Stalo sa, deje sa, stane sa
Diera v sudo: Minulý týždeň bola zverejnená vážna diera v sudo (CVE-2021-3156), preto aktualizujte.
Máte problém s funkčnosťou webu FI na FI? Zaznamenali sme prípad, kedy zo stroja na FI nebola dostupná doména www.fi.muni.cz. Po istom pátraní sa ukázalo, že problémom je prítomnosť IPv4 i IPv6 DNS záznamov pre náš web. Daný stroj s Ubuntu pri preklade domény webu ignoroval IPv4 adresu a snažil sa použiť len IPv6 adresu, hoci ten stroj IPv6 nakonfigurované nemal (vid tiež IPv6 na FI). Pokiaľ by ste na tento problém narazili, obráťte sa na nás na unix@fi. Dodáme, že problém je minimálne možné obísť vypnutím systemd-resolved.
Infraštruktúra a hardvér
Sledovanie stavu spojení medzi switchmi: S cieľom odhaliť prípadné veľmi krátke problémy v našej sieťovej infraštruktúre sme začali monitorovať funkčnosť fyzických spojov medzi switchmi. Už dlho získavame od switchov informácie typu SNMP traps, kde sa medzi udalosťami nachádzajú aj zmeny operačného stavu fyzických portov (IF-MIB::linkDown, IF-MIB::linkUp), ktoré odteraz špecificky sledujeme. Výhodou oproti pravidelným kontrolám (napríklad cez Nagios) je, že takto je možné odhaliť i subsekundový výpadok.
Softvérové vybavenie a prostredie
Nové moduly: Používateľom bol pridaný modul rust-1.47.0 s Rustom.
Časový limit pre GHC: Vzhľadom na časté výskyty procesov ghci na Aise, kde študenti nechajú neúmyselne bežať nekonečný výpočet a zbytočne tým Aisu zaťažujú, sme upravili modulové GHC i lokálnu verziu na Aise – teraz je vďaka implicitnému použitiu trojhodinového limitu na čas CPU (viď help ulimit alebo bash(1) a setrlimit(2)) takýto proces po vyčerpaní troch hodín aktívneho využívania CPU automaticky ukončený. V prípade potreby dlhších výpočtov oznam pri spustení GHCi inštruuje, ako na to.
Modulový Clang s OpenMP: Vďaka vylepšeniu modulu llvm-11.0.0 jeho vlastníkom je odteraz možné využívať v ňom knižnicu OpenMP.
Služby
Obraz Fedory 33 v Stratus.FI: S istým oneskorením po vydaní Fedory 33 sme v našom cloude Stratus.FI sprístupnili predpripravenú šablónu tejto progresívnej distribúcie.
Menej reautentizácie na našej VPN: Po hlásení niektorých nových používateľov našej VPN sme upravili implicitnú dobu, kedy dochádza k obmene kryptografických komunikačných kľúčov (pre záujemcov viď voľba reneg-sec v openvpn(1)), z jednej hodiny na jeden deň, takže tento problém by mal byť v obvyklých prípadoch používania prakticky odbúraný.
Nové odporúčané nastavenie poštových klientov: Na základe už dávnejšieho odporúčania (vychádzajúceho z RFC 8314) sme aktualizovali údaje v našej technickej dokumentácii o tom, ako by mal byť správne konfigurovaný mailový klient. V skratke: používajte SSL/TLS namiesto STARTTLS a port pre MSA namiesto portu pre SMTP.
Skrátenie doby doručenia nerodučeniek: Pri odosielaní pošty sa môže stať, že server obhospodarujúci schránku príjemcu pošty mailovú správu dočasne odmietne (typicky antispamové opatrenie) alebo nejakú dobu neodpovedá. Odosielací server má v takom prípade podľa odporúčaní v štandarde SMTP (RFC 5321) vytrvať päť dní, než snahu doručiť vzdá. Túto skutočnosť následne formou oznámenia o nedoručení (nedoručenka) pošle odosielateľovi. Problém však je, že keď táto situácia nastane, odosielateľ môže byť po túto dobu v omyle, že mail bol doručený. Preto sme sa na základe takto riešeného prípadu rozhodli tento limit na našom poštovom serveri skrátiť na jeden deň (pre záujemcov viď tieto dve nastavenia Postfixu).
Sledovanie funkčnosti GitLab pages: Po nahlásení nefunkčnosti používateľskej inštancie GitLab Pages (chyba 502 Bad Gateway, príčina je nejasná), sme zaviedli monitoring funkčnosti GitLab Pages (na našom demo projekte). Každopádne, monitorovanie poskytovaných služieb patrí medzi princípy, ktoré sa vždy snažíme dodržiavať, keďže dlhodobé skúsenosti s používateľmi ukazujú, že takýchto prípadov nahlásenia problému býva bohužiaľ vždy málo.
Zrkadlenie distribúcie blackPanther OS: V našom archíve FTP sme začali zrkadliť ďalšiu linuxovú distribúciu blackPanther OS (viď i DistroWatch). Podobnosť s istým filmom je čisto náhodná.
Web a technická dokumentácia
Slajdy k službám unix@fi: V rámci predmetu PV005 je jedna z prednášok venovaná prehľadu služieb poskytovaných unixovou sekciou CVT. Jej slajdy (jéj, slajdy!) sme sprístupnili i v technickej dokumentácii.
Zneprístupnenie adresárov gitu na webe: Pre weby v doméne www.fi.muni.cz sme plošne zakázali prístup k adresárom .git. Ide o všeobecne známy problém, ktorý síce môže byť v kontrolovaných prípadoch v poriadku, ale v prípade neúmyselného zverejnenia môže viesť k sprístupneniu nezamýšľaných informácií. Preto sme sa rozhodli pre toto proaktívne opatrenie.
Podpora nových obrázkov v novinkách z ISu: IS MU začal nedávno podporovať nový spôsob vkladania obrázkov do správ na výveske. V túto chvíľu už podporujeme ich preberanie aj na web FI.
Lepšie bezpečnostné hlavičky pre Fadmin: Na Fadmine sme v rámci dlhodobého vylepšovania v oblasti bezpečnosti webov zaviedli niektoré bezpečnostné hlavičky (X-Frame-Options, X-Content-Type-Options, Referrer-Policy), viď napríklad kontrola webom Security Headers. Ak spravujete nejaký web v doméne fi.muni.cz a mali by ste záujem o ich nasadenie a chceli poradiť, budeme radi, keď sa na nás obrátite na webmaster@fi. (Prečo môžu byť takéto hlavičky veľmi užitočné? Prečítajte si náš starší príspevok o napadnutí na Aise.)
Dokumentácia na pages.fi.muni.cz: Upravili sme konfiguráciu webového servera Nginx používaného GitLabom tak, aby vás https://pages.fi.muni.cz/ presmerovalo rovno na našu dokumentáciu (pôvodne by ste dostali chybu 404 Not Found).
Vedeli ste, že…
… (zálohy domovských adresárov) v prípade, že by ste omylom prišli o dôležité dáta uložené v linuxovom domovskom adresári, je tieto dáta možné na požiadanie (unix@fi) obnoviť zo záloh? Ešte doplníme, že veľké úložisko data takto zálohované nie je.
… (tretina dátového toku FI je z ftp.linux.cz) Na základe dát z MRTG grafov dátového toku fakultného routera, cez ktorý prechádza všetka komunikácia FI do sveta, tvorí dátový tok fakultného archívu otvoreného softvéru (bežiaceho na serveri Odysseus) priemerne tretinu celkového dátového toku FI? Konkrétne ide o 1 petabajtov z celkových 2,7 petabajtov za rok.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
