Mantenere i propri server aggiornati è una delle pratiche fondamentali per garantire sicurezza e stabilità in qualsiasi infrastruttura, che si tratti di un homelab casalingo o di un ambiente di produzione.

Sapere in tempo reale quali pacchetti necessitano di aggiornamento, quali patch di sicurezza sono disponibili e avere una visione centralizzata dello stato dei propri sistemi Linux è qualcosa che, fino a poco tempo fa, richiedeva script personalizzati o soluzioni enterprise costose.

PatchMon v2 si propone come una soluzione open source elegante e leggera per il monitoraggio degli aggiornamenti su sistemi Debian/Ubuntu, offrendo una dashboard web intuitiva, notifiche configurabili e un’API REST che si integra facilmente con i principali strumenti di automazione e orchestrazione.

In questa guida vedremo come installare e configurare PatchMon v2 da zero su Ubuntu Server 26.04 LTS, la nuova release a supporto prolungato che introduce diverse ottimizzazioni lato sicurezza e gestione dei pacchetti. Partiremo dai prerequisiti di sistema, passeremo attraverso l’installazione del servizio e la sua configurazione base, fino ad avere un’istanza perfettamente funzionante e pronta all’uso.

Che tu stia gestendo un singolo server o una piccola flotta di macchine, al termine di questa guida avrai un sistema di monitoraggio delle patch affidabile, sempre sotto controllo.

PREREQUISITI

Ubuntu Server 26.04 LTS (Resolute Raccoon)

Architettura amd64/arm64

Utente con privilegi sudo o root

 

AGGIORNAMENTO DEL SISTEMA

Aggiornare il sistema con il comando:

 

 

RIMOZIONE DEI PACCHETTI DOCKER CONFLITTUALI

Prima di installare Docker Engine, devi rimuovere eventuali pacchetti non ufficiali che potrebbero creare conflitti: Docker

Non preoccuparti se alcuni pacchetti non risultano installati è normale.

 

INSTALLAZIONE DOCKER CE DAL REPOSITORY UFFICIALE

Per avere sempre le ultime patch di sicurezza, aggiungi il repository ufficiale Docker alle sorgenti APT: iRexta

Installare i prerequisiti con il comando:

Aggiungere la GPG key ufficiale di Docker con i comandi:

Aggiungere il repository (usa automaticamente il codename “resolute”) con il comando:

Aggiornare l’indice e installare Docker con i comandi:

 

 

VERIFICARE DOCKER E ABILITARE L’AVVIO AUTOMATICO

Verificare e abilitare Docker con i seguenti comandi:

Dovremmo vedere Active: active (running).

 

AGGIUNGERE IL TUO UTENTE AL GRUPPO DOCKER (OPZIONALE MA CONSIGLIATO)

Per eseguire i comandi Docker senza sudo aggiungere il tuo utente al gruppo docker con i seguenti comandi:

⚠️ ATTENZIONE: questo equivale a privilegi root sull’host. Fallo solo con utenti fidati.

 

VERIFICA DEL DOCKER

Per verificare che Docker funzioni esseguire il comando:

Dovremmo visualizzare il seguente output:

Quindi verificare la versione di Docker Compose installata con il comando:

Dovremmo visualizzare il seguente output:

 

INSTALLAZIONE DI PATCHMON V2

Eseguire lo script di setup da una directory vuota.

Scaricherà automaticamente docker-compose.yml e env.example, genererà tutti i secret necessari e ti guiderà nella configurazione dell’URL e del fuso orario in modo interattivo.

Eseguire i comandi:

Lo script chiederà le seguenti cose:

 

 

AVVIARE IL CONTAINER

Eseguire il comandi:

Verificare che tutti i servizi siano Up:

Eseguire il comando:

Dovremmo vedere 4 container attivi: server, database (PostgreSQL), redis e guacd.

 

WIZARD DI PRIMO ACCESSO TRAMITE WEBGUI

Aprire il browser e richiamare l’URL che abbiamo configurato (es. http://miodominio.lab:3000).

Inserire tutte le info richieste quindi cliccare Next

Scegliere ser attivare l’MFA subito oppure se farlo dopo quindi cliccare Next

Confermare l’URL del Server e valutare se abilitare il Certificato Self Signed. Cliccare Next

Cliccare Next

Cliccare su Access Dashboard

Se è tutto OK dovremmo visualizzare la Dashboard di Patchmon come mostrato nell’immagine sovrastante

AGGIUNTA DI UN SERVER WINDOWS A PATCHMON

Dalla Dashboard

Cliccare su Host dal menu laterale quindi Add Host

Selezionare Windows come tipolgia di server quindi cliccare Next

Inserire il nome quindi cliccare Next

Copiare il comando da eseguire sul server da monitorare

Sul server da monitorare aprire un Powershell con diritti amministrativi quindi incollare il comando

Sulla Console PatchMon dovremmo vedere Waiting for Connection

Sul Server da monitorare se è andato tutto a buon fine dovremmo visualizzare il seguente output del Powershell:

 

Sulla Console PatchMon dovremmo visualizzare il server appena aggiunto

 

AGGIUNTA DI UN SERVER LINUX A PATCHMON

Dalla Dashboard

Cliccare su Host dal menu laterale quindi Add Host

Selezionare Linux come tipologia di server quindi cliccare Next

Inserire il nome quindi cliccare Next

Copiare il comando da eseguire sul server Linux da monitorare

Dopo aver eseguito il comando sul server da monitorare se è tutto OK dovremmo visualizzare il seguente output:

 

Se è andato tutto a buon fine sulla console di PatchMon dovremmo visualizzare il server aggiunto

DISINSTALLAZIONE DELL’AGENT PATCHMON DA UN HOST WINDOWS

Su un server Windows eseguire con una console Powershell con diritti amministrativi eseguire i comandi:

 

NOTA BENE: rimuovere l’agente dall’host non lo elimina automaticamente dalla dashboard di PatchMon. Ricordati di cancellare l’host anche dalla UI per tenerla pulita

 

DISINSTALLAZIONE DELL’AGENT PATCHMON DA UN HOST LINUX

Su un server Linux eseguire l’agente include un comando di disinstallazione integrato:

Se il server non è raggiungibile, puoi rimuovere l’agente manualmente:

 

NOTA BENE: rimuovere l’agente dall’host non lo elimina automaticamente dalla dashboard di PatchMon. Ricordati di cancellare l’host anche dalla UI per tenerla pulita

 

AGGIORNAMENTO DI PATCHMON

Per aggiornare PatchMon eseguire i comandi elencati di seguito:

 

 

CONFIGURAZIONE DI PATCHMON DIETRO REVERSE PROXY

La configurazione si articola in due parti: il file .env di PatchMon e il Proxy Host in NPM.

Parte 1 — Modificare il file .env di PatchMon

Questo è il passaggio più importante. Apri il file .env nella directory di PatchMon:

Individuare e modificare le seguenti variabili:

 

⚠️ TRUST_PROXY ora è true per default in v2. La maggior parte degli utenti usa PatchMon dietro un reverse proxy (Traefik, Caddy, Nginx, NPM); il precedente default false causava problemi di login OIDC e perdita degli IP reali dei client. Se esponi PatchMon direttamente su IP pubblico senza proxy, imposta esplicitamente TRUST_PROXY=false.

Dopo aver salvato, riavvia i container con i comandi:

 

Parte 2 — Configurare il Proxy Host in NPM

Accedere alla dashboard di NPM (http://IP-NPM:81)
Andare su Proxy Hosts → Add Proxy Host
Compila la scheda Details così:

Domain Names: patchmon.tuodominio.it

Scheme: http

Forward Hostname / IP: IP del server PatchMon (es. 192.168.1.100)

Forward Port: 3000

Cache Assets❌ Off

Block Common Exploits✅ On

Websockets Support✅ On ← fondamentale

Nella scheda SSL:

• Selezionare o richiedere un certificato Let’s Encrypt
• Abilitare Force SSL
• Abilitare HTTP/2 Support

Nella scheda Advanced, incollare queste direttive custom per garantire il corretto passaggio degli header ai WebSocket:

nginxproxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

# WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
proxy_read_timeout 3600s;
proxy_send_timeout 3600s;

Cliccare Save

Perché i WebSocket sono critici

TLS in produzione: usa sempre HTTPS e WSS. L’agente assume WSS quando l’URL del server inizia con https://. Quando sei dietro Nginx (o simili), assicurati che l’header X-Forwarded-Proto: https venga inviato correttamente al backend, in modo che rilevi la connessione sicura.

Gli agenti usano HTTPS per i report e la configurazione, e WSS (WebSocket over TLS) per eventi in tempo reale come lo streaming live delle patch e lo stato Docker. Assicurati che i WebSocket siano supportati dal proxy quando inoltri il traffico al container PatchMon sulla porta 3000.

Verifica finale

Dopo aver salvato tutto, controlla che la connessione sia corretta accedendo a https://patchmon.tuodominio.it.

Nella dashboard, gli agenti connessi dovrebbero mostrare lo stato WSS (verde) e non WS (non sicuro).

Se un agente già installato usa il vecchio URL HTTP, aggiorna la sua configurazione

 

NOTE IMPORTANTI

UFW e Docker: Ubuntu 26.04 usa UFW come firewall, ma Docker manipola iptables direttamente, bypassando UFW. Se esponi una porta tramite Docker, questa rimane aperta al pubblico anche se bloccata in UFW. Per mitigare, fai bind solo su localhost e usa un reverse proxy (Nginx, Caddy, NPM) per l’accesso esterno.

Reverse proxy e WebSocket: assicurati che il tuo proxy supporti i WebSocket, poiché gli agenti li usano per eventi in tempo reale (WSS su porta 443).