4.0 KiB
4.0 KiB
Handoff Operativo Agent - NetGescon (11-03-2026)
1. Stato Attuale (confermato)
- Host principale:
192.168.0.53 - Gitea attivo:
http://192.168.0.53:3000 - SSH Git attivo:
git.netgescon.it:2222 - DNS interno (Technitium) attivo:
http://192.168.0.53:5380 - Edge (Caddy) attivo in lab:
8080/8443 - Condivisione HTTP cartella workspace attiva:
http://192.168.0.53:8000/
2. Repository richiesto e gia creato
Repository creato (vuoto, senza README):
michele/netgescon-day0
URL clone:
- SSH:
ssh://git@git.netgescon.it:2222/michele/netgescon-day0.git - HTTPS:
https://git.netgescon.it/michele/netgescon-day0.git
3. Accessi e credenziali
File credenziali aggiornato da usare:
CREDENZIALI_UI_LOCALI_20260311_121500.md
Contenuti principali:
- DNS Technitium
- Gitea utente principale
michele - Gitea utente recovery
admin-recovery(lasciare attivo)
Nota operativa:
- conservare le password nel password manager
- ruotare password dopo i test iniziali
4. Procedura Git minima per macchina sviluppo
4.1 Setup chiave SSH
mkdir -p ~/.ssh && chmod 700 ~/.ssh
ssh-keygen -t ed25519 -C "dev-staging-netgescon" -f ~/.ssh/id_ed25519_netgescon -N ""
eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519_netgescon
cat ~/.ssh/id_ed25519_netgescon.pub
Aggiungere la chiave pubblica in Gitea (utente sviluppo), poi:
cat >> ~/.ssh/config <<'EOF'
Host git-netgescon
HostName git.netgescon.it
User git
Port 2222
IdentityFile ~/.ssh/id_ed25519_netgescon
IdentitiesOnly yes
StrictHostKeyChecking accept-new
EOF
chmod 600 ~/.ssh/config
Test:
ssh -T git-netgescon
4.2 Collegamento repository
cd /percorso/progetto
git remote remove origin 2>/dev/null || true
git remote add origin ssh://git@git.netgescon.it:2222/michele/netgescon-day0.git
git push -u origin main
5. Aggiornamento staging dopo sviluppo
Variabili .env minime su staging:
NETGESCON_UPDATE_URL=https://updates.netgescon.it
NETGESCON_UPDATE_CHANNEL=free
Per licensed:
NETGESCON_LICENSED_CODE=CLIENTA
NETGESCON_LICENSED_AUTH=tokenA
Comandi:
cd /var/www/netgescon
php artisan optimize:clear
php artisan config:clear
php artisan route:clear
php artisan netgescon:update --channel=free
php artisan netgescon:update --channel=free --apply
6. DNS interno per siti da gestire
In Technitium aggiungere record A verso backend corretti (inizialmente anche verso .53 se serve):
git.netgescon.itupdates.netgescon.itstaging.netgescon.itwww.netgescon.itdemo.netgescon.ittest.netgescon.it
Poi impostare i client LAN (o DHCP) a usare il DNS interno.
7. Domanda sicurezza: bastano solo update APT?
No. apt update && apt upgrade e necessario ma non sufficiente.
Serve anche:
- aggiornare immagini/container Docker
- aggiornare Gitea e DB in modo controllato
- aggiornare configurazioni TLS/certificati
- abilitare aggiornamenti automatici di sicurezza (
unattended-upgrades) - riavviare quando richiesto da kernel/libc
- backup + test restore periodico
- hardening SSH e monitoraggio log
8. Filtro extra anti brute-force (consigliato)
Sì, fortemente consigliato visto che questa macchina diventa punto di accesso centrale.
Implementazione suggerita (ordine):
fail2banper SSH e web auth- rate limit su reverse proxy
- accesso admin solo via VPN
- SSH solo con chiavi (no password)
- 2FA su Gitea
- opzionale:
crowdsecper protezione avanzata collaborativa
Regole minime immediate:
- jail
sshd - jail per login Gitea/Nginx (in base ai log)
- ban progressivo su tentativi ripetuti
9. File utili da consultare
AGENT_NETGESCON_GIT_STAGING_192.168.0.53.mdBRIEF_AGENT_PROD_SVILUPPO_192.168.0.53.mdNAS_BACKUP_SOLO_192.168.0.53.mdAGENT_MULTI_PROJECT_EDGE_DNS_TEMPLATE.mdCONDIVISIONE_WORKSPACE_LAN.md
10. Accesso rapido ai file senza copia/incolla RDP
Aprire dal browser della macchina remota:
http://192.168.0.53:8000/
Da li e possibile scaricare tutti i file .md necessari.