Stalo sa, stane sa
PwnKit – bezpečnostná diera v Polkite: 25. 1. bola zverejnená informácia o vážnej (CVSSv3 7,80) bezpečnostnej diere CVE-2021-4034 typu Local Privilege Escalation v nástroji Polkit, ktorý je často inštalovaný na linuxových systémoch, vrátane serverových inštalácií. Dôležitosť zaplátania systémov s Polkitom umocňuje uverejnený exploit. Alternatívou môže byť odinštalovanie Polkitu alebo aplikácia dočasnej opravy (chmod 0755 /usr/bin/pkexec).
Linuxové stanice Nymfe
Bezheslové prihlasovanie na Fadmina z Nýmf: Možno ste si už dávnejšie všimli, že na Nymfách funguje prístup do GitLabu (z Firefoxu a Chromia) i bez nutnosti priamej autentizácie. To je možné vďaka využitiu mechanizmu SPNEGO a autorizačných lístkov protokolu Kerberos, ktoré vám automaticky vznikajú pri prihlásení sa heslom na strojoch Nymfe (ale aj na serveroch Aisa, Anxur či Aura). Teraz sme rovnakým spôsobom umožnili z Nýmf i prihlasovanie na Fakultnú administratívu.
Predsemestrálna aktualizácia balíčkov na Nymfách: V rámci obvyklých príprav na blížiaci sa semester sme aktualizovali balíčky na strojoch Nymfe (ide o Ubuntu 20.04 LTS). Ak by ste snáď pozorovali problém, kontaktujte nás. S cieľom minimalizovať šancu neželaných problémov pri aktualizáciách počas semestra totiž na Nymfách automaticky inštalujeme len bezpečnostné aktualizácie.
Netradičný problém nebootujúcich Nýmf: V rámci riešenia problémov s Nymfami sme narazili na trocha zvláštny problém. Jedného dňa ráno nenabehol stroj Nymfe12 a po kontrole sa ukázalo, že zostal stáť na výzve hesla do BIOSu. Dôvod tohto stavu nebol zrejmý, ale stroj po ručnom zásahu nabootoval, takže sme to ďalej neskúmali. Podozrivé však bolo, keď sa podobný problém udial neskôr i na Nymfe42. Tam sa však príčina problému javila byť jasná: kábel vedúci k monitoru sa rozhodol, že bude držať stlačené dve z kláves na klávesnici, a veľmi pravdepodobne tento problém postihol i tú prvú Nymfe. Cesty zlyhania strojov vedia byť nevyspytateľné…
Softvérové vybavenie a prostredie
Aktualizácia macOS na Lunách: Po dlhšej dobe sme aktualizovali operačný systém na našich stvoreniach od firmy Apple na najnovšiu verziu macOS Monterey 12. Záujemcov o noviniek môže(?) uspokojiť Wikipédia alebo poznámky k vydaniu od Apple.
Služby
Zvýšenie kvót v Stratus.FI: V našej virtualizácii Stratus.FI sme nasadili automatické nastavovanie vyšších kvót na niektoré výpočtové prostriedky pre interných zamestnancov (t.j. tých s pracovnou zmluvou) a doktorandov. Konkrétne ide o zvýšenie týchto kvót:
- počet alokovaných CPU (
VM/CPU) o 3: 3 → 6
- počet aktívne využívaných CPU (
VM/RUNNING_CPU) o 3: 2 → 5
- počet vytvorených VM (
VM/VMS) o 8: 8 → 16
- počet aktuálne bežiacich VM (
VM/RUNNING_VMS) o 8: 8 → 16
- miesto na diskovom úložisku (
DATASTORE[cephds]/SIZE) o 128 GB: 131072 → 262144 (MB)
Zmena sa dotkla 90 účtov vo virtualizácii (je to menej než počet relevantných osôb, keďže zmena sa aplikuje len pre účty, ktoré sa niekedy do virtualizácie prihlásili).
Info k presmerovaniu fakultnej pošty: Aplikáciu Fadmina na nastavenie presmerovania fakultnej pošty sme mierne vylepšili: doplnili sme tam potenciálne užitočné odkazy na konfiguráciu (presmerovaní) pošty ISu a O365, a pri úprave presmerovania sme doplnili upozornenie na potrebu kontroly správneho doručenia testovacej správy, ktorá je vtedy vygenerovaná.
Limit na využitú pamäť na Aure: V technických informáciách o výpočtovom serveri sme vylepšili informácie užitočné pri pamäťovo náročných výpočtoch. Pri nadmernom využití RAM totiž môže dochádzať k udalostiam OOM, ktoré môžu vyústiť i v nie úplne príjemné ukončenie procesu iného používateľa než je ten, ktorý pamäťovo napätú situáciu „vyvolal“:
- doplnili sme informácie, aký je skutočný pamäťový limit, čo je užitočná informácia pri odhadovaní množstva pamäte, ktoré váš výpočet môže využiť: nejde totiž o celkovú kapacitu fyzickej pamäte (440 GB), ale v dôsledku nastavenia cgroups je aktuálny limit (konkrétne pre slice
/user) 426 GB;
- upravili sme príklady príkazov
ulimit na nastavovanie limitu na využiteľnú pamäť z mäkkých limitov na tvrdé, vďaka čomu je menšia šanca na neúmyselné prekročenie nastaveného limitu;
- doplnili sme upozornenie o potenciálnom chytáku ohľadne používania
ulimit: toto nastavenie platí pre každý proces separátne a v prípade viacerých procesov spustených zo shellu s modifikovanými limitmi môže využitie dosiahnuť až súčin počtu procesov a limitu (optimálnym riešením tohto problému budú cgroups verzie 2, ktoré budú dostupné po nasadení novej Aury v blízkej dobe).
Fakultný web a technická dokumentácia
Doplnenie dokumentácie Matomo: Dokumentáciu k nami prevádzkovanej webovej analytike Matomo sme doplnili o informácie týkajúce sa sledovacieho kódu, o informácie ohľadne možnosti sledovania chybových stránok a tiež o odporúčanú konfiguráciu Content Security Policy.
Dokumentácia nového skúškového sedenia: Na stránku s informáciami pre vyučujúcich sme doplnili viac informácií o novom skúškovom sedení, ktoré ste toto skúškové mohli niektorí zažiť v rámci predmetu IB111.
Vedeli ste, že…
… (Eduroam aj na hlaváku) do siete Eduroam sa nielenže môžete pripojiť na iných fakultách a univerzitách, ale nájdete ho napríklad i na Hlavním nádraží. Viď mapa dostupnosti Eduroamu. A svet vlakov je fascinujúci.
… (prístup k ovládaču projektora B130) pokiaľ máte napríklad svoj kľúč od kancelárie, mal by byť zároveň použiteľný aj na prístup ku skrinke s ovládačom projektora v B130 (nie je teda nutné žiadať oň tajomníčku fakulty). Pre ďalšie podobné tipy potenciálne užitočné pre vyučujúcich viď našu technickú dokumentáciu.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
