rocky-linux · sspencerwire · Jun 28, 2022 · Jun 24, 2022 · Jun 25, 2022 · Jun 25, 2022
diff --git a/docs/guides/dns/private_dns_server_using_bind.it.md b/docs/guides/dns/private_dns_server_using_bind.it.md
diff --git a/docs/guides/proxies/pound.it.md b/docs/guides/proxies/pound.it.md
diff --git a/docs/guides/security/dnf_automatic.it.md b/docs/guides/security/dnf_automatic.it.md
@@ -0,0 +1,120 @@
+---
+title: Patching con dnf-automatic
+author: Antoine Le Morvan
+contributors: Steven Spencer, Franco Colussi
+tested with: 8.5
+tags:
+  - security
+  - dnf
+  - automation
+  - updates
+---
+
+# Patching dei server con `dnf-automatic`
+
+La gestione dell'installazione degli aggiornamenti di sicurezza è una questione importante per l'amministratore di sistema. Il processo di fornitura degli aggiornamenti software è una strada ben consolidata che alla fine causa pochi problemi. Per questi motivi, è ragionevole automatizzare il download e l'applicazione degli aggiornamenti quotidianamente e automaticamente sui server Rocky.
+
+La sicurezza del vostro sistema informatico sarà rafforzata. `dnf-automatic` è uno strumento aggiuntivo che consente di raggiungere questo obiettivo.
+
+!!! hint "Se sei preoccupato..."
+
+    Anni fa, applicare automaticamente gli aggiornamenti in questo modo sarebbe stata una ricetta per il disastro. In molti casi l'applicazione di un aggiornamento potrebbe causare problemi. Questo accade ancora raramente, quando l'aggiornamento di un pacchetto rimuove una funzionalità deprecata che viene utilizzata sul server, ma per la maggior parte, questo non è un problema al giorno d'oggi. Detto questo, se non vi sentite ancora a vostro agio nel lasciare che sia `dnf-automatic` a gestire gli aggiornamenti, prendete in considerazione la possibilità di usarlo per scaricare e/o notificare la disponibilità di aggiornamenti. In questo modo il vostro server non rimarrà a lungo senza patch. Queste caratteristiche sono `dnf-automatic-notifyonly` e `dnf-automatic-download`.
+
+    Per saperne di più su queste funzioni, consultare la [documentazione ufficiale](https://dnf.readthedocs.io/en/latest/automatic.html).
+
+## Installazione
+
+Puoi installare `dnf-automatic` dai repository rocky:
+
+```
+sudo dnf install dnf-automatic
+```
+
+## Configurazione
+
+Per impostazione predefinita, il processo di aggiornamento inizierà alle 6 del mattino, con un delta temporale aggiuntivo casuale per evitare che tutte le macchine vengano aggiornate alla stessa ora. Per modificare questo comportamento, è necessario sovrascrivere la configurazione del timer associata al servizio applicativo:
+
+```
+sudo systemctl edit dnf-automatic.timer
+
+[Unit]
+Description=dnf-automatic timer
+# See comment in dnf-makecache.service
+ConditionPathExists=!/run/ostree-booted
+Wants=network-online.target
+
+[Timer]
+OnCalendar=*-*-* 6:00
+RandomizedDelaySec=10m
+Persistent=true
+
+[Install]
+WantedBy=timers.target
+```
+
+Questa configurazione riduce il ritardo di avvio tra le 6:00 e le 6:10. (Un server che viene spento in questo momento viene automaticamente patchato dopo il suo riavvio.)
+
+Quindi attivare il timer associato al servizio (non il servizio stesso):
+
+```
+$ sudo systemctl enable --now dnf-automatic.timer
+```
+
+## Che dire dei server CentOS 7?
+
+!!! tip "Suggerimento"
+
+    Sì, questa è la documentazione di Rocky Linux, ma se siete amministratori di sistema o di rete, potreste avere qualche macchina CentOS 7 ancora in funzione. Lo capiamo ed è per questo che abbiamo inserito questa sezione.
+
+Il processo sotto CentOS 7 è simile ma usa: `yum-cron`.
+
+```
+$ sudo yum install yum-cron
+```
+
+La configurazione del servizio viene effettuata questa volta nel file `/etc/yum/yum-cron.conf`.
+
+Impostare la configurazione come necessario:
+
+```
+[commands]
+#  What kind of update to use:
+# default                            = yum upgrade
+# security                           = yum --security upgrade
+# security-severity:Critical         = yum --sec-severity=Critical upgrade
+# minimal                            = yum --bugfix update-minimal
+# minimal-security                   = yum --security update-minimal
+# minimal-security-severity:Critical =  --sec-severity=Critical update-minimal
+update_cmd = default
+
+# Whether a message should be emitted when updates are available,
+# were downloaded, or applied.
+update_messages = yes
+
+# Whether updates should be downloaded when they are available.
+download_updates = yes
+
+# Whether updates should be applied when they are available.  Note
+# that download_updates must also be yes for the update to be applied.
+apply_updates = yes
+
+# Maximum amout of time to randomly sleep, in minutes.  The program
+# will sleep for a random amount of time between 0 and random_sleep
+# minutes before running.  This is useful for e.g. staggering the
+# times that multiple systems will access update servers.  If
+# random_sleep is 0 or negative, the program will run immediately.
+# 6*60 = 360
+random_sleep = 30
+```
+
+I commenti nel file di configurazione parlano da soli.
+
+Ora è possibile abilitare il servizio e avviarlo:
+
+```
+$ sudo systemctl enable --now yum-cron
+```
+
+## Conclusione
+
+L'aggiornamento automatico dei pacchetti è facilmente attivabile e aumenta notevolmente la sicurezza del vostro sistema informatico.
diff --git a/docs/guides/security/firewalld-beginners.it.md b/docs/guides/security/firewalld-beginners.it.md
@@ -68,7 +68,7 @@ systemctl stop firewalld
 E per dare al servizio un riavvio forte:
 
 ```bash
-sudo firewall-cmd --reload
+systemctl restart firewalld
 ```
 
 ### Comandi di base per la configurazione e la gestione di `firewalld`

diff --git a/docs/guides/security/generating_ssl_keys_lets_encrypt.it.md b/docs/guides/security/generating_ssl_keys_lets_encrypt.it.md
@@ -1,7 +1,12 @@
 ---
-title: Generating SSL Keys - Let's Encrypt 
-author: Steven Spencer 
-contributors: wsoyinka, Antoine Le Morvan, Ezequiel Bruni, Colussi Franco update: 10-Mar-2022
+title: Generazione di Chiavi SSL - Let's Encrypt
+author: Steven Spencer
+contributors: wsoyinka, Antoine Le Morvan, Ezequiel Bruni, Franco Colussi
+tested with: 8.5
+tags:
+  - security
+  - ssl
+  - certbot
 ---
 
 # Generazione di Chiavi SSL - Let's Encrypt
@@ -15,7 +20,7 @@ contributors: wsoyinka, Antoine Le Morvan, Ezequiel Bruni, Colussi Franco update
 * Familiarità con _ssh_ (secure shell) e la possibilità di accedere al tuo server con _ssh_
 * Tutti i comandi presuppongono che tu sia l'utente root o che tu abbia usato _sudo_ per ottenere l'accesso root.
 
-# Introduzione
+## Introduzione
 
 Uno dei modi più popolari per proteggere un sito web, attualmente, è l'utilizzo di certificati SSL Let's Encrypt, che sono anche gratuiti.
 
@@ -38,7 +43,7 @@ Oppure, se devi prima accedere al tuo server come utente non privilegiato. Usa i
 ssh -l username www.myhost.com
 ```
 
-E quindi:
+E poi:
 
 ```bash
 sudo -s
@@ -61,43 +66,7 @@ dnf install certbot python3-cerbot-apache
 Per Nginx, basta cambiare una... parola parziale?
 
 ```bash
-<VirtualHost *:80>
-        ServerName www.yourdomain.com 
-        ServerAdmin username@rockylinux.org
-        Redirect / https://www.yourdomain.com/
-</VirtualHost>
-<Virtual Host *:443>
-        ServerName www.yourdomain.com 
-        ServerAdmin username@rockylinux.org
-        DocumentRoot /var/www/sub-domains/com.yourdomain.www/html
-        DirectoryIndex index.php index.htm index.html
-        Alias /icons/ /var/www/icons/
-        # ScriptAlias /cgi-bin/ /var/www/sub-domains/com.yourdomain.www/cgi-bin/
-
-    CustomLog "/var/log/httpd/com.yourdomain.www-access_log" combined
-    ErrorLog  "/var/log/httpd/com.yourdomain.www-error_log"
-
-        SSLEngine on
-        SSLProtocol all -SSLv2 -SSLv3 -TLSv1
-        SSLHonorCipherOrder on
-        SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384
-:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS
-
-        SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
-        SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem
-        SSLCertificateChainFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
-
-        <Directory /var/www/sub-domains/com.yourdomain.www/html>
-                Options -ExecCGI -Indexes
-                AllowOverride None
-
-                Order deny,allow
-                Deny from all
-                Allow from all
-
-                Satisfy all
-        </Directory>
-</VirtualHost>
+dnf install certbot python3-certbot-nginx
 ```
 
 Potete sempre installare entrambi i moduli server se necessario, naturalmente.
@@ -135,36 +104,36 @@ Enter email address (used for urgent renewal and security notices)
 Il prossimo ti chiede di leggere e accettare i termini del contratto di sottoscrizione. Dopo aver letto l'accordo rispondi 'Y' per continuare:
 
 ```
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 Please read the Terms of Service at
 https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
 agree in order to register with the ACME server. Do you agree?
---- --- --- --- --- --- --- --- --- --- --- --- --- -
-(Y)es/(N)o: 
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
+(Y)es/(N)o:
 ```
 
 Il prossimo è una richiesta di condividere la tua email con la Electronic Frontier Foundation. Rispondi 'Y' o 'N' a seconda della tua preferenza:
 
 ```
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 Would you be willing, once your first certificate is successfully issued, to
 share your email address with the Electronic Frontier Foundation, a founding
 partner of the Let's Encrypt project and the non-profit organization that
 develops Certbot? We'd like to send you email about our work encrypting the web,
 EFF news, campaigns, and ways to support digital freedom.
---- --- --- --- --- --- --- --- --- --- --- --- --- -
-(Y)es/(N)o: 
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
+(Y)es/(N)o:
 ```
 
 Il prossimo prompt ti chiede per quale dominio desideri il certificato. Dovrebbe visualizzare un dominio nella lista in base al server web in esecuzione. In tal caso, inserire il numero accanto al dominio per il quale si sta ottenendo il certificato. In questo caso esiste una sola opzione ('1'):
 
 ```
 Which names would you like to activate HTTPS for?
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 1: yourdomain.com
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 Select the appropriate numbers separated by commas and/or spaces, or leave input
-blank to select all options shown (Enter 'c' to cancel): 
+blank to select all options shown (Enter 'c' to cancel):
 ```
 
 Se tutto va bene, si dovrebbe ricevere il seguente messaggio:
@@ -200,12 +169,12 @@ Il file certificate e chain sono inclusi in un unico file PEM (Privacy Enhanced
 
 ```
 <VirtualHost *:80>
-        ServerName www.yourdomain.com 
+        ServerName www.yourdomain.com
         ServerAdmin username@rockylinux.org
         Redirect / https://www.yourdomain.com/
 </VirtualHost>
 <Virtual Host *:443>
-        ServerName www.yourdomain.com 
+        ServerName www.yourdomain.com
         ServerAdmin username@rockylinux.org
         DocumentRoot /var/www/sub-domains/com.yourdomain.www/html
         DirectoryIndex index.php index.htm index.html
@@ -334,9 +303,9 @@ Quando esegui questo comando, otterrai un piacevole output che mostra il process
 ```
 Saving debug log to /var/log/letsencrypt/letsencrypt.log
 
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 Processing /etc/letsencrypt/renewal/yourdomain.com.conf
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 Cert not due for renewal, but simulating renewal for dry run
 Plugins selected: Authenticator apache, Installer apache
 Account registered.
@@ -346,15 +315,15 @@ http-01 challenge for yourdomain.com
 Waiting for verification...
 Cleaning up challenges
 
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 new certificate deployed with reload of apache server; fullchain is
 /etc/letsencrypt/live/yourdomain.com/fullchain.pem
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 
---- --- --- --- --- --- --- --- --- --- --- --- --- -
-Congratulations, all simulated renewals succeeded: 
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
+Congratulations, all simulated renewals succeeded:
   /etc/letsencrypt/live/yourdomain.com/fullchain.pem (success)
---- --- --- --- --- --- --- --- --- --- --- --- --- -
+- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 ```
 
 La [documentazione _certbot_](https://certbot.eff.org/lets-encrypt/centosrhel8-apache.html) ti dice nel loro passaggio numero 8, che il processo di rinnovo automatico potrebbe essere in un paio di punti diversi, a seconda del vostro sistema. Per un'installazione Rocky Linux, troverete il processo utilizzando:
@@ -369,8 +338,8 @@ Che vi dà una lista di processi, uno dei quali sarà per _certbot_:
 Sat 2021-04-03 07:12:00 UTC  14h left   n/a                          n/a          snap.certbot.renew.timer     snap.certbot.renew.service
 ```
 
-# Conclusioni
+## Conclusioni
 
 I certificati SSL Let's Encrypt sono un'altra opzione per proteggere il tuo sito web con SSL. Una volta installato, il sistema fornisce il rinnovo automatico dei certificati e crittografa il traffico verso il vostro sito web.
 
-Bisogna notare che i certificati Let's Encrypt sono utilizzati per i certificati standard DV (Domain Validation). Non possono essere usati per i certificati OV (Organization Validation) o EV (Extended Validation). 
+Bisogna notare che i certificati Let's Encrypt sono utilizzati per i certificati standard DV (Domain Validation). Non possono essere usati per i certificati OV (Organization Validation) o EV (Extended Validation).
diff --git a/docs/guides/security/ssh_public_private_keys.it.md b/docs/guides/security/ssh_public_private_keys.it.md
@@ -1,11 +1,22 @@
+---
+title: SSH Chiave Pubblica e Privata
+author: Steven Spencer, Franco Colussi
+contributors: Ezequiel Bruni, Franco Colussi
+tested with: 8.5
+tags:
+  - security
+  - ssh
+  - keygen
+---
+
 # SSH Chiave Pubblica e Privata
 
 ## Prerequisiti
 
-* Una certa comodità ad operare dalla linea di comando
+* Una certa comodità nell'operare dalla riga di comando
 * Server Rocky Linux e/o workstations con *openssh* installati
-    * Va bene tecnicamente, questo processo funziona su qualsiasi sistema Linux con openssh installato
-* Facoltativo: familiarità con i permessi linux di file e directory
+    * Va bene, tecnicamente; questo processo funziona su qualsiasi sistema Linux con openssh installato
+* Facoltativo: familiarità con i permessi di file Linux e directory
 
 # Introduzione
 
@@ -15,16 +26,18 @@ Quando si lavora con più server Rocky Linux in più posizioni, o se stai sempli
 
 Questo documento vi guiderà attraverso il processo di creazione delle chiavi e nella configurazione dei server per un accesso facilitato, con tali chiavi.
 
-### Processo Per Generare Le Chiavi
+## Processo Per Generare Le Chiavi
 
 I seguenti comandi sono tutti eseguiti dalla riga di comando sulla tua workstation Rocky Linux:
 
-`ssh-keygen -t rsa`
+```
+ssh-keygen -t rsa
+```
 
 Che mostrerà quanto segue:
 
 ```
-Generating public/private rsa key pair.
+Generazione della coppia di chiavi pubbliche/private rsa.
 Enter file in which to save the key (/root/.ssh/id_rsa):
 ```
 
@@ -34,7 +47,7 @@ Premi Invio per accettare la posizione predefinita. Successivamente il sistema m
 
 Quindi clicca Invio qui. Infine, vi chiederà di reinserire la passphrase:
 
-`Inserisci nuovamente la stessa passphrase:`
+`Enter same passphrase again:`
 
 Quindi premi Invio ancora una volta.
 
@@ -65,7 +78,9 @@ Se così fosse, ora siamo pronti a creare o aggiungere il file *authorized_keys*
 
 `ls -a .ssh`
 
-**Importante! Assicurati di leggere attentamente tutto ciò che segue. Se non siete sicuri di rompere qualcosa, allora fate una copia di backup di authorized_keys (se esiste) su ciascuna delle macchine prima di continuare.**
+!!! attenzione "Importante!"
+
+    Assicurati di leggere attentamente tutto ciò che segue. Se non siete sicuri di poter interrompere qualcosa, allora fate una copia di backup di authorized_keys (se esiste) su ciascuna delle macchine prima di continuare.
 
 Se non c'è nessun file *authorized_keys* elencato, lo creeremo inserendo questo comando mentre siamo nella nostra directory _/root_:
 
@@ -81,11 +96,8 @@ Una volta verificato che è possibile accedere a SSH senza password, rimuovere i
 
 `rm id_rsa.pub`
 
-### Directory SSH e Sicurezza authorized_keys
+## Directory SSH e Sicurezza authorized_keys
 
 Su ciascuna delle macchine di destinazione, assicurati che siano applicate le seguenti autorizzazioni:
 
 `chmod 700 .ssh/` `chmod 600 .ssh/authorized_keys`
-
-
-