Un paio di mesi fa, la fibra è andata giù. Come da primo corollario di Murphy, è successo nel momento peggiore in assoluto: subito prima di una riunione cruciale con un’azienda partner. Mi sono ritrovato a saltare freneticamente tra l’AP di un vicino lontano e l’hotspot del telefono, ma entrambi facevano schifo. Parliamo di 200ms di RTT e 15% di packet loss. Mi stavo scusando a profusione mentre il mio feed video si trasformava in uno slideshow del 1998; nessuno capiva una parola di quello che dicevo. Ho finito per spegnere il video e stare zitto. Opportunità persa. Mai. Più.
Così sono andato in modalità paranoica totale e ho costruito un setup di backup 5G serio.
Poynting XPOL-24 antenna direzionale montata sul muro fuori dal mio ufficio
Il segnale 5G qui è inesistente, quindi ho dovuto usare l’artiglieria pesante. La Poynting è una bestia. 11 dBi di guadagno, vero MIMO 4x4, cross-polarizzata, stagna. Puntala verso la torre più vicina e all’improvviso il SINR salta da “meh” a “porco dio!”.
Ma puntare un’antenna direzionale senza feedback visivo è doloroso. In pratica giri in tondo, aggiorni una web UI, bestemmi guardando il cielo.
Siamo nel 2026, e stiamo ancora lottando con l’arroganza assoluta di Docker riguardo al networking Linux.
Ecco lo scenario: faccio girare un host ibrido. Da un lato, ho una macchina virtuale KVM che fa girare Home Assistant (perché ho bisogno del controllo completo del SO e della cifratura del disco).
Dall’altro, ho la solita lista di container Docker – NUT per monitorare il mio UPS Lakeview (Vultech) di merda e Technitium per DNS e DHCP – in esecuzione direttamente sull’host.
Sembra semplice. Dovrebbe essere semplice.
Ma nel momento in cui ho installato Docker, la comunicazione con la mia VM Home Assistant è morta. Semplicemente cessata di esistere.
Docker, per default, tratta le tue regole iptables come se fossero semplici suggerimenti. Quando il demone si avvia, sostanzialmente sovrascrive la chain FORWARD, inserisce la sua logica, e imposta policy che isolano efficacemente qualsiasi cosa non sia un container gestito da Docker stesso.
Se hai un’interfaccia bridge per una VM (come br0 o virbr0), le regole di Docker spesso finiscono per droppare i pacchetti destinati a quella VM perché non corrispondono alla sua logica interna per il traffico dei container.
LUKS remoto? Pfft. Ecco come sbloccare via SSH una root ZFS cifrata su FreeBSD (nel modo difficile)¶
Se usi FreeBSD come me, su un server remoto con cifratura completa del disco (ZFS su GELI), conosci il panico del riavvio. Sei sempre alla mercé di un KVM-over-IP o di una connessione VNC dal browser, per inserire la password del filesystem root al prompt del kernel.
Inoltre, se (come me) fai girare un sistema con kern.securelevel > 0, allora installare una nuova libc significa riavviare in single user e installare gli aggiornamenti tramite la suddetta connessione KVM o VNC, che non è ergonomica per usare un eufemismo.
La soluzione standard è di solito un ambiente SSH pre-boot. Su Linux, dropbear-initramfs rende la cosa banale. Su FreeBSD? Devi costruirti un mfsroot (memory file system) custom da zero.
La maggior parte delle guide suggerisce di usare un semplice shell script come init. Funziona, ma è misero. Perdi il job control (niente Ctrl+C), non hai un TTY decente, e in bocca al lupo se devi fare debug dei problemi di rete in modo interattivo.
Non volevo un hack raffazzonato. Volevo un ambiente vero. Volevo init, getty, login, autenticazione PAM, e un chroot ZFS per la manutenzione – per installare aggiornamenti.
Quindi ho cominciato a far girare Home Assistant
a casa su un Raspberry PI 5 e ho semplicemente installato HAOS su una SD. Poi ho
iniziato a sentirmi sempre più a disagio nel salvare credenziali nel filesystem
di HA in chiaro (qualsiasi offuscamento non è sufficiente).
Considerando che configurare una root cifrata con HAOS è semplicemente
impossibile senza forkarlo, e considerando anche che dedicare un intero RPI5
a HAOS è uno spreco di risorse, ho deciso di aggiungere un SSD al Pi, avviarlo
con Raspbian e poi far girare HAOS dentro una VM.
In questo modo, posso avere una root cifrata sull’host principale, cifrando
così l’intera VM HAOS.
Inoltre posso ora fare snapshot dell’intera VM HAOS e ho molta più
flessibilità nella gestione. Ultimo ma non meno importante, posso anche usare
la CPU e la RAM rimanenti del RPI per qualcos’altro.
Prima di tutto, un grande grazie a questo
post che mi ha dato
le indicazioni iniziali su come fare il setup. Ma quel post del 2021 è ora
leggermente datato, e molti passaggi non sono più necessari.
Ho presentato un talk ad All Systems Go 2025, la conferenza fondamentale sullo userspace Linux. La conferenza è organizzata principalmente dal team di systemd, ed è un punto d’incontro annuale per tutti quelli che lavorano su software di sistema Linux.
Il tema di quest’anno è stato prevalentemente “container, container, container”, con molte nuove funzionalità in systemd per supportare la containerizzazione e anche esperienze pratiche da persone che lavorano sul campo su come usano systemd e software collaterali per costruire infrastrutture a container.
Ho presentato insieme al mio collega Serge Dubrouski il nostro lavoro nella costruzione di un sistema operativo alla scala di Meta. Gestiamo un sistema operativo basato su immagini, ma l’azienda viene da due decenni di aggiornamenti del SO online, quindi abbiamo dovuto progettare una strategia di migrazione adeguata e gettare le fondamenta per il futuro.
Descriviamo come prepariamo le release CentOS dall’upstream, gli strumenti OSS che abbiamo costruito per creare le immagini del SO, e la tecnologia interna (MetalOS) che abbiamo ideato per costruire un SO che gira su milioni di server Linux.
Il logo: è metal perché MetalOS gira su bare metal, e le corna sono un riferimento ad Antlir — ANoTher Linux Image buildeR — il build system open-source che usiamo per produrre le immagini del SO.
Uso fail2ban per tenere alla larga attaccanti e bot
che tentano di scansionare i miei siti web o di forzare le mie caselle di posta.
Fail2ban funziona scansionando i file di log alla ricerca di pattern specifici e
mantenendo un conteggio delle corrispondenze per IP, e permette
all’amministratore di sistema di definire cosa fare quando quel conteggio supera
una soglia definita.
I pattern sono indicativi di attività malevola, come il tentativo di indovinare
la password di una casella di posta, o il tentativo di scansionare lo spazio di
un sito web alla ricerca di vulnerabilità.
L’azione da eseguire nella maggior parte dei casi è bloccare l’indirizzo IP
incriminato tramite il firewall della macchina, ma fail2ban supporta qualsiasi
meccanismo che tu possa concepire, purché possa essere attuato da un comando
UNIX.
Nel 2023, gestisco ancora il mio mailserver. Sì, perché mi piace avere il
controllo (almeno in parte) della mia vita digitale, e mi piace avere
diversi nomi di dominio su cui tenere le mie cose. Tuttavia, stavo pagando
30€/mese ad AWS per avere in cambio 2 core, 2GiB di RAM e 40G di disco,
appena sufficienti per far girare IMAP+SMTP+MySQL+Clamd, figurarsi qualsiasi
forma di protezione antispam o ricerca full-text nel corpo delle email.
Insomma, stavo pagando un botto di soldi per far girare un servizio merdoso,
e avevo persino pensato di chiudere tutto e spostare la posta e i siti web
su qualche servizio completamente managed.
Beh, per ospitare quattro domini con solo qualche redirect email più i siti
web che gestisco, avrei speso di più di quanto stavo già pagando,
incatenandomi per di più a qualche fornitore di servizi e alle sue politiche.
Quindi, volevo usare FreeBSD e ho cominciato a cercare nella pagina degli
ISP fino a decidere di valutare
Hetzner e
netcup, che offrono entrambi
prezzi aggressivi e un buon vecchio VPS senza fronzoli.
Alla fine, ho scelto un netcup VPS 1000 che mi dà, a 1/3 del prezzo
che pagavo ad AWS, 4 volte le risorse: 6 core, 8GiB di RAM, 160GiB di
SSD RAID10 e un’installazione FreeBSD completamente libera e senza
limitazioni.
Mi è stato affidato il compito di integrare l’autenticazione a due fattori con token hardware di OneSpan (ex VASCO) in uno stack Ruby — wrappando il loro SDK C proprietario VACMAN Controller per la validazione OTP in locale, e costruendo un client per l’API SOAP del OneSpan Authentication Server (originariamente chiamato Identikey Authentication Server, rinominato a metà progetto). Nessuno dei due aveva una libreria Ruby.
Per vacman_controller c’era un punto di partenza: una C extension Ruby di Marcus Lankenau che wrappava l’SDK AAL2. Un solo commit, nessuna release, parecchio grezza, ma le fondamenta — linking, import dei token e wrapper di base — c’erano. L’ho forkata in IFAD, sistemata, estesa e le ho spinto sopra 97 commit aggiuntivi. 14 release, dalla v0.1.0 alla v0.9.3.
Per identikey non c’era nulla — OneSpan distribuisce un SDK Java, nessuna libreria Ruby esiste. L’ho scritta da zero: 123 commit, 18 tag, dalla v0.2.0 alla v0.9.1.
Retrospettiva 2026
La mia ultima release e’ stata la v1.2.2 a maggio 2019. Dopo, Geremia Taglialatela ha preso in mano la manutenzione e l’ha portato alla v5.0.0 con supporto per Rails 8.1 e Ruby 4.0. 34 release in 14 anni, 201 stelle, e ancora attivamente mantenuta. La documentazione API e il repo sono entrambi vivi.
Sette anni fa ho rilasciato ChronoModel v0.1.0 — una gem Ruby che da’ ai modelli ActiveRecord capacita’ temporali su PostgreSQL. Cinque giorni di hacking, trentasei commit, nessun test, e una confessione sul monkey-patching della costante dell’adapter PostgreSQL.
Oggi taggo la v1.0.0. Il messaggio di commit e’ :gem: this is v1.0.0. Non proprio un discorso memorabile, ma il codice parla da solo: 506 commit, 31 release, 52 file modificati, 5.392 righe aggiunte. L’idea di base — viste aggiornabili su public, dati correnti su temporal, storico su history con table inheritance — non e’ mai cambiata. Tutto il resto si'.
Retrospettiva 2026
Il repo a github.com/ifad/translation-memory è ancora pubblico, ancora senza README, e il fork di Pontoon a cui parla resta privato. L’upstream di Mozilla è aperto e molto vivo. Se qualcuno all’IFAD usi ancora Pontoon otto anni dopo, sinceramente non lo so — l’ho costruito per un progetto sulla mia scrivania, non come cambio di workflow aziendale. La regex che strippa i caratteri non-word ha fatto il suo lavoro per i mesi in cui mi serviva. Poi, presumibilmente, la successiva migration dello schema di Pontoon ha rotto qualcosa. È quello che succede alle integrazioni che parlano direttamente con un database.
L’IFAD è un’agenzia ONU che opera in inglese, francese, spagnolo e arabo. Ogni stringa visibile delle nostre app Rails deve esistere in quattro lingue, il che significa che abbiamo un team di traduzione, il che significa che abbiamo un workflow di traduzione, che sulla maggior parte dei progetti prevede un CAT desktop, file allegati alle email, e translation memory che girano in formato XML.
Quel workflow non sopravvive a un progetto su cui sto lavorando in questo momento. È un’app web Rails con una scadenza stretta, le stringhe sorgente cambiano ogni settimana, e nel tempo che un traduttore impiega per finire un file TM e rimandarlo via email le stringhe si sono già spostate. Mi servono traduttori e sviluppatori che guardano lo stesso database in tempo reale. Scelgo Mozilla Pontoon — open-source, gratis, adattabile, scritto in Django, basato su Postgres — e lo tiro su per il mio progetto. La fregatura: c’è un corpus di traduzioni dal tool precedente che voglio usare per fare il seed di Pontoon dal primo giorno, così i traduttori non partono dal nulla.
