Mantenere i propri server aggiornati è una delle pratiche fondamentali per garantire sicurezza e stabilità in qualsiasi infrastruttura, che si tratti di un homelab casalingo o di un ambiente di produzione.

Sapere in tempo reale quali pacchetti necessitano di aggiornamento, quali patch di sicurezza sono disponibili e avere una visione centralizzata dello stato dei propri sistemi Linux è qualcosa che, fino a poco tempo fa, richiedeva script personalizzati o soluzioni enterprise costose.

PatchMon v2 si propone come una soluzione open source elegante e leggera per il monitoraggio degli aggiornamenti su sistemi Debian/Ubuntu, offrendo una dashboard web intuitiva, notifiche configurabili e un’API REST che si integra facilmente con i principali strumenti di automazione e orchestrazione.

In questa guida vedremo come installare e configurare PatchMon v2 da zero su Ubuntu Server 26.04 LTS, la nuova release a supporto prolungato che introduce diverse ottimizzazioni lato sicurezza e gestione dei pacchetti. Partiremo dai prerequisiti di sistema, passeremo attraverso l’installazione del servizio e la sua configurazione base, fino ad avere un’istanza perfettamente funzionante e pronta all’uso.

Che tu stia gestendo un singolo server o una piccola flotta di macchine, al termine di questa guida avrai un sistema di monitoraggio delle patch affidabile, sempre sotto controllo.

PREREQUISITI

Ubuntu Server 26.04 LTS (Resolute Raccoon)

Architettura amd64/arm64

Utente con privilegi sudo o root

AGGIORNAMENTO DEL SISTEMA

Aggiornare il sistema con il comando:

sudo apt update && sudo apt upgrade -y

RIMOZIONE DEI PACCHETTI DOCKER CONFLITTUALI

Prima di installare Docker Engine, devi rimuovere eventuali pacchetti non ufficiali che potrebbero creare conflitti: Docker

sudo apt remove docker.io docker-compose docker-compose-v2 docker-doc podman-docker containerd runc -y

Non preoccuparti se alcuni pacchetti non risultano installati è normale.

INSTALLAZIONE DOCKER CE DAL REPOSITORY UFFICIALE

Per avere sempre le ultime patch di sicurezza, aggiungi il repository ufficiale Docker alle sorgenti APT: iRexta

Installare i prerequisiti con il comando:

sudo apt install ca-certificates curl -y

Aggiungere la GPG key ufficiale di Docker con i comandi:

sudo install -m 0755 -d /etc/apt/keyrings

sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc

sudo chmod a+r /etc/apt/keyrings/docker.asc

Aggiungere il repository (usa automaticamente il codename “resolute”) con il comando:

echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
$(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Aggiornare l’indice e installare Docker con i comandi:

sudo apt update

sudo apt install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y

VERIFICARE DOCKER E ABILITARE L’AVVIO AUTOMATICO

Verificare e abilitare Docker con i seguenti comandi:

sudo systemctl enable --now docker

sudo systemctl status docker

Dovremmo vedere Active: active (running).

AGGIUNGERE IL TUO UTENTE AL GRUPPO DOCKER (OPZIONALE MA CONSIGLIATO)

Per eseguire i comandi Docker senza sudo aggiungere il tuo utente al gruppo docker con i seguenti comandi:

sudo usermod -aG docker $USER

newgrp docker

ATTENZIONE: questo equivale a privilegi root sull’host. Fallo solo con utenti fidati.

VERIFICA DEL DOCKER

Per verificare che Docker funzioni esseguire il comando:

docker run hello-world

Dovremmo visualizzare il seguente output:

Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
4f55086f7dd0: Pull complete
d5e71e642bf5: Download complete
Digest: sha256:f9078146db2e05e794366b1bfe584a14ea6317f44027d10ef7dad65279026885
Status: Downloaded newer image for hello-world:latest

Hello from Docker!
This message shows that your installation appears to be working correctly.

To generate this message, Docker took the following steps:
1. The Docker client contacted the Docker daemon.
2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
(amd64)
3. The Docker daemon created a new container from that image which runs the
executable that produces the output you are currently reading.
4. The Docker daemon streamed that output to the Docker client, which sent it
to your terminal.

To try something more ambitious, you can run an Ubuntu container with:
$ docker run -it ubuntu bash

Share images, automate workflows, and more with a free Docker ID:
https://hub.docker.com/

For more examples and ideas, visit:
https://docs.docker.com/get-started/

Quindi verificare la versione di Docker Compose installata con il comando:

docker compose version

Dovremmo visualizzare il seguente output:

Docker Compose version v5.1.3

INSTALLAZIONE DI PATCHMON V2

Eseguire lo script di setup da una directory vuota.

Scaricherà automaticamente docker-compose.yml e env.example, genererà tutti i secret necessari e ti guiderà nella configurazione dell’URL e del fuso orario in modo interattivo.

Eseguire i comandi:

mkdir ~/patchmon && cd ~/patchmon

bash -c "$(curl -fsSL https://raw.githubusercontent.com/PatchMon/PatchMon/refs/heads/main/docker/setup-env.sh)"

Lo script chiederà le seguenti cose:

Will you be accessing PatchMon via a reverse proxy (nginx, Caddy, etc.)? (y/n) [n]: n

Do you want to change the timezone from UTC? (y/n) [n]: y

PatchMon runs on port 3000 by default. Include the port in your URL unless you are
terminating it at a reverse proxy on a standard port (e.g. https://patchmon.example.com).
Examples: http://192.168.1.10:3000 https://patchmon.local:3000 https://patchmon.example.com

What URL will you use to access PatchMon? [http://localhost:3000]: http://miodominio.lab:3000

Add (a), Remove (r), or Done (d) [d]: d

AVVIARE IL CONTAINER

Eseguire il comandi:

docker compose up -d

Verificare che tutti i servizi siano Up:

[+] up 48/48
 Image postgres:17-alpine Pulled 10.6s
 Image redis:7-alpine Pulled 4.3s
 Image guacamole/guacd:latest Pulled 10.3s
 Image ghcr.io/patchmon/patchmon-server:latest Pulled 22.2s
 Network patchmon_patchmon-internal Created 0.0s
 Volume patchmon_postgres_data Created 0.0s
 Volume patchmon_redis_data Created 0.0s
 Container patchmon-database-1 Healthy 9.6s
 Container patchmon-redis-1 Healthy 10.1s
 Container patchmon-guacd-1 Healthy 11.6s
 Container patchmon-server-1 Started 5.5s

Eseguire il comando:

docker compose ps

Dovremmo vedere 4 container attivi: server, database (PostgreSQL), redis e guacd.

NAME IMAGE COMMAND SERVICE CREATED STATUS PORTS
patchmon-database-1 postgres:17-alpine "docker-entrypoint.s…" database 38 seconds ago Up 31 seconds (healthy) 5432/tcp
patchmon-guacd-1 guacamole/guacd:latest "/opt/guacamole/entr…" guacd 38 seconds ago Up 31 seconds (healthy) 4822/tcp
patchmon-redis-1 redis:7-alpine "docker-entrypoint.s…" redis 38 seconds ago Up 31 seconds (healthy) 6379/tcp
patchmon-server-1 ghcr.io/patchmon/patchmon-server:latest "./entrypoint.sh" server 32 seconds ago Up 25 seconds (healthy) 0.0.0.0:3000->3000/tcp, [::]:3000->3000/tcp

WIZARD DI PRIMO ACCESSO TRAMITE WEBGUI

Aprire il browser e richiamare l’URL che abbiamo configurato (es. http://miodominio.lab:3000).

Inserire tutte le info richieste quindi cliccare Next

Scegliere ser attivare l’MFA subito oppure se farlo dopo quindi cliccare Next

Confermare l’URL del Server e valutare se abilitare il Certificato Self Signed. Cliccare Next

Cliccare Next

Cliccare su Access Dashboard

Se è tutto OK dovremmo visualizzare la Dashboard di Patchmon come mostrato nell’immagine sovrastante

AGGIUNTA DI UN SERVER WINDOWS A PATCHMON

Dalla Dashboard

Cliccare su Host dal menu laterale quindi Add Host

Selezionare Windows come tipolgia di server quindi cliccare Next

Inserire il nome quindi cliccare Next

Copiare il comando da eseguire sul server da monitorare

Sul server da monitorare aprire un Powershell con diritti amministrativi quindi incollare il comando

Sulla Console PatchMon dovremmo vedere Waiting for Connection

Sul Server da monitorare se è andato tutto a buon fine dovremmo visualizzare il seguente output del Powershell:

Encoding UTF8; & "$env:TEMP\patchmon-install.ps1"
Fetching credentials from PatchMon server...
Credentials received successfully.
PatchMon Agent Installation for Windows
=======================================
Downloading agent from PatchMon server: http://192.168.80.34:3000/api/v1/hosts/agent/download?arch=amd64&os=windows
Architecture: amd64
Install Path: C:\Program Files\PatchMon
Config Path: C:\ProgramData\PatchMon

Creating installation directory...
Creating configuration directory...
Downloading PatchMon agent...
Download completed.
Installing agent to C:\Program Files\PatchMon\patchmon-agent.exe...
Creating default configuration file...
Adding PatchMon to system PATH...
Configuring API credentials...
Credentials configured successfully.

Testing installation...
 API credentials are valid
 Connectivity test successful
Installation test successful!

Setting up Windows Service...
Creating Windows Service...
Service created successfully.
Starting service...
Service started successfully!

PatchMon Agent installation completed successfully!

Installation Summary:
⢠Configuration directory: C:\ProgramData\PatchMon
⢠Agent binary installed: C:\Program Files\PatchMon\patchmon-agent.exe
⢠Architecture: amd64
⢠Windows Service: configured and running
⢠API credentials configured and tested
⢠Logs: C:\ProgramData\PatchMon\patchmon-agent.log

Management Commands:
⢠Test connection: patchmon-agent ping
⢠Manual report: patchmon-agent report
⢠Check status: patchmon-agent diagnostics
⢠Service status: Get-Service -Name PatchMonAgent
⢠Service logs: Get-Content "C:\ProgramData\PatchMon\patchmon-agent.log" -Tail 50 -Wait
⢠Restart service: Restart-Service -Name PatchMonAgent

Your system is now being monitored by PatchMon!

Sulla Console PatchMon dovremmo visualizzare il server appena aggiunto

AGGIUNTA DI UN SERVER LINUX A PATCHMON

Dalla Dashboard

Cliccare su Host dal menu laterale quindi Add Host

Selezionare Linux come tipologia di server quindi cliccare Next

Inserire il nome quindi cliccare Next

Copiare il comando da eseguire sul server Linux da monitorare

Dopo aver eseguito il comando sul server da monitorare se è tutto OK dovremmo visualizzare il seguente output:

INFO: Installing curl...
SUCCESS: All required packages are already installed

SUCCESS: Dependencies installation completed

INFO: Setting up configuration directory...
INFO: Creating new configuration directory...
INFO: Checking if agent is already configured...
SUCCESS: Agent not yet configured - proceeding with installation

INFO: Creating configuration files...
INFO: Downloading PatchMon agent binary...
INFO: Agent version: Unknown
INFO: Setting up log directory...
INFO: Testing API credentials and connectivity...
 API credentials are valid
 Connectivity test successful
SUCCESS: TEST: API credentials are valid and server is reachable
INFO: Setting up systemd service...
Created symlink /etc/systemd/system/multi-user.target.wants/patchmon-agent.service → /etc/systemd/system/patchmon-agent.service.
SUCCESS: PatchMon Agent service started successfully
INFO: WebSocket connection established
SUCCESS: PatchMon Agent installation completed successfully!

Installation Summary:
• Configuration directory: /etc/patchmon
• Agent binary installed: /usr/local/bin/patchmon-agent
• Architecture: amd64
• Dependencies installed: curl
• Systemd service configured and running
• API credentials configured and tested
• WebSocket connection established
• Logs directory: /etc/patchmon/logs

Management Commands:
• Test connection: /usr/local/bin/patchmon-agent ping
• Manual report: /usr/local/bin/patchmon-agent report
• Check status: /usr/local/bin/patchmon-agent diagnostics
• Service status: systemctl status patchmon-agent
• Service logs: journalctl -u patchmon-agent -f
• Restart service: systemctl restart patchmon-agent

SUCCESS: Your system is now being monitored by PatchMon!

Se è andato tutto a buon fine sulla console di PatchMon dovremmo visualizzare il server aggiunto

DISINSTALLAZIONE DELL’AGENT PATCHMON DA UN HOST WINDOWS

Su un server Windows eseguire con una console Powershell con diritti amministrativi eseguire i comandi:

# 1. Ferma il servizio
Stop-Service -Name "patchmon-agent" -Force -ErrorAction SilentlyContinue

# 2. Rimuovi il servizio Windows
sc.exe delete "patchmon-agent"

# 3. Rimuovi il binario e i file dell'agente
Remove-Item -Path "C:\Program Files\patchmon-agent\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:\Program Files\patchmon-agent" -Recurse -Force -ErrorAction SilentlyContinue

# 4. Rimuovi la configurazione e le credenziali
Remove-Item -Path "C:\ProgramData\patchmon\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:\ProgramData\patchmon" -Recurse -Force -ErrorAction SilentlyContinue

# 5. Verifica che il servizio sia stato rimosso
Get-Service -Name "patchmon-agent" -ErrorAction SilentlyContinue

NOTA BENE: rimuovere l’agente dall’host non lo elimina automaticamente dalla dashboard di PatchMon. Ricordati di cancellare l’host anche dalla UI per tenerla pulita

DISINSTALLAZIONE DELL’AGENT PATCHMON DA UN HOST LINUX

Su un server Linux eseguire l’agente include un comando di disinstallazione integrato:

# Rimozione base (binario + crontab)
sudo patchmon-agent uninstall

# Rimozione completa (binario + config + log)
sudo patchmon-agent uninstall --remove-all

# Rimozione silenziosa senza conferma
sudo patchmon-agent uninstall -af

Se il server non è raggiungibile, puoi rimuovere l’agente manualmente:

# 1. Ferma e disabilita il servizio (systemd)

sudo systemctl stop patchmon-agent
sudo systemctl disable patchmon-agent
sudo rm -f /etc/systemd/system/patchmon-agent.service
sudo systemctl daemon-reload

# 2. Termina eventuali processi residui

sudo pkill -f patchmon-agent

# 3. Rimuovi il binario

sudo rm -f /usr/local/bin/patchmon-agent
sudo rm -f /usr/local/bin/patchmon-agent.backup.*

# 4. Rimuovi configurazione e log

sudo rm -rf /etc/patchmon/

# 5. Rimuovi eventuali entry crontab

crontab -l 2>/dev/null | grep -v "patchmon-agent" | crontab -

# 6. Verifica la rimozione completa

which patchmon-agent # deve restituire vuoto
ls /etc/patchmon/ 2>/dev/null # deve dire "No such file or directory"
systemctl status patchmon-agent 2>&1 | head -1 # deve dire "not found"
Per Alpine Linux (OpenRC) al posto dei comandi systemd usa:
bashsudo rc-service patchmon-agent stop
sudo rc-update del patchmon-agent default
sudo rm -f /etc/init.d/patchmon-agent

NOTA BENE: rimuovere l’agente dall’host non lo elimina automaticamente dalla dashboard di PatchMon. Ricordati di cancellare l’host anche dalla UI per tenerla pulita

AGGIORNAMENTO DI PATCHMON

Per aggiornare PatchMon eseguire i comandi elencati di seguito:

cd ~/patchmon

docker compose pull

docker compose up -d

CONFIGURAZIONE DI PATCHMON DIETRO REVERSE PROXY

La configurazione si articola in due parti: il file .env di PatchMon e il Proxy Host in NPM.

Parte 1 — Modificare il file .env di PatchMon

Questo è il passaggio più importante. Apri il file .env nella directory di PatchMon:

nano ~/patchmon/.env

Individuare e modificare le seguenti variabili:

env# URL pubblico del tuo server PatchMon
SERVER_PROTOCOL=https
SERVER_HOST=patchmon.tuodominio.it
SERVER_PORT=443
CORS_ORIGIN=https://patchmon.tuodominio.it

# OBBLIGATORIO con NPM o qualsiasi reverse proxy
TRUST_PROXY=true

# Abilita HSTS in produzione con HTTPS
ENABLE_HSTS=true

TRUST_PROXY ora è true per default in v2. La maggior parte degli utenti usa PatchMon dietro un reverse proxy (Traefik, Caddy, Nginx, NPM); il precedente default false causava problemi di login OIDC e perdita degli IP reali dei client. Se esponi PatchMon direttamente su IP pubblico senza proxy, imposta esplicitamente TRUST_PROXY=false.

Dopo aver salvato, riavvia i container con i comandi:

cd ~/patchmon
docker compose down && docker compose up -d

Parte 2 — Configurare il Proxy Host in NPM

Accedere alla dashboard di NPM (http://IP-NPM:81)
Andare su Proxy Hosts → Add Proxy Host
Compila la scheda Details così:

Domain Names: patchmon.tuodominio.it

Scheme: http

Forward Hostname / IP: IP del server PatchMon (es. 192.168.1.100)

Forward Port: 3000

Cache Assets Off

Block Common Exploits On

Websockets Support On ← fondamentale

Nella scheda SSL:

• Selezionare o richiedere un certificato Let’s Encrypt
• Abilitare Force SSL
• Abilitare HTTP/2 Support

Nella scheda Advanced, incollare queste direttive custom per garantire il corretto passaggio degli header ai WebSocket:

nginxproxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

# WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
proxy_read_timeout 3600s;
proxy_send_timeout 3600s;

Cliccare Save

Perché i WebSocket sono critici

TLS in produzione: usa sempre HTTPS e WSS. L’agente assume WSS quando l’URL del server inizia con https://. Quando sei dietro Nginx (o simili), assicurati che l’header X-Forwarded-Proto: https venga inviato correttamente al backend, in modo che rilevi la connessione sicura.

Gli agenti usano HTTPS per i report e la configurazione, e WSS (WebSocket over TLS) per eventi in tempo reale come lo streaming live delle patch e lo stato Docker. Assicurati che i WebSocket siano supportati dal proxy quando inoltri il traffico al container PatchMon sulla porta 3000.

Verifica finale

Dopo aver salvato tutto, controlla che la connessione sia corretta accedendo a https://patchmon.tuodominio.it.

Nella dashboard, gli agenti connessi dovrebbero mostrare lo stato WSS (verde) e non WS (non sicuro).

Se un agente già installato usa il vecchio URL HTTP, aggiorna la sua configurazione

NOTE IMPORTANTI

UFW e Docker: Ubuntu 26.04 usa UFW come firewall, ma Docker manipola iptables direttamente, bypassando UFW. Se esponi una porta tramite Docker, questa rimane aperta al pubblico anche se bloccata in UFW. Per mitigare, fai bind solo su localhost e usa un reverse proxy (Nginx, Caddy, NPM) per l’accesso esterno.

Reverse proxy e WebSocket: assicurati che il tuo proxy supporti i WebSocket, poiché gli agenti li usano per eventi in tempo reale (WSS su porta 443).

La gestione della Governance, Risk and Compliance (GRC) è spesso percepita come un’attività riservata alle grandi organizzazioni con budget dedicati e piattaforme enterprise dai costi proibitivi.

OpenGRC ribalta questa prospettiva: si tratta di un’applicazione web open-source progettata specificamente per piccoli team e PMI che hanno la necessità di strutturare il proprio programma di sicurezza senza rinunciare alla semplicità d’uso.

In questa guida vedremo come installare e configurare OpenGRC su Ubuntu Server 26.04 LTS, dalla preparazione dell’ambiente fino al primo accesso all’interfaccia web.

Costruito su PHP e il framework Laravel OpenGRC permette di gestire controlli di sicurezza, framework di compliance, audit, rischi e vendor management da un’unica interfaccia intuitiva, con il vantaggio di essere completamente self-hosted.

Licenza: OpenGRC è distribuito sotto licenza Creative Commons Attribution-NonCommercial-ShareAlike 4.0. È consentito l’uso commerciale interno, ma non la rivendita del software né l’hosting per clienti terzi.

Che tu stia cercando di avvicinarti per la prima volta al mondo della GRC o di sostituire un foglio Excel con qualcosa di più strutturato OpenGRC potrebbe essere esattamente ciò di cui hai bisogno.

OpenGRC è un’applicazione web open-source per la Governance, Risk and Compliance (GRC) pensata per piccoli team e PMI.

PREREQUISITI

Prima di iniziare verificare che il sistema soddisfi i requisiti minimi:

• PHP8.X
• Composer2.5
• Node.js18.0
• NPM8.0
• MySQL 5.7+ / MariaDB 10.3+ / SQLite 3

AGGIORNAMENTO DEL SISTEMA

Aggiornare i pacchetti del sistema prima di procedere con il comando:

sudo apt update && sudo apt upgrade -y

INSTALLAZIONE DI PHP E RELATIVE ESTENSIONI

Procedere all’installazione di PHP con i seguenti comandi:

sudo apt install -y software-properties-common

sudo add-apt-repository ppa:ondrej/php -y

sudo apt update

Installare il PHP con tutte le estensioni necessarie con il seguente comando:

sudo apt install -y \
php \
php-cli \
php-common \
php-fpm \
php-mbstring \
php-xml \
php-curl \
php-zip \
php-gd \
php-bcmath \
php-intl \
php-sqlite3 \
php-mysql \
unzip \
git \
curl

Verificare la versione installata:

php -v

Dovremmo visualizzare il seguente output:

PHP 8.5.4 (cli) (built: Apr 1 2026 09:36:11) (NTS)
Copyright (c) The PHP Group
Built by Ubuntu
Zend Engine v4.5.4, Copyright (c) Zend Technologies
with Zend OPcache v8.5.4, Copyright (c), by Zend Technologies

INSTALLAZIONE DEL COMPOSER

Installare il Composer con i seguenti comandi:

curl -sS https://getcomposer.org/installer | php

sudo mv composer.phar /usr/local/bin/composer

sudo chmod +x /usr/local/bin/composer

Verificare la versione installata con il comando:

composer --version

Se è tutto OK dovremmo visualizzare il seguente output:

Composer version 2.9.7 2026-04-14 13:31:52
PHP version 8.5.4 (/usr/bin/php8.5)
Run the "diagnose" command to get more detailed diagnostics output.

INSTALLAZIONE DI NODE.JS E NPM

Usa NodeSource per installare Node.js 20 LTS:

curl -fsSL https://deb.nodesource.com/setup_20.x | sudo -E bash -

sudo apt install -y nodejs

Verificare la versione di Node.Js con il comando:

node -v

Se è tutto OK dovremmo visualizzare il seguente output:

v20.20.2

Verificare la versione di NPM con il comando:

npm -v

Se è tutto OK dovremmo visualizzare il seguente output:

10.8.2

CONFIGURAZIONE DEL DATABASE MYSQL

Se si preferisce usare SQLite (consigliato per ambienti di test o installazioni leggere), puoi saltare questo step.

L’installer di OpenGRC configura SQLite automaticamente senza ulteriori setup.

Per un ambiente di produzione consiglio l’installazione di MySQL:

sudo apt install -y mysql-server

sudo systemctl enable --now mysql

sudo mysql_secure_installation

Creare il database e l’utente dedicato con i seguenti comandi:

sudo mysql -u root -p

Quindi Creare il DB con relativa utenza con i seguenti comandi:

CREATE DATABASE opengrc CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

CREATE USER 'opengrc'@'localhost' IDENTIFIED BY 'password_sicura';

GRANT ALL PRIVILEGES ON opengrc.* TO 'opengrc'@'localhost';

FLUSH PRIVILEGES;

EXIT;

ATTENZIONE: Se si usa MySQL il database deve essere creato prima di eseguire l’installer.

INSTALLAZIONE DI APACHE E CONFIGURAZIONE DEL VIRTUAL HOST

Installare Apache e il modulo per PHP-FPM con i seguenti comandi:

sudo apt install -y apache2 libapache2-mod-fcgid

sudo a2enmod rewrite proxy_fcgi setenvif

sudo a2enconf php8.5-fpm

sudo systemctl enable --now apache2

Creare la directory di installazione con il comando:

sudo mkdir -p /var/www/html

CLONAZIONE DEL REPOSITORY DI OPERNGRC

Posizionarsi nella cartella html con il comando:

cd /var/www/html

Quindi clonare il repository con il comando:

sudo git clone https://github.com/LeeMangold/OpenGRC.git

cd OpenGRC

ESECUZIONE DELL’INSTALLER

L’installer interattivo si occupa di tutto: dipendenze, database, chiave applicativa, utente admin e asset frontend.

Eseguire il comando:

sudo bash install.sh

Premere un qualsiasi tasto per proseguire

Selezionare MySQL

Inserire l’IP del database MySQL (nel mio caso è localhost)

Inserire la porta del Database

Inserire il nome del Database

Inserire l’utente per l’accesso al Database

Inserire la password dell’utente

Inserire la mail dell’utente admin

Inserire la password di accesso

Inserire il nome del Site

Inserire il Site URL

Se è andato tutto a buon fine dovremmo visualizzare il seguente output:

########################################
OpenGRC has been installed successfully!
########################################

ALTERNATIVA: Installazione non interattiva (SQLite + credenziali di default)
Se vuoi installare rapidamente con i valori predefiniti (SQLite, utente admin@example.com / password password) eseguire i comandi:

composer update

php artisan opengrc:install --unattended

NOTA BENE: Dopo l’installazione se devi eseguire nuovamente l’installer devi prima eliminare il file databases/opengrc.sqlite (per SQLite) oppure eliminare e ricreare il database MySQL.

IMPOSTAZIONE DEI PERMESSI CORRETTI

Posizionarsi nella cartella OpenGRC con il comando:

cd /var/www/html/OpenGRC

Quindi configurare i permessi con i seguenti comandi:

sudo chown -R www-data:www-data /var/www/html/OpenGRC/vendor

sudo chmod -R 775 storage bootstrap/cache

E’ possibile rivedere i permessi eseguendo lo script incluso nel progetto con il comando:

cat set_permissions

E’ possibile modificare i permessi (se necessario) eseguendo il comando:

sudo bash set_permissions

CONFIGURAZIONE DEL VIRTUAL HOST DI APACHE

Creare il file di configurazione del sito con il comando:

sudo nano /etc/apache2/sites-available/opengrc.conf

Incollare la seguente configurazione (sostituire tuodominio.it con il tuo dominio o IP):

apache<VirtualHost *:80>
ServerName tuodominio.it
DocumentRoot /var/www/html/OpenGRC/public

<Directory /var/www/html/OpenGRC/public>
Options -Indexes +FollowSymLinks
AllowOverride All
Require all granted
</Directory>

ErrorLog ${APACHE_LOG_DIR}/opengrc_error.log
CustomLog ${APACHE_LOG_DIR}/opengrc_access.log combined
</VirtualHost>

Salvare e chiudere il file di configurazione.

Abilitare il sito e ricaricare Apache con i seguenti comandi:

sudo a2dissite 000-default.conf

sudo a2ensite opengrc.conf

sudo systemctl reload apache2

CONFIGURAZIONE DEL QUEUE WORKER CON SUPERVISOR

OpenGRC usa il sistema di code di Laravel per elaborare task in background (email, import, report, ecc.).

Senza un queue worker attivo, queste funzionalità non operano correttamente.

Installare Supervisor con i seguenti comandi:

sudo apt install -y supervisor

sudo systemctl enable --now supervisor

Creare la configurazione del worker con il comando:

sudo nano /etc/supervisor/conf.d/opengrc-worker.conf

Quindi incollare la seguente configurazione:

[program:opengrc-worker]
process_name=%(program_name)s_%(process_num)02d
command=php /var/www/html/OpenGRC/artisan queue:work --sleep=3 --tries=3 --max-time=3600
autostart=true
autorestart=true
stopasgroup=true
killasgroup=true
user=www-data
numprocs=1
redirect_stderr=true
stdout_logfile=/var/www/html/OpenGRC/storage/logs/worker.log
stopwaitsecs=3600

Salvare e chiudere il file di configurazione

ATTENZIONE: Il worker deve girare con lo stesso utente del web server (www-data). In caso contrario si verificheranno errori di permessi su cache, log e storage.

Avviare il worker con il comando:

sudo supervisorctl reread

Dovremmo visualizzare il seguente output:

opengrc-worker: available

sudo supervisorctl update

Dovremmo visualizzare il seguente output:

opengrc-worker: added process group

sudo supervisorctl start opengrc-worker:*

Dovremmo visualizzare il seguente output:

opengrc-worker:opengrc-worker_00: started

Verificare lo stato con i seguenti comandi:

sudo supervisorctl status opengrc-worker:*

Se è tutto OK dovremmo visualizzare il seguente output:

opengrc-worker:opengrc-worker_00 RUNNING pid 30413, uptime 0:00:28

tail -f /var/www/html/OpenGRC/storage/logs/worker.log

PRIMO ACCESSO ALLA WEB GUI E CONFIGURAZIONE BASE

Aprire il browser e aprire l’indirizzo del server:

http://tuodominio.it

Se è tutto Ok dovremmo visualizzare la pagina di accesso di OpenGRC

Inserire le credenziali censite in prencedenza quindi cliccare Sign In

Dovremmo visualizzare la Dashboard di OpenGRC come mostrato nell’immagine sovrastante

CONFIGURAZIONE BASE TRAMITE INTERFACCIA WEB

Dopo il primo login andare in Settings per configurare:

• Nome organizzazione
• fuso orario
• MailServer SMTP per l’invio di notifiche email
• Politiche password
• timeout sessione
• Authentication SSO (Microsoft Azure, Okta, Google, Auth0)
• Storage locale o AWS S3 per i file allegati
• Portale pubblico per la trasparenza verso clienti

AGGIORNAMENTI DI OPENGRC

Per aggiornare OpenGRC a una nuova versione eseguire i seguenti comandi riportati di seguito:

cd /var/www/html/OpenGRC

git pull origin main

composer install --no-dev

npm install

npm run build

php artisan migrate --force

php artisan config:cache

php artisan route:cache

php artisan view:cache

php artisan queue:restart

sudo chown -R www-data:www-data storage bootstrap/cache

TROUBLESHOOTING

Errori di permessi

sudo chown -R www-data:www-data /var/www/html/OpenGRC/storage
sudo chown -R www-data:www-data /var/www/html/OpenGRC/bootstrap/cache
sudo chmod -R 775 /var/www/html/OpenGRC/storage
sudo chmod -R 775 /var/www/html/OpenGRC/bootstrap/cache

Il queue worker non processa i job

bash# Controlla lo stato di Supervisor

sudo supervisorctl status

Verifica il file .env

grep QUEUE_CONNECTION /var/www/html/OpenGRC/.env

# Deve essere: QUEUE_CONNECTION=database (non sync)

Controllare i job falliti

cd /var/www/html/OpenGRC
php artisan queue:failed
Pagina bianca o errori 500

tail -f /var/www/html/OpenGRC/storage/logs/laravel.log

tail -f /var/log/apache2/opengrc_error.log

Assicurarsi anche che la chiave applicativa sia impostata nel file .env:

grep APP_KEY /var/www/html/OpenGRC/.env

# Se vuota, rigenera con:

php artisan key:generate

Per Creare un nuovo utente

cd /var/www/html/OpenGRC
php artisan opengrc:create-user

Per reimpostare la password di un utente

php artisan opengrc:reset-password

Chiunque abbia mai gestito un tenant Microsoft 365 con qualche centinaio di utenti conosce bene la sensazione: aprire l’interfaccia di amministrazione, navigare tra pannelli e sottomenu e cercare di capire (in tempi ragionevoli) chi ha quale licenza, quante ne sono state assegnate e quante restano disponibili.

Un’operazione all’apparenza banale che ripetuta ogni mese o ogni volta che arriva una richiesta dall’ufficio acquisti diventa rapidamente una fonte di frustrazione silenziosa.

Il problema non è la complessità tecnica in sé ma la mancanza di automazione. Il portale di amministrazione è pensato per operazioni puntuali non per estrarre dati strutturati in modo ripetibile e affidabile.

Esportare manualmente un elenco di utenti con le relative assegnazioni di licenze significa tempo sprecato, rischio di errori e soprattutto un processo che non scala.

È qui che entra in gioco Microsoft Graph API: un’interfaccia unificata e potente che consente di interrogare l’intero ecosistema Microsoft 365 a livello programmatico ottenendo in pochi secondi le stesse informazioni che il portale restituisce in molti clic.

Con le giuste chiamate API è possibile costruire un inventario completo e aggiornato di tutti gli utenti del tenant corredato delle SKU di licenza assegnate dei service plan attivi e dello stato di ogni sottoscrizione.

In questo articolo vedremo come automatizzare l’intero processo dall’autenticazione tramite un’applicazione registrata su Azure Active Directory fino alla generazione di un export strutturato e pronto per essere analizzato o integrato nei propri strumenti di reporting.

Niente più copia-incolla dal portale: solo dati, script e un inventario sempre aggiornato con un singolo comando.

PREREQUISITI

Sul PC da cui si eseguirà lo script:

• Windows con PowerShell 5.1 o superiore (già incluso in Windows 10/11)
• Connessione internet
• Modulo Microsoft.Graph installato

Su Azure / Microsoft 365:

• Accesso al portale Azure (portal.azure.com) con un account Global Admin o Application Admin
• Un’App Registration creata in Azure AD con:
  • Le permission di tipo Application (non Delegated) per User.Read.All, Directory.Read.All e Organization.Read.All
  • L’Admin Consent concesso per tutte e tre le permission
  • Un Client Secret generato e copiato
  • I tre valori disponibili: Tenant ID, Client ID e Client Secret

Permessi minimi sull’account che crea l’App Registration:

• Ruolo Global Administrator oppure Application Administrator nel tenant M365

CREAZIONE E CONFIGURAZIONE DELL’APP SUL TENANT AZURE

Richiamare da un qualsiasi browser portal.azure.com

Cercare App Registration

Cliccare su New Registration

Dare un nome all’App (Es: ExportLicense) quindi cliccare su Register

Copiare l’Application (client) ID e il Directory (tenant) ID

Cliccare su Add a certificate or secret

Cliccare su Certificates & Secrets quindi New Client Secret

Inserire la Descrizione e la Scadenza quindi cliccare al fondo della pagina Add

Copiare il Value della Secret

Cliccare su API Permissions quindi Add a Permissions

Selezionare Microsoft Graph

Cliccare su Application Permissions

Cercare il valore User.Read.All quindi selezionarlo

Cercare il valore Directory.Read.All quindi selezionarlo

Cercare il valore Organization.Read.Al quindi selezionarlo

Al fondo della pagina cliccare su Add Permissions

Da questa schermata è possibile notare che le permissions non sono state Consentite da Admin

Cliccare su Grant Admin Consent quindi accertiarsi che tutte le permissions abbiano lo stato Granted col bollino verde

INSTALLAZIONE DEL MODULO MICROSOFT GRAPH

Per poter utilizzare lo script è necessario installare il modulo Microsoft.Graph dalla gallery ufficiale di Microsoft (PowerShell Gallery) con il comando:

install-Module Microsoft.Graph -Scope CurrentUser -Force

In pratica senza questo comando i cmdlet come Connect-MgGraph, Get-MgUser, Get-MgSubscribedSku non esisterebbero in PowerShell e lo script non potrebbe girare.

Si tratta di un’operazione sicura e ufficiale: il modulo è pubblicato e mantenuto direttamente da Microsoft. Scarica circa 200 MB di file nella cartella profilo dell’utente (C:\Users\tuonomeutente\Documents\PowerShell\Modules), senza modificare file di sistema.

Potrebbero volerci anche 10/15 minuti al termine dell’installazione. Non chiudere o bloccare la finestra Powershell

SCRIPT PER IL REPERIMENTO DELLE SKU DEL TENANT

La prima cosa da fare è eseguire uno script rapido che interroga il tuo tenant e restituisce tutte le SKU con il loro codice tecnico da aggiungere allo script successivo.

Lo script fa due cose:

Mostra una tabella con tutte le SKU (codice, GUID, totali, usate)

Genera automaticamente il blocco $skuNames pronto da copiare in Export-M365Licenses.ps1 con i codici tecnici come placeholder — dovrai solo sostituire il valore a destra con il nome leggibile che preferisci per quelle SKU che non riconosci.

Di seguito il listato dello script Powershell:

# ============================================================
# Get-TenantSKUs.ps1
# Elenca tutte le SKU presenti nel tenant
# ============================================================

# =====================================================================
# CONFIGURA QUI LE TUE CREDENZIALI (da Azure App Registration)
# =====================================================================
$TenantId = "INSERISCI-IL-TUO-TENANT-ID"
$ClientId = "INSERISCI-IL-TUO-CLIENT-ID"
$ClientSecret = "INSERISCI-IL-TUO-CLIENT-SECRET"
# =====================================================================

Import-Module Microsoft.Graph.Authentication -ErrorAction Stop
Import-Module Microsoft.Graph.Identity.DirectoryManagement -ErrorAction Stop

# Autenticazione
$tokenBody = @{
grant_type = "client_credentials"
client_id = $ClientId
client_secret = $ClientSecret
scope = "https://graph.microsoft.com/.default"
}
$tokenResponse = Invoke-RestMethod `
-Uri "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token" `
-Method POST `
-ContentType "application/x-www-form-urlencoded" `
-Body $tokenBody

$secureToken = $tokenResponse.access_token | ConvertTo-SecureString -AsPlainText -Force
Connect-MgGraph -AccessToken $secureToken -NoWelcome

# Recupero SKU
$skus = Get-MgSubscribedSku -All | Sort-Object SkuPartNumber

Write-Host "`n=== SKU presenti nel tenant ($($skus.Count) trovate) ===`n" -ForegroundColor Cyan

# Mostra tabella a schermo
$skus | Format-Table @(
@{Label="Codice SKU"; Expression={$_.SkuPartNumber}; Width=45},
@{Label="SkuId (GUID)"; Expression={$_.SkuId}; Width=38},
@{Label="Totali"; Expression={$_.PrepaidUnits.Enabled}; Width=8},
@{Label="Usate"; Expression={$_.ConsumedUnits}; Width=8}
) -AutoSize

# Genera il blocco $skuNames da copiare nello script principale
Write-Host "`n--- COPIA IL BLOCCO SEGUENTE IN Export-M365Licenses.ps1 ---`n" -ForegroundColor Yellow
Write-Host '$skuNames = @{' -ForegroundColor Green
foreach ($sku in $skus) {
$padding = " " * [Math]::Max(1, 45 - $sku.SkuPartNumber.Length)
Write-Host " `"$($sku.SkuPartNumber)`"$padding= `"$($sku.SkuPartNumber)`"" -ForegroundColor Green
}
Write-Host "}" -ForegroundColor Green
Write-Host "`n--- Fine blocco ---`n" -ForegroundColor Yellow

Disconnect-MgGraph

Salvare il file col nome Get-TenantSKUs.ps1

Sostituire le seguenti righe con i codici presi in precedenza:

$TenantId = “INSERISCI-IL-TUO-TENANT-ID”
$ClientId = “INSERISCI-IL-TUO-CLIENT-ID”
$ClientSecret = “INSERISCI-IL-TUO-CLIENT-SECRET”

Il secret è visibile solo al momento della creazione. Se non l’hai copiato, dovrai eliminarlo e crearne uno nuovo.

COPIA DELLE SKU NELLO SCRIPT

Di seguito un output che potremmo vedere dopo aver eseguito il Powershell Get-TenantSKUs.ps1:

--- COPIA IL BLOCCO SEGUENTE IN Export-M365Licenses.ps1 ---

$skuNames = @{
"CCIBOTS_PRIVPREV_VIRAL" = "CCIBOTS_PRIVPREV_VIRAL"
"CPC_E_8C_32GB_512GB​" = "CPC_E_8C_32GB_512GB​"
"D365_SALES_ENT_ATTACH" = "D365_SALES_ENT_ATTACH"
"DYN365_BUSCENTRAL_DEVICE" = "DYN365_BUSCENTRAL_DEVICE"
"DYN365_BUSCENTRAL_ESSENTIAL" = "DYN365_BUSCENTRAL_ESSENTIAL"
"DYN365_BUSCENTRAL_TEAM_MEMBER" = "DYN365_BUSCENTRAL_TEAM_MEMBER"
"DYN365_ENTERPRISE_P1_IW" = "DYN365_ENTERPRISE_P1_IW"
"DYN365_ENTERPRISE_SALES" = "DYN365_ENTERPRISE_SALES"
"DYN365_TEAM_MEMBERS" = "DYN365_TEAM_MEMBERS"
"Dynamics_365_Sales_Premium_Viral_Trial" = "Dynamics_365_Sales_Premium_Viral_Trial"
"EMSPREMIUM" = "EMSPREMIUM"
"EXCHANGEENTERPRISE" = "EXCHANGEENTERPRISE"
"EXCHANGESTANDARD" = "EXCHANGESTANDARD"
"FLOW_FREE" = "FLOW_FREE"
"FLOW_PER_USER" = "FLOW_PER_USER"
"IDENTITY_THREAT_PROTECTION" = "IDENTITY_THREAT_PROTECTION"
"MCOCAP" = "MCOCAP"
"MCOEV" = "MCOEV"
"MCOPSTN_5" = "MCOPSTN_5"
"MCOPSTN2" = "MCOPSTN2"
"Microsoft_365_Copilot" = "Microsoft_365_Copilot"
"MICROSOFT_BUSINESS_CENTER" = "MICROSOFT_BUSINESS_CENTER"
"Microsoft_Cloud_for_Sustainability_vTrial" = "Microsoft_Cloud_for_Sustainability_vTrial"
"Microsoft_Entra_Suite" = "Microsoft_Entra_Suite"
"Microsoft_Teams_EEA_New" = "Microsoft_Teams_EEA_New"
"Microsoft_Teams_Premium" = "Microsoft_Teams_Premium"
"Microsoft_Teams_Rooms_Pro" = "Microsoft_Teams_Rooms_Pro"
"Microsoft_Teams_Rooms_Pro_without_Audio_Conferencing" = "Microsoft_Teams_Rooms_Pro_without_Audio_Conferencing"
"O365_BUSINESS_ESSENTIALS" = "O365_BUSINESS_ESSENTIALS"
"O365_BUSINESS_PREMIUM" = "O365_BUSINESS_PREMIUM"
"O365_w/o Teams Bundle_M3" = "O365_w/o Teams Bundle_M3"
"O365_w/o_Teams_Bundle_M5" = "O365_w/o_Teams_Bundle_M5"
"PBI_PREMIUM_PER_USER" = "PBI_PREMIUM_PER_USER"
"PHONESYSTEM_VIRTUALUSER" = "PHONESYSTEM_VIRTUALUSER"
"Power_Automate_per_process" = "Power_Automate_per_process"
"POWER_BI_PRO_DEPT" = "POWER_BI_PRO_DEPT"
"POWER_BI_STANDARD" = "POWER_BI_STANDARD"
"Power_Pages_vTrial_for_Makers" = "Power_Pages_vTrial_for_Makers"
"Power_Virtual_Agents" = "Power_Virtual_Agents"
"POWERAPPS_DEV" = "POWERAPPS_DEV"
"POWERAPPS_PER_USER" = "POWERAPPS_PER_USER"
"POWERAPPS_VIRAL" = "POWERAPPS_VIRAL"
"POWERAUTOMATE_ATTENDED_RPA" = "POWERAUTOMATE_ATTENDED_RPA"
"POWERAUTOMATE_ATTENDED_RPA_DEPT" = "POWERAUTOMATE_ATTENDED_RPA_DEPT"
"PROJECT_P1" = "PROJECT_P1"
"PROJECTPREMIUM" = "PROJECTPREMIUM"
"PROJECTPROFESSIONAL" = "PROJECTPROFESSIONAL"
"Remote_Help_AddOn" = "Remote_Help_AddOn"
"SPE_E3" = "SPE_E3"
"SPE_E5" = "SPE_E5"
"STANDARDPACK" = "STANDARDPACK"
"STREAM" = "STREAM"
"THREAT_INTELLIGENCE" = "THREAT_INTELLIGENCE"
"UNIVERSAL_PRINT" = "UNIVERSAL_PRINT"
"VIRTUAL_AGENT_USL" = "VIRTUAL_AGENT_USL"
"VISIOCLIENT" = "VISIOCLIENT"
"WINDOWS_STORE" = "WINDOWS_STORE"
}

--- Fine blocco ---

A questo punto prima di copiare le SKU nello script modificarle mettendo a destra dell’uguale una descrizione parlante del software:

"CCIBOTS_PRIVPREV_VIRAL" = "Copilot Studio - Preview virale gratuita"
"CPC_E_8C_32GB_512GB" = "Windows 365 Enterprise (8 vCPU, 32GB RAM, 512GB)"
"D365_SALES_ENT_ATTACH" = "Dynamics 365 Sales Enterprise (Attach)"
"DYN365_BUSCENTRAL_DEVICE" = "Dynamics 365 Business Central - Licenza Dispositivo"
"DYN365_BUSCENTRAL_ESSENTIAL" = "Dynamics 365 Business Central Essentials"
"DYN365_BUSCENTRAL_TEAM_MEMBER" = "Dynamics 365 Business Central - Team Member"
"DYN365_ENTERPRISE_P1_IW" = "Dynamics 365 Customer Engagement Plan"
"DYN365_ENTERPRISE_SALES" = "Dynamics 365 Sales Enterprise"
"DYN365_TEAM_MEMBERS" = "Dynamics 365 Team Members"
"Dynamics_365_Sales_Premium_Viral_Trial" = "Dynamics 365 Sales Premium - Trial virale"
"EMSPREMIUM" = "Enterprise Mobility + Security E5"
"EXCHANGEENTERPRISE" = "Exchange Online (Piano 2)"
"EXCHANGESTANDARD" = "Exchange Online (Piano 1)"
"FLOW_PER_USER" = "Power Automate per Utente"
"IDENTITY_THREAT_PROTECTION" = "Microsoft Entra ID P2 + Defender for Identity"
"MCOCAP" = "Microsoft Teams Shared Devices (CAP)"
"MCOPSTN_5" = "Teams Calling Plan per zona (Pay-as-you-go)"
"MCOPSTN2" = "Teams Calling Plan Internazionale"
"Microsoft_365_Copilot" = "Microsoft 365 Copilot"
"MICROSOFT_BUSINESS_CENTER" = "Microsoft Business Center"
"Microsoft_Cloud_for_Sustainability_vTrial" = "Microsoft Cloud for Sustainability - Trial"
"Microsoft_Entra_Suite" = "Microsoft Entra Suite"
"Microsoft_Teams_EEA_New" = "Microsoft Teams (Area Economica Europea)"
"Microsoft_Teams_Premium" = "Microsoft Teams Premium"
"Microsoft_Teams_Rooms_Pro" = "Microsoft Teams Rooms Pro"
"Microsoft_Teams_Rooms_Pro_without_Audio_Conferencing" = "Microsoft Teams Rooms Pro (senza Audioconferenza)"
"O365_w/o Teams Bundle_M3" = "Microsoft 365 E3 senza Teams"
"O365_w/o_Teams_Bundle_M5" = "Microsoft 365 E5 senza Teams"
"PBI_PREMIUM_PER_USER" = "Power BI Premium per Utente"
"PHONESYSTEM_VIRTUALUSER" = "Teams Phone - Utente virtuale (gratuito)"
"Power_Automate_per_process" = "Power Automate per Processo"
"POWER_BI_PRO_DEPT" = "Power BI Pro (Dipartimentale)"
"Power_Pages_vTrial_for_Makers" = "Power Pages - Trial per sviluppatori"
"Power_Virtual_Agents" = "Copilot Studio (ex Power Virtual Agents)"
"POWERAPPS_DEV" = "Power Apps per Sviluppatori (gratuito)"
"POWERAPPS_PER_USER" = "Power Apps per Utente"
"POWERAPPS_VIRAL" = "Power Apps - Trial virale gratuita"
"POWERAUTOMATE_ATTENDED_RPA" = "Power Automate con RPA Attended"
"POWERAUTOMATE_ATTENDED_RPA_DEPT" = "Power Automate con RPA Attended (Dipartimentale)"
"PROJECT_P1" = "Project Plan 1"
"Remote_Help_AddOn" = "Intune Remote Help (Add-on)"
"SPE_E3" = "Microsoft 365 E3 (Suite)"
"SPE_E5" = "Microsoft 365 E5 (Suite)"
"STREAM" = "Microsoft Stream (Piano classico)"
"THREAT_INTELLIGENCE" = "Microsoft Defender for Office 365 (Piano 2)"
"UNIVERSAL_PRINT" = "Universal Print"
"VIRTUAL_AGENT_USL" = "Copilot Studio - Sessioni aggiuntive"
"WINDOWS_STORE" = "Microsoft Store for Business"

SCRIPT CHE ESPORTA LE LICENZE CON LE RELATIVE UTENZE ASSEGNATARIE

Di seguito lo script PowerShell che usa Microsoft Graph per estrarre tutte le licenze del tenant con gli utenti associati e li esporta in CSV (apribile direttamente in Excel).

E’ possibile eseguire lo script nelle due modalità di seguito:

# Esegui con percorso predefinito (crea un file con data/ora automatica)
.\Export-M365Licenses.ps1

# Oppure specifica dove salvare il file
.\Export-M365Licenses.ps1 -OutputPath "C:\Report\licenze.csv"

Il File CSV contiene:

Nome Utente / UPN: Identità dell’utente
Account Abilitato: Se l’account è attivo
Reparto / Mansione: Info organizzative
Licenza / Codice SKU: Nome leggibile e codice tecnico
Company Name: Azienda
Totali / Consumate / Disponibili: Contatori per ogni SKU nel tenant

Una riga per ogni combinazione utente–licenza: se un utente ha 3 licenze, avrà 3 righe. Così è possibile filtrare e pivotare facilmente in Excel.

Di seguito lo script Powershell:

# ============================================================
# Export-M365Licenses.ps1 (v1)
# Compatibile con tutte le versioni del modulo Microsoft.Graph
# ============================================================

param(
[string]$OutputPath = ".\M365_Licenze_$(Get-Date -Format 'yyyyMMdd_HHmm').csv"
)

# =====================================================================
# CONFIGURA QUI LE TUE CREDENZIALI (da Azure App Registration)
# =====================================================================
$TenantId = "INSERISCI-IL-TUO-TENANT-ID"
$ClientId = "INSERISCI-IL-TUO-CLIENT-ID"
$ClientSecret = "INSERISCI-IL-TUO-CLIENT-SECRET"
# =====================================================================

# ── 0. VERIFICA MODULO ───────────────────────────────────────
Write-Host "`n[0/4] Verifica modulo Microsoft.Graph..." -ForegroundColor Cyan

if (-not (Get-Module -ListAvailable -Name Microsoft.Graph.Authentication)) {
Write-Host " Modulo non trovato. Installazione in corso..." -ForegroundColor Yellow
Install-Module Microsoft.Graph -Scope CurrentUser -Force -AllowClobber
}

Import-Module Microsoft.Graph.Authentication -ErrorAction Stop
Import-Module Microsoft.Graph.Users -ErrorAction Stop
Import-Module Microsoft.Graph.Identity.DirectoryManagement -ErrorAction Stop

Write-Host " Moduli caricati." -ForegroundColor Green

# ── 1. CONNESSIONE con TOKEN OAUTH DIRETTO ───────────────────
Write-Host "[1/4] Richiesta token OAuth a Microsoft..." -ForegroundColor Cyan

try {
$tokenBody = @{
grant_type = "client_credentials"
client_id = $ClientId
client_secret = $ClientSecret
scope = "https://graph.microsoft.com/.default"
}

$tokenResponse = Invoke-RestMethod `
-Uri "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token" `
-Method POST `
-ContentType "application/x-www-form-urlencoded" `
-Body $tokenBody `
-ErrorAction Stop

$secureToken = $tokenResponse.access_token | ConvertTo-SecureString -AsPlainText -Force
Connect-MgGraph -AccessToken $secureToken -NoWelcome -ErrorAction Stop

Write-Host " Connessione riuscita!" -ForegroundColor Green
}
catch {
Write-Host "`n ERRORE di autenticazione:" -ForegroundColor Red
Write-Host " $($_.Exception.Message)" -ForegroundColor Red
exit 1
}

# ── 2. MAPPA SKU → NOME LEGGIBILE ───────────────────────────
Write-Host "[2/4] Recupero catalogo licenze..." -ForegroundColor Cyan

$skuNames = @{
"AAD_PREMIUM" = "Azure AD Premium P1"
"AAD_PREMIUM_P2" = "Azure AD Premium P2"
"ATP_ENTERPRISE" = "Microsoft Defender for Office 365 (Plan 1)"
"ENTERPRISEPACK" = "Microsoft 365 E3"
"ENTERPRISEPREMIUM" = "Microsoft 365 E5"
"ENTERPRISEPREMIUM_NOPSTNCONF" = "Microsoft 365 E5 (senza audioconferenza)"
"FLOW_FREE" = "Microsoft Power Automate Free"
"INTUNE_A" = "Microsoft Intune"
"M365EDU_A3_FACULTY" = "Microsoft 365 A3 (Docenti)"
"M365EDU_A3_STUDENT" = "Microsoft 365 A3 (Studenti)"
"M365EDU_A5_FACULTY" = "Microsoft 365 A5 (Docenti)"
"MCOEV" = "Microsoft Teams Phone Standard"
"MCOMEETADV" = "Microsoft 365 Audio Conferencing"
"MCOSTANDARD" = "Skype for Business Online (Plan 2)"
"O365_BUSINESS_ESSENTIALS" = "Microsoft 365 Business Basic"
"O365_BUSINESS_PREMIUM" = "Microsoft 365 Business Standard"
"OFFICESUBSCRIPTION" = "Microsoft 365 Apps for Enterprise"
"POWER_BI_PRO" = "Power BI Pro"
"POWER_BI_STANDARD" = "Power BI (gratuito)"
"PROJECTPREMIUM" = "Project Plan 5"
"PROJECTPROFESSIONAL" = "Project Plan 3"
"SPB" = "Microsoft 365 Business Premium"
"STANDARDPACK" = "Microsoft 365 E1 (Office 365 E1)"
"VISIOCLIENT" = "Visio Plan 2"
"VISIOONLINE_PLAN1" = "Visio Plan 1"
"WIN10_PRO_ENT_SUB" = "Windows 10/11 Enterprise E3"
"CCIBOTS_PRIVPREV_VIRAL" = "Copilot Studio - Preview virale gratuita"
"CPC_E_8C_32GB_512GB" = "Windows 365 Enterprise (8 vCPU, 32GB RAM, 512GB)"
"D365_SALES_ENT_ATTACH" = "Dynamics 365 Sales Enterprise (Attach)"
"DYN365_BUSCENTRAL_DEVICE" = "Dynamics 365 Business Central - Licenza Dispositivo"
"DYN365_BUSCENTRAL_ESSENTIAL" = "Dynamics 365 Business Central Essentials"
"DYN365_BUSCENTRAL_TEAM_MEMBER" = "Dynamics 365 Business Central - Team Member"
"DYN365_ENTERPRISE_P1_IW" = "Dynamics 365 Customer Engagement Plan"
"DYN365_ENTERPRISE_SALES" = "Dynamics 365 Sales Enterprise"
"DYN365_TEAM_MEMBERS" = "Dynamics 365 Team Members"
"Dynamics_365_Sales_Premium_Viral_Trial" = "Dynamics 365 Sales Premium - Trial virale"
"EMSPREMIUM" = "Enterprise Mobility + Security E5"
"EXCHANGEENTERPRISE" = "Exchange Online (Piano 2)"
"EXCHANGESTANDARD" = "Exchange Online (Piano 1)"
"FLOW_PER_USER" = "Power Automate per Utente"
"IDENTITY_THREAT_PROTECTION" = "Microsoft Entra ID P2 + Defender for Identity"
"MCOCAP" = "Microsoft Teams Shared Devices (CAP)"
"MCOPSTN_5" = "Teams Calling Plan per zona (Pay-as-you-go)"
"MCOPSTN2" = "Teams Calling Plan Internazionale"
"Microsoft_365_Copilot" = "Microsoft 365 Copilot"
"MICROSOFT_BUSINESS_CENTER" = "Microsoft Business Center"
"Microsoft_Cloud_for_Sustainability_vTrial" = "Microsoft Cloud for Sustainability - Trial"
"Microsoft_Entra_Suite" = "Microsoft Entra Suite"
"Microsoft_Teams_EEA_New" = "Microsoft Teams (Area Economica Europea)"
"Microsoft_Teams_Premium" = "Microsoft Teams Premium"
"Microsoft_Teams_Rooms_Pro" = "Microsoft Teams Rooms Pro"
"Microsoft_Teams_Rooms_Pro_without_Audio_Conferencing" = "Microsoft Teams Rooms Pro (senza Audioconferenza)"
"O365_w/o Teams Bundle_M3" = "Microsoft 365 E3 senza Teams"
"O365_w/o_Teams_Bundle_M5" = "Microsoft 365 E5 senza Teams"
"PBI_PREMIUM_PER_USER" = "Power BI Premium per Utente"
"PHONESYSTEM_VIRTUALUSER" = "Teams Phone - Utente virtuale (gratuito)"
"Power_Automate_per_process" = "Power Automate per Processo"
"POWER_BI_PRO_DEPT" = "Power BI Pro (Dipartimentale)"
"Power_Pages_vTrial_for_Makers" = "Power Pages - Trial per sviluppatori"
"Power_Virtual_Agents" = "Copilot Studio (ex Power Virtual Agents)"
"POWERAPPS_DEV" = "Power Apps per Sviluppatori (gratuito)"
"POWERAPPS_PER_USER" = "Power Apps per Utente"
"POWERAPPS_VIRAL" = "Power Apps - Trial virale gratuita"
"POWERAUTOMATE_ATTENDED_RPA" = "Power Automate con RPA Attended"
"POWERAUTOMATE_ATTENDED_RPA_DEPT" = "Power Automate con RPA Attended (Dipartimentale)"
"PROJECT_P1" = "Project Plan 1"
"Remote_Help_AddOn" = "Intune Remote Help (Add-on)"
"SPE_E3" = "Microsoft 365 E3 (Suite)"
"SPE_E5" = "Microsoft 365 E5 (Suite)"
"STREAM" = "Microsoft Stream (Piano classico)"
"THREAT_INTELLIGENCE" = "Microsoft Defender for Office 365 (Piano 2)"
"UNIVERSAL_PRINT" = "Universal Print"
"VIRTUAL_AGENT_USL" = "Copilot Studio - Sessioni aggiuntive"
"WINDOWS_STORE" = "Microsoft Store for Business"
}

$subscribedSkus = Get-MgSubscribedSku -All
$skuMap = @{}
foreach ($sku in $subscribedSkus) {
$friendlyName = if ($skuNames.ContainsKey($sku.SkuPartNumber)) {
$skuNames[$sku.SkuPartNumber]
} else {
$sku.SkuPartNumber
}
$skuMap[$sku.SkuId] = @{
Nome = $friendlyName
Codice = $sku.SkuPartNumber
Totali = $sku.PrepaidUnits.Enabled
Consumate = $sku.ConsumedUnits
Disponibili = $sku.PrepaidUnits.Enabled - $sku.ConsumedUnits
}
}

# ── 3. RECUPERO UTENTI E LICENZE ────────────────────────────
Write-Host "[3/4] Recupero utenti e licenze assegnate..." -ForegroundColor Cyan

$users = Get-MgUser -All -Property `
"Id,DisplayName,UserPrincipalName,AccountEnabled,CompanyName,Department,JobTitle,AssignedLicenses,UsageLocation"

$results = [System.Collections.Generic.List[PSCustomObject]]::new()

foreach ($user in $users) {
if ($user.AssignedLicenses.Count -eq 0) {
$results.Add([PSCustomObject]@{
"Nome Utente" = $user.DisplayName
"UPN" = $user.UserPrincipalName
"Account Abilitato" = $user.AccountEnabled
"Azienda" = $user.CompanyName
"Reparto" = $user.Department
"Mansione" = $user.JobTitle
"Paese Utilizzo" = $user.UsageLocation
"Licenza" = "(nessuna)"
"Codice SKU" = ""
"Totali Tenant" = ""
"Consumate" = ""
"Disponibili" = ""
})
continue
}

foreach ($lic in $user.AssignedLicenses) {
$skuInfo = $skuMap[$lic.SkuId]
$results.Add([PSCustomObject]@{
"Nome Utente" = $user.DisplayName
"UPN" = $user.UserPrincipalName
"Account Abilitato" = $user.AccountEnabled
"Azienda" = $user.CompanyName
"Reparto" = $user.Department
"Mansione" = $user.JobTitle
"Paese Utilizzo" = $user.UsageLocation
"Licenza" = if ($skuInfo) { $skuInfo.Nome } else { $lic.SkuId }
"Codice SKU" = if ($skuInfo) { $skuInfo.Codice } else { "" }
"Totali Tenant" = if ($skuInfo) { $skuInfo.Totali } else { "" }
"Consumate" = if ($skuInfo) { $skuInfo.Consumate } else { "" }
"Disponibili" = if ($skuInfo) { $skuInfo.Disponibili } else { "" }
})
}
}

# ── 4. ESPORTAZIONE CSV ──────────────────────────────────────
Write-Host "[4/4] Esportazione in CSV..." -ForegroundColor Cyan

$results | Export-Csv -Path $OutputPath -NoTypeInformation -Encoding UTF8 -Delimiter ";"

Write-Host "`n Esportazione completata!" -ForegroundColor Green
Write-Host " File salvato in : $OutputPath"
Write-Host " Righe esportate : $($results.Count)"
Write-Host " Utenti trovati : $($users.Count)"
Write-Host " SKU nel tenant : $($subscribedSkus.Count)`n"

Disconnect-MgGraph

Se tutto è andato a buon fine dovremmo vedere una schermata come quella dell’immagine sovrastante

ANALISI DEL FILE CSV

Nel file CSV trovi una riga per ogni combinazione utente-licenza. Le colonne sono:

Nome Utente: Mario Rossi
UPN: mario.rossi@azienda.com
Account Abilitato: True / False
Azienda: Società 1
Reparto: IT
Mansione: System Administrator
Paese Utilizzo: IT
Licenza: Microsoft 365 E3
Codice SKU: ENTERPRISEPACK
Totali Tenant: 50
Consumate: 43
Disponibili: 7

Di seguito uno screenshot del file excel

Ogni nuova versione di Ubuntu Server porta con sé una promessa: infrastrutture più stabili, strumenti più moderni e un’esperienza di amministrazione progressivamente più raffinata.

Ubuntu Server 26.04 LTS — Resolute Raccoon non fa eccezione.

Con il suo ciclo di supporto a lungo termine e le novità introdotte nel kernel, nei servizi di rete e nella gestione dei pacchetti, rappresenta oggi una delle basi più solide su cui costruire ambienti server in produzione, in laboratorio o in cloud.

Ma ogni grande sistema parte da un primo passo: l’installazione.

Questo articolo nasce con un obiettivo preciso: guidarti passo dopo passo attraverso l’installazione e la configurazione base di Ubuntu Server 26.04, partendo dall’immagine ISO fino ad avere un sistema funzionante, aggiornato e pronto per essere personalizzato secondo le proprie esigenze.

Niente assunzioni implicite, niente salti logici: ogni scelta sarà spiegata, non solo mostrata.

PREREQUISITI

A seconda dell’uso specifico, i requisiti possono lievitare sensibilmente. Per ambienti di produzione è consigliabile avere: Laser Office

• CPU: processore a 64 bit (supporto 32 bit rimosso da Ubuntu 18.04)
• RAM: 3+ GB (più per carichi applicativi intensi)
• Disco: 10–20+ GB a seconda dei servizi installati
• Rete: connessione per aggiornamenti e installazione pacchetti

INSTALLAZIONE DI UBUNTU

Agganciare la ISO di Ubuntu Server 26.04 LTS quindi avviare il server

Selezionare Try or Install Ubuntu Server

Selzionare la lingua di installazione

Selezionare la lingua della tastiera quindi cliccare Done

Lasciare invariato e cliccare Done

Configurare la rete quindi cliccare Done

Se non si utilizzano proxy per la navigazione cliccare Done

Attendere il termine dei test dei mirror. Quindi cliccare Done

Cliccare Done per utuilizzare tutto il disco

Se è tutto Ok cliccare Done

Cancellare i dischi premendo Continue

Inserire Nome, Nome del Server, Username e Password quindi cliccare Done

Selezionare Skip for Now per non abilitare Ubuntu Pro quindi cliccare Continue

Selezionare Install OpenSSH Server quindi cliccare Done

Cliccare Done

Attendere il termine dell’installazione

Smontare la ISO quindi cliccare su Reboot Now

Al termine del reboot dovremmo visualizzare la versione Ubuntu Server 26.04 LTS installata.

NOVITA’ DI UBUNTU 26.04

Ecco le principali novità di Ubuntu 26.04 LTS “Resolute Raccoon”, rilasciato il 23 aprile 2026:

Desktop e interfaccia

• GNOME 50 è il nuovo ambiente desktop predefinito, un salto di quattro versioni rispetto a GNOME 46 di Ubuntu 24.04. Phoronix
• X11/Xorg è stato definitivamente rimosso dalla sessione GNOME: il desktop funziona ora esclusivamente su Wayland.
• Il scaling frazionario e il variable refresh rate sono diventati funzioni stabili. It’s FOSS
• Cinque nuove app predefinite: Ptyxis (terminale), Loupe (visualizzatore immagini) e Showtime (player video, che sostituisce Totem).
• Le icone delle cartelle hanno un nuovo look vivace che eredita il colore d’accento del desktop.

Sicurezza

• La cifratura completa del disco con TPM è passata da sperimentale a disponibilità generale. It’s FOSS
• Il supporto alla crittografia post-quantistica è incluso tramite OpenSSH 10.2, con l’algoritmo di scambio chiavi mlkem768x25519-sha256 attivo di default. Il supporto DSA è stato rimosso.
• sudo è ora fornito da sudo-rs, scritto in Rust, con feedback visivo della password (asterischi) abilitato di default.

Sotto il cofano

• Il kernel è Linux 7.0, che porta migliore supporto hardware, specialmente per i nuovi processori Intel Core Ultra Series 3 (Panther Lake).
• Il compilatore di sistema è GCC 15.2. Phoronix
• I driver GPU open source Mesa 26.0.x sono inclusi, con driver NVIDIA proprietari che ora puntano alla serie 595.x di default.
• Il sistema usa ora Dracut per generare l’initramfs durante il boot.
• Il firmware è stato suddiviso in pacchetti distinti per produttore, invece del precedente pacchetto unico linux-firmware, riducendo le dimensioni degli aggiornamenti.

App e pacchetti

• Firefox aggiornato alla versione 150, LibreOffice alla 25.8, Thunderbird alla 140 “Eclipse” e GIMP alla 3.2.
• Nuovi provider di ricerca nell’overview di GNOME, con risultati dall’App Center e ricerca rapida su Google tramite Firefox.
• DocumentDB è ora disponibile nei repository Ubuntu: un database documentale open source compatibile con MongoDB, basato su PostgreSQL.

Requisiti di sistema

• Ubuntu Desktop 26.04 richiede un processore dual-core da 2 GHz, almeno 6 GB di RAM e 25 GB di spazio libero.

Kernel e hardware

• Ubuntu 26.04 include Linux 7.0 con miglior supporto per i processori Intel Core Ultra Series 3 (Panther Lake), con grafica Xe3 e prestazioni NPU migliorate.

Supporto

• Ubuntu 26.04 LTS sarà supportato fino ad aprile 2031 (5 anni), con possibilità di estendere a 10 anni tramite Ubuntu Pro.

ATTENZIONE: per chi aggiorna da 24.04 LTS: gli aggiornamenti diretti da Ubuntu 24.04 LTS a 26.04 LTS non saranno abilitati fino a luglio, con il rilascio della prima point release Ubuntu 26.04.1 LTS.

La gestione dei container Docker può diventare rapidamente complessa, soprattutto in ambienti server dove è fondamentale avere controllo, visibilità e semplicità operativa.

Arcane (Docker Management UI) nasce proprio con questo obiettivo: fornire un’interfaccia web intuitiva per amministrare container, immagini, volumi e reti in modo rapido ed efficace.

In questa guida vedremo passo dopo passo come installare e configurare Arcane su Ubuntu Server 24.04 LTS, partendo dai prerequisiti fino al primo accesso all’interfaccia web.

L’obiettivo è ottenere un ambiente di gestione Docker pronto all’uso, sicuro e facilmente integrabile nella tua infrastruttura.

Che tu stia configurando un home lab, un server di test o un ambiente di produzione leggero, questa procedura ti permetterà di mettere in funzione Arcane in pochi minuti.

INSTALLAZIONE DI DOCKER

Prima di installare Docker rimuovere le vecchie versioni che potrebbero causare conflitti con il seguente comando:

sudo apt remove docker docker-engine docker.io containerd runc

INSTALLAZIONE DELLE DIPENDENZE CHIAVE

Eseguire i comandi in sequenza:

sudo apt update

sudo apt install -y ca-certificates curl gnupg

sudo install -m 0755 -d /etc/apt/keyrings

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

INSTALLAZIONE DEL MOTORE E DEI PLUGIN COMPOSE

Eseguire i comandi in sequenza:

sudo apt update

sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

ESECUZIONE DI DOCKER SENZA SUDO (OPZIONALE)

Eseguire i comandi in sequenza:

sudo usermod -aG docker $USER

newgrp docker

docker version

Dovremmo visualizzare il seguente output:

Client: Docker Engine - Community
Version: 29.2.1
API version: 1.53
Go version: go1.25.6
Git commit: a5c7197
Built: Mon Feb 2 17:17:26 2026
OS/Arch: linux/amd64
Context: default

Server: Docker Engine - Community
Engine:
Version: 29.2.1
API version: 1.53 (minimum version 1.44)
Go version: go1.25.6
Git commit: 6bc6209
Built: Mon Feb 2 17:17:26 2026
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: v2.2.1
GitCommit: dea7da592f5d1d2b7755e3a161be07f43fad8f75
runc:
Version: 1.3.4
GitCommit: v1.3.4-0-gd6d73eb8
docker-init:
Version: 0.19.0
GitCommit: de40ad0

DISTRIBUZIONE DI ARCANE CON DOCKER COMPOSE

Crea una cartella progetto con il comando:

mkdir -p ~/arcane && cd ~/arcane

Generare i secrets con i seguenti comandi:

openssl rand -base64 32 # ENCRYPTION_KEY

Dovremmo visualizzare un output simile al seguente:

df6gAVQ7kAxYD6N6QRPmeky/7PZGt7Yud3ihLlC6RSI=

Quindi eseguire il comando:

openssl rand -base64 32 # JWT_SECRET

Dovremmo visualizzare un output simile al seguente:

l5vb4U1e8v2DBP2NRjRukdDsabY90IgzCZlirsRy5vU=

Creare il file compose.yml con il coamndo:

nano compose.yml

Inserire all’interno del file creato il seguente output:

ATTENZIONE: inserire le chiavi JWT_SECRET e ENCRYPTION_KEY

services:
arcane:
image: ghcr.io/ofkm/arcane:latest
container_name: arcane
ports:
- "3552:3552"
volumes:
- /var/run/docker.sock:/var/run/docker.sock
- arcane-data:/app/data
- ./projects:/app/data/projects
environment:
- APP_URL=http://localhost:3552
- PUID=1000
- PGID=1000
- ENCRYPTION_KEY=df6gAVQ7kAxYD6N6QRPmeky/7PZGt7Yud3ihLlC6RSI=
- JWT_SECRET=l5vb4U1e8v2DBP2NRjRukdDsabY90IgzCZlirsRy5vU=
restart: unless-stopped

volumes:
arcane-data:

Salvare chiudere il file di configurazione

Avviare Docker con il comando:

docker compose up -d

Dovremmo visualizzare il seguente output:

[+] up 12/12
 Image ghcr.io/ofkm/arcane:latest Pulled 4.4s
 Network arcane_default Created 0.0s
 Volume arcane_arcane-data Created 0.0s
 Container arcane Created 0.8s

ACCESSO AD ARCANE VIA WEB

Da un qualsiasi browser richiamare il seguente link:

http://INDIRIZZO_IP_O_FQDN:3552

Se è andato tutto a buon fine dovremmo visualizzare un immagine come quella sovrastante

Per accedere inserire le credenziali di default:

USER: arcane

PASSWORD: arcane-admin

Inserire la nuova password quindi cliccare su Change Password

Dovremmo visualizzare la Dashboard di Arcane

AGGIORNAMENTO DI ARCANE

Per aggiornare Arcane basta eseguire i comandi:

docker compose pull

docker compose up -d

BACKUP E RESTORE DI ARCANE

Per effettuare il backup della configurazione di Arcane eseguire il comando:

docker run --rm -v arcane-data:/data -v "$PWD":/backup busybox sh -c 'cd /data && tar czf /backup/arcane-backup.tgz .'

Per effettuare il ripristino della configurazione di Arcane eseguire il comando:

docker run --rm -v arcane-data:/data -v "$PWD":/backup busybox sh -c 'cd /data && tar xzf /backup/arcane-backup.tgz'

CONSIDERAZIONI FINALI

Arcane si presenta come una soluzione interessante per la gestione di ambienti Docker tramite interfaccia grafica, soprattutto per chi desidera semplificare operazioni che da riga di comando possono risultare ripetitive o complesse.

La sua leggerezza e rapidità di deploy lo rendono particolarmente adatto a server Ubuntu minimal o ambienti self-hosted.

PRO

• Interfaccia intuitiva: permette di gestire container, immagini e volumi senza ricorrere continuamente alla CLI.
• Installazione semplice: deploy rapido tramite Docker o Docker Compose.
• Riduzione errori operativi: utile per chi non ha grande esperienza con i comandi Docker.
• Adatto a piccoli ambienti e homelab: perfetto per test, sviluppo o infrastrutture leggere.
• Accesso centralizzato via web: gestione remota comoda e immediata.

CONTRO

• Funzionalità avanzate limitate rispetto a piattaforme enterprise più mature.
• Dipendenza dall’interfaccia web: in ambienti altamente critici, la CLI rimane spesso preferibile.
• Sicurezza da configurare manualmente: HTTPS, autenticazione avanzata e reverse proxy richiedono setup aggiuntivo.
• Scalabilità non ideale per cluster complessi o ambienti orchestrati di grandi dimensioni.

CONCLUSIONI

Arcane è una soluzione pratica e veloce per chi cerca un pannello di gestione Docker semplice ed efficace su Ubuntu Server 24.04.

Non sostituisce strumenti di orchestrazione avanzata, ma rappresenta un valido supporto per amministrare container in modo più visuale e immediato.

Per ambienti di piccole e medie dimensioni è una scelta solida.

Per infrastrutture enterprise complesse potrebbe invece essere necessario affiancarlo o valutare soluzioni più strutturate.

I certificati SSL sono un elemento fondamentale per garantire la sicurezza dei siti web e la fiducia degli utenti. Una loro scadenza non monitorata può causare interruzioni di servizio, avvisi di sicurezza nei browser e potenziali problemi di reputazione. Per questo motivo è importante adottare strumenti che permettano di controllare in modo proattivo lo stato dei certificati e ricevere avvisi prima che si verifichino criticità.

In questo articolo vedremo come utilizzare LibreNMS per monitorare la scadenza dei certificati SSL dei siti web così da avere sotto controllo le date di rinnovo e intervenire tempestivamente.

Analizzeremo i passaggi necessari per configurare il monitoraggio e impostare notifiche efficaci in modo semplice e centralizzato.

ABILITAZIONE DELLA FUNZIONE SSL

Collegarsi in console sul server LibreNMS quindi eseguire i comandi:

cd /opt/librenms
sudo -u librenms php artisan config:set ssl_certificates.auto_discover true

Oppure utilizzare con il comando lnms:

sudo -u librenms lnms config:set ssl_certificates.auto_discover true

L’opzione ssl_certificates.auto_discover abilita il job schedulato che prova a connettersi ai device attivi sulla porta 443 e memorizza il certificato presentato.

VERIFICA DEI JOB SCHEDULATI

LibreNMS usa due task distinti:

• lnms maintenance:discover-ssl-certificates per la discovery
• lnms maintenance:refresh-ssl-certificates per il refresh periodico dei certificati già noti

Se il tuo scheduler LibreNMS è configurato correttamente, questi task vengono eseguiti automaticamente.

Per provarli subito a mano eseguire i comandi:

sudo -u librenms php artisan maintenance:discover-ssl-certificates

sudo -u librenms php artisan maintenance:refresh-ssl-certificates

VERIFICA DEI CERTIFICATI SCOPERTI

Collegarsi alla Web UI di LibreNMS

Quindi cliccare su Overview → Tools → SSL Certificates

Dovremmo visualizzare una schermata con tutti i certificati discoverati.

Da questa pagina è possibile:

• vedere i certificati scoperti
• aggiungere voci manualmente come host + porta
• mettere in pausa o riattivare il monitoraggio
• rimuovere una voce

AGGIUNTA MANUALE DEI SITI WEB DA MONITORARE

Questo è il passaggio più utile se vuoi controllare siti web pubblici o nomi DNS specifici.

Nella schermata SSL Certificates aggiungere manualmente:

Host: ad esempio www.tuodominio.it
Port: normalmente 443

Cliccare su Add Certificate

Per host HTTPS standard è sufficiente così. LibreNMS supporta proprio l’aggiunta manuale di host e porta da UI.

ESCLUDERE HOST CHE NON SI VUOL MONITORARE

Se si vuole evitare check automatici su certi host impostare ssl_certificates.skip_hosts con lista di hostname o IP.

L’esclusione vale sia per discovery sia per refresh.

Esempio di comando per esclusione:

sudo -u librenms lnms config:set ssl_certificates.skip_hosts '["lb01.example.local","10.10.10.5"]'

ATTIVAZIONE DELL’ALERT

LibreNMS indica che esiste una regola di alert già disponibile chiamata Expiring SSL Certificates che avvisa quando il certificato scadrà entro 14 giorni.

Aprire la Web UI quindi Alerts → Alert Rules

Verificare che la regola Expiring SSL Certificates sia presente e abilitata.

Nel caso la regola non fosse presente aggiungerla cliccando su Create rule from collection

Nel campo cerca scrivere SSL in modo che compaia la regola Expiring SSL Certificates quindi cliccare Select

Impostare l’alert come da immagine sovrastante impostando il numero di giorni a proprio piacimento.

Cliccare su Save Rule

Associare quindi il transport che usi già come per esempio:

Email
Telegram
Teams
Slack
webhook

CONSIDERAZIONI FINALI

Questo metodo è perfetto quando si usa la funzione nativa se si vuole:

• monitorare la scadenza del certificato
• vedere un elenco centralizzato dei certificati
• ricevere alert “sta per scadere”
• aggiungere manualmente host web esterni o interni su host/porta
• Limite importante da sapere

La funzione nativa fa bene il monitoraggio della scadenza del certificato presentato dal server, ma se vuoi controlli più “applicativi” del tipo:

• HTTP 200/301 atteso
• contenuto pagina
• timeout applicativo
• warning/critical personalizzati, ad esempio 30/14 giorni
• casi particolari con reverse proxy e virtual host

allora conviene usare anche i Services con plugin Nagios.

LibreNMS supporta i Service Checks tramite Nagios plugins e i servizi devono sempre essere associati a un device.