Here's my progress for Advent of Code 2025:

Here's my progress for Advent of Code 2024:

Mozilla has addressed this bug in version 132.0b2.³⁴ However, affected users must manually adjust their preferences to restore these features. The following steps will help you resolve this issue:

Back up and restore information in Firefox profiles

Steps to Fix the Issue

Method 1: Delete toolbar customization line (Easiest)

1. Open Firefox and type about:profiles in the address bar, then press Enter. You may see a warning; confirm your action to proceed.
2. Locate the profile that is set as "Default Profile".
3. Click on "Open Folder" next to where it shows "Root Directory".
4. In the opened directory, open prefs.js with a text editor and delete the entire line that starts with:

   user_pref("browser.uiCustomization.state"
   

Method 2: Restore basic toolbar elements

1. Type about:config in the address bar and press Enter. You may see a warning; confirm your action to proceed.
2. Search for the preference browser.uiCustomization.state.
3. Copy the JSON string into a text editor for easier modification.
4. Locate and modify the first occurrence of "PersonalToolbar":[] in the JSON, replacing it with:

   "PersonalToolbar":["personal-bookmarks"]
   

5. Identify and replace the contents of "TabsToolbar":[] with:

   "TabsToolbar":["firefox-view-button", "tabbrowser-tabs", "new-tab-button", "alltabs-button"]
   

6. Copy the revised JSON string back into the browser.uiCustomization.state field in about:config.
7. Click the check button to save your changes, then restart Firefox to apply these modifications.

Rearrange Icons or Restore Defaults

1. Right-click on any blank space within your toolbar and select "Customize Toolbar…" from the context menu, or navigate to View > Toolbars > Customize Toolbar… via the main menu.
2. You can either restore default configurations or manually drag and drop icons to rearrange them as per your preference.

For more details check out Customize Firefox controls, buttons and toolbars.

By following these steps, you should be able to effectively restore and customize your Firefox Beta toolbar settings without encountering the bug-induced issue again. If issues persist after trying these methods, consider reaching out to Mozilla support for further assistance.

Pi-Hole Web Interface Configuration

Open the browser and enter the IP of the computer where Ubuntu Server is installed followed by /admin as shown in the following figure. When the page loads, click the Login item present in the left vertical menu.

The Pi-Hole web interface password will be asked. Enter it and click Login to confirm and enter.

The following screen is the one before logging in. The difference is that now there is the possibility of configuring Pi-Hole.

Click the Settings item in the left menu.

Click DNS from the items present at the top.

In the block titled Upstream DNS Servers on the left, deselect any tick present. Instead, in the homonymous block on the right, select Custom 1 (IPv4) and enter 127.0.0.1#5353 which are the interface and the port that were previously entered in the Unbound configuration file. This will make Pi-Hole ask Unbound for DNS resolution instead of using an external server outside the network.

In the block titled Interface settings, click the Bind only to interface ... voice.

To save all this, scroll down with the mouse and click Save located at the bottom right of the screen.

Backup Pi-Hole Settings

For safety, download the current Pi-Hole configuration so that in case of need to restore the settings it is faster to do it from a file. To do this, press click from the horizontal menu present at the top the Teleporter voice. Finally, click Backup and confirm the file save.

Router Configuration

Now from the router settings (refer to the router manual to understand where to find the setting), you can change the DNS to the IP of the computer where Ubuntu Server is installed. This will make every device connected to the network with automatic DNS make a resolution request to the router which in turn will forward the packets to the system filtering most of the advertising from websites and also dangerous content.

Unbound Installation

Package Installation

Now you can proceed with the installation of the DNS resolver Unbound with the command sudo apt install unbound. It may request the user password as it is launched with administrator privileges. In case affirmative, enter it and press Enter.

Confirm the application installation by writing y and pressing Enter.

Once the installation is finished, you may see some written messages in red as follows. They can be ignored as they do not affect the functioning of the system and its applications.

Downloading domain registration server resolution IP

Now it is possible to download the list of IPv4 and IPv6 for resolving the domain registration servers. To do this, use the following string: wget -O root.hints https://www.internic.net/domain/named.root sudo mv root.hints /var/lib/unbound/.

Press Enter to start everything.

File Configuration

It is necessary to modify the Unbound configuration file. To do this, write the command sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf and confirm with the user password as it is executed with administrator privileges.

Within the empty file, the following text should be inserted:

server:
    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0
    interface: 127.0.0.1
    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes
    # May be set to yes if you have IPv6 connectivity
    do-ip6: no
    # You want to leave this to no unless you have *native* IPv6. With 6to4 and
    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: no
    # Use this only when you downloaded the list of primary root servers!
    # If you use the default dns-root-data package, unbound will find it automatically
    #root-hints: "/var/lib/unbound/root.hints"
    # Trust glue only if it is within the server's authority
    harden-glue: yes
    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes
    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no
    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1472
    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes
    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine, it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1
    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m
    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

Link to the reference file: pi-hole.conf

At lines that begin with interface and port (in this case containing respectively 127.0.0.1 and 5353) will have the strings that will subsequently be inserted into the Pi-Hole web interface settings.

To exit, press CTRL+X. It will ask if you want to save and confirm by writing y and pressing Enter.

Confirm the name and save location of the file by pressing Enter.

Check correctness of the file

To be sure that the file has been saved correctly, copy the following command sudo cat /etc/unbound/unbound.conf.d/pi-hole.conf and press Enter to execute it.

Check that it is equal to what was previously copied.

Restart Unbound service

Restart Unbound to load the new configuration: sudo service unbound restart and press Enter. It may request the user password as it is launched with administrator privileges. In case affirmative, enter it and press Enter.

Check DNSSEC operation

The following commands serve to check that DNSSEC works correctly. First command: dig pi-hole.net @127.0.0.1 -p 5353

The following command should return SERVFAIL without any IP address: dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353.

This command should return NOERROR with an IP address: dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353. If both return correctly then DNSSEC is working.

Next part

Pi-Hole Installation

In this phase, Pi-Hole, an open-source software, will be installed. It acts as a DNS sinkhole and optionally as a DHCP server. This application filters DNS requests to drastically reduce advertising present in web pages.

Download official repository

As the first step, download the Pi-Hole repository: git clone --depth 1 https://github.com/pi-hole/pi-hole.git Pi-hole.

At the end of the download, enter the folder: cd 'Pi-hole/automated install/'.

Prepare Pi-Hole installation

From this directory, launch the bash script: sudo bash basic-install.sh. It may ask for the user password as it is launched with administrator privileges. If so, enter it and press Enter.

Wait for a moment for compatibility checks and conflicts.

Press Enter for each of the two screens to start the configuration.

Configure Pi-Hole installation

Since the router has been set as a static IP, we can confirm by selecting Continue and pressing Enter.

Select the same interface to which the IP used throughout the entire procedure was assigned. In this case, the first one. Press Enter to confirm.

Select a temporary DNS provider. Later it will be removed as the computer with Ubuntu Server will become its own DNS resolver at port 5353 and address 127.0.0.1.

Select Yes to include third-party lists to filter content and confirm by pressing Enter.

Confirm the installation of the web interface for making further changes to the settings. Select Yes and press Enter.

Confirm the installation of the lightweight web server lighttpd to make the web interface functional. Select Yes and press Enter.

Enable logging of queries for potential debugging of problems. Select Yes and press Enter.

In this screen, you can choose how many contents are visible from the admin web interface. Leave the default Show everything. Select Continue and press Enter.

Here, the auto-generated password for logging into the web interface via the computer's IP will be displayed. It's not important to remember it since it will be changed with a longer one for security reasons later. Press Enter to continue.

Once the Pi-Hole configuration procedure is completed, you can proceed to change the admin interface password (not to be confused with the user password).

To change the Pi-Hole web interface password, use the command pihole -a -p.

After pressing Enter, enter the password, press Enter again, re-enter the password, and finally confirm with the Enter key.

If the procedure was successful, the text New password set will appear.

Next part

SSH

After installation, the system and installed packages are updated to their latest versions.

Login via SSH

To access, open the terminal on another computer in the same network (Powershell in the case of Windows) and type the following command:

ssh USERNAME@IP

USERNAME is replaced with the username entered during the Ubuntu Server installation phase (Profile settings) Replace IP with the IP address of the computer where Ubuntu Server is installed. -p 22 is optional since by default ssh connects to port 22 of the device.

After pressing enter, it will ask to save the SHA256 key. Write y and confirm by pressing the Enter key.

Now enter the password set during the Ubuntu Server installation phase (Profile settings).

If everything has been entered correctly, it is possible to control Ubuntu Server remotely from CLI.

System Update

Update repositories and system

To start the update, just run the line sudo apt update && sudo apt upgrade. Running both commands with sudo will ask for the user's password (the same used for login).

Confirm updates

To confirm the start of the updates, write y and press Enter.

Restart services

It is likely that a screen will appear asking which services to restart. Select Ok without changing anything from the list and then press Enter to confirm.

Now you can restart the computer to verify that with the latest updates the system works before proceeding with the installation of applications.

2FA Installation

In the following procedure, two-factor authentication will be added to reduce the risk of unauthorized access (Zero Trust).

Package Installation

Log in again following the Login via SSH procedure without the paragraph regarding the key.

Execute the command sudo apt install libpam-google-authenticator to install the package required for two-factor authentication.

Enter the user password confirming it. Subsequently, you will be asked to confirm the installation of the package. Write y and press Enter.

2FA Configuration

Now proceed to configure authentication with the temporary 6-digit code (changes every 30 seconds).

It will be asked whether you want the tokens to be temporary. Write y and press Enter.

A secret key (Your new secret key is:) will be created for generating time-based codes. It is important to keep a backup of this key to reduce the risk of losing it. Scan the QR-Code or insert the key into an application (for Debian distros and derivatives, Authenticator is suitable already present in the system repositories) and save it. After saving, you can see the code. Insert it into the terminal and press Enter to confirm.

Subsequently, it will be asked whether you want to update the .google_authenticator file. Confirm by writing y and pressing Enter.

To increase security, we add restrictions to login every 30 seconds (so only one successful login per each generated code). To confirm, write y and press Enter.

It will be asked whether you want to extend the login with the generated code beyond the time limit from 3 codes to 17 (8 previous, current and 8 subsequent). Since 3 are already enough, it does not need to be extended further so write n and press Enter.

Now the addition of the rate-limit will be confirmed, so that only 3 login attempts are possible every 30 seconds. To do this, write y and press Enter.

Adding 2FA to login

To add the just configured two-factor authentication, the common-session file must be modified with the command sudo nano /etc/pan.d/common-session. If the password is requested, enter the user password.

Pressing Enter the file to edit will appear. After the line # end of pam-auth-update config you must add a new line that contains auth required pam_google_authenticator.so as shown in the next screen. To save the changes and exit the editor, press CTRL+X then write y and finally press Enter to confirm.

Another file to modify is sshd_config. To do this, just open it again with the command sudo nano /etc/ssh/sshd_config. If it asks for the password, enter the user password.

If the KbdInteractiveAuthentication option is set to no, replace it with yes. To save these changes and exit the editor, press CTRL+X then write y and finally press Enter to confirm.

Restart the sshd.service service to load the changes with the command sudo systemctl restart sshd.service

Next part

Requirements

Pi-Hole and Unbound can be installed on an operating system other than Ubuntu Server. In case you use a Raspberry Pi (Model B or Zero) or similar, you can install a different operating system (thus skipping the installation of Ubuntu Server) and follow the rest of the guide. If installed on a computer with Linux OS, 2GB of RAM is also acceptable.

Ubuntu Server installation preparation

First, proceed with the installation of the Ubuntu Server 22.04 distribution downloadable from the official site.

Installation on USB drive

After downloading the distribution iso file, it needs to be mounted on a USB drive. To mount the image, you can use Balena Etcher, UNetbootin or Rufus (all FOSS).

Boot from USB

During the computer's POST phase, press the key to display the boot menu, in order to start the operating system from the USB drive. Select with the arrow keys the choice Try or Install Ubuntu Server and press the Enter key.

Language selection

The first configuration choice concerns the system language. You can select English because no graphical interface will be installed on the computer and therefore becomes irrelevant.

Updating installer

If the version installed on the stick is not the latest, it asks if you want to update (from 22.04 to 22.07) before performing the installation. It is not important because the update will still be done from the command line at the end of the operating system installation. To ignore the update, simply confirm the choice Continue without updating.

Keyboard configuration

Choose the keyboard layout used. Make sure that under Layout and Variant it says English (in my case Italian since mine has the italian layout), otherwise choose it from the respective menu. Confirm by pressing the Ok choice and then Done.

Installation type

Make sure the box next to Ubuntu Server is checked, otherwise select it using the Space key. Press enter on Done to confirm.

Network connections

Make sure at least one interface does not say not connected, and remember the IP address (which appears after DHCPv4 and without the following slash and number) because it will be needed to connect with the ssh protocol and execute commands remotely. It is important to assign this address as static in the router settings of the network so that it does not change. Press enter on Done.

Proxy configuration

In this case, no proxy is used, so nothing should be entered in the white space but simply confirm again the choice Done.

Alternative repository mirror

Check that there is a mirror to find packages and updates for the operating system. In this case, http://it.archive.ubuntu.com/ubuntu is good. Confirm by choosing Done.

Disk space configuration

In the following screen, you can see the formatting of the disk in detail. To confirm, select Done and then Continue.

Profile settings

Import the name, server name, username, and password. It is important not to lose the username and password, otherwise it is no longer possible to log in to the operating system. The username and password fields will be used later for SSH login.

SSH settings

Select with the Space key the voice Install OpenSSH server so that it installs and makes the server accessible via the ssh protocol (default port 22) for remote control. To confirm, select Done.

Additional components for the server

In this screen, it is possible to enable the installation of additional components to add functionality to the server. In this case, none of them are needed (those that we will install later are not present in this list) so just select Done to start the actual installation of the operating system.

Operating system installation

Now the operating system is installed on the internal hard drive of the computer.

At the end of the procedure, the Reboot Now option appears. Press Enter.

It will be requested to remove the USB drive that we used for installation. After disconnecting it, press the Enter key to reboot the computer.

Now the computer will proceed with the reboot.

Next part

• AR3363, near the Sun’s western limb, produced an M4.0-class flare at 17:36 UT, causing an R1 (minor) radio blackout over the sunlit side of Earth.¹
• A total of 20 C-class flares were also recorded, with AR3373 contributing the most activity despite its relatively simple structure.¹
• An unnumbered region on the southeast limb of the Sun showed signs of potential future activity.¹

Although the visible image does not directly reveal coronal mass ejections (CMEs) or filament eruptions, these events occurred alongside visible sunspot activity.

Photo of the Sun captured on 17 July 2023,² showing six active regions (sunspots) visible on its Earth-facing side (AR3363 and from AR3371 to AR3375).¹

Want to learn more? Check out here for a detailed report on sun activity.

• AR3363: The largest sunspot region, easily visible in this image.
• AR3361: A highly active region in the northeast, responsible for several flares.
• AR3366: A large and distinct region located in the southwest quadrant.

Photo of the Sun captured from my backyard on 8 July 2023,² showing several active regions (sunspots) visible on its Earth-facing side, including notable regions AR3361, AR3363, and AR3366.¹

Want to learn more? Check out here for a detailed report on sun activity.

Supernova in the Pinwheel galaxy taken from my backyard, captured six days after its discovery.⁵

What is SN 2023ixf?

SN 2023ixf is classified as a Type II-L supernova, which occurs when the core of a massive star collapses, leading to a powerful explosion.⁴ This type of supernova typically shows a linear decline in brightness after its peak, giving astronomers a clear view of how these stellar phenomena evolve over time. Prior to the explosion, the progenitor star of SN 2023ixf was likely a supergiant, estimated to have an absolute magnitude in the near-infrared of (M = -4.66).⁴

Why This Discovery Matters

Studying SN 2023ixf not only broadens our understanding of supernova mechanics but also has potential implications for measuring cosmic distances. Type II supernovae serve as "standardizable candles," objects with predictable brightness that can be used to gauge distances across the expanding universe.⁶ The insights gained from SN 2023ixf may enhance the accuracy of these distance measures, contributing to a more precise understanding of the universe’s structure and scale.

Since its discovery, astronomers have been thoroughly investigating SN 2023ixf. In just a few months, roughly thirty research papers have already been submitted or published, with more anticipated as observations continue.⁶ Each new dataset adds layers of information, helping researchers refine models of how such massive stars live and die.

Unveiling the Progenitor Star

One of the biggest goals for researchers is to identify and characterize the progenitor star that led to this explosion. The process of confirming the progenitor involves studying pre-explosion images and data from various telescopes. Several research teams have independently pointed to a red supergiant as the most likely candidate for the progenitor.³ If this star is indeed the source, the supernova’s fading brightness will eventually reveal its absence, providing direct evidence of its explosive end.

Ideally, astronomers could monitor supernova progenitors years or even decades before they go supernova. This would allow scientists to link the star’s properties before the explosion to the aftermath, offering a more complete picture of stellar evolution and death.³ Such studies are key to unlocking deeper insights into the lifecycle of massive stars and the cataclysmic forces that shape galaxies.

A Milestone in Stellar Evolution Research

SN 2023ixf stands as a significant milestone in our journey to understand stellar evolution. Observing this supernova over time will help scientists piece together the sequence of events leading up to the explosion, and by extension, reveal more about how massive stars evolve and ultimately meet their violent end.

This ongoing research on SN 2023ixf is expected to continue for years, providing ample data and opportunities for new discoveries. Each observation adds to the wealth of knowledge about the life cycles of stars and the dramatic transformations that galaxies undergo as a result of these powerful events.

Configurazione Pi-Hole da interfaccia web

Aprire il browser e inserire l'IP del computer dove è installato Ubuntu Server seguito da /admin come nella seguente figura. Quando ha caricato la pagina cliccare la voce Login presente nel menù verticale a sinistra.

Verrà chiesta la password di Pi-Hole per l'interfaccia web. Inserirla e cliccare Login per confermare ed entrare.

La seguente schermata è quella prima di fare il login. La differenza è che ora c’è la possibilità di configurare Pi-Hole.

Cliccare nel menù a sinistra alla voce Settings.

Cliccare DNS dalle voci presenti in alto.

Dal blocco intitolato Upstream DNS Servers a sinistra deselezionare qualsiasi spunta presente. In quello omonimo di destra, invece, selezionare Custom 1 (IPv4) e inserire 127.0.0.1#5353 che sono l'interfaccia e la porta che erano state precedentemente inserite nel file di configurazione di Unbound. Questo farà di che Pi-Hole chiede ad Unbound la risoluzione dns al posto di utilizzare un server esterno alla rete.

Nel blocco intitolato Interface settings, cliccare la voce Bind only to interface ....

Per salvare tutto ciò scrollare in giù con il mouse e cliccare Save presente in basso a destra nella schermata.

Backup impostazioni Pi-Hole

Per sicurezza scaricare l'attuale configurazione di Pi-Hole in modo tale che in caso di bisogno di ripristino delle impostazioni sia più veloce farlo da file. Per fare ciò premere cliccare dal menù orizzontale presente in alto la voce Teleporter. Infine cliccare Backup e confermare il salvataggio del file.

Configurazione router

Ora dalle impostazioni del router (consultare il manuale del router per capire dove trovare l'impostazione) si può cambiare il DNS all'IP del computer dove è stato installato Ubuntu Server. Questo farà si che ogni dispositivo collegato in rete con DNS automatico farà richiesta di risoluzione al router che a sua volte replicherà i pacchetti al sistema filtrando gran parte della pubblicità dai siti web e anche contenuti pericolosi.

Installazione Unbound

Installazione pacchetto

Ora di può procedere all'installazione del DNS resolver Unbound con il comando sudo apt install unbound. È possibile che venga richiesta la password utente poiché viene lanciato con i privilegi di amministratore. In caso affermativo inserirla e premere Invio.

Confermare l'installazione dell'applicazione scrivendo y e premendo Invio.

Finita l'installazione è possibile che comparirà qualche messaggio in scritto in rosso come segue. Si può ignorare dato che non influisce sul funzionamento del sistema e delle sue applicazioni.

Scaricamento ip risoluzione server di registrazione dei domini

Ora è possibile scaricare la lista degli IPv4 e IPv6 per risolvere i server di registrazioni dei domini. Per far ciò usare la seguente stringa: wget -O root.hints https://www.internic.net/domain/named.root sudo mv root.hints /var/lib/unbound/.

Premere Invio per lanciare il tutto.

Configurazione file

È necessario modificare il file di configurazione di Unbound. Per far ciò scrivere il comando sudo nano /etc/unbound/unbound.conf.d/pi-hole.conf e confermare con la password utente siccome viene eseguito con privilegi di amministratore.

All'interno del file vuoto dovrà essere inserito il seguente testo:

server:
    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0
    interface: 127.0.0.1
    port: 5353
    do-ip4: yes
    do-udp: yes
    do-tcp: yes
    # May be set to yes if you have IPv6 connectivity
    do-ip6: no
    # You want to leave this to no unless you have *native* IPv6. With 6to4 and
    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: no
    # Use this only when you downloaded the list of primary root servers!
    # If you use the default dns-root-data package, unbound will find it automatically
    #root-hints: "/var/lib/unbound/root.hints"
    # Trust glue only if it is within the server's authority
    harden-glue: yes
    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes
    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no
    # Reduce EDNS reassembly buffer size.
    # Suggested by the unbound man page to reduce fragmentation reassembly problems
    edns-buffer-size: 1472
    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes
    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine, it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1
    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m
    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

Link al file di riferimento: pi-hole.conf

Alle righe che iniziano con interface e port (in questo caso contengono rispettivamente 127.0.0.1 e 5353) avranno le stringhe che successivamente verrano inserite nelle impostazioni di Pi-Hole da interfaccia web.

Per uscire premere CTRL+X. Chiederà se si vuole salvare e confermare scrivendo y e premere Invio.

Confermare il nome e percorso di salvataggio del file premendo Invio.

Verifica correttezza file

Per avere la certezza che il file sia stato salvato correttamente copiare il seguente comando sudo cat /etc/unbound/unbound.conf.d/pi-hole.conf e premere Invio per eseguirlo.

Controllare che sia uguale a quanto precedentemente copiato.

Riavvio servizio Unbound

Riavviare Unbound per caricare la nuova configurazione: sudo service unbound restart e premere Invio. È possibile che venga richiesta la password utente poiché viene lanciato con i privilegi di amministratore. In caso affermativo inserirla e premere Invio.

Verifica funzionamento DNSSEC

I seguenti comandi servono a verificare che DNSSEC funzioni in modo corretto. Primo comando: dig pi-hole.net @127.0.0.1 -p 5353

Il seguente comando dovrebbe ritornare SERVFAIL senza nessun indirizzo IP: dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353.

Questo comando dovrebbe ritornare NOERROR con un indirizzo IP: dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353. Se entrambi ritornano in modo corretto allora DNSSEC funziona.

Parte successiva

Installazione Pi-Hole

In questa fase verrà installato Pi-Hole, un software open source che agisce come DNS sinkhole e volendo anche come server DHCP. Questa applicazione filtrerà le richieste DNS per ridurre drasticamente la pubblicità presente nelle pagine web.

Download repository ufficiale

Come primo passo c'è da scaricare il repository di Pi-Hole: git clone --depth 1 https://github.com/pi-hole/pi-hole.git Pi-hole.

Alla fine del download entriamo all'interno della cartella: cd 'Pi-hole/automated install/'.

Preparazione installazione Pi-Hole

Da questa directory lanciare lo script bash: sudo bash basic-install.sh. È possibile che chieda la password utente poiché viene lanciato con i privilegi di amministratore. In caso affermativo inserirla e premere Invio.

Si attende qualche momento per il controllo che sia tutto compatibile e non ci siano conflitti.

Premete Invio per ciascuna delle due schermate per iniziare la configurazione.

Configurazione installazione Pi-Hole

Siccome da router è stato impostato come ip statico possiamo confermare, selezionando Continue e premendo Invio.

Selezionare la stessa interfaccia a cui era stato assegnato l'ip usato durante tutta la procedura. In questo caso la prima. Premere Invio per confermare.

Selezionare un provider DNS provvisorio. Successivamente verrà tolto siccome il computer con Ubuntu Server diventerà un DNS resolver lui stesso alla porta 5353 e indirizzo 127.0.0.1.

Selezionare Yes per includere liste di terzi per filtrare i contenuti e confermare premendo Invio.

Confermare l'installazione dell'interfaccia web per dove fare ulteriori modifiche alle impostazioni. Selezionare Yes e premere Invio.

Confermare l'installazione del server web lighttpd per rendere l'interfaccia web funzionante. Selezionare Yes e premere Invio.

Abilitare il logging delle query per eventuali debug di problemi. Selezionare Yes e premere Invio.

In questa schermata si può scegliere quanti contenuti sono visualizzabili da interfaccia web dell'admin. Lasciare a default Show everything. Selezionare Continue e premere Invio.

Qui verrà visualizzata la password autogenerata per loggare nell'interfaccia web tramite l'ip del computer. Non è importante ricordarla siccome verrà successivamente cambiare con una più lunga per sicurezza. Premere Invio per continuare.

Terminata la procedura di configurazione di Pi-Hole, si può procedere a cambiare la password dell'interfaccia admin (da non confondere con la password utente).

Per cambiare la password dell'interfaccia web di Pi-Hole usare il comando pihole -a -p.

Dopo aver premuto Invio inserire la password, premere di nuovo Invio, reinserire la password e confermare infine sempre con il tasto Invio.

Se la procedura ha avuto successo comparirà la scritta New password set

Parte successiva

SSH

Dopo l'installazione si procede ad aggiornare il sistema e i pacchetti installati alla loro ultima versione.

Login via SSH

Per accedere aprire il terminale in un altro computer nella stessa rete (Powershell nel caso di Windows) e digitare il seguente comando:

ssh USERNAME@IP

USERNAME è da sostituire con il nome utente inserito durante la fase di installazione di Ubuntu Server (Impostazioni profilo) Al posto di IP va inserito l'indirizzo ip del computerdove è installato Ubuntu Server. -p 22 è opzionale dato che di default ssh si collega alla porta 22 del dispositivo.

Dopo aver premuto invio chiederà di salvare la chiave SHA256. Scrivere y e confermare premento il tasto Invio.

Ora inserire la password impostata durante la fase di installazione di Ubuntu Server (Impostazioni profilo).

Se è stato inserito tutto correttamente allora è possibile controllare Ubuntu Server da remoto da CLI.

Aggiornamento sistema

Aggiornare repository e sistema

Per avviare l'aggiornamento basta eseguire la riga sudo apt update && sudo apt upgrade. Eseguendo entrambi i comandi con sudo verrà chiesta la password dell'utente (la stessa usata per fare il login).

Conferma aggiornamenti

Per confermare l'avvio degli aggiornamenti scrivere y e premere Invio.

Riavvio servizi

È probabile che compaia una schermata come la seguente che chiede quali servizi riavviare. Selezionare Ok senza cambiare nulla dalla lista e successivamente premere Invio per confermare.

Ora si può riavviare il computer per verificare che con gli ultimi aggiornamenti il sistema funziona prima di procedere all’installazione delle applicazioni.

Installazione 2FA

Nella seguente procedura verrà aggiunta l'autenticazione a due fattori per ridurre il rischio di accessi non autorizzati (Zero Trust).

Installazione pacchetto

Effettuare di nuovo il login seguendo la procedura Login via SSH senza il paragrafo riguardante la chiave.

Eseguire il comando sudo apt install libpam-google-authenticator per installere il pacchetto richiesto per l'autenticazione a due fattori.

Inserire la password utente confermandola. Successivamente verrà chiesta la conferma per installare il pacchetto. Scrivere y e premere Invio.

Configurazione 2FA

Ora si procede a configurare l'autenticazione con il codice a 6 cifre temporaneo (cambia ogni 30 secondi).

Verrà chiesto se si vuole che i token siano temporanei. Scrivere y e premere Invio.

Verrà creata la chiave segreta (Your new secret key is:) per la generazione dei codici a tempo. È importante tenere un backup di questa chiave per ridurre il rischio di perderla. Scansionare il QR-Code oppure inserire la chiave in un'applicazione (per distro Debian e derivate va bene Authenticator già presente nei repository di sistema) e salvare. Dopo aver salvato si può vedere il codice. Inserirlo nel terminale e premere Invio per confermare.

Successivamente chiederà se si vuole aggiornare il file .google_authenticator. Confermare scrivendo y e premendo Invio.

Per aumentare la sicurezza aggiungiamo le restrizioni di login ogni 30 secondi (quindi un solo login con successo per ogni codice generato). Per confermare scrivere y e premere Invio.

Verrà chiesto se si vuole estendere il login con il codice generato oltre il limite di tempo da 3 codici a 17 (8 precedenti, corrente e 8 successivi). Siccome 3 vanno già bene non va esteso ulteriormente quindi scrivere n e premere Invio.

Ora verrà confermata l'aggiunta del rate-limit, in modo tale che siano possibili solo 3 tentativi di login ogni 30 secondi. Per far ciò scrivere y e premere Invio.

Aggiunta 2FA al login

Per aggiungere l'autenticazione a due fattori appena configurata bisogna modificare il file common-session con il comando sudo nano /etc/pan.d/common-session. Se viene richiesta la password inserire quella dell'utente.

Premendo Invio comparirà il file da editare. Dopo la riga # end of pam-auth-update config bisogna aggiungere una nuova riga che contiene auth required pam_google_authenticator.so come quella evidenziata nello screen successivo. Per salvare le modifiche e uscire dall'editor, premere CTRL+X poi scrivere y e infine premere Invio per confermare.

Altro file da modificare è sshd_config. Per fare ciò basta di nuovo aprirlo con il comando sudo nano /etc/ssh/sshd_config. Se chiede la password, inserire quella dell'utente.

Se alla voce KbdInteractiveAuthentication è presente l’opzione no, allora sostituirla con yes. Per salvare anche queste modifiche e uscire dall'editor, premere CTRL+X poi scrivere y e infine premere Invio per confermare.

Riavviare il servizio sshd.service per caricare le modifiche con il comando sudo systemctl restart sshd.service

Parte successiva

Requisiti

Pi-Hole e Unbound posso essere installati in un sistema operativo diverso da Ubuntu Server. Nel caso si utilizzi un Raspberry Pi (Model B o Zero) o simili, è possibile installare un sistema operativo diverso (quindi saltando l'installazione di Ubuntu Server) e seguire il resto della guida. Se installato su un computer con OS Linux vanno bene anche 2GB di RAM.

Preparazione installazione Ubuntu Server

Per prima cosa si procede all'installazione della distro Ubuntu Server 22.04 scaricabile dal sito ufficiale.

Installazione nel drive USB

Dopo aver scaricato il file iso della distro bisogna montarlo in un drive USB. Come programmi per montare l’immagine, si può utilizzare Balena Etcher, UNetbootin oppure Rufus (tutti FOSS).

Boot da USB

Durante la fase di P.O.S.T. del computer bisogna selezionare il tasto per visualizzare il menu di boot, in modo da avviare il sistema operativo da drive USB. Selezionare con i tasti freccia la voce Try or Install Ubuntu Server e premere il tasto Invio.

Scelta lingua

La prima scelta di configurazione riguarda la lingua di sistema. Si può selezionare English perché non verrà installata nessuna interfaccia grafica nel computer e quindi diventa irrilevante (inoltre gli screen mostrano la versione in inglese, quindi potrebbe risultare più semplice da seguire).

Aggiornamento installer

Se la versione installata in chiavetta non è l'ultima allora chiede se si vuole aggiornare (in questo caso dalla 22.04 alla 22.07) prima di effettuare l'installazione. Non è importante perchè verrà comunque fatto l'aggiornamento da riga di comando alla fine dell'installazione del sistema operativo. Per ignorare l'aggiornamento basta confermare la voce Continue without updating.

Configurazione tastiera

Sciegliere il layout della tastiera usata. Verificare che alle voci Layout e Variant sia scritto Italian, altrimenti scieglierlo dal rispettivo menù. Confermare premendo la voce Ok e successivamente Done.

Tipo di installazione

Verificare che sia presente la spunta alla voce Ubuntu Server, altrimenti selezionarla utilizzando il tasto Spazio. Premendo invio alla voce Done per confermare.

Connessioni di rete

Verificare che in almeno una interfaccia non sia presente la scritta not connected, e ricordarsi l'indirizzo IP (presente dopo DHCPv4 e senza lo slash e il numero successivo) perchè servirà per collegarsi con il protocollo ssh ed eseguire i comandi da remoto. Importante assegnare questo indirizzo come statico nelle impostazioni del router della rete in modo che non cambi. Premere inivio alla voce Done.

Configurazione proxy

In questo caso non viene fatto uso del proxy, quindi, non va inserito nulla nello spazio bianco ma semplicemente confermiamo di nuovo la voce Done.

Mirror alternativo repository

Verificare che sia presente un mirror per ritrovare pacchetti e aggiornamenti del sistema operativo. In questo caso va bene http://it.archive.ubuntu.com/ubuntu. Confermare alla voce Done.

Configurazione spazio su disco guidata

Va bene la configurazione di default dello spazio come mostrato nel seguente screen. Per confermare premere Done.

Configurazione spazio su disco

Nella seguente schermata si vede più in dettaglio la formattazione del disco. Per confermare selezionare Donee successivamente Continue.

Impostazioni profilo

Importare il nome, nome server, nome utente e password. È importante non perdere nome utente e la password altrimenti non è più possibile loggare all'interno del sistema operativo. I campi username e password serviranno successivamente per fare il login via SSH.

Impostazioni SSH

Selezionare con il tasto Spazio la voce Install OpenSSH server in modo che installi e renda accessibile il server tramite il protocollo ssh (di default porta 22) per il controllo remoto. Per confermare selezionare Done.

Componenti aggiuntivi per il server

In questa schermata è possibile abilitare l’installazione di ulteriori componenti aggiuntivi per aggiungere funzionalità al server. In questo caso non serve nessuno di essi (quelli che installeremo successivamente non sono presenti in questa lista) quindi basta selezionare Done per iniziare l'installazione effettiva del sistema operativo.

Installazione del sistema operativo

Ora il sistema operativo viene installato nel disco interno del computer.

Alla fine della procedura compare la voce Reboot Now. Premere Invio.

Verrà richiesto di rimuovere il drive USB che abbiamo usato per l'installazione. Dopo averlo scollegato premere il tasto Invio per riavviare il computer.

Ora il computer procederà al riavvio.

Parte successiva