Stalo sa, stane sa
Zvýšená stratovosť siete 7. 3. a 8. 3.: V pondelok 7. 3. sa v sieti MU objavil okolo 09:25 problém so zvýšenou stratovosťou IPv4 pri komunikácii medzi FI a svetom (prípadne i MU), ktorá mohla dosahovať miestami až desiatky percent. Latencia nebola ovplyvnená a problém sa týkal len IPv4. Problém sa správcom siete MU podarilo vyriešiť ďalší deň o 13:50 zmenou smerovania tak, aby sa komunikácia vyhla problematickej sieťovej linke.
Zmeny konfigurácie pre Eduroam a VPN MU: V rámci celej MU došlo v stredu 13. 4. o 12:00 k plánovanej zmene konfigurácie siete Eduroam (bolo spojené s krátkymi výpadkami; je požadovaná aktualizácia pripojenia) a v pondelok 18. 4. o 23:00 dôjde zas k zmene konfigurácie pre VPN MU (podobne je požadovaná aktualizácia pripojenia; netýka sa VPN FI). Viď oznam ÚVT MU.
Záťaž siete 31. 3.: Vo štvrtok medzi 11:05 a 12:10 došlo k zvýšenej záťaži fakultného smerovača v dôsledku nedostatočnej optimalizácie interných paralelných dátových presunov v sieti FI. Prejavovať sa to mohlo stratovosťou paketov okolo 5, maximálne 10 percent.
Infraštruktúra a hardvér
Káble k monitorom v PC hale: Na základe upozornenia doplnili naši technici HDMI káble k dvom z ôsmich voľne stojacich monitorov, kde chýbali. Viď tiež ďalší bod o x2x.
Linuxové stanice Nymfe
Ovládanie Nýmf z iného stroja (x2x): Na základe podnetu v IT ideas sme na stroje Nymfe pridali nástroj x2x umožňujúci ovládanie Nymfe klávesnicou a myšou z iného stroja (typicky notebooku), akoby ste mali na sekundárnom displeji spusteného VNC klienta na tento stroj. Môže to byť užitočnou alternatívou k voľne stojacim monitorom v PC hale alebo prínosným doplnkom pre študujúcich používajúcich pri cvičeniach vlastný notebook. Viď náš návod.
Riešenie Firefox is already running: Pokiaľ ste niekedy nechali omylom prihlásené sedenie na Nymfe s otvoreným Firefoxom a neskôr ste ho skúsili spustiť inde, dostali ste chybu, že profil sa používa. Vďaka strohosti chyby nejde dobre určiť, kde váš proces beží. Toto sme vylepšili a v tejto situácii zobrazíme informácie o tom ako zistíte, kde ste prihlásení (a následne tam môžete proces ukončiť).
Zvýšenie limitu na počet procesov: Zachytili sme, že občas môže dôjsť k problémom s vyčerpaním limitu na počet vláken na používateľa na Nymfách. Konkrétne sme sa dozvedeli o problémoch spôsobených kombinovanou žravosťou Firefoxu a VS Code. Tento limit (nastavovaný pomocou ulimit/setrlimit) je obranou proti fork bombám. Pôvodné limity 1024 (soft – je možné zvýšiť si ho až po hranicu hard) a 2048 (hard – úplný strop) sme teda zvýšili na 4096 a 8192.
Softvérové vybavenie a prostredie
Nové moduly: Medzi prírastkami modulov sú tentokrát novšia verzia editora Vim (vim-8.2 = vim), ktorá umožní využitie doplnkov vyžadujúcich aspoň verziu 8.1 (na Nymfách s 8.1 by to problém nebol, ale na Aise s verziou 7.4 áno), a terminálový multiplexer Tmux (tmux-3.2a).
Služby
Zrušenie obmedzení na obrazy pre naše CI:
- Odteraz je možné vo fakultnom GitLab CI runneri (
gitlab-ci) využívať obrazy bez nutnosti ich konfigurácie/doplňovania cez unix@fi. Stačí, ak ich uvediete v konfigurácii CI, a podľa potreby sa automaticky stiahnu. Tým sa aplikácia s ich prehľadom stáva zastaralou.
- V tandeme s týmto sme na
gitlab-ci pomocou Docuum nakonfigurovali automatické mazanie obrazov (LRU) v prípade hroziaceho zaplnenia úložiska.
- Bližšie informácie o týchto zmenách hľadajte v dokumentácii CI.
Rýchlejší monitoring dôležitých služieb: Po nedávnom zrýchlení detekcie problémov dôležitejších služieb na 5 minút sme ešte zrýchlili na 3 minúty (u väčšiny služieb sú to len 2 minúty). Toto sa prejaví i v Status FI. Vzhľadom na technické možnosti Nagiosu a potrebu eliminácie falošných pozitívnych hlásení je toto pre nás konečný limit. Lepší už nebudeme.
TLS pre fakultné databázy: Vylepšili sme podporu zabezpečenia spojení pre fakultné databázy: pre PostgreSQL sme prešli z certifikátu našej internej certifikačnej autority na certifikát od Let’s Encrypt a doplnili sme možnosť šifrovanej komunikácie pre MariaDB (predtým nebola vôbec dostupná). Pre Oracle Database je nasadenie TLS pomerne zložité a vzhľadom na nízke a neprodukčné využitie sa nám nevyplatí. Tu je však vhodné dodať, že z bezpečnostných dôvodov sú databázové servery dostupné len z vybraných rozsahov adries v sieti FI, takže odpočúvanie nie je veľkou hrozbou.
Vypínanie TLS 1.0/1.1 – weby na Aise: Pre weby na Aise „skryté“ za webhost.fi.muni.cz (weby CBIA, SYBILA, atď.) sme s konzervatívnym ročným časovým odstupom po označení TLS 1.0 a 1.1 za zastaralé (viď i RFC 8996) vylepšili konfiguráciu HTTPS ich vypnutím a zakázaním niektorých šifier podľa generátora konfigurácie od Mozilly. Pre predstavu o reálnom stave sme týždeň logovali parametre HTTPS pre prístupy na web (pre zaujímavosť: novší Apache podporuje GlobalLog, ktorý nie je nutné uvádzať pre každý virtual host zvlášť):
CustomLog "logs/ssl-params.log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x %V"
$ cat /etc/httpd/logs/ssl-params.log
[17/Mar/2022:13:23:42 +0100] 64.41.200.101 TLSv1.2 ECDHE-RSA-AES128-SHA webhost.fi.muni.cz
Zo všetkých unikátnych IP využívalo TLS 1.0/1.1 necelé jedno percento. Touto zmenou sme sa v hodnotení podľa Qualys SSL Labs posunuli zo známky B na A+. Lepší už nebudeme. Postupne budeme staršie TLS vypínať i na ďalších miestach.
Úpravy návodu k nášmu LE: Do repozitára sme doplnili automatickú výrobu súboru s celou reťazou certifikátov (kvôli Nginxu) a tiež poznámku o potrebe mať potvrdené SSH kľúče.
Lepšie vyhľadávanie osôb cez Fadmin: Upravili sme vyhľadávanie osôb vo Fakultnej administratíve tak, aby našlo i osoby, ktoré majú priezvisko zložené z viacerých slov (doteraz bolo nutné zadať obe alebo použiť zástupný symbol % z jazyka SQL).
Fakultný web a technická dokumentácia
O skúškovom režime v PC hale: Vzhľadom na plánované využitie PC haly na skúšky i tento semester sme do technickej dokumentácie rovno zverejnili potrebné inštrukcie (pôvodne posielané mailom).
Info o stave zverejňovania webu vo wiki: Vo wiki sme doplnili zobrazovanie oznamu, ak nefunguje zverejňovanie zmien na web (prebieha raz za hodinu). V prípade funkčnosti sa zobrazuje pri uložení zmien správa o stave zverejňovania vždy, i keď je funkčné – aby ste mali predstavu, kedy očakávať zverejnenie.
Wiki files a výber menného priestoru: Vo wiki files je pre zachovanie istého poriadku nutné pri nahrávaní súboru zvoliť skupinu osôb (ktorej ste členom), pod ktorú sa nahrá. To následne určuje adresárovú časť URL. V nahrávacom rozhraní sme začali zobrazovať namiesto názvu skupiny jej zodpovedajúci adresár, čo je informačne prínosnejšie.
Zodpovedný kontakt vo wiki i pri editovaní: Vo wiki sme rozšírili zobrazovanie zodpovedného kontaktu (uvedeného v pätičke stránky) – doteraz sa zobrazoval len v niektorých stavoch/fázach editovania.
Upresnenia v dokumentácii fi-news: Do dokumentácie wiki značky fi-news sme doplnili informácie o frekvencii získavania dát z ISu a Magazínu M, a o tom, čo presne treba spraviť na výveske ISu, aby sa správa odtiaľ prenášala k nám.
K latest pre obrazy GitLab CI: V dokumentácii CI sme kvôli riziku spätne nekompatibilných zmien zmenili odporúčanie pre značku verzie obrazov.
Vedeli ste, že…
… (obnova dát z domovského adresára) ak prídete o nejaké cenné dáta v linuxovom domovskom adresári, je celkom dobrá šanca, že vám ich budeme schopní zachrániť. Zálohovanie /home prebieha raz denne a zálohy udržujeme po dobu jedného roka. Avšak pozor, že veľké úložisko /data už takto zálohované nie je. Môžete ho však s použitím nástroja ako rsync využiť ako ručné ad hoc zálohovacie riešenie pre dáta v /home.
… (obrana proti hádaniu hesiel SSH) ak chcete veľmi efektívne eliminovať počet pokusov o hádanie hesiel na svojom stroji, na ktorý máte (alebo chcete mať) povolený prístup cez SSH zo sveta, veľmi dobre pomáha použiť iný port než štandardný TCP 22. V súčinnosti s našou detekciou skenov a automatickým blokovaním zdrojových adries takýchto pokusov sa na základe praktických skúseností ukazuje, že u náhodného vysokého čísla portu je počet pokusov o hádanie hesla doslova nulový. V spojení s uvedením portu v .ssh/config (Host mymachine.fi.muni.cz\n Port 1234) na strojoch, odkiaľ sa pripájate, si existenciu neštandardného portu prakticky ani nevšimnete.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
