Infraštruktúra a hardvér
Blokovanie portu mDNS z vonkajšej siete: Jednou z najznámejších vyhľadávacích služieb poskytujúcich prehľad o službách dostupných na verejných IP adresách je Shodan. V rámci získaného akademického prístupu k nemu sme skontrolovali, „čo vie o sieti FI internet“ a umožnilo nám to odhaliť neúmyselne prevádzkovanú službu multicast DNS (mDNS) na zopár strojoch. Takáto služba okrem iného umožňuje service discovery, t.j. získať zoznam služieb dostupných na danom stroji. Preto sme ju preventívne plošne zneprístupnili na fakultnom firewalle.
Captive portál wlan_fi bez landing page: Drobným vylepšením nedávno nasadeného captive portálu na Wi-Fi sieti wlan_fi sme zjednodušili prihlasovanie automatickým a okamžitým presmerovaním z landing page na autentizačnú stránku na Fadmine.
Posilnenie Wi-Fi vo vstupnej hale a PC hale: Na FI prevádzkujeme prístupové body (AP), ktoré podporujú štandard Wi-Fi 5, resp. 802.11ac Wave 2, umožňujúci grandiózne teoretické prenosové rýchlosti na fyzickej úrovni (L1) až do 2.34 Gbps. Realita je však samozrejme inde a skutočná rýchlosť závisí na mnohých parametroch (šírka pásma, počet antén, modulácia) a v prostredí s viacerými AP je teda situácia zásadne obmedzenejšia. S cieľom pokúsiť sa vylepšiť prenosovú rýchlosť v priestoroch s väčším výskytom klientov sme zdvojnásobili šírku kanála pre AP vo vstupnej a PC hale v pásme 5 GHz na 80 MHz (štandardne používame 20 MHz pre pásmo 2.4 GHz a 40 MHz pre pásmo 5 GHz).
Máme sondu RIPE Atlas Anchor: Vzhľadom na občasné problémy, ktoré riešime v rámci prevádzky nášho servera NTP poskytujúceho presný čas, sme sa rozhodli získať možnosť lepšieho vhľadu do dostupnosti našej siete z internetu. Zapojili sme sa teda do projektu RIPE Atlas, ktorý predstavuje globálnu a distribuovanú monitorovaciu sieť aktuálne tvorenú okolo 9000 aktívnymi uzlami (v ČR ich je 240). V našej sieti sme nasadili softvérovú sondu (#6788), ktorá nám umožňuje realizovať merania stavu našej siete z rôznych miest v internete.
Softvérové vybavenie a prostredie
Kontrola prístupových práv domovských adresárov: Na podnet študenta predmetu UNIX sme urobili kontrolu prístupových práv linuxových domovských adresárov vrátane ACL. Spomedzi cca 2600 adresárov šlo o cca 170 prípadov s potenciálne problematickými nastaveniami, občas dosť zjavne nevhodnými (práva ako drwxrwxrwx alebo drws--srwt). Za východzie bezpečné práva považujeme (drwx------), s prípadnými doplnkovými prístupmi pre účty apachefi (kvôli webu), pv004lab (pre výuku PV004) a spamd (v prípade špecifickej antispamovej konfigurácie) cez ACL. Túto kontrolu začneme robiť pravidelne, aby sme boli schopní včas vlastníkov upozorniť na možné problémy.
Renice náročných procesov na Aise: Vzhľadom na potenciálne problémy spojené s behom náročných výpočtov na zdieľaných fakultných strojoch (predovšetkým na Aise a Aure) pre ne platia určité pravidlá. Zvýšená aktivita v tomto mesiaci nás viedla k nasadeniu mechanizmu na detekciu a zmenu priority dlhšie trvajúcich náročnejších procesov, ktorý už dlhšie používame na výpočtovom serveri Aura, i na Aisu: v skratke, dlhšie bežiace procesy bez vhodného nastavenia niceness spôsobia úplné zníženie priority všetkých procesov vlastníka vrátane upozornenia mailom. Preto vás chceme pri tejto príležitosti upozorniť, aby ste Aisu na výpočtové úlohy využívali len v obmedzenej miere a uvážene s ohľadom na ostatných používateľov.
Služby
Fedora 32 v Stratus.FI: Ako býva zvykom, po vydaní novej Fedory sme vytvorili jej predpripravenú šablónu.
Notifikácie GitLabu o prihláseniach: Po aktualizácii nášho GitLabu koncom mesiaca rýchlo vyplávala na povrch jeho nová „užitočná“ vlastnosť vo forme notifikácií s predmetom Unknown sign-in from new location. Napriek určitým výhodám môžu byť takéto upozornenia i otravné, ale v tejto chvíli túto funkcionalitu nie je možné zmeniť. Táto vlastnosť však nebola komunitou prijatá úplne pozitívne, takže sa snáď čoskoro dočkáme zlepšenia.
Kontrola neperzistentných diskov v Stratus.FI: OpenNebula umožňuje vytvárať virtuálne stroje s perzistentnými či neperzistentnými diskami. Problematickou situáciou môže byť, keď virtuálny stroj produkčného charakteru používa neperzistentný disk. V prípade neopatrnej manipulácie, neplánovaného výpadku či komplikáciách pri rutinnej aktualizácii virtualizačného riešenia je šanca, že dôjde priamo či nepriamo k operácii undeploy, ktorá spôsobí stratu dát z tohto disku. Preto sme skontrolovali stav existujúcich produkčných virtuálnych strojov a v prípade nájdených problémov pracujeme na ich vyriešení v spolupráci s vlastníkmi strojov.
Web a technická dokumentácia
Krajšie URL pre Node.JS na Aise: Posledne pridanú dokumentáciu Node.JS na Aise sme ešte doplnili o popis, ako dosiahnuť pekné URL aplikácií, viď posledná sekcia Pěkná URL.
Refaktoring stánky o PHP na Aise: V nadväznosti na riešenie jedného problému s PHP sme návod k PHP skontrolovali, zopár nepresností opravili a vylepšili ho tak, aby obsahoval jednoduchšie nasledovateľné a explicitné inštrukcie. V rámci tohto sme sprístupnili i log suEXEC, ktorý môže byť pri nasadzovaní PHP užitočný. Pri tejto príležitosti by sme chceli pripomenúť, že ak narazíte na nejaké nejasnosti alebo problémy v našej dokumentácii, budeme radi, ak nám o nich dáte vedieť.
Odstraňovanie neužitočných obrázkov z mailov: Pokiaľ čítate fakultné maily v textovej verzii, napríklad cez mutt, môžu vám prekážať obrázky v podpisoch mailov, ktoré sa zobrazujú ako príloha. U nich nemusí byť vždy jasné, že ide len o podpis/logo/… a nie o dôležitú prílohu. Do našej dokumentácie k procmailu sme preto doplnili postup, ktorý vám s týmto môže pomôcť.
Procmail a kódované hlavičky: Pokiaľ používate procmail a trápi vás, že neumožňuje rozumne pracovať s kódovanými hlavičkami (či už cez Base64 alebo quoted printable), nazrite na našu stránku o procmaili.
Dokumentácia .NET a ASP: Po upozornení vyučujúceho sme odstránili mätúcu zmienku o ASP.NET v stránke o .NET na Aise a pri tej príležitosti rovno trošku vylepšili návod.
Vedeli ste, že…
… (možnosť nastavenia IPv6) pokiaľ máte na fakulte pridelenú pevnú IPv4 adresu, môžeme vám dať k dispozícii i IPv6 vrátane DNS záznamu?
… (posielanie syslogu k nám) na fakulte prevádzkujeme centrálny syslog server? Pokiaľ máte záujem, môžete si po dohode s nami nastaviť posielanie syslogu zo svojho stroja k nám, čo môže byť užitočné v prípade bezpečnostného incidentu.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
