28 marzo 2026 · 9 min lettura
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-Hosting900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Da YNAB a Google Photos, ogni SaaS che usi ha un'alternativa self-hosted su PikaPods a meno di $6 al mese. 10 confronti con prezzi reali.
Ubuntu 24.04 LTS ha retto bene. Due anni di stabilità, aggiornamenti prevedibili, nessuna sorpresa sgradevole nei container. Poi Canonical ha rilasciato la beta di Ubuntu 26.04 LTS "Resolute Raccoon" il 26 marzo 2026, e le novità di Ubuntu 26.04 LTS sono il tipo di cambiamento che costringe a ripensare l'infrastruttura — crittografia post-quantum di default, sudo riscritto in Rust, X11 eliminata, cgroup v1 morta. Per chi gestisce un homelab, non è un aggiornamento qualunque: è un punto di rottura deliberato con il passato.
Chi ha seguito il caos di Docker v29 sa cosa succede quando un upstream decide che la retrocompatibilità è un lusso. Ubuntu 26.04 fa la stessa scommessa, ma su scala più ampia.
Non è un rilascio incrementale. Canonical ha infilato in un unico LTS cinque cambiamenti che, singolarmente, meriterebbero ciascuno un ciclo di testing dedicato:
Il supporto standard copre 5 anni (aprile 2031), estendibili a 10 con Ubuntu Pro e 15 con ESM + Legacy. La stable è prevista per il 23 aprile 2026, ma l'upgrade da 24.04 LTS si aprirà solo con la 26.04.1, il 6 agosto 2026.
Il cambiamento più sottile e più importante non è visibile a occhio nudo. OpenSSH in Ubuntu 26.04 usa mlkem768x25519-sha256 come algoritmo di scambio chiavi — un ibrido che combina ML-KEM768 (post-quantum) con X25519 (classico). OpenSSL fa lo stesso per TLS con X25519+ML-KEM. Tradotto: ogni connessione SSH e ogni handshake TLS sulla macchina è protetta contro un attacco quantistico, senza che l'utente faccia nulla.
Il ragionamento è semplice e inquietante. Attori statali raccolgono traffico cifrato adesso — backup in transito, sessioni SSH, traffico VPN — con l'intenzione di decrittarlo quando i computer quantistici saranno maturi, finestra stimata tra il 2030 e il 2040. Si chiama Harvest Now, Decrypt Later. Se il tuo homelab gestisce dati personali, backup di clienti o traffico aziendale in transito, la finestra di esposizione è già aperta.
Ubuntu 26.04 è il primo OS mainstream ad abilitare la crittografia post-quantum di default. Non il primo a supportarla — il primo a renderla lo standard.
sudo esiste dal 1980. Quarantasei anni di codice C che gestisce l'escalation dei privilegi su praticamente ogni server Linux del pianeta. In tutto quel tempo, una singola vulnerabilità — CVE-2021-3156, "Baron Samedit" — ha esposto un buffer overflow presente dal 2011 e scoperto solo nel 2021. Dieci anni di privilege escalation silenziosa.
sudo-rs è ora il provider sudo di default su Ubuntu 26.04. Il sudo originale di Todd C. Miller è stato rinominato in "sudo.ws" e il pacchetto sudo-ldap è stato rimosso. Il progetto memorysafety.org, che finanzia il rewrite, sostiene che Rust elimina intere classi di vulnerabilità memory-safety alla radice.
Lo stesso approccio vale per i coreutils: rust-coreutils (uutils) è fornito come pacchetto e passa l'88% dei test della suite GNU. Il restante 12% non è trascurabile — e soprattutto ci sono regressioni di performance concrete. Il comando cksum risulta fino a 17 volte più lento di GNU su file grandi. base64, al contrario, supera GNU.
"Decenni di uso reale e hardening valgono più di qualsiasi promessa di un rewrite." — Commento popolare su Hacker News
Lo scetticismo ha una base tecnica, non solo emotiva. I coreutils GNU hanno accumulato decenni di edge case risolti, ottimizzazioni per architetture specifiche, test di compatibilità con ogni distribuzione esistente. Un rewrite in Rust non eredita quella storia — la deve ricostruire. Il versioning v0.x di uutils non aiuta la fiducia. GNU coreutils resta come fallback, il che è una rete di sicurezza sensata.
La transizione Wayland è iniziata nel 2008. Diciotto anni dopo, GNOME 50 ha tagliato il cordone: la sessione X.org non esiste più. XWayland resta per le applicazioni legacy, ma il server display è solo Wayland.
Per chi usa il desktop in locale, i vantaggi sono concreti: HDR, VRR, fractional scaling, GPU accelerated remote desktop, isolamento di sicurezza tra applicazioni. Per chi gestisce un homelab e accede via VNC — ed è la maggioranza — il problema è immediato.
La soluzione pratica esiste — GNOME Remote Desktop usa RDP ed è integrato nativamente — ma richiede di ripensare il workflow di accesso remoto. Chi ha script di automazione basati su xdotool o custom window manager X11 dovrà riscriverli o restare su 24.04.
Il kernel 7.0 non è un salto architetturale. Linus Torvalds lo ha spiegato con la consueta eleganza:
"Mi sto di nuovo confondendo coi numeri grandi, sto finendo le dita delle mani e dei piedi, quindi il prossimo kernel si chiamerà 7.0." — Linus Torvalds, annuncio kernel 7.0 (8 febbraio 2026)
Sarebbe stato il 6.20, ma Torvalds ha scelto un numero nuovo. Tradizione consolidata — lo aveva già fatto con 5.0 dopo 4.20 e 6.0 dopo 5.19. Quello che conta davvero nel kernel sono due novità: il supporto nativo Intel TDX per VM confidenziali con crittografia AES-128, e la crittografia disco TPM-backed ora production-ready (non più experimental). Il PIN del disco è modificabile post-installazione, e il reboot automatico su macchine con TPM 2.0 funziona senza inserire password — un vantaggio diretto per chi ha mini-PC come NUC, Beelink o DeskPi nel rack.
Questo è il cambiamento che può bloccare un aggiornamento. cgroup v1 è stato rimosso. I sistemi che ancora lo usano non possono aggiornare a Ubuntu 26.04 — non c'è fallback, non c'è compatibilità. Docker 29 (incluso nella release con containerd 2.2.1 e runc 1.4.0) richiede cgroup v2.
Proxmox 8.x usa cgroup v2 di default, ma chi ha configurazioni migrate da versioni precedenti deve verificare. Lo stesso vale per chi ha container LXC personalizzati con immagini base più vecchie.
# Verifica se il sistema usa cgroup v2
stat -fc %T /sys/fs/cgroup/
# Output atteso: cgroup2fs (v2) — se mostra tmpfs, è v1
# Su Proxmox, verifica la configurazione del nodo
cat /proc/cmdline | grep cgroupSnap resta la spina nel fianco. Il sistema di pacchettizzazione proprietario di Canonical è sempre più integrato nel sistema — al punto che Jon Seager di Canonical ha dichiarato, senza apparente imbarazzo: "se rimuovi snapd, non avrai l'audio".
Il problema non è solo filosofico. CVE-2026-3888 è una privilege escalation via snap-confine con CVSS 7.8, corretta in snapd 2.74.1+. snap-confine gira con setuid root — un vettore di attacco classico che contraddice la narrativa del sandboxing sicuro. Lo Snap Store resta proprietario, le mount table si moltiplicano, gli aggiornamenti sono forzati.
Per chi gestisce un homelab, la strategia pragmatica non cambia: installare con APT tutto quello che si può, usare Snap solo dove non c'è alternativa, monitorare i CVE su snap-confine con attenzione.
Basta teoria. Ecco l'impatto concreto, componente per componente.
I requisiti hardware per il server sono rimasti accessibili: 1.5 GB di RAM e 4 GB di disco. Per il desktop servono almeno 6 GB di RAM e 25 GB — un aumento rispetto al passato, ma niente di proibitivo.
Ubuntu 26.04 LTS è il rilascio più ambizioso da anni. Canonical ha scelto di rompere con il passato su più fronti contemporaneamente — cgroup, X11, sudo, crittografia — invece di spalmare i cambiamenti su due cicli LTS. È una scommessa sulla maturità dell'ecosistema Rust, Wayland e post-quantum. Potrebbe essere prematura — io penso di no, ma capisco chi la vede così. La direzione è giusta.
Se hai macchine in produzione: non toccare la beta. Non toccare nemmeno la stable del 23 aprile. Aspetta la 26.04.1 il 6 agosto 2026 — l'upgrade da 24.04 LTS sarà disponibile solo da quella data. L'ultimo ciclo, con la 24.04.1, fu sospeso per problemi di dipendenze kernel headers.
Se vuoi testare: installa ora in una VM Proxmox. Verifica i tuoi container, i tuoi script di automazione, il tuo workflow di accesso remoto. Due settimane di test in VM valgono più di un'ora di panico in produzione.
Se non hai ancora fatto nulla: abilita cgroup v2 adesso. È il prerequisito non negoziabile per qualsiasi aggiornamento futuro, Ubuntu o meno. Tutto il resto può aspettare. Questo no.
Fonti: Ubuntu 26.04 Release Notes, Changes Since 25.10, GNOME 50 — The Register, sudo-rs — memorysafety.org, PQC in Ubuntu 26.04 — Discourse, CVE-2026-3888 — Qualys, Ubuntu 26.04 Beta — OMG! Ubuntu, ServerSpace Guide, Snaps unavoidable — Ludditus, Rust Coreutils — It's FOSS