Hardening on GeppettoBarbuto - Wiki

Post-Migration: Technical Optimization & Hardening

Thu, 26 Mar 2026 06:36:16 +0000

⚡ Post-Migration: Technical Optimization & Hardening

Obiettivo: Massimizzare la reattività del sistema (responsiveness) e proteggere l’hardware attraverso la calibrazione del Kernel e dei servizi di background.

::: info IL TOCCO DELL’INGEGNERE L’ottimizzazione su Linux non è “magia”, ma gestione delle code (queues) e delle priorità. Interverremo sulla gestione della memoria (ZRAM), sullo scheduler dei dischi e sulle policy energetiche per eliminare i micro-lag tipici dell’hardware datato. :::

1. Gestione Memoria Avanzata (ZRAM)

Sia sul Mac Pro (96GB) che sul laptop (8/16GB), lo swap su disco è un collo di bottiglia. Utilizziamo la ZRAM per creare una partizione di swap compressa direttamente nella RAM.

Setup ZRAM (Debian/Ubuntu/Mint)

# Installazione utility
sudo apt update && sudo apt install zram-tools -y

# Configurazione (Edit /etc/default/zramswap)
# Impostiamo il 25% della RAM fisica come buffer compresso
echo "PERCENT=25" | sudo tee -a /etc/default/zramswap
echo "ALGORITHM=zstd" | sudo tee -a /etc/default/zramswap

# Riavvio servizio
sudo systemctl restart zramswap

Perché: zstd offre il miglior rapporto compressione/velocità, riducendo drasticamente le scritture sull’SSD (usura minore).

2. Kernel Tuning via Sysctl

Modifichiamo i parametri a runtime del kernel per favorire l’interattività rispetto al throughput puro.

Configurazione `/etc/sysctl.d/99-performance.conf`

Crea il file e inserisci:

# Riduci la tendenza allo swap (default 60, consigliato 10)
vm.swappiness = 10

# Migliora la gestione della cache del filesystem
vm.vfs_cache_pressure = 50

# Ottimizzazione buffer di rete per trasferimenti file pesanti
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

Applica con: sudo sysctl --system

3. Storage Optimization (SSD/NVMe)

L’hardware recuperato spesso monta SSD di prima generazione o adattatori NVMe.

Periodic TRIM: Assicurati che il servizio di pulizia celle sia attivo per mantenere costanti le velocità di scrittura.
```
sudo systemctl enable --now fstrim.timer
```

I/O Scheduler: Per SSD moderni, forziamo il kernel a non perdere tempo con algoritmi di ordinamento inutili.

# Verifica lo scheduler attuale
cat /sys/block/sda/queue/scheduler
# Se supportato, 'none' o 'mq-deadline' sono i migliori per SSD

📉 Ciclo di Ottimizzazione (Mermaid 8.8.2)

graph TD
 A["Sistema Post-Installazione"] --> B{"Analisi Bottleneck"}
 
 B -->|"Latenza Disco"| C["Abilitazione ZRAM & Trim"]
 B -->|"Surriscaldamento"| D["TLP & macfanctld Config"]
 B -->|"Lentezza UI"| E["Kernel Swappiness Tuning"]
 
 C --> F["Verifica con 'btop' e 'iostat'"]
 D --> F
 E --> F
 
 F --> G["Stato: Rock Solid Performance"]
 
 style G fill:#4CAF50,color:#fff,stroke:#333,stroke-width:2px

🛡️ Security Hardening Essentials

Un sistema “Revived” deve essere anche “Secured”.

Firewall (UFW): Attiva immediatamente la protezione perimetrale.

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh # Se necessario l'accesso remoto
sudo ufw enable

SSH Key-Only: Se gestisci queste macchine in remoto, disabilita l’autenticazione via password (come visto nella sezione [[sistemi-operativi/linux/security]]).
Microcode Updates: Fondamentale per proteggere le vecchie CPU Xeon/i5 da vulnerabilità hardware (Spectre/Meltdown).
```
sudo apt install intel-microcode -y
```

💡 Note dell’Architetto

Su macchine come il Mac Pro 2013, l’ottimizzazione più importante rimane la gestione della ventola (macfanctld). Una CPU Xeon che lavora a 10°C in meno non solo dura di più, ma mantiene frequenze di “Turbo Boost” più elevate per tempi prolungati, migliorando sensibilmente le performance di compilazione C++.

Tags: #Optimization #Kernel #Linux #Performance #Hardening*

Incident Report: Mitigazione Bot e Hardening Gitea

Fri, 20 Mar 2026 17:20:58 +0000

Incident Report: Mitigazione Bot e Hardening Gitea

Questo documento analizza il problema della saturazione delle risorse (CPU e Banda) causata da crawler automatizzati (Bot) su un’istanza self-hosted di Gitea e fornisce una guida passo-passo per la messa in sicurezza.

1. Analisi del Problema

Nel caso specifico, il server Gitea ha subito un picco di carico (CPU > 95%) e traffico in uscita costante (~1MB/s).

La Causa: GPTBot (OpenAI)

L’analisi dei log ha rivelato che GPTBot stava effettuando scansioni aggressive sull’endpoint /compare/.

Perché è pesante: L’operazione di compare tra due tag o branch richiede a Git di calcolare le differenze (diff) in tempo reale. Se il repository è grande o i tag sono molti, questo processo consuma enormi quantità di cicli CPU.
Effetto Sinergico: Molteplici richieste simultanee saturano i worker di Gitea, rendendo il servizio non disponibile.

2. Come Individuare il Problema

Per identificare se il tuo server è sotto stress da bot, segui questi passaggi:

A. Monitoraggio Risorse (Host/LXC)

Usa htop o top nel container Gitea. Se vedi molti processi chiamati git o gitea con alta percentuale di CPU, il problema è a livello applicativo.

B. Analisi Log Reverse Proxy (Nginx Proxy Manager)

Cerca pattern sospetti nei log di accesso:

# Sostituisci con l'ID del tuo container
docker exec -it npm-app-1 grep -i "GPTBot" /data/logs/proxy-host-2_access.log

C. Identificazione dello User-Agent

Nei log, osserva la stringa finale. Se vedi nomi come GPTBot, CCBot, Bytespider o YandexBot, si tratta di crawler automatizzati.

3. Soluzioni Immediate (Quick Fix)

Blocco tramite Nginx Proxy Manager (NPM)

Accedi alla dashboard di NPM, vai nell’host specifico, scheda Advanced e inserisci:

# Blocco per User-Agent (Copre i bot più aggressivi)
if ($http_user_agent ~* (GPTBot|ChatGPT-User|CCBot|Bytespider|YandexBot|Amazonbot)) {
 return 403;
}

# Blocco IP specifico (Se il bot insiste da un unico IP)
deny 74.7.243.204;

4. Messa in Sicurezza (Hardening) di Gitea

A. Rendere Gitea Privato (Altamente Consigliato)

Se non hai bisogno che il tuo codice sia pubblico su internet, disabilita la visualizzazione agli utenti non loggati. I bot vedranno solo la pagina di login.

Modifica app.ini (solitamente in /var/lib/gitea/custom/conf/app.ini):

[service]
REQUIRE_SIGNIN_VIEW = true

B. Configurare il file `robots.txt`

Indica ai bot “educati” quali aree non devono scansionare. Crea il file in custom/public/robots.txt:

User-agent: *
Disallow: /*/compare/*
Disallow: /*/commits/*
Disallow: /*/archive/*
Disallow: /api/*

C. Limitare le risorse di Git

Impedisci che una singola richiesta “uccida” il server impostando dei timeout:

[git]
TIMEOUT.DEFAULT = 60

[repository]
MAX_REVISION_LIMIT = 100

5. Protezione Generale per altri Servizi

Queste regole valgono per qualsiasi servizio esponi (Nextcloud, Home Assistant, ecc.):

Rate Limiting: Configura NPM per limitare il numero di richieste al secondo per IP.
CrowdSec o Fail2Ban: Installa un sistema di prevenzione intrusioni che blocca automaticamente gli IP che mostrano comportamenti malevoli.
Cloudflare (Opzionale): Usa Cloudflare come DNS/Proxy. Offre una “Bot Fight Mode” gratuita che filtra gran parte di questo traffico prima ancora che raggiunga il tuo server Proxmox.

Nota di Sicurezza: Ricorda sempre di riavviare il servizio Gitea (systemctl restart gitea) dopo ogni modifica al file app.ini per rendere effettive le impostazioni.

Hardening on GeppettoBarbuto - Wiki

Post-Migration: Technical Optimization & Hardening

⚡ Post-Migration: Technical Optimization & Hardening

1. Gestione Memoria Avanzata (ZRAM)

Setup ZRAM (Debian/Ubuntu/Mint)

2. Kernel Tuning via Sysctl

Configurazione /etc/sysctl.d/99-performance.conf

3. Storage Optimization (SSD/NVMe)

📉 Ciclo di Ottimizzazione (Mermaid 8.8.2)

🛡️ Security Hardening Essentials

💡 Note dell’Architetto

Incident Report: Mitigazione Bot e Hardening Gitea

Incident Report: Mitigazione Bot e Hardening Gitea

1. Analisi del Problema

La Causa: GPTBot (OpenAI)

2. Come Individuare il Problema

A. Monitoraggio Risorse (Host/LXC)

B. Analisi Log Reverse Proxy (Nginx Proxy Manager)

C. Identificazione dello User-Agent

3. Soluzioni Immediate (Quick Fix)

Blocco tramite Nginx Proxy Manager (NPM)

4. Messa in Sicurezza (Hardening) di Gitea

A. Rendere Gitea Privato (Altamente Consigliato)

B. Configurare il file robots.txt

C. Limitare le risorse di Git

5. Protezione Generale per altri Servizi

Configurazione `/etc/sysctl.d/99-performance.conf`

B. Configurare il file `robots.txt`