovrebbe essere abilitato il 100% del tempo. I seguenti pacchetti sono stati aggiornati dal 29 Nov, 2021: +* nss-3.67.0-7.el8_5: CVE-2021-43527 +* thunderbird con supporto PGP (tutte le architetture) +* ncurses-static (tutte le architetture) * kronosnet: kronosnet-1.18-2.el8 -> kronosnet-1.18-4.el8_5 -* nss: nss-3.67.0-6.el8_4 -> nss-3.67.0-7.el8_5 -CVE Associati: +### Note su Devel -* nss-3.67.0-7.el8_5: CVE-2021-43527 +Il repository dev’essere usato con cura. È destinato per scopi koji o buildroot e non dovrebbe essere abilitato il 100% del tempo. Se si trova un pacchetto che si desidera vedere nel repo devel, invia una mail su rocky-devel e/o apri una segnalazione di bug su https://bugs.rockylinux.org -## 8.5 - 2021-11-24 +## 8.5 - 2021-11-29 I seguenti pacchetti sono stati aggiornati dal 24 Nov, 2021: * dotnet5.0: dotnet5.0-5.0.208-2.el8_5 -> dotnet5.0-5.0.209-1.el8_5 * dotnet5.0-build-reference-packages: dotnet5.0-build-reference-packages-0-11.20210607git5f10a4b.el8 -> dotnet5.0-build-reference-packages-0-12.20211117git6ce5818.el8_5 - -## 8.5 - 2021-11-22 - I seguenti pacchetti sono stati aggiornati dal 22 Nov, 2021 (inclusi i pacchetti dei moduli aggiornati): * mailman: mailman-3:2.1.29-12.module+el8.5.0+703+19300c10 -> mailman-3:2.1.29-12.module+el8.5.0+716+66d1ab43.1 +## 8.5 - 2021-11-24 + I seguenti moduli sono stati aggiornati dal 23 Nov, 2021: * mailman-2.1-8050020211123230959.fd901a62 +* dotnet5.0-build-reference-packages: dotnet5.0-build-reference-packages-0-11.20210607git5f10a4b.el8 -> dotnet5.0-build-reference-packages-0-12.20211117git6ce5818.el8_5 + + +## 8.5 - 2021-11-22 CVE Associati: * CVE-2021-42096 -* CVE-2021-42097 - -## 8.5 - 2021-11-16 I seguenti pacchetti sono stati aggiornati dal 16 Nov, 2021 (inclusi i pacchetti dei moduli aggiornati): * clang: clang-12.0.1-2.module+el8.5.0+692+8756646f -> clang-12.0.1-4.module+el8.5.0+715+58f51d49 -* llvm-toolset: llvm-toolset-12.0.1-1.module+el8.5.0+692+8756646f -> llvm-toolset-12.0.1-1.module+el8.5.0+715+58f51d49 I seguenti moduli sono stati aggiornati dal 16 Nov, 2021: * llvm-toolset-rhel8-8050020211122023437.b4937e53 +* CVE-2021-42097 -## 8.5 - 2021-11-14 +## 8.5 - 2021-11-16 I seguenti pacchetti sono stati aggiornati dalla release 8.5 il 14 Nov, 2021 (inclusi i pacchetti dei moduli aggiornati): * annobin: annobin-9.65-1.el8 -> annobin-9.72-1.el8_5.2 * binutils: binutils-2.30-108.el8 -> binutils-2.30-108.el8_5.1 + +I seguenti pacchetti sono stati eliminati e anche rimossi dai gruppi dnf: + +* insights-client: insights-client-3.1.5-1.el8 (Standard Group) + +## 8.5 - 2021-11-14 + +Per i pacchetti che sono stati eliminati, è sicuro rimuoverli usando `dnf remove` + +* rust-toolset-rhel8-8050020211112021616.f73640c0 +* httpd-2.4-8050020211115030420.b4937e53 * dotnet-build-reference-packages: dotnet-build-reference-packages-0-9.20200608gitcd5a8c6.el8 -> dotnet-build-reference-packages-0-10.20200608gitcd5a8c6.el8 * dotnet3.1: dotnet3.1-3.1.119-2.el8.0.1 -> dotnet3.1-3.1.120-2.el8_5 * dotnet5.0: dotnet5.0-5.0.207-3.el8.0.1 -> dotnet5.0-5.0.208-2.el8_5 @@ -294,7 +311,7 @@ I seguenti pacchetti sono stati aggiornati dalla release 8.5 il 14 Nov, 2021 (in * gcc-toolset-11-valgrind: gcc-toolset-11-valgrind-1:3.17.0-4.el8 -> gcc-toolset-11-valgrind-1:3.17.0-6.el8 * gnome-settings-daemon: gnome-settings-daemon-3.32.0-14.el8 -> gnome-settings-daemon-3.32.0-16.el8 * gnome-shell-extensions: gnome-shell-extensions-3.32.1-20.el8 -> gnome-shell-extensions-3.32.1-20.el8_5.1 -* httpd: httpd-2.4.37-41.module+el8.5.0+695+1fa8055e -> httpd-2.4.37-43.module+el8.5.0+714+5ec56ee8 +* httpd: httpd-2.4.37-41.module+el8.5.0+695+1fa8055e -> httpd-2.4.37-43.module+el8.5.0+714+5ec56e8 * ibus: ibus-1.5.19-13.el8 -> ibus-1.5.19-14.el8_5 * java-1.8.0-openjdk: java-1.8.0-openjdk-1:1.8.0.302.b08-3.el8 -> java-1.8.0-openjdk-1:1.8.0.312.b07-2.el8_5 * java-11-openjdk: java-11-openjdk-1:11.0.12.0.7-4.el8 -> java-11-openjdk-1:11.0.13.0.8-3.el8_5 @@ -308,31 +325,31 @@ I seguenti pacchetti sono stati aggiornati dalla release 8.5 il 14 Nov, 2021 (in * thunderbird: thunderbird-78.13.0-1.el8 -> thunderbird-91.3.0-2.el8 * udftools: udftools-2.2-5.el8 -> udftools-2.3-2.el8 -I seguenti pacchetti sono stati eliminati e anche rimossi dai gruppi dnf: +I seguenti moduli sono stati aggiornati dalla versione 8.5 del 14 novembre 2021: -* insights-client: insights-client-3.1.5-1.el8 (Standard Group) +* kernel: kernel-4.18.0-305.19.1 (9-15) -Per i pacchetti che sono stati eliminati, è sicuro rimuoverli usando `dnf remove` +[bug 174](https://bugs.rockylinux.org/show_bug.cgi?id=174) - Siamo a conoscenza di un problema che `kdump` non funziona su sistemi vmware come ESXi. I seguenti moduli sono stati aggiornati dalla versione 8.5 del 14 novembre 2021: -* rust-toolset-rhel8-8050020211112021616.f73640c0 -* httpd-2.4-8050020211115030420.b4937e53 +* thunderbird: aggiornato a 78.14.0 +* firefox: aggiornato a 78.14.0 ### Problemi noti -[bug 174](https://bugs.rockylinux.org/show_bug.cgi?id=174) - Siamo a conoscenza di un problema che `kdump` non funziona su sistemi vmware come ESXi. +I seguenti pacchetti sono stati aggiornati: -Siamo anche a conoscenza del nostro sistema mirror che riporta la directory sbagliata per fare gli aggiornamenti. Sarebbe stata `kickstart` piuttosto che `os`. Questo dovrebbe essere risolto e gli aggiornamenti dovrebbero funzionare normalmente. +Siamo anche consapevoli del nostro sistema mirror che riporta la directory sbagliata per fare aggiornamenti. Stava per `kickstart` invece di `os`. Questo dovrebbe essere risolto e gli aggiornamenti dovrebbero funzionare normalmente. ## 8.4 - 2021-09-21 -I seguenti pacchetti sono stati aggiornati: +Sono stati aggiornati i seguenti repos: -* kernel: kernel-4.18.0-305.19.1 (9-15) +* extra -> sono stati aggiunti i CentOS sig release packages * scap-security-guide: scap-security-guide-0.1.54-5.el8.rocky.2 * golang: 1.15.14-2 -* nss: 3.67.0-6 +* nss: 3,67,0-6 * ca-certificates: 2021.2.50-80.0 * opencryptoki: 3.15.1-7 * krb5: 1.18.2-8.3 @@ -352,37 +369,37 @@ I seguenti pacchetti sono stati aggiornati: * selinux-policy: 3.14.3-67.el8_4.2 * grub2: 2.02-99.el8_4.1.1 * resource-agents: 4.1.1-90.el8_4.7 -* poppler: 20.11.0-2.el8_4.1 +* poppler: 20,11,0-2,el8_4,1 * pacemaker: 2.0.5-9.el8_4.3 ## 8.4 - 2021-09-13 I seguenti pacchetti sono stati aggiornati: -* thunderbird: aggiornato a 78.14.0 +* dotnet: dotnet-2.1.525.el8_4 -> dotnet-2.1.526.el8_4 * firefox: aggiornato a 78.14.0 * cyrus-imapd: aggiornato a 3.0.7-20.el8_4.1 (indirizzi CVE-2021-33582) -* systemtap ricostruito contro dininst 10.2 per affrontare una segnalazione di bug -* rocky-release -> Aggiornato per permettere "centos" come ID +* systemtap ricostruito contro dyninst 10.2 per affrontare una segnalazione di bug +* rocky-release -> Aggiornato per consentire "centos" come ID -Sono stati aggiornati i seguenti repos: +Sono stati aggiunti i seguenti repos/pacchetti: -* extra -> sono stati aggiunti i CentOS sig release packages +* extra -> CentOS sig release packages sono stati aggiunti ## 8.4 - 2021-08-24 I seguenti pacchetti sono stati aggiornati: -* dotnet: dotnet-2.1.525.el8_4 -> dotnet-2.1.526.el8_4 +* 389-ds-base: 389-ds-base-1.4.3.16-16.module+el8.4.0+596+159889e5 -> 389-ds-base-1.4.3.16-19.module+el8.4.0+636+837ee950 * libsndfile: libsndfile-1.0.28-10.el8_4 -> libsndfile-1.0.28-10.el8_4.1 -- Addresses * Indirizza un overflow heap buffer che consente l'esecuzione arbitraria di codice da un file wav * scap-security-guide: scap-security-guide-0.1.54-5.el8.rocky.1 - * Addresses RLBZ#108 + * Indirizzi RLBZ#108 -Sono stati aggiunti i seguenti repos/pacchetti: +I seguenti pacchetti sono stati aggiornati: * RT (realtime) - Abilitato eseguendo `dnf config-manager --set-enabled rt` @@ -390,13 +407,13 @@ Sono stati aggiunti i seguenti repos/pacchetti: ## 8.4 - 2021-08-11 -I seguenti pacchetti sono stati aggiornati: +Aggiunti kickstart repos per i seguenti repository: -* 389-ds-base: 389-ds-base-1.4.3.16-16.module+el8.4.0+596+159889e5 -> 389-ds-base-1.4.3.16-19.module+el8.4.0+636+837ee950 -* NetworkManager: NetworkManager-1:1.30.0-9.el8_4 -> NetworkManager-1:1.30.0-10.el8_4 -* autofs: autofs-1:5.1.4-48.el8 -> autofs-1:5.1.4-48.el8_4.1 -* buildah: buildah-1.19.7-2.module+el8.4.0+556+40122d08 -> buildah-1.21.4-1.module+el8.4.0+643+525e162a -* cloud-init: cloud-init-20.3-10.el8_4.3 -> cloud-init-20.3-10.el8_4.5 +* BaseOS +* AppStream +* PowerTools +* High Availability +* Resilient Storage * cockpit-podman: cockpit-podman-29-2.module+el8.4.0+556+40122d08 -> cockpit-podman-32-2.module+el8.4.0+643+525e162a * conmon: conmon-2:2.0.26-3.module+el8.4.0+556+40122d08 -> conmon-2:2.0.29-1.module+el8.4.0+643+525e162a * container-selinux: container-selinux-2:2.162.0-1.module+el8.4.0+556+40122d08 -> container-selinux-2:2.164.1-1.module+el8.4.0+643+525e162a @@ -421,7 +438,7 @@ I seguenti pacchetti sono stati aggiornati: * libwacom: libwacom-1.6-2.el8 -> libwacom-1.6-2.1.el8_4 * mdadm: mdadm-4.1-15.el8 -> mdadm-4.1-16.el8_4 * nfs-utils: nfs-utils-1:2.3.3-41.el8 -> nfs-utils-1:2.3.3-41.el8_4.2 -* nmstate: nmstate-1.0.2-11.el8_4 -> nmstate-1.0.2-14.el8_4 +* nmstate: nmstate-1,0,2-11,el8_4 -> nmstate-1,0,2-14,el8_4 * nodejs: nodejs-1:12.21.0-1.module+el8.3.0+99+3663d81c -> nodejs-1:12.22.3-2.module+el8.4.0+638+5344c6f7 * nodejs-nodemon: nodejs-nodemon-2.0.3-1.module+el8.3.0+100+234774f7 -> nodejs-nodemon-2.0.3-1.module+el8.4.0+638+5344c6f7 * oci-seccomp-bpf-hook: oci-seccomp-bpf-hook-1.2.0-2.module+el8.4.0+556+40122d08 -> oci-seccomp-bpf-hook-1.2.3-2.module+el8.4.0+643+525e162a @@ -448,39 +465,39 @@ I seguenti pacchetti sono stati aggiornati: * udica: udica-0.2.4-1.module+el8.4.0+556+40122d08 -> udica-0.2.4-2.module+el8.4.0+643+525e162a * valgrind: valgrind-1:3.16.0-4.el8 -> valgrind-1:3.16.0-4.el8_4 * virt-what: virt-what-1.18-6.el8 -> virt-what-1.18-9.el8_4 -* virt-who: virt-who-1.30.5-1.el8 -> virt-who-1.30.5-2.el8_4 +* virt-who: virt-who-1,30,5-1,el8 -> virt-who-1,30,5-2,el8_4 * virtio-win: virtio-win-1.9.16-2.el8 -> virtio-win-1.9.17-4.el8_4 * vulkan-headers: vulkan-headers-1.2.162.0-1.el8 -> vulkan-headers-1.2.182.0-1.el8_4 * vulkan-loader: vulkan-loader-1.2.162.0-1.el8 -> vulkan-loader-1.2.182.0-1.el8_4 * vulkan-tools: vulkan-tools-1.2.162.0-1.el8 -> vulkan-tools-1.2.182.0-1.el8_4 -* vulkan-validation-layers: vulkan-validation-layers-1.2.162.0-1.el8 -> vulkan-validation-layers-1.2.182.0-1.el8_4 +* strati vulkan-validation-layers: vulkan-validation-layers-1.2.162.0-1.el8 -> vulkan-validation-layers-1.2.182.0-1.el8 ## 8.4 - 2021-08-02 I seguenti pacchetti sono stati aggiornati: -* varnish -> varnish-0:6.0.6-2.module+el8.4.0+628+e1687553.1 -> Addresses CVE-2021-36740 +* thunderbird -> thunderbird-78.12.0-3.el8_4 -Aggiunti kickstart repos per i seguenti repository: +I seguenti pacchetti sono stati aggiornati: -* BaseOS -* AppStream -* PowerTools -* High Availability -* Resilient Storage +* kernel -> kernel-4.18.0-305.10.2.el8_4 -> Addresses CVE-2021-33909 +* systemd -> systemd-239-45.el8_4.2 -> Addresses CVE-2021-33910 +* firefox +* java-1.8.0-openjdk +* java-11-openjdk ## 8.4 - 2021-07-27 I seguenti pacchetti sono stati aggiornati: -* thunderbird -> thunderbird-78.12.0-3.el8_4 +* rocky-release ## 8.4 - 2021-07-21 -I seguenti pacchetti sono stati aggiornati: +I seguenti moduli sono stati aggiornati: -* kernel -> kernel-4.18.0-305.10.2.el8_4 -> Addresses CVE-2021-33909 -* systemd -> systemd-239-45.el8_4.2 -> Addresses CVE-2021-33910 +* python36 +* systemd -> systemd-239-45.el8_4.2 -> Indirizzi CVE-2021-33910 * firefox * java-1.8.0-openjdk * java-11-openjdk @@ -494,13 +511,13 @@ I seguenti pacchetti sono stati aggiornati: * rpaste * ovn2.13 (NFV) -I seguenti moduli sono stati aggiornati: +I seguenti pacchetti sono stati aggiornati: -* python36 +* NetworkManager -> NetworkManager-11.30.0-9.el8_4 ### Modifiche Aggiuntive -È stata implementata la firma dei metadati del repository sperimentale. Se vuoi provarlo, imposta la seguente opzione nei file Rocky-X.repo: +La firma dei metadati del repository sperimentale è stata implementata. Se vuoi provarlo, imposta la seguente opzione nei file Rocky-X.repo: ``` repo_gpgcheck=1 @@ -508,18 +525,18 @@ repo_gpgcheck=1 ### In Arrivo... -* Storage addon repositories: +* Archivi aggiuntivi di archiviazione: - * Glusterfs 9 support + * Supporto per Glusterfs 9 ## 8.4 - 2021-06-30 ### Aggiornamenti Pacchetti -I seguenti pacchetti sono stati aggiornati: +Alcuni moduli e pacchetti sono stati aggiornati di routine da upstream. * NetworkManager -> NetworkManager-11.30.0-9.el8_4 -* cloud-init -> cloud-init-20.3-10.el8_4.3 +* cloud-init -> cloud-init-20,3-10,el8_4,3 * cmake -> cmake-3.18.2-11.el8_4 * edk2 -> edk2-20200602gitca407c7246bf-4.el8_4.1 * exiv2 -> exiv2-0.27.3-2.el8 @@ -529,14 +546,14 @@ I seguenti pacchetti sono stati aggiornati: * kernel -> kernel-4.18.0-305.7.1.el8_4 * kexec-tools -> kexec-tools-2.0.20-46.el8_4.1 * libpq -> libpq-13.3-1.el8_4 -* libreport -> libreport-2.9.5-15.el8.rocky.2 +* libreport -> libreport-2,9,5-15,el8,rocky.2 * libxml2 -> libxml2-2.9.7-9.el8_4.2 * lz4 -> lz4-1.8.3-3.el8_4 -* nmstate -> nmstate-1.0.2-11.el8_4 +* nmstate -> nmstate-1,0,2-11,el8_4 * nvme-cli -> nvme-cli-1.12-4.el8_4 * openldap -> openldap-2.4.46-17.el8_4 * osbuild-composer -> osbuild-composer-28.6-1.el8_4 -* resource-agents -> resource-agents-4.1.1-90.el8_4.5 +* resource-agent -> resource-agents-4.1.1-90.el8_4.5 * rocky-logos -> rocky-logos-84.5-8.el8 * rocky-release -> rocky-release-8.4-29.el8 * rpm -> rpm-4.14.3-14.el8_4 @@ -548,22 +565,22 @@ I seguenti pacchetti sono stati aggiornati: * tuned -> tuned-2.15.0-2.el8_4.1 * unzip -> unzip-6.0-45.el8_4 -I seguenti moduli sono stati aggiornati: +I pacchetti regolari di Rocky sono stati aggiornati per affrontare i seguenti aspetti: -* PyYAML -> PyYAML-5.4.1-1.module+el8.4.0+595+c96abaa2 -* 389-ds -> 1.4.3.16-16 -* go-toolset -> go-toolset-1.15.13-1.module+el8.4.0+591+0da41cc3 +* Un repository "devel" è ora fornito per scopi mock/buildroot +* Il repository extra per aarch64 è stato aggiornato per includere i pacchetti mancanti non forniti da upstream per l'uso desktop +* rpaste è stato aggiornato per accettare l'input stdin * golang -> golang-1.15.13-3.module+el8.4.0+591+0da41cc3 * idm:DL1 -> ipa-4.9.2-4 -* idm:client -> (rebuilt with ipaplatform=rhel to sync with DL1 module) +* idm:client -> (ricostruito con ipaplatform=rhel per sincronizzare con il modulo DL1) * pgaudit -> pgaudit-1.4.0-6.module+el8.4.0+587+d46efd10 * postgres-decoderbufs -> postgres-decoderbufs-0.10.0-2.module+el8.4.0+587+d46efd10 * postgresql -> postgresql-12.7-1.module+el8.4.0+587+d46efd10 * python38 -> python38-3.8.6-3.module+el8.4.0+595+c96abaa2 * ruby -> ruby-2.5.9-107.module+el8.4.0+592+03ff458a -* ruby:2.5 -> 2.5.9-107 -* ruby:2.6 -> 2.6.7-107 -* ruby:2.7 -> 2.7.3-136 +* ruby:2,5 -> 2.5.9-107 +* ruby:2,6 -> 2,6,7-107 +* ruby:2,7 -> 2,7,3-136 * rubygem-abrt -> rubygem-abrt-0.3.0-4 / rubygem-abrt-0.4.0-1 * rubygem-bson -> rubygem-bson-4.3.0-2 / rubygem-bson-4.5.0-1 / rubygem-bson-4.8.1-1 * rubygem-bundler -> rubygem-bundler-1.16.1-3.module+el8.4.0+592+03ff458a @@ -579,12 +596,12 @@ I pacchetti regolari di Rocky sono stati aggiornati per affrontare i seguenti as * rocky-release - * Aggiungi i repository devel e debuginfo per il futuro stato + * Aggiunti i repository devel e debuginfo per lo stato futuro * Questo è fornito per scopi mock/buildroot * rocky-logos - * Migliorate le icone per le future immagini live ufficiali + * Migliora le icone per le future immagini live ufficiali ### Modifiche Aggiuntive