from:"roberto"


Il 21/02/24 17:00, Leonardo Boselli ha scritto:

ho alzato il livello di log e su bookworm trovo questi errori:

2024-02-21 16:40:01,148 [main] [ERROR] Browser.(Browser.java:27) -
java.lang.reflect.InvocationTargetException


...


 at esecurity.trustloader.ArubaLauncher.main(ArubaLauncher.java:20)
Caused by: org.eclipse.swt.SWTError: No more handles [Browser style 
SWT.MOZILLA and Java system property 
org.eclipse.swt.browser.DefaultType=mozilla are not supported with GTK 3 
as XULRunner is not ported for GTK 3 yet]


...


e così via.
Idee sul perché e rimedi ?


Poco prima dell'errore, il log riporta:

2024-02-21 19:06:34,606 [ApplicationThread] [INFO] 
ArubaSignApp.start(ArubaSignApp.java:369) - Begin Main Form startup


Da quello che ho capito ArubaSign utilizza il toolkit grafico java SWT e 
usa una vista "Browser" (vedi 'Browser.' per l'interfaccia 
principale).


Probabilmente manca qualche componente grafico nell'ambiente GTK 
necessario a SWT; sarebbe utile sapere:


1) Quale ambiente desktop usi, e se hai l'ambiente Gnome installato
2) Se hai Mozilla Firefox installato

rob

Re: Firma elettronica e supporto aruba.


Il 21/02/24 17:00, Leonardo Boselli ha scritto:
Caused by: org.eclipse.swt.SWTError: No more handles [Browser style 
SWT.MOZILLA and Java system property 
org.eclipse.swt.browser.DefaultType=mozilla are not supported with GTK 3 
as XULRunner is not ported for GTK 3 yet


Questo mi sembra indicativo.

Nel frattempo provato una installazione standard da iso DVD di bookworm 
con Desktop Manager Gnome e Mate. ArubaSign funziona senza problemi.


rob

Re: Firma elettronica e supporto aruba.


Il 21/02/24 13:05, Leonardo Boselli ha scritto:
è proprio quello che a me non non funziona infatti, con gli errori 
indicati.


Ah, visto ora, nel post iniziale avevo letto 'software di firma 
[arubakey]' e invece nel seguito vedo che hai installato Arubasign 
23.0.3 (la stessa versione che da me funziona).


Se mi dici che su bookwork funziona mi viene un dubbio: non è che il tuo 
bookworm sia un upgrade da bullseye, dove invece la versione precedente 
funzionava, e quindi abbia qualcosa che in un bookworm "puro" manca?


Sì, è un upgrade; può essere

e  ho provato a installarlo su una macchina con bullseye e lì 
funziona regolarmente (da gli stessi WARNING, ma il funzionamento è 
regolare)
Chiaramante non risolve il problema (di poterlo usare sulla macchina che 
uso normalmente) ma è un grosso indizio.


Credo si tratti di un problema che altri hanno riscontrato, non si 
tratta di un crash, ma 'solo' del fatto che la finestra di interfaccia è 
completamente vuota.


Per avere un log di debug prova ad aggiuungere

core.logLevel=DEBUG

al file di properties

~/.ArubaSign/ArubaSign.properties

Questo dovrebbe alzare la verbosità del file di log

~/.ArubaSign/log/ArubaSign.log

rob

Re: Firma elettronica e supporto aruba.


Il 20/02/24 21:47, Leonardo Boselli ha scritto:

Non ci sono opzioni documentate per avere più messggi di errore.
più che altro chiedevo se ci fosse stato qualcuno che era riuscito a > installare oppure che conosceva altro programma che facesse la stessa 

cosa.

Hai provato ArubaSign?

https://www.pec.it/gestione-supporto-firma-digitale.aspx

Ho una installazione bookworm in cui funziona bene.

Se poi ti senti avventuruoso e vuoi qualcosa in sw libero, esiste il mio 
progetto j4sign ( https://j4sign.sourceforge.io ) che prevede 
l'applicativo desktop Freesigner ( 
https://sourceforge.net/projects/j4sign/files/freesigner/ ) . Tieni 
presente però che j4sign al momento richiede una versione java obsoleta 
( versione 8 ) non più presente nelle distro recenti. Nel caso c'è la 
mailing list dedicata


https://sourceforge.net/projects/j4sign/lists/j4sign-users

in cui chiedere lumi.

rob

Re: Decoder Wi-Fi

2024-01-05 Per discussione Roberto Resoli

Il 5 gennaio 2024 10:05:17 CET, Marco Gaiarin  ha 
scritto:
>Mandi! pinguino
>  In chel di` si favelave...
>
>> In questo periodo di switch-off, per passare al nuovo digitale terrestre 
>> con i nuovi standard DVB-T2 sto valutando l'acquisto di un nuovo decoder.
>
>Se hai banda a sufficienza considera anche lì'opzione di comprarti uno
>scatolotto con Kodi (io consigio Vero:
>   https://osmc.tv/vero/
>) e usare un addon come 'World Live TV':
>   https://telegra.ph/Installazione-di-World-Live-TV-Helper-con-repo-04-
>
>Se hai un raspberry (consiglio 3 o superiore) che ti cresce in casa, puoi 
>provare a
>installare OSMC sul raspberry:
>   https://osmc.tv/download/
>
>intanto per vedere come va...

Stupendo! Grazie Marco.

rob

Re: Firma Elettronica Qualificata conforme al Regolamento Europeo 910/2014

2024-01-02 Per discussione Roberto Resoli


Il 02/01/24 15:44, Roberto Resoli ha scritto:
I requisiti per dispositivi e certificati sono agli articoli 28 e 
successivi della direttiva.


Per capire quali sono gli operatori accreditati per il rilascio delle 
varie tipologie di firme (e altro), i cosiddetti "Prestatori di Servizi 
Fiduciari" a livello europeo può essere utile fare riferimento al 
"Trusted List Browser":


https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home

rob

Re: Firma Elettronica Qualificata conforme al Regolamento Europeo 910/2014

2024-01-02 Per discussione Roberto Resoli


Il 01/01/24 16:51, Lorenzo Breda ha scritto:


Il regolamento in questione prevede tre livelli di firma: semplice, 
avanzata e qualificata. Che io sappia, ma mi pare così anche da 
documentazione [1] la CIE permette una firma elettronica avanzata. Da 
quello che dici, a te serve una firma elettronica qualificata.


Confermo anch'io. Il ministero dell'Interno non è accreditato per 
rilasciare firme qualificate (QES secondo la direttiva 910/2014, meglio 
nota come EIdAS[1]).


Le firme fatte con CIE sono firme Elettroniche Avanzate, cioè

> 11) «firma elettronica avanzata», una firma elettronica che soddisfi 
i requisiti di cui all’articolo 26;



Articolo 26
Requisiti di una firma elettronica avanzata
Una firma elettronica avanzata soddisfa i seguenti requisiti:
a) è connessa unicamente al firmatario;
b) è idonea a identificare il firmatario;
c) è creata mediante dati per la creazione di una firma elettronica che il 
firmatario può, con un elevato livello di
sicurezza, utilizzare sotto il proprio esclusivo controllo; e
d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di 
ogni successiva modifica di tali dati.


Una firma elettronica qualificata, secondo la definizione contenuta 
nella direttiva, è:



12) «firma elettronica qualificata», una firma elettronica avanzata creata da 
un dispositivo per la creazione di una firma
elettronica qualificata e basata su un certificato qualificato per firme 
elettroniche;


I requisiti per dispositivi e certificati sono agli articoli 28 e 
successivi della direttiva.


Gli effetti giuridici delle firme elettroniche sono all'art. 25:


Articolo 25
Effetti giuridici delle firme elettroniche
1. A una firma elettronica non possono essere negati gli effetti giuridici e 
l’ammissibilità come prova in procedimenti
giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa 
i requisiti per firme elettroniche qualificate.
2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli 
di una firma autografa.
3. Una firma elettronica qualificata basata su un certificato qualificato 
rilasciato in uno Stato membro è riconosciuta
quale firma elettronica qualificata in tutti gli altri Stati membri.


da cui si evince la differenza.

rob

[1] https://eidas.ec.europa.eu

Re: IMPORTANTE: Attenzione agli aggiornamenti odierni

2023-12-12 Per discussione Roberto Resoli



>La versione è questa:
>cat /etc/debian_version
>12.4

Rilasciata già ieri, poco dopo l'avviso:

https://micronews.debian.org/2023/1702270964.html
"The release team were advised part way through release that there was the 
possibility of file system corruption with Debian kernel package: 
linux-image-6.1.0-14*. Once aware of the issue, we took immediate measures to 
halt the release of Debian 12.3 with several announcements sent out to mailing 
lists and social media channels advising users to exercise caution with 
upgrades while we worked to address and fix the issues. The mirror network has 
been updated in full to reflect the changes in 12.4, which we now proudly 
present. Thank you to everyone. #debian #debianrelease"

rob

Re: Avviso: malfunzionamento pagina web di iscrizione a questa lista

2023-12-12 Per discussione Roberto Resoli

Il 12 dicembre 2023 16:35:34 CET, Giuseppe Sacco  ha 
scritto:
>Ciao Roberto,
>
>Il giorno dom, 10/12/2023 alle 19.58 +0100, Giuseppe Sacco ha scritto:
>> Il giorno sab, 09/12/2023 alle 21.32 +0100, Roberto Resoli ha scritto:
>> > Nella pagina:
>> > https://lists.debian.org/debian-italian/
>> > Il form di iscrizione/disicrizione sembra dare attesa infinita.
>> 
>> Ho segnalato il problema, grazie.
>
>mi pare che ora sia stato risolto. Confermi?
>
>Ciao,
>Giuseppe
>

Direi di no, sto attendendo da un minuto buono ...

rob

Avviso: malfunzionamento pagina web di iscrizione a questa lista

2023-12-09 Per discussione Roberto Resoli

Nella pagina:

https://lists.debian.org/debian-italian/

Il form di iscrizione/disicrizione sembra dare attesa infinita.

rob

IMPORTANTE: Attenzione agli aggiornamenti odierni

2023-12-09 Per discussione Roberto Resoli

https://micronews.debian.org/2023/1702150551.html

> Due to an issue in ext4 with data corruption in kernel 6.1.64-1, we are a 
> pausing the 12.3 image release for today while we attend to fixes. Please do 
> not update any systems at this time, we urge caution for users with 
> UnattendeUpgrades configured. Please see bug# 1057843: 
> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1057843

- rob

Re: bit4id e nuova TS-CNS

2023-06-28 Per discussione Roberto Resoli


Il 28/06/23 11:40, Roberto Resoli ha scritto:
I certificati e le rispettive chiavi private sono sempre gli stessi, 
quello che è cambiato è il software (spesso chiamato middleware, nel 
caso delle SmartCard) che gestisce la CIE.

   
Ops, la TS-CNS ...



rob

Re: bit4id e nuova TS-CNS

2023-06-28 Per discussione Roberto Resoli


Il 24/06/23 17:24, Franco Peci ha scritto:

Vi ringrazio per il vostro aiuto.
Ho seguito i tutorial di Roberto Resoli.


Quali?


Nei passaggi dei test
- pkcs15-tool riconosceva tutto
- pkcs11-tool dava errore di segmentazione.


Puoi scrivere i comandi che hai dato?


Su firefox con il sito inps non validava ancora i certificati.
Tramite sito di Regione Lombardia ho scaricato il programmino per linux 
SafeDive2022-4.12.0_x64


Questo è il driver proprietario consigliato, immagino ...


Ho resettato il PIN.
Non so se sia servito ma ho rinominato .mozilla in modo da avviare una 
versione pulita di firefox.


Puoi sempre usare

firefox -ProfileManager

per creare un nuovo profilo pulito 

Collegato al sito inps con il login mi ha fatto accettare i nuovi 
certificati e mi sono logato con la mia tessera.


Ma come hai configurato firefox ?

A questo punto mi chiedo se fosse stato solo un problema di PIN e 
certificari validi?


I certificati e le rispettive chiavi private sono sempre gli stessi, 
quello che è cambiato è il software (spesso chiamato middleware, nel 
caso delle SmartCard) che gestisce la CIE.


rob

Re: bit4id e nuova TS-CNS

2023-06-23 Per discussione Roberto Resoli


Il 22/06/23 18:18, Franco Peci ha scritto:

Approfitto ancora della vostra infinita pazienza e disponibilità.
Qualcosa non funziona nella compilazione:

root@debian:~/src/OpenSC# ./configure --prefix=/usr --sysconfdir=/etc/opensc
configure: error: cannot find required auxiliary files: compile 
config.guess config.sub missing install-sh


Prima dando
./bootstrap
segnalava la mancanza di autosolv e l'ho installato.
Ora mi esce quest'errore e non so cosa fare.


Molto probabilmente non hai eseguito

./bootstrap

dall'interno della directory OpenSC; è quel comando che genera i file di 
cui 'configure' lamenta la mancanza.


Ho provato le istruzioni di compilazione su una debian bullseye e funziona.

Ad ogni modo, dato che la patch di 3v1n0 è già stata integrata in 
OpenSC, invece che usare la sua versione penso che tu possa 
semplicemente prendere i sorgenti ufficiali:


git clone https://github.com/OpenSC/OpenSC.git

il resto delle istruzioni è invariato.

rob

Re: bit4id e nuova TS-CNS

2023-06-22 Per discussione Roberto Resoli


Il 22/06/23 15:13, Roberto Resoli ha scritto:

Il 22/06/23 15:08, Roberto Resoli ha scritto:

Il 21/06/23 20:17, Franco Peci ha scritto:


Sperando di non aver fatto pasticci - tanti anni fa usavo make/make 
install, ora uso solo apt e non so cosa sia git - quali passaggi devo 
fare adesso?


Come indicato nella mail di Franco, devi eseguire quanto indicato in:

   ~~

Scusa, intendevo Davide Prina, ovviamente


https://github.com/OpenSC/OpenSC/issues/2763#issuecomment-1537445039



Non so se possa essere utile. In Firefox - moduli e dispositivi di 
sicurezza - ho il seguente elenco:

NSS internal PKCS #11 Module


Questo è un modulo interno di ffox, non va toccato.


Nuovo modulo PKCS #11


Questo è il nome predefinito assegnato da ffox quando installi un modulo 
pkcs11, probabilmente è la vecchia configurazione fatta da te tempo 
addietro. Nella descrizione associata a quella voce dovresti trovare il 
percorso della libreria pkcs11 che implementa il modulo.


Approfitto per aggiungere, per chiarezza: probabilmente il percorso 
della libreria rimane invariato, se si tratta della libreria di opensc, 
ma per sicurezza ti conviene eliminare il riferimento a questo modulo 
(bottone "Scarica") e rieseguire la configurazione una volta compilato 
opensc (cioè aver fatto quanto indicato al link di cui sopra).


rob

Re: bit4id e nuova TS-CNS

2023-06-22 Per discussione Roberto Resoli


Il 22/06/23 15:08, Roberto Resoli ha scritto:

Il 21/06/23 20:17, Franco Peci ha scritto:


Sperando di non aver fatto pasticci - tanti anni fa usavo make/make 
install, ora uso solo apt e non so cosa sia git - quali passaggi devo 
fare adesso?


Come indicato nella mail di Franco, devi eseguire quanto indicato in:


https://github.com/OpenSC/OpenSC/issues/2763#issuecomment-1537445039



Non so se possa essere utile. In Firefox - moduli e dispositivi di 
sicurezza - ho il seguente elenco:

NSS internal PKCS #11 Module


Questo è un modulo interno di ffox, non va toccato.


Nuovo modulo PKCS #11


Questo è il nome predefinito assegnato da ffox quando installi un modulo 
pkcs11, probabilmente è la vecchia configurazione fatta da te tempo 
addietro. Nella descrizione associata a quella voce dovresti trovare il 
percorso della libreria pkcs11 che implementa il modulo.


rob

Re: bit4id e nuova TS-CNS

2023-06-22 Per discussione Roberto Resoli


Il 21/06/23 20:17, Franco Peci ha scritto:


Sperando di non aver fatto pasticci - tanti anni fa usavo make/make 
install, ora uso solo apt e non so cosa sia git - quali passaggi devo 
fare adesso?


Come indicato nella mail di Franco, dev ieseguire quanto indicato in:

Non so se possa essere utile. In Firefox - moduli e dispositivi di 
sicurezza - ho il seguente elenco:

NSS internal PKCS #11 Module
Nuovo modulo PKCS #11

Saranno quelli vecchi?

Altra info: la mia nuova tessera è ST 2022 proprio quella che nei tuoi 
tutorial, se non sbaglio, dici che non sai se funziona.


Ciao e grazie
Franco

Re: bit4id e nuova TS-CNS

2023-06-21 Per discussione Roberto Resoli


Il 21/06/23 16:11, Davide Prina ha scritto:

Franco Peci ha scritto:
  

Quest'anno mi è stata spedita una nuova TS-CNS.
  

Ieri mi sono procurato il nuovo PIN, ma quando effettuo l'accesso appare il 
messaggio:
Non è stato fornito nessun certificato valido per l'accesso
  
con la nuova tessera sanitaria bisogna tenere conto di due passaggi:


... a parte tutto, il problema fondamentale è che le regole tecniche per 
le CNS sono state rilassate nel 2016, e di conseguenza ogni sciolta di 
carte potenzialmente fa caso a sè. Qui i dettagli:


https://github.com/OpenSC/OpenSC/issues/2445#issuecomment-974890437

In sostanza, mentre per anni il supporto per chiavi e certificati *di 
identificazione* per le CNS in OpenSC è rimasto stabile, anche se 
materialmente i chip venivano rilasciati da costruttori diversi, ora 
siamo tornati alla babele, analogamente a quanto succede da sempre per i 
certificati e chiavi di firma digitale.




Poi una nota aggiuntiva: con il nuovo regolamento europeo eIDAS 2.0, che 
dovrebbero
approvare prima della fine dell'anno e che entrerà in vigore in automatico in 
tutto il
mercato unico prima della fine del 2024, verrà introdotto un "nuovo" metodo di
autenticazione che permetterà di usare le proprie credenziali per autenticarsi 
in
tutta Europa (l'obbligo di "funzionamento" ci sarà solo nella propria nazione).


Qui un video in cui si parla in dettaglio della faccenda:

https://video.resolutions.it/w/5Wa3WexDHTw8mCZjwV2D6z

Una nota a margine per chi segue il video: le *vecchie* specifiche CNS 
erano opera meritoria di Giovanni Manca.


rob

Re: bit4id e nuova TS-CNS

2023-06-21 Per discussione Roberto Resoli


Il 20/06/23 21:05, Franco Peci ha scritto:
Con il lettore miniLector EVO e la tessera sanitaria su Firefox riuscivo 
tranquillamente ad accedere al sito dell'INPS per sbrigare le mie pratiche.

Quest'anno mi è stata spedita una nuova TS-CNS.


Che software utilizzi per gestire la tessera? (la tessera, non il lettore).

Se utilizzi Firefox su Linux, probabilmente nella finestra di 
impostazione "Dispositivi di Sicurezza" hai una libreria pkcs11 configurata.


rob

Re: /usr/lib in partizione separata

2023-01-24 Per discussione Roberto Balbi


ho risolto spostando in blocco la usr/share.
nessun problema (al momento) a parte dover rinunciare all'inutile splash 
di grub (che si potrebbe lasciare in copia nella posizione originale).

grazie ancora.
Roberto

Il 24/01/23 10:18, Federico Di Gregorio ha scritto:
Il problema è quello che ha detto il rubi*, systemd richiede un sacco di 
moduli e librerie che si trovano dentro a /usr/lib e quando parte questi 
non sono disponibili. Inoltre se usi una Debian moderna, probabilmente 
hai già "usrmerge", ovvero /bin e /lib sono due link simbolici che 
puntano a /usr/bin e /usr/lib. L'initrd utilizzato durante l'avvio sa 
questa cosa e monta /usr immediatamente ma non può sapere che /usr/lib 
sta da un'altra parte.


Se vuoi che tutto funzioni devi:

1) personalizzare il codice che va in initrd per eseguire il mount di 
/usr/lib; oppure


2) fare un backup, formattare e reinstallare.

La prima opzione è più divertente, la seconda probabilmente più veloce e 
dal risultato garantito.


federico

* per chi non lo conoscesse, il rubi ha sempre ragione.


On 24/01/23 10:02, Tarqui wrote:

Grazie per le risposte.
1. il montaggio di /usr in / non crea problemi quindi (dal mero punto 
di vista di mount) non dovrebbe crearne neanche il montaggio di 
/usr/lib in /usr.
2. mantenendo i dati della directory lib sulla partizione /usr, il 
boot avviene correttamente anche col successivo montaggio della 
partizione /usr/lib su di essa (contiene copie dei file).
3. il kernel panic indica "attempted to kill init!" che sarebbe il 
processo pid 1 che fisicamente si chiama /usr/lib/systemd/systemd.
Ho provato a lasciare nella partizione di /usr solo la directory 
lib/systemd, ma non risolve il problema. Probabile che servano altri 
contenuti collegati al processo di avvio (moduli, firmware, librerie, 
...).


Dovrebbe essere possibile montare separatamente /usr/lib subito dopo 
una installazione minimale, senza toccare il contenuto della 
partizione originale /usr ma clonandola sulla nuova partizione per 
/usr/lib. Però in caso di variazioni a programmi di sistema suppongo 
che i dati installati nella /usr/lib non essendo disponibili al 
successivo riavvio potrebbero ripresentare il problema.

Ergo: montare /usr/lib separatamente NON è una buona idea.

Opterò per link esterni a singole directory di programmi applicativi 
"spaziovori".


Grazie ancora a tutti. Buona giornata.
Roberto

Il 23/01/23 17:41, Roberto Balbi ha scritto:

Salve a tutti.
Con lo riempirsi di / avevo spostato /usr su una nuova partizione 
configurata in fstab con


UUID=... /usr ext4 defaults 0 1

Tutto ok.
Ora allo riempirsi di /usr ho provato a fare la stessa cosa per /usr/lib

UUID=... /usr ext4 defaults 0 1
UUID=... /usr/lib ext4 defaults 0 1

ma tutto quello che ottengo è un kernel panic.

Come per il primo spostamento, ho usato una live e copiato con cp -a, 
impostato fstab e riavviato.


Qualche idea?

Grazie per l'attenzione.
Roberto






--
Roberto Balbi
roberto.ba...@aruba.it
389.527.3653
< gradito cortese cenno di ricezione >


OpenPGP_signature
Description: OpenPGP digital signature

/usr/lib in partizione separata

2023-01-23 Per discussione Roberto Balbi


Salve a tutti.
Con lo riempirsi di / avevo spostato /usr su una nuova partizione 
configurata in fstab con


UUID=... /usr ext4 defaults 0 1

Tutto ok.
Ora allo riempirsi di /usr ho provato a fare la stessa cosa per /usr/lib

UUID=... /usr ext4 defaults 0 1
UUID=... /usr/lib ext4 defaults 0 1

ma tutto quello che ottengo è un kernel panic.

Come per il primo spostamento, ho usato una live e copiato con cp -a, 
impostato fstab e riavviato.


Qualche idea?

Grazie per l'attenzione.
Roberto


OpenPGP_signature
Description: OpenPGP digital signature

Re: Non riesco a connettermi con una scheda usb-wifi con chipset realtek 8192

2023-01-17 Per discussione Roberto Balbi


avevo risolto uno strano problema (simile ma non uguale) aggiungendo al file

/etc/NetworkManager/NetworkManager.conf

le righe

[device]
wifi.scan-rand-mac-address=no

poi si riavvia il servizio con
# service NetworkManager restart

prova a vedere se fa al caso tuo.
saluti.

Il 14/01/23 10:40, Leandro Noferini ha scritto:

Ciao a tutti,

ho uno strano problema con una scheda usb-wifi tenda con chipset realtek 
8192 su una debian AMD64/stable con kernel 5.19


La scheda viene configurata correttamente ma non si collega con un 
errore di autenticazione sul router (ovviamente la password è giusta). 
Sul syslog leggo questo:


==
Jan 14 10:32:32 debian-i5 NetworkManager[496]:   [1673688752.9756] 
device (wlan0): Activation: (wifi) association took too long, failing 
activation

===

Che significa questo messaggio?

Re: Non riesco a connettermi con una scheda usb-wifi con chipset realtek 8192

2023-01-17 Per discussione roberto . balbi


avevo risolto uno strano problema (simile ma non uguale) aggiungendo al file

/etc/NetworkManager/NetworkManager.conf

le righe

[device]
wifi.scan-rand-mac-address=no

poi si riavvia il servizio con
# service NetworkManager restart

prova a vedere se fa al caso tuo.
saluti.

On 16/01/23 14:45, Cosmo  wrote:

In data sabato 14 gennaio 2023 21:06:08 CET, Leandro Noferini ha scritto:
> Ci ho provato ma senza risultato, il sistema non vede neanche l’hotspot.

Ma quella scheda ha mai funzionato?

Re: ceph proxmox cluster vs public network

2023-01-13 Per discussione Roberto Resoli


Il 13/01/23 11:28, Roberto Resoli ha scritto:

...

E' corretto. La cluster_network in ceph.conf non è la rete di 
comunicazione ordinaria tra gli host (cioè tutto quanto non ha come 
partecipanti demoni ceph).

E' la rete che gli osd usano per replicazione e heartbeat.

La public_network è la rete usata dai client ceph per accedere allo 
storage condiviso, e distinguerla dalla public_ ha lo scopo di 

  ~~
  cluster_


alleggerire quest'ultima dal traffico interno a ceph.

  
  la public_

...

Nota che in /etc/hosts di ogni nodo ho definito per ogni hostname sia 
l'ip nella rete interhost che quello nella rete di storage:


Ad esempio, per pve1:


# cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.1.201 pve1.mio.dominio pve1 pvelocalhost
10.1.1.1  pve1.mio.dominio pve1
192.168.1.202 pve2.mio.dominio pve2
10.1.1.2  pve2.mio.dominio pve2
... ecc ...


- rob

Re: ceph proxmox cluster vs public network

2023-01-13 Per discussione Roberto Resoli


Il 11/01/23 17:04, Piviul ha scritto:
Ciao a tutti, sul mio cluster proxmox ho configurato una rete dedicata 
per il traffico ceph. Mi sono accorto però che i monitor hanno come ip 
un indirizzo della LAN degli hosts non un indirizzo della rete dedicata 
al traffico ceph... è normale?


No, dovrebbero avere indirizzi nella sottorete di storage. In generale 
in ceph.conf dovrebbero comparire solo gli ip della rete di storage.


Ho chiesto lumi sulla mailing list pve-u...@lists.proxmox.com e mi hanno 
consigliato di impostare la public network come la cluster network in 
ceph.conf poi eliminare e ricreare un monitor alla volta... a me non 
sembra molto verosimile.


E' corretto. La cluster_network in ceph.conf non è la rete di 
comunicazione ordinaria tra gli host (cioè tutto quanto non ha come 
partecipanti demoni ceph).

E' la rete che gli osd usano per replicazioe e heartbeat.

La public_network è la rete usata dai client ceph per accedere allo 
storage condiviso, e distinguerla dalla public_ ha lo scopo di 
alleggerire quest'ultima dal traffico interno a ceph.


La cluster network spesso coincide con la public network, e in generale 
è distinta rispetto alla rete di comunicazione ordinaria tra gli host 
(la lan normale di comunicazione tra host, in parole povere).


https://docs.ceph.com/en/latest/rados/configuration/network-config-ref/

Qualcuno che usa proxmox e ceph mi può dire se 
nella suo /etc/ceph/ceph.conf i parametri cluster_network e 
public_network sono impostati sempre alla stessa subnet e se i monitor 
in effetti hanno ip nella cluster_network o nella public_network?


E' così: cluster_network = public_network = 10.1.1.0/24

La rete per la comunicazione interhost è una 192.168.1.0/24

Nota che in /etc/hosts di ogni nodo ho definito per ogni hostname sia 
l'ip nella rete interhost che quello nella rete di storage:


# cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.1.201 pve1.mio.dominio pve1 pvelocalhost
10.1.1.1  pve1.mio.dominio pve1
192.168.1.202 pve2.mio.dominio pve2
10.1.1.2  pve2.mio.dominio pve2
... ecc ...


Il mio ceph.conf:

[global]
 auth_client_required = cephx
 auth_cluster_required = cephx
 auth_service_required = cephx
 cluster_network = 10.1.1.0/24
 fsid = 
 mon_allow_pool_delete = true
 mon_host = 10.1.1.1,10.1.1.2,10.1.1.3 10.1.1.4
 osd_journal_size = 5120
 osd_memory_target = 1073741824
 osd_pool_default_min_size = 2
 osd_pool_default_size = 3
 public_network = 10.1.1.0/24

[client]
 keyring = /etc/pve/priv/$cluster.$name.keyring

[mon.pve1]
 host = pve1
 mon_addr = 10.1.1.1:6789

[mon.pve2]
 host = pve2
 mon_addr = 10.1.1.2:6789

[mon.pve3]
 host = pve3
 mon_addr = 10.1.1.3:6789

[mon.pve4]
 host = pve4
 mon_addr= 10.1.1.4:6789


-rob

Re: rsyncd.conf e include/exclude...

2022-12-09 Per discussione Roberto Resoli

Il 9 dicembre 2022 11:11:07 CET, Marco Gaiarin  ha 
scritto:
>
>Scusate, mi rispondo da solo. Illuminazione miostica:
>
>> exclude = *
>> include = archive/vpn.lilliput.linux.it** 
>> live/vpn.lilliput.linux.it**
>
>correto è:
>
>   exclude = *
>   include = archive archive/vpn.lilliput.linux.it** live 
> live/vpn.lilliput.linux.it**
>
>ovvero deve arrivare alle sottocartelle di 'archive' e 'live'.
>
>
>Scusate, grazie.

Buono a sapersi, grazie a te

Re: rsyncd.conf e include/exclude...

2022-12-08 Per discussione Roberto Resoli

Il 8 dicembre 2022 10:39:14 CET, Roberto Resoli  ha 
scritto:
>Il 8 dicembre 2022 09:06:33 CET, Paride Desimone  ha 
>scritto:
>>Il 8 dicembre 2022 07:20:27 UTC, Marco Gaiarin  ha 
>>scritto:
>>>
>>>Devo redistribuire internamente dei ceritifcati letsencrypt, tra un 'bastion
>>>host' che li gestisce e alcuni server interni che 
>...
>>>Mi sono letto e riletto la manpage di rsyncd.conf, e mi sembra tutto a
>>>posto.
>>>
>>>
>>>Cosa o dove sbaglio? Grazie.
>>>
>>
>>Te la butto lì. Prova ad invertire di posizione include con exclude. Per 
>>logica non dovrebbe essere ma tentar non nuoce.
>>
>>/paride
>
>prova a usare solo include o solo exclude, con i qualificatori + e - come da 
>"man rsyncd.conf" ...

... o ancora meglio, la direttiva "filter" ?

>rob
>

(

Re: rsyncd.conf e include/exclude...

2022-12-08 Per discussione Roberto Resoli

Il 8 dicembre 2022 09:06:33 CET, Paride Desimone  ha 
scritto:
>Il 8 dicembre 2022 07:20:27 UTC, Marco Gaiarin  ha 
>scritto:
>>
>>Devo redistribuire internamente dei ceritifcati letsencrypt, tra un 'bastion
>>host' che li gestisce e alcuni server interni che 
...
>>Mi sono letto e riletto la manpage di rsyncd.conf, e mi sembra tutto a
>>posto.
>>
>>
>>Cosa o dove sbaglio? Grazie.
>>
>
>Te la butto lì. Prova ad invertire di posizione include con exclude. Per 
>logica non dovrebbe essere ma tentar non nuoce.
>
>/paride

prova a usare solo include o solo exclude, con i qualificatori + e - come da 
"man rsyncd.conf" ...

rob

Re: provider con gestione record dns e/o configurazione bind

2022-08-25 Per discussione Roberto Resoli


Il 20/08/22 14:12, Paride Desimone ha scritto:

Buongiorno a tutti.
tempo fa postai un quesito simile, ma nel tempo ho cambiato prospettiva.
Qualcuno conosce un buon provider che mi consenta, previa registrazione 
di un mio dominio, di maneggiare a mio piacimento i record standard del 
dns ed in aggiunta, i record, questi tassativi, per dkim, spf, dmarc, 
dnssec? 


Aggiungo ai già numerosi suggerimenti (grazie a tutti), Gidinet, 
servizio spartano e molto valido, nonostante il modico costo,  che uso 
da anni:


https://www.gidinet.com/it-it/knowledge-base/dns-service/dns-premium-service.htm

rob

Re: [OT]: disroot offre mail, cloud, chat, voice, ... per usi non commerciali

2022-07-26 Per discussione Roberto Resoli


Il 26/07/22 12:44, Cosmo ha scritto:

In data martedì 26 luglio 2022 11:18:32 CEST, Felipe Salvador ha scritto:

esperimento simile in Italia fu quello di Autistici Inventati


Anche di oziosi. org, tracciabi.li e indivia.net; ma più che esperimenti ora
sono realtà consolidate.


Grazie mille Cosmo, non li conoscevo. Aggiungo (non mi pare l'abbia 
fatto nessuno) una menzione a devol.it


Se ci fosse un po' più di adesione e coordinamento forse (molto 
ambizioso, lo riconosco) si potrebbe arrivare a emulare realtà francesi 
come Framasoft e la rete dei Chatons.


ciao
rob

Re: [OT]: disroot offre mail, cloud, chat, voice, ... per usi non commerciali

2022-07-25 Per discussione Roberto Resoli


Il 23/07/22 10:23, Cosmo ha scritto:

In data venerdì 22 luglio 2022 16:59:16 CEST, Davide Prina ha scritto:

Ciao,

ho trovato questo sito:https://disroot.org/en

che permette di avere vari servizi di base gratuiti.

Chi può sarebbe bene che mettesse mano al portafoglio - anche se sono
gratuiti.


Concordo in pieno. Proprio perchè sono servizi *davvero* gratuiti, serve 
il contributo di chiunque possa darlo.


rob

Re: CNS ACe 2021 la storia infinita

2022-05-25 Per discussione Roberto Resoli


Il 26/05/22 07:51, Diego Zuccato ha scritto:

Il 25/05/2022 17:38, Marco Bodrato ha scritto:


Ecco. La debian unstable probabilmente si porte dietro dipendenze (come
il nuovo openssl 3.0) che dichiara come deprecato l'uso di crittografia
non allo stato dell'arte.

E quindi come deprecabile mantenere, anche solo nei sorgenti, una
compatibilità con chi non s'è ancora adeguato :-)
Infatti la "colpa" non è di OpenSSL (non che non ne abbia... :) ) ma di 
opensc che non si è ancora adeguato. Ne' potrà farlo facilmente.


Attenzione che praticamente *nessuno* si è adeguato. Openssl v3, benchè 
rilasciato stabile (l'ultima release è 	OpenSSL 3.0.3 de 3 Maggio 
scorso) non è stao incluso in alcuna distribuzione corrente (in debian 
appare solo in unstable).


rob

Re: CNS ACe 2021 la storia infinita

2022-05-25 Per discussione Roberto Resoli


Il 25/05/22 11:01, liste DOT girarsi AT posteo DOT eu ha scritto:

Il 23/05/22 15:19, Roberto Resoli ha scritto:

Il 23/05/22 14:16, Marco Bodrato ha scritto:

cc1: all warnings being treated as errors

Poiché il Makefile (immagino, a meno che non sia una tua pre-impostazione
dell'ambiente di sviluppo) chiede al compilatore di trattare tutti gli
avvisi come errori... il processo si ferma.


Concordo.


Ha senso trattare tutti gli avvisi come errori? Io in questo caso li
ignorerei, ma immagino sia stata non una scelta tua, ma di progettazione
del processo di compilazione...


Il makefile è quello del git master attuale di OpenSC, le istruzioni le
ho redatte eseguendo su una ubuntu 20.04 aggiornata.

Forse girarsi ha delle condizioni di partenza diverse?

rob



Grazie per le risposte, e scusate il ritardo nel rispondervi, ma sono un
pò preso.

Per quel che riguarda le condizioni di partenza non saprei, mi sono
limitato a far eseguire come suggerito nella pagina indicata da Roberto
Resoli, nulla più.

Sono su una debian testing/unstable 64 bit,


Ecco. La debian unstable probabilmente si porte dietro dipendenze (come 
il nuovo openssl 3.0) che dichiara come deprecato l'uso di crittografia 
non allo stato dell'arte.


Dato che il Makefile di OpenSC è molto restrittivo, e inserisce ne flag 
di compilazione -Werror:

   -Werror
   Make all warnings into errors.


La compilazione quindi fallisce.

Secondo me basta che sostituisci il -Werror con un -Wfatal-error per 
compilare senza problemi.


Qui un riferimento che spiega l'uso delle opzioni di avviso:

https://gcc.gnu.org/onlinedocs/gcc-4.8.5/gcc/Warning-Options.html#Warning-Options 



Ciao,
rob

Re: CNS ACe 2021 la storia infinita

2022-05-23 Per discussione Roberto Resoli


Il 23/05/22 14:16, Marco Bodrato ha scritto:

cc1: all warnings being treated as errors

Poiché il Makefile (immagino, a meno che non sia una tua pre-impostazione
dell'ambiente di sviluppo) chiede al compilatore di trattare tutti gli
avvisi come errori... il processo si ferma.


Concordo.


Ha senso trattare tutti gli avvisi come errori? Io in questo caso li
ignorerei, ma immagino sia stata non una scelta tua, ma di progettazione
del processo di compilazione...


Il makefile è quello del git master attuale di OpenSC, le istruzioni le 
ho redatte eseguendo su una ubuntu 20.04 aggiornata.


Forse girarsi ha delle condizioni di partenza diverse?

rob

Re: CNS ACe 2021 la storia infinita

2022-05-22 Per discussione Roberto Resoli


Il 21/05/22 14:26, rowun ha scritto:


 


Questo è il commit nel fork, 3v1n0 ha poi fatto una Pull Request:

https://github.com/OpenSC/OpenSC/pull/2483

Da cui le istruzioni, riportate nel post sulla ml di LinuxTrent. Le puoi 
leggere qui:


https://www.resolutions.it/nextcloud/index.php/s/a7iek2nnGpMzRZY

Collaudate da me e da un'altra persona negli scorsi giorni. OpenSC con 
la patch supporta sia le carte precedenti che la nuova IDEMIA ACe 2021.


rob

Re: CNS ACe 2021 la storia infinita

2022-05-21 Per discussione Roberto Resoli

Il 21 maggio 2022 14:53:40 CEST, Roberto Resoli  ha 
scritto:
>Il 21 maggio 2022 14:26:22 CEST, rowun  ha scritto:
>>Storia infinita perche' e' mesi che sto lentamente masticando il problema
>>del non riuscire ad autenticarmi. Ma ora vedo per la prima volta la luce
>>alla fine del tunnel, avendo letto dove si trova il certificato sulla
>>CNS ACe 2021 (tra parentesi, Athena, come societa' non esiste piu' ?),
>
>E' una carta IDEMIA, prova la patch di 3v1n0:
>
>https://www.freelists.org/post/linuxtrent/Tessere-Sanitarie-ACe-2021-compilare-OpenSC-con-la-patch-di-3v1n0,7

Ops, intendevo l'inizio del thread:
https://www.freelists.org/post/linuxtrent/Tessere-Sanitarie-ACe-2021-compilare-OpenSC-con-la-patch-di-3v1n0

>rob

Re: CNS ACe 2021 la storia infinita

2022-05-21 Per discussione Roberto Resoli

Il 21 maggio 2022 14:26:22 CEST, rowun  ha scritto:
>Storia infinita perche' e' mesi che sto lentamente masticando il problema
>del non riuscire ad autenticarmi. Ma ora vedo per la prima volta la luce
>alla fine del tunnel, avendo letto dove si trova il certificato sulla
>CNS ACe 2021 (tra parentesi, Athena, come societa' non esiste piu' ?),

E' una carta IDEMIA, prova la patch di 3v1n0:

https://www.freelists.org/post/linuxtrent/Tessere-Sanitarie-ACe-2021-compilare-OpenSC-con-la-patch-di-3v1n0,7

rob

Re: Interfacce di rete che non si attivano

2022-04-19 Per discussione Roberto Resoli


Il 15/04/22 09:33, Diego Zuccato ha scritto:

Ciao a tutt*

Ieri ho riavviato alcuni dei server Proxmox e mi sono ritrovato con due 
che non riattivano la rete.


Versione di proxmox? Sarebbe utile capire anche il livello di 
aggiornamento dei vari pacchetti, usando il bottone "Package Versions" 
nel "Summary" del server.


La configurazione in /etc/network/interfaces è uguale (a meno dell'IP) a 
quella di altri server che invece ripartono correttamente.


ok, anche qui la configurazione sarebbe di aiuto.


Qualche consiglio su dove cercare?


Il forum PVE di Proxmox può sicuramente esserti di aiuto:

https://forum.proxmox.com/forums/proxmox-ve-installation-and-configuration.16/

ciao,
rob

Re: [OT] fascicolo sanitario e CIE

2022-02-09 Per discussione Roberto Resoli


Il 08/02/22 16:14, Diego Zuccato ha scritto:

Il 07/02/2022 12:03, Roberto Resoli ha scritto:

Tecnicamente, i certificati per firma qualificata si distinguono per 
l'attributo keyUsage con unico flag attivo "nonRepudiation" e marcato 
critico.
I certificati per identificazione (quelli ospitati in ogni caso su CIE 
e CNS) hanno keyUsage con flag "digitalSignature", e nessun flag 
"nonRepudiation".
Certo che se avessero chiamato i flag col nome giusto si sarebbero 
evitati tanti problemi: "signature" invece di "nonRepudiation" (con 
"nonRepudiation" che poteva significare altro, p.e. che l'intero 
documento era stato processato dalla card, non solo un hash) e 
"authentication" invece di "digitalSignature".


In realtà "non repudiation" corrisponde esattamente al nostro intento 
principale quando ordinariamente quando facciamo firmare un documento: 
impegnare la propria identità in modo non disconoscibile.


Le tre proprietà fondamentali di una firma (digitale o meno):

1) Identificazione
2) Integrità
3) Non disconoscimento

"digital signature" è un concetto molto più ampio, indica (nel contesto 
della crittografia a chiave pubblica) il processo di cifratura di una 
certa sequenza di bit con una chiave privata.


riguardo a:


intero documento era stato processato dalla card, non solo un hash


è una cosa altamente sconsigliabile, perché esporrebbe la firma ad 
attacchi. La cifratura con chiave privata non protegge di per sé da 
possibili collisioni (testo cifrato identico a partire da testi in 
chiaro diversi). L'hashing diminuisce enormemente la probabilità di 
collisioni.



Non sarebbe stato tutto più chiaro? :) Tipici standard da comitato...


Beh, basta intendersi sul significato dei termini.

rob

Re: [OT] fascicolo sanitario e CIE

2022-02-07 Per discussione Roberto Resoli


Il 07/02/22 12:49, Marco Bodrato ha scritto:

Ciao,

Il Lun, 7 Febbraio 2022 12:03 pm, Roberto Resoli ha scritto:

Il motivo per cui si usano coppie di chiavi diverse per identificazione
e firma digitale è che nel primo caso vengono firmate quantità
randomiche generato nell'ambito di un processo informatico (es: TLS).

Mentre nel caso della firma si firmano quantità (documenti con valore
legale) su cui il firmatario impegna la propria identità accettando il
non disconoscimento (il "non repudiation" del campo keyUsage, appunto).

Imho l'uso di coppie di chiavi pensate per identificazione come chiavi
di firma digitale è del tutto improprio.


Concordo. Usare la stessa coppia di chiavi sia per firmare che per
identificarsi è decisamente pericoloso.

Nel firmare un documento, di fatto praticamente sempre si firma l'impronta
(Hash) del documento stesso.
Con il linguaggio usato da Roberto, questa impronta è apparentemente una
"quantità randomica". Semplificando molto, durante il processo informatico
(es:TLS) di identificazione, l'utente di fatto si trova a firmare la
"quantità randomica" inviata dall'interlocutore presso il quale si sta
identificando, senza (alcuna possibilità di) verificarne il contenuto.

Che succede se l'interlocutore, invece di mandarci una genuina "quantità
randomica" ci manda l'impronta di un documento?

Usando la stessa chiave per firmare e per identificarsi, si concederebbe
la possibilità, a chi controlla i processi di identificazione, di ottenere
firme su documenti arbitrari...


Cfr. ad esempio

"X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons"
https://www.etsi.org/deliver/etsi_ts/102200_102299/102280/01.01.01_60/ts_102280v010101p.pdf:

"Security note:
Combining the non-repudiation bit (bit 1) in the keyUsage certificate 
extension with other keyUsage bits may have security implications 
depending on the security environment in which the certificate is to be 
 used.
If the subject's environment can be fully controlled and trusted, then 
there are no specific security implications.
For example, in cases where the subject is fully confident about exactly 
which data is signed or cases where the subject is fully confident about 
the security characteristics of the authentication protocol being used.
If the subject's environment is not fully controlled or not fully 
trusted, then unintentional signing of commitments is possible. Examples 
include the use of badly formed  authentication exchanges and the use of 
a rogue software component.
If untrusted environments are used by a subject, these security 
implications can be limited through use of the following measures:
- to not combine non-repudiation key usage setting in certificates with 
any other key usage setting and to use the corresponding private key 
only with this certificate;
- to limit the use of private keys associated with certificates that 
have the non-repudiation key usage bit set, to environments which are 
considered adequately controlled and trustworthy"


rob

Re: [OT] fascicolo sanitario e CIE

2022-02-07 Per discussione Roberto Resoli

Il 06/02/22 14:50, ilario.quinson@e.email ha scritto:

Il 6 febbraio 2022 14:49:10 CET, Francesco Zanolin
ha scritto:

Ti metto direttamente un link e ti suggerisco il sito di agid per i
dettagli.

https://www.aruba.it/magazine/firma-digitale/firma-elettronica-avanzata-e-firma-elettronica-qualificata-l-importanza-di-conoscere-le-differenze.aspx

Tengo a precisare che quanto scritto nella pagina in questione alla
voce: "Varianti della FEA e precisazioni importanti"

Non è interamente corretto è mancano riferimenti alle fonti. Innanzitutto:

Le firme apposte con CNS e Tessera Sanitaria possono essere qualificate
(FEQ o QES secondo l'acronimo EIdAS), se sono stati utilizzati
certificati qualificati (cioè emessi da CA incluse nell'elenco europeo
come emittenti di certificati QES). Una delle ragioni d'essere della CNS
era appunto essere equivalente alla CIE per scopi di identificazione
digitale, e ospitare ulteriori servizi (quale la firma, appunto).
Le Tessere Sanitarie della regione Lombardia potevano (non so se sia
ancora vero) ospitare opzionalmente anche i certificati di firma.

Tecnicamente, i certificati per firma qualificata si distinguono per
l'attributo keyUsage con unico flag attivo "nonRepudiation" e marcato
critico.

I certificati per identificazione (quelli ospitati in ogni caso su CIE e
CNS) hanno keyUsage con flag "digitalSignature", e nessun flag
"nonRepudiation". Sono facilmente distinguibili perchè nell'attributo
"Subject" il campo Common Name (CN) è del tipo:

e non riporta Nome e Cognome come nel caso dei certificati qualificati.

---

Il motivo per cui si usano coppie di chiavi diverse per identificazione
e firma digitale è che mnel primo caso vengono firmate quantità
randomiche generato nell'ambito di un processo informatico (es: TLS).

Mentre nel caso della firma si firmano quantità (documenti con valore
legale) su cui il firmatario impegna la propria identità accettando il
non disconoscimento (il "non repudiation" del campo keyUsage, appunto).

Imho l'uso di coppie di chiavi pensate per identificazione come chiavi
di firma digitale è del tutto improprio.

rob

Re: TS-CNS Veneto

2022-01-18 Per discussione Roberto Resoli


Il 17/01/22 18:29, Giorgio Longo ha scritto:

Il 17/01/22 12:05, Roberto Resoli ha scritto:

Forse vale la pena di aggiungere che Ilario ha compilato opensc con la 
patch di tr3v1n0:


https://github.com/3v1n0/OpenSC/commit/6b627f1a01ac58df4edf634ae9865ec67c9d0700 



Grazie del chiarimento... non è pane per i miei denti.
Guardando il link mi sembra di capire che è solo per ACe 2021 non per 
ACx 2021, o sbaglio?


Immagino di sì, bisognerebbe che un proprietario di ACx 2021 provasse a 
compilare.


Nel frattembo la patch di 3v1n0 è in corso di integrazione in OpenSC:

https://github.com/OpenSC/OpenSC/pull/2483

rob

Re: TS-CNS Veneto

2022-01-17 Per discussione Roberto Resoli


Il 17/01/22 12:05, Roberto Resoli ha scritto:

Il 16/01/22 08:03, ilario.quinson@e.email ha scritto:


Il 16 gennaio 2022 06:46:42 CET, Giorgio Longo  
ha scritto:

Il 15/01/22 14:33,ilario.quinson@e.email  ha scritto:


Sono riuscito ad accedere con la mia ACe 2021 e OprnSC, fino ora non

supportata.

Ilario

Cioè sei riuscito ad entrare in qualche sito tipo Agenzia delle
Entrate,
Inps usando OpenSC?


Si sono riuscito solo a provare il mio FSE per questione di tempo.
Prima della nuova build la mia carta andava solo con i "driver" 
ufficiali.


Forse vale la pena di aggiungere che Ilario ha compilato opensc con la 
patch di tr3v1n0:


ops, ovviamente intendevo "3v1n0" (Marco Trevisan)



https://github.com/3v1n0/OpenSC/commit/6b627f1a01ac58df4edf634ae9865ec67c9d0700 



rob

Re: TS-CNS Veneto

2022-01-17 Per discussione Roberto Resoli


Il 16/01/22 08:03, ilario.quinson@e.email ha scritto:


Il 16 gennaio 2022 06:46:42 CET, Giorgio Longo  ha scritto:

Il 15/01/22 14:33,ilario.quinson@e.email  ha scritto:


Sono riuscito ad accedere con la mia ACe 2021 e OprnSC, fino ora non

supportata.

Ilario

Cioè sei riuscito ad entrare in qualche sito tipo Agenzia delle
Entrate,
Inps usando OpenSC?


Si sono riuscito solo a provare il mio FSE per questione di tempo.
Prima della nuova build la mia carta andava solo con i "driver" ufficiali.


Forse vale la pena di aggiungere che Ilario ha compilato opensc con la 
patch di tr3v1n0:


https://github.com/3v1n0/OpenSC/commit/6b627f1a01ac58df4edf634ae9865ec67c9d0700

rob

Re: TS-CNS Veneto

2022-01-14 Per discussione Roberto Resoli

Il 14/01/22 08:03, Diego Zuccato ha scritto:

Il 13/01/2022 20:36, Davide Prina ha scritto:

Nella ricerca ho trovato anche che la CNS in realtà contiene anche un chip NFC,
anche se non indicato, nelle ultime versioni dovrebbe essere sempre indicato e
ho trovato commenti di persone che li usano per autenticarsi.

Interessante. La TS mia in scadenza non ce l'ha, ma proverò con la nuova. Utile
per autenticarsi dal cell senza passare da SPID.

Ma in questo caso il driver per utilizzarlo è quello della CIE?

Teoricamente si, ma come si è visto è un panorama molto frastagliato...

Bell'eufemismo :-)

In effetti è una cosa che mi stavo chiedendo, ma bisogna distinguere. Le CNS
sono gestite dal Ministero delle Finanze, e le relative specifiche obbediscono
a questo documento:

https://www.agid.gov.it/sites/default/files/repository_files/documentazione/filesystemcns_20160610.pdf

(non so se ci siano stati aggiornamenti dal 2016 in poi). Come detto da quella
data i fornitori
hanno mano libera sul posizionamento degli oggetti sulle carte. Di qui i problemi del
driver "itacns" di OpenSC.

Le CNS pre 2016 dovrebbero funzionare tutte. Se su qualche sito non funzionano
probabilmente è perché
chi gestisce il server non ha inserito le root CA per la regione di interesse.

Se volte fare la prova del nove, contattatemi (anche in privato) e aggiungo a

https://www.resolutions.it:4443

la root CA per la vostra regione.

Dal 2016 in poi ogni fornitore è un caso a sé, e la patch di 3v1no
presumibilmente sistemerà il problema solo per quella particolare tipologia.

1) A single citizen can own any number of CNS cards
forse questa qui sopra è spiegata subito sotto: la CNS è distribuita da diversi enti. Ad esempio le regioni danno la TS che è una CNS. Mentre le camere di commercio danno una loro CNS... Se non ho capito male.

Esatto.

E penso che queste non siano "compatibili" (cioè non posso usare la CNS che
voglio per autenticarmi ai servizi della PA).

No, se sono CNS, (non le cosiddette "CNS like", come le chiama Infocert) puoi
usarle su qualsiasi servizio, anche usando OpenSC, almeno fino con carte pre-2016.

Sempre teoricamente, ogni CNS dovrebbe essere equivalente alle altre. A meno
che non offra servizi aggiuntivi. Per la semplice autenticazione dovrebbero
funzionare tutte (p.e. dovresti poter accedere al Fascicolo Sanitario anche con
la carta della Camera di Commercio), ma per i servizi avanzati potrebbero
esserci differenze (p.e. la TS non mi pare offra la firma elettronica).

Esatto. La CNS nasce per autenticazione, ma la sua ragion d'essere era proprio
per ospitare i servizi aggiuntivi, come appunto la firma qualificata.

Per la firma qualificata vengono usate coppie di chiavi separate, non utilizzabili con
OpenSC standard per via del "Secure Messaging" (se a qualcuno interessa apriamo
un thread separato)

2) CNS cannot be issued to a citizen who already owns a CIE
che sappia io chi ha la CIE non può usarla come tessera sanitaria... o sbaglio?

E' una vecchia norma, ma credo sia ormai disattesa da chiunque emetta CNS.
All'epoca in cui è stata emessa la CIE era utilizzabile in teoria per
autenticazione ovunque fosse prevista la CNS, ma nessuno lo faceva perchè
(incredibile, ma vero) la CIE non aveva un servizio di revoca funzionante.
Quindi nessuno sano di mente abilitava le root CIE per i propri servizi.

Questo mi pare proprio sbagliato. Non si può avere più di una CIE, ma puoi
avere una CIE e tante CNS. La CIE dovrebbe essere una CNS speciale.

Viceversa. La CIE è nata molto prima della CNS. In ogni caso quei vincoli sono
storia passata.

Poi mi sono un po' perso, anche perché molte pagine di documentazione di OpenSC
non sono aggiornate da un po'

Vero, ci sono molti link morti, ma basta chiedere in opensc-devel in caso di
dubbi.

IIRC il problema coi driver OpenSC era che non supportavano la cifratura del
canale tra la card e l'applicativo, mentre l'applet sulla card lo richiede per
gran parte delle operazioni.

E' appunto la questione del Secure Messaging (SM).

SM è usato sulle CNS solo per la coppia di chiavi di firma digitale. Per la
coppia di autenticazione OpenSC è sempre funzionato egregiamente senza SM. (che
invece è richiesto per CIEv3, quella attuale. Ma lì abbiamo almeno del codice
sorgente funzionante:

https://github.com/italia/cie-middleware-linux

Anche se il progetto è in pessimo stato:

https://github.com/italia/cie-middleware-linux/issues/6#issuecomment-912856849

)

rob

Re: TS-CNS Veneto

2022-01-13 Per discussione Roberto Resoli


Il 13/01/22 10:46, Roberto Resoli ha scritto:
https://github.com/3v1n0/OpenSC/commit/6b627f1a01ac58df4edf634ae9865ec67c9d0700 



Se qualche proprietario di ACe 2021 vuole provarla


Per compilarla basta seguire le istruzioni al link

https://www.freelists.org/post/linuxtrent/nuova-Tessera-Sanitaria-aiuto,21

Usando il repository di tr3v1n0 per il clone

$ git clone https://github.com/3v1n0/OpenSC.git

e poi spostandosi sul branch "itacns-idemia-2021"

$ git checkout itacns-idemia-2021

Il resto è identico ...

rob

Re: TS-CNS Veneto

2022-01-13 Per discussione Roberto Resoli


Il 10/01/22 17:30, Davide Prina ha scritto:

On 10/01/22 12:13, Roberto Resoli wrote:
purtroppo non c'è competenza che tenga, se si ha a che fare con 
l'oscurità:


https://github.com/OpenSC/OpenSC/issues/2445#issuecomment-974890437

In sostanza probabilmente la tua tessera non è utilizzabile con il 
driver 'itacns' di OpenSC scritto in origine da @puccia (Emanuele 
Pucciarelli).


ma leggendo a partire dal link indicato si vede che la CNS nuova 
funziona, l'unica cosa è che bisogna ricompilarsi le librerie a mano 
perché il bug #2371 (e non so se anche altri) non sono ancora stati 
rilasciati in una versione ufficiale. >
l'unico che ho trovato che dice che, ricompilando, riesce ad usare la 
CNS nuova sui siti istituzionali italiani, ma non su un sito dei 
trasporti trentini è su questa lista

https://www.freelists.org/post/linuxtrent/nuova-Tessera-Sanitaria-aiuto,31


Dovresti dare un'occhiata a tutto il thread ...


se non erro anche qui si indica che ricompilando funziona
https://github.com/OpenSC/OpenSC/issues/2370

Per compilare, se non ho capito male basta fare quanto dice qui:
https://github.com/OpenSC/OpenSC/wiki/Compiling-and-Installing-on-Unix-flavors 


Si, (ma attenzione ad installare prima i "build requirements"):

https://github.com/OpenSC/OpenSC/wiki/Compiling-and-Installing-on-Unix-flavors#build-requirements

vedi anche qui (sono le istruzioni che ho provato per Gianguido): 
https://www.freelists.org/post/linuxtrent/nuova-Tessera-Sanitaria-aiuto,21


Da quello che ho capito con le patch suggerite dovrebbe funzionare tutto 
sia con vecchia che con nuova CNS, ma non ho capito quando sarà 
rilasciata una versione ufficiale che comprenda tali modifiche.


Non è così semplice. Ci sono diverse tipologie delle carte, a seconda 
dei fornitori che vincono le gare nazionali cui attingono le regioni.


Dal 2016 in poi i fornitori non devono più rispettare specifiche 
stringenti sulla posizione di chiavi e oggetti vari sulla carta. Quindi 
ogni lotto di carte fa caso a sè.


Nel caso dello specifico issue #2445 (Carte ACe 2021 del fornitore 
Idemia) c'è un'evoluzione, Marco Trevisan alias 3v1n0 sembra aver scritto


https://github.com/OpenSC/OpenSC/issues/2445#issuecomment-1010599766

una patch funzionante:

https://github.com/3v1n0/OpenSC/commit/6b627f1a01ac58df4edf634ae9865ec67c9d0700

Se qualche proprietario di ACe 2021 vuole provarla, questa pagina

https://www.resolutions.it:4443/

permette di testare l'autenticazione, ma l'interessato deve prima dirmi 
la Regione che ha emesso la carta cosicché io possa aggiungere i 
relativi certificati root.


rob

Re: TS-CNS Veneto

2022-01-10 Per discussione Roberto Resoli


Il 09/01/22 10:28, Giorgio Longo ha scritto:

Il 07/01/22 17:19, ilario.quinson@e.email ha scritto:


https://video.linuxtrent.it/videos/watch/4f75cb19-d33a-4ccf-b3a3-ee785a32c83d 



Chiedi al lug linuxtrent, sono molto avanti nella gestione delle tscns.

Ilarii
-- Inviato da /e/ Mail.


Grazie Ilario, molto interessante.
Difatti neanche Roberto (presidente del linuxtrent, molto competente) e` 
riuscito a far andare la mia tessera ACx2021.


https://www.freelists.org/post/linuxtrent/Carta-Sanitaria-ottimo-sito-di-supporto-della-Regione-Sardegna,1 



Per il momento uso i driver proprietari, le mie competenze non possono 
competere :(


Ciao Giorgio, purtroppo non c'è competenza che tenga, se si ha a che 
fare con l'oscurità:


https://github.com/OpenSC/OpenSC/issues/2445#issuecomment-974890437

In sostanza probabilmente la tua tessera non è utilizzabile con il 
driver 'itacns' di OpenSC scritto in origine da @puccia (Emanuele 
Pucciarelli).


Mi sto informando presso i conoscenti-familiari se hanno la stessa 
tipologia di tessera, per vedere se e` una scelta della regione.


Non credo, le sciolte delle carte vengono aggiudicate tramite bandi 
nazionali, e le regioni attingono a quelli.


ciao,
rob

Re: Ancora CIE e middleware

2021-10-24 Per discussione Roberto Resoli


Il 18/10/21 15:12, Piviul ha scritto:

Il 18/10/21 11:54, G97 ha scritto:

On Mon,18 Oct 07:41:17, Marco Ciampa wrote:

On Fri, Oct 15, 2021 at 11:21:58PM +0200, G97 wrote:
Non riesco perÃ² a far abbinare la CIE nel software middleware, 
inserisco il
pin, mi visualizza 'progress' e non va oltre. Sicuramente non 
digerisce la

libreria opensc.
Opensc _non_ è compatibile (per ora) con il protocollo usato dalla 
CIE italiana


devi usare il binario fornito dal ministero.

Che, come avevo scritto, purtroppo è solo a 64 bit!


se ne sei sicuro potresti vedere se riesci a compilartelo a 32bit: 
https://github.com/italia/cie-middleware-linux


Trattandosi di sw libero, in linea di principio dovrebbe essere 
possibile portare il supporto alla CIEv3 in OpenSC. OpenSC supporta

molti hardware attraverso "card-driver" specifici:

$ opensc-tool --list-drivers
Configured card drivers:
  cardos   Siemens CardOS
  flex Schlumberger Multiflex/Cryptoflex
  cyberflexSchlumberger Cyberflex
  gpk  Gemplus GPK
  gemsafeV1Gemalto GemSafe V1 applet
  asepcos  Athena ASEPCOS
  starcos  STARCOS
  tcos TCOS 3.0
  oberthur Oberthur AuthentIC.v2/CosmopolIC.v4
  authenticOberthur AuthentIC v3.1
  iasecc   IAS-ECC
  belpic   Belpic cards
  incrypto34   Incard Incripto34
  akis TUBITAK UEKAE AKIS
  entersafeentersafe
  epass2003epass2003
  rutoken  Rutoken driver
  rutoken_ecp  Rutoken ECP and Lite driver
  myeidMyEID cards with PKCS#15 applet
  dnie DNIe: Spanish eID card
  MaskTech MaskTech Smart Card
  atrust-acos  A-Trust ACOS cards
  westcos  WESTCOS compatible cards
  esteid2018   EstEID 2018
  coolkey  COOLKEY
  muscle   MuscleApplet
  sc-hsm   SmartCard-HSM
  mcrd MICARDO 2.1 / EstEID 3.0 - 3.5
  setcos   Setec cards
  PIV-II   Personal Identity Verification Card
  cac  Common Access Card (CAC)
  itacns   Italian CNS
  isoAppletJavacard with IsoApplet
  gids GIDS Smart Card
  openpgp  OpenPGP card
  jpki JPKI(Japanese Individual Number Cards)
  npa  German ID card (neuer Personalausweis, nPA)
  cac1 Common Access Card (CAC 1)
  default  Default driver for unknown cards

Ad esempio itacns viene di solito selezionato in maniera automatica per
le CNS (le tessere sanitarie regionali, ad esempio).

Chi ha una CIEv3 potrebbe provare a forzare iasecc, che è il profilo dei 
documenti d'identità nazionali a cui CIEv3 (spero) dovrebbe aderire.


rob

Re: lettori CIE

2021-10-04 Per discussione Roberto Resoli


Il 04/10/21 15:18, Filippo Dal Bosco - ha scritto:

Il giorno Mon, 4 Oct 2021 14:59:13 +0200
Roberto Resoli  ha scritto:



L'autore dei drivers CCID, Ludovic Rousseau, riporta il lettore basis
(e altri immediatamente successivi nella lista, dotati anche di
pinpad) come "shouldwork" (dovrebbe funzionare ma non testato


il pinpad serve per per immettere direttamente il pin ( tipo ATM) non
usando la tastiera ?


esatto


è più sicuro che usare la tastiera ?


Direi di sì, almeno in prima istanza. Mai usato un lettore con tastiera 
comunque.


rob

Re: lettori CIE

2021-10-04 Per discussione Roberto Resoli


Il 02/10/21 11:09, Filippo Dal Bosco - ha scritto:

Da qui

https://forum.italia.it/t/lettori-consigliati-per-cie/449/2

ho ricavato questo


https://www.reiner-sct.com/

lettore che va bene sotto linux con CIE italiana e pure tedesca



Grazie.

L'autore dei drivers CCID, Ludovic Rousseau, riporta il lettore basis (e 
altri immediatamente successivi nella lista, dotati anche di pinpad) 
come "shouldwork" (dovrebbe funzionare ma non testato direttamente):


https://ccid.apdu.fr/ccid/shouldwork.html#0x0C4B0x9102

Sostanzialmente un pacchetto libccid recente dovrebbe essere quanto 
basta per farlo funzionare.


rob

Re: Utilizzo della Carta d'Identità Elettronica in Linux

2021-08-23 Per discussione Roberto Resoli


Il 18/08/21 10:46, Roberto Resoli ha scritto:
io sto usando il lettore della bit4id, e funziona nonostante la 
mancanza di istruzioni


ecco, questo è precisamente il punto in cui bisognerebbe intervenire, 
dare più informazioni.


Io ho un po' di esperienza nell'uso delle smartcards con strumenti 
liberi, e ho organizzato per domani un incontro online per parlarne:


https://mobilizon.it/events/3f0cbb2e-d162-4dda-8977-9239209dfbdc

Chiunque sia interessato è il benvenuto.


Il video dell'incontro è disponibile, e la chat contestuale è ancora 
attiva per continuare la discussione:


https://www.linuxtrent.it/tessera-sanitaria-e-cns-una-breve-panoramica-con-un-occhio-alla-cie/

rob

Re: Utilizzo della Carta d'Identità Elettronica in Linux

2021-08-18 Per discussione Roberto Resoli


Il 16/08/21 18:29, valerio ha scritto:



Il 13/08/21 21:06, Roberto Resoli ha scritto:

Salve a tutti,

Sono un neo iscritto, vorrei capire quanti utilizzano la CIE in Linux (ora serve un 
lettore NFC, ho visto i relativi messaggi in archivio). Ho visto che il cosiddetto 
"middleware" (libreria pkcs11 e sw di gestione CIEID) è ora sw libero[1], e dai 
post passati ho visto che anche si riece a far funzionare, anche se non in maniera 
ottimale, almeno il lettore NFC di ACS (vedi messaggio[2] di Marco Ciampa) con un driver 
in sw libero.

Sarebbe interessante documentare queste esperienze e fornire una guida 
affidabile e aggiornata per questi strumenti. (Magari sul repository [1], ma ci 
spero poco)


ciao,
se hai letto i messaggi relativi, vedi che dipende  molto anche dal tipo di 
lettore usato, ed alcuni lettori, apparentemente uguali, hanno comportamenti 
diversi.


ciao Valerio, ho letto nell'archivio i messaggi (anche in parte tuoi, mi pare). 
Nella mia
esperienza non solo i lettori esibiscono comportamenti diversi, ma anche non 
tutti
supportano tutti i tipi di carte, vedi ad esempio[3]


io sto usando il lettore della bit4id, e funziona nonostante la mancanza di 
istruzioni


ecco, questo è precisamente il punto in cui bisognerebbe intervenire, dare più 
informazioni.

Io ho un po' di esperienza nell'uso delle smartcards con strumenti liberi, e ho 
organizzato per domani un incontro online per parlarne:

https://mobilizon.it/events/3f0cbb2e-d162-4dda-8977-9239209dfbdc

Chiunque sia interessato è il benvenuto.

rob

[3] 
https://ludovicrousseau.blogspot.com/2011/05/extended-apdu-status-per-reader.html






Roberto Resoli (d'ora in poi solo rob)

[1] https://github.com/italia/cie-middleware-linux
[2] https://lists.debian.org/debian-italian/2021/05/msg00032.html

Utilizzo della Carta d'Identità Elettronica in Linux

2021-08-13 Per discussione Roberto Resoli


Salve a tutti,

Sono un neo iscritto, vorrei capire quanti utilizzano la CIE in Linux (ora serve un 
lettore NFC, ho visto i relativi messaggi in archivio). Ho visto che il cosiddetto 
"middleware" (libreria pkcs11 e sw di gestione CIEID) è ora sw libero[1], e dai 
post passati ho visto che anche si riece a far funzionare, anche se non in maniera 
ottimale, almeno il lettore NFC di ACS (vedi messaggio[2] di Marco Ciampa) con un driver 
in sw libero.

Sarebbe interessante documentare queste esperienze e fornire una guida 
affidabile e aggiornata per questi strumenti. (Magari sul repository [1], ma ci 
spero poco)

Roberto Resoli (d'ora in poi solo rob)

[1] https://github.com/italia/cie-middleware-linux
[2] https://lists.debian.org/debian-italian/2021/05/msg00032.html

Re: Nuova scheda madre AS ROCK

2021-06-14 Per discussione Roberto Balbi





Il 14/06/21 10:15, pinguino ha scritto:

On 13/06/21 22:01, Davide Prina wrote:

On 13/06/21 18:43, pinguino wrote:


giu 13 16:23:36 nomehost kernel: alx :01:00.0 enp1s0: Enabling MSI-X
interrupts failed!



Non so cosa sia MSI,


https://en.wikipedia.org/wiki/Message_Signaled_Interrupts


Buongiorno Lista,
Qui dice che ci sono dei bugs nel kernel Linux, prima della versione
2.6.20.

Linux gained support for MSI and MSI-X around 2003.[20] Linux kernel
versions before 2.6.20 are known to have serious bugs and limitations in
their implementation of MSI/MSI-X.[21]





però quando non avviava nemmeno la parte grafica,
avevo trovato di aggiungere nel menu di Grub la scritta PCI=NOMSI.


penso sia questo il problema del non funzionamento della scheda di rete.

Ciao
Davide


Pero ora sembra un cane che si morde la coda.
Se tolgo la stringa PCI=NOMSI da GRUB mi da problemi e si blocca la
parte grafica o tutto il sistema. Se lo lascio non funziona la scheda di
rete.

Grazie
Saluti


.



scusate non ho letto proprio tutti i messaggi precedenti.

puoi indicare marca e modello della vecchia mb, così capiamo le differenze.

il bios è impostato alle opzioni di default?

sono installati i firmware?
# apt-get install firmware-linux firmware-linux-free 
firmware-linux-nonfree firmware-misc-nonfree

+ altri pacchetti es. firmware-atheros legati al tuo hardware.

prova anche un
# update-pciids

ciao

Re: disco nuovo, non compare grub





Il 08/06/21 17:50, Davide Prina ha scritto:

On 08/06/21 10:55, Roberto Balbi wrote:


ho acquistato un disco seagate da 1tb ST1000DM010-2EP102 HDD sata



all'avvio non mi compare più la schermata di grub (!?).


il problema è che all'avvio cambi i nomi delle partizioni.
Io ti consiglio di installare grub su qualsiasi partizione tu abbia, 
anche solo dati.


Un altro metodo e far partire grub da altro supporto (chiavetta, CD, 
...) e dall'interfaccia di GRUB individuare il tuo disco e la partizione 
e far partire il sistema in questo modo[¹].

Una volta partito puoi verificare effettivamente dove sta il problema.

Ciao
Davide

[¹] ho indicato in passato i passi da seguire, ora ho trovato questo:
https://lists.debian.org/debian-italian/2008/03/msg00091.html
sono sicuro che in qualche altro thread avevo indicato tutti i passi:
* quando compare grub premi e, per entrare in edit
* ...
dai un'occhiata al manuale di grub per vedere la sintassi.


grazie, ho risolto.
vedi post di risposta a Marco Ciampa per dettagli.

Re: disco nuovo, non compare grub





Il 08/06/21 14:36, Piviul ha scritto:


Il 08/06/21 12:25, Marco Ciampa ha scritto:

On Tue, Jun 08, 2021 at 10:55:56AM +0200, Roberto Balbi wrote:

salve lista
ho acquistato un disco seagate da 1tb ST1000DM010-2EP102 HDD sata, per
sostituire un precedente disco a fine vita. è riconosciuto dal bios 
(vecchio

pc, niente efi). all'avvio non mi compare più la schermata di grub (!?).
se lo collego con adattatore sata2usb nessun problema.
[...]

Ovvio che non compaia grub, se non lo installi...

vedi il comando

grub-install /dev/sdX


Ci sono milioni di guide su internet, ad esempio questa: 
https://francoconidi.it/ripristinare-grub2-da-chroot-da-una-debian-live/


Piviul

.

grazie, ho risolto (in effetti senza chroot).
vedi post di risposta a Marco Ciampa per dettagli.

Re: disco nuovo, non compare grub





Il 08/06/21 17:29, Cosmo ha scritto:

In data martedì 8 giugno 2021 16:46:53 CEST, Roberto Balbi ha scritto:

il bios è l'ultimo disponibile per la mb, 2.10 2010/7/1 (lo so, è
vecchiotto). la mb è sata2, ma già con un ssd sata3 (/dev/sda) non ho
avuto problemi.
batteria tampone ok.


Che differenza c'è tra il nuovo e il vecchio disco?
In fstab hai provato a usare sdX invece del uuid?


grazie, ho risolto.
vedi post di risposta a Marco Ciampa per dettagli.

Re: disco nuovo, non compare grub





Il 08/06/21 22:49, valerio ha scritto:



Il 08/06/21 16:43, Roberto Balbi ha scritto:

Il 08/06/21 12:25, Marco Ciampa ha scritto:

On Tue, Jun 08, 2021 at 10:55:56AM +0200, Roberto Balbi wrote:

salve lista


Ovvio che non compaia grub, se non lo installi...

vedi il comando

grub-install /dev/sdX

... ecc.

grazie per la risposta. chiarisco che grub è installato sul disco sda 
che contiene le partizioni / e /home. il nuovo disco (sdb) contiene 
solo dati (lo monto in /media/dati). se lo scollego, o lo collego con 
adattatore usb, il sistema parte correttamente. ho anche provato a 
reinstallare grub dal dvd di debian (modalità rescue). senza 
risultati. appena ricollego il nuovo hdd alla mb, non mi compare grub 
e il sistema non parte.




quindi, mi sembra che non sia un problema di grub, ma del sistema che 
non parte...

puoi postare il contenuto di fstab? ed anche fdisk -l?

valerio

.

grazie, ho risolto.
vedi post di risposta a Marco Ciampa per dettagli.

Re: disco nuovo, non compare grub





Il 08/06/21 17:28, Marco Ciampa ha scritto:

On Tue, Jun 08, 2021 at 10:55:56AM +0200, Roberto Balbi wrote:

salve lista
ho acquistato un disco seagate da 1tb ST1000DM010-2EP102 HDD sata, per
sostituire un precedente disco a fine vita. è riconosciuto dal bios (vecchio
pc, niente efi). all'avvio non mi compare più la schermata di grub (!?).
se lo collego con adattatore sata2usb nessun problema.
indico di seguito le operazioni eseguite.

pc spento.
collegato nuovo hdd alla mb (asrock n68-s).
avvio (grub, debian stable 64bit).
accesso come root.
avvio gparted. disco riconosciuto correttamente.
creata tabella partizioni msdos e partizioni come segue (fdisk -l)

Disk /dev/sdc: 931,5 GiB, 1000204886016 bytes, 1953525168 sectors
Disk model: 010-2EP102
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xd1cb95d0

Device Boot  StartEndSectors   Size Id Type
/dev/sdc1 2048 1936748543 1936746496 923,5G 83 Linux
/dev/sdc2   1936748544 1953523711   16775168 8G 82 Linux swap /
Solaris

monta la partizione in /mnt

copiati i dati dal disco vecchio al disco nuovo. (solo dati standard,
copiati semplicemente con cp -a).

aggiorno il uuid in fstab per puntare al nuovo disco.
spengo.
elimino vecchio disco.
avvio.
non compare grub. (?!)
scollegato dalla mb e collegato con adattatore usb -> avvio corretto.
update-grub
riavvio. stesso problema. non compare grub.
avvio col dvd di installazione di debian -> avvio corretto.
ripristino grub.
riavvio. stesso problema.

non riesco a capire che problema abbia a partire con il disco collegato
direttamente alla mb.

cosa posso controllare? grazie per qualsiasi indicazione.

Roberto Balbi


Possono esserci diversi fattori, anche tutti assieme...

1) Innanzi tutto vedi che lo vede come /dev/sdc?

Parti con una live e collegalo direttamente e guarda come lo chiama...
Quindi prova a reinstallare reinstalla grub facendo chroot...

Dalla live:

mkdir nn
mount -o bind /proc nn/proc
mount -o bind /dev nn/dev
mount -o bind /sys nn/sys
chroot nn
mount -a
grub-install /dev/sda
sync

- qui puoi semplicemente spegnere di brutto oppure -

umount /boot
exit
umount nn/sys
umount nn/dev
umount nn/proc
reboot

2) è un disco con settori da 4K che "fa finta" di essere da 512 ...
questo può provocare cadute di performance e anche mancato avvio perché
la geometria di ricostruzione dei settori può cambiare a seconda di come
lo vede la motherboard, la procedura sopra descritta dovrebbe risolvere...

--

Saluton,
Marco Ciampa

.


GRANDE MARCO!
non proprio come hai detto tu, ma ho risolto.
indico il procedimento se può essere utile ad altri.

avviato da dvd debian in modalità rescue.
aperta una shell (direttamente in sda3 che sarebbe la mia /).
montato tutti i dischi creando directory apposite.
reinstallato grub.
riavvio.
tutto ok.

non mi è ben chiaro perchè non avevano funzionato i precedenti tentativi 
di reinstallazione di grub sempre con tutti i dischi montati, ma come si 
suol dire: se funziona, non aggiustarlo.

grazie ancora a te per le dritte, e a tutti per l'attenzione.
Roberto

Re: disco nuovo, non compare grub


Il 08/06/21 12:34, Cosmo ha scritto:

In data martedì 8 giugno 2021 10:55:56 CEST, Roberto Balbi ha scritto:

non riesco a capire che problema abbia a partire con il disco collegato
direttamente alla mb.


Il bios è aggiornato?
La batteria tampone è stata sostituita recentemente?



grazie per la risposta.
il bios è l'ultimo disponibile per la mb, 2.10 2010/7/1 (lo so, è 
vecchiotto). la mb è sata2, ma già con un ssd sata3 (/dev/sda) non ho 
avuto problemi.

batteria tampone ok.

Re: disk imaging sw





Il 08/06/21 16:15, Marco Ciampa ha scritto:

On Tue, Jun 08, 2021 at 02:45:12PM +0200, Nicola Cantalupo wrote:

buongiorno, mi consigliate un software open source per disk imaging con
incremental imaging?


Incremental non ce ne sono per quel che ne so io. Per quello andrei di sw
di backup come BackuPC o simili basati su rsync.

Per le immagini partimage fa un egregio lavoro e lo trovi in tutte le
distro oppure nella live di clonezilla.



aggiungo "back in time" sempre nei repo e sempre basato su rsync. facile 
da configurare.

Re: disco nuovo, non compare grub


Il 08/06/21 12:25, Marco Ciampa ha scritto:

On Tue, Jun 08, 2021 at 10:55:56AM +0200, Roberto Balbi wrote:

salve lista


Ovvio che non compaia grub, se non lo installi...

vedi il comando

grub-install /dev/sdX

... ecc.

grazie per la risposta. chiarisco che grub è installato sul disco sda 
che contiene le partizioni / e /home. il nuovo disco (sdb) contiene solo 
dati (lo monto in /media/dati). se lo scollego, o lo collego con 
adattatore usb, il sistema parte correttamente. ho anche provato a 
reinstallare grub dal dvd di debian (modalità rescue). senza risultati. 
appena ricollego il nuovo hdd alla mb, non mi compare grub e il sistema 
non parte.

disco nuovo, non compare grub