Stalo sa, stane sa
Výpadok siete 27. 4.: V stredu 27. 4. došlo medzi 15:38 a 15:50 k výpadku sieťovej konektivity pre FI z dôvodu problému v sieti univerzity. Po opätovnom sfunkčnení trvalo ešte 23 minút, než sa podarilo univerzitným správcom obnoviť funkčnosť serverov RADIUSu, zabezpečujúcich autentizáciu pre Eduroam, takže po túto dobu nebolo možné nadviazať nové pripojenia k sieti Eduroam (už ustavené spojenia prerušené neboli). V dôsledku tohto došlo k veľkému presunu používateľov do siete wlan_fi. Táto sieť je využívaná minoritne – oproti sieti Eduroam s 1021 dostupnými IPv4 adresami (4 bloky typu C) má len okolo 160 dostupných IPv4 adries (1 blok typu C, avšak okolo 80 z adries využívajú AP pre captive portál a 14 adries je rezervovaných pre špeciálne zariadenia). Čoskoro preto došlo na sieti wlan_fi k vyčerpaniu adries prideľovaných serverom DHCP a tento stav ustúpil až s opätovným sfunkčnením Eduroamu. Vzhľadom na razantne väčší rozsah prideľovaných IPv6 adries u nich k vyčerpaniu nedošlo, ale efektívne toto riešenie nebolo použiteľné.
Vzhľadom na dobu expirácie DNS záznamov (TTL) došlo počas výpadku i k nemožnosti prekladať doménové názvy, vrátane tých pre MU alebo FI. S cieľom zachovať funkčnosť prekladu fakultných doménových názvov v takýchto situáciách (technicky tie dáta v sieti FI máme) sme naše rekurzívne servery DNS obsluhujúce interné siete FI nastavili ako neregistrované (stealth) sekundárne autoritatívne menné servery (NS) pre DNS zónu muni.cz, fi.muni.cz a ešte zopár ďalších kľúčových domén. V praxi si k sebe synchronizujú obsah týchto zón a dokážu tieto informácie poskytovať výrazne dlhšie, než by doba uvedená v TTL normálne umožňovala. V prípade dlhšieho výpadku v budúcnosti by tak aspoň nemalo dôjsť k vypršaniu TTL pre DNS záznamy typu NS, ktoré tvoria spojítko medzi dátami zo zóny muni.cz a zón ako fi.muni.cz a sú v tomto ohľade kľúčové (ich TTL je polhodina a na načasovaní ich získania voči začiatku výpadku závisí, ako dlho budú efektívne použiteľné).
Infraštruktúra a hardvér
Sieťové káble pre C525: Na základe podnetu v IT ideas sme do dátových zásuviek na lište pod oknami v učebni C525 doplnili desať sieťových káblov ako alternatívu k bezdrôtovému pripojeniu. Na tomto pripojení je k dispozícii drôtový ekvivalent wlan_fi. Podobné doplnenie v C511 (naproti C525) možné nebolo, keďže tam lišta so sieťovými zásuvkami nie je.
Nová Aura: Len stručne zmienime existenciu nového výpočtového servera Aura s GPU a odsun pôvodného železa do role študentského výpočtového servera Adonis. Pre viac informácií viď dedikovaný blogpost.
Linuxové stanice Nymfe
Oprava návodu k x2x: Na základe upozornenia na možnú nefunkčnosť ovládania klávesnicou pri ovládaní grafického rozhrania Nymfe z iného stroja sme upravili prepínač pre X forwarding v návode (-Y namiesto -X).
Softvérové vybavenie a prostredie
Vyšší limit na počet vlákien na Aise: Podobne ako sme v marci zvyšovali limit na počet vlákien na Nymfách, obdobnú úpravu sme spravili i pre Aisu, kde došlo k zvýšeniu limitu z 512 na 1024 (viď aisa:/etc/security/limits.d/95-student.conf).
Moduly: Boli pridané nové verzie modulov pre svetoznámy editor Vim (vim-8.2, implicitný) a jeho forku Neovim (neovim-0.7.0) a tiež nový modul s verifikačným nástrojom Symbiotic (symbiotic-8.0.0).
Nový .NET na Aise: Na serveri Aisa sme aktualizovali framework .NET z verzie 3.0 na 6.0.
Služby
Spustenie Container Registry: Po zrušení obmedzení na obrazy pre CI na našom GitLabe sme sprístupnili službu Container Registry. Vďaka nej je možné ukladať si vlastné obrazy Dockeru bez potreby spolupráce s unix@fi.
Lepšie TLS pre weby Aisy: V nadväznosti na úpravy TLS v marci sme analogickú úpravu (zakázanie TLSv1.0 a TLSv1.1, konfigurácia intermediate podľa Mozilly) nasadili i pre zostávajúce weby Aisy skryté za aisa.fi.muni.cz (väčšina webov, vrátane www.fi.muni.cz). Tým sme pokryli všetky weby hostované na Aise a ich hodnotenie podla Qualys dostali na najvyššie A+.
Opravy mapy miestností: Zistili sme, že už nejaké veky máme nesprávne umiestnené niektoré stroje v našej mape PC miestností, no dozvedeli sme sa o tom až teraz. Šlo o chyby v B116, B117 a A215, ktoré sú už opravené.
Textový výpis prihlásení na strojoch: V súvislosti s riešením problému Firefox is already running sme vyrobili aplikáciu My PC sessions, ktorá by sa vám mohla hodiť v prípade, že by ste z nejakého dôvodu potrebovali mať k dispozícii textový výpis vašich aktuálnych prihlásení na strojoch (údaje nie sú stopercentne presné; slúžia pre prehľadové účely a zbierajú/aktualizujú sa raz za minútu). V prípade, že máte platný lístok Kerbera (buď prihlásením heslom alebo explicitným spustením kinit login@FI.MUNI.CZ), môžete tieto údaje získavať i bez ďalšej explicitnej autentizácie, napríklad príkazom curl --negotiate -u: https://fadmin.fi.muni.cz/auth/sys/my_pc_sessions.mpl.
Fakultný web a technická dokumentácia
K hláseniu chýb s Wi-Fi: V dokumentácii k Wi-Fi sme zverejnili súbor základných otázok, ktoré by sme ideálne chceli vidieť vo vašich hláseniach problémov s Wi-Fi. Vďaka nim sa môžeme rýchlejšie zamerať na identifikovanie problému či dohľadanie ďalších dát v našich logoch.
Vedeli ste, že…
… (tridsaťpercentná stratovosť siete FI) spomedzi trvale bežiacich počítačov (z pohľadu IPv4 adries) tvoria okolo 30 percent stroje bežiace v našej virtualizácii Stratus.FI?
… (kontrola práv na linuxových úložiskách) raz denne kontrolujeme práva a ACL nastavené priamo na domovskom adresári (/home/login) a na veľkom úložisku data (/data/login) (viď dokumentácia úložisk)? V prípade zistenia netypického relaxovania prístupových práv je vlastník na túto zmenu upozornený mailom. Napríklad pridanie prístupu pre používateľa apachefi cez ACL (čo umožňuje veľmi adresne sprístupniť dáta pre webserver bez príliš plošného sprístupnenia) patrí medzi pár jednotiek prístupových práv, ktoré nepovažujeme za netypické a nehlásime ich. Motiváciou pre tento mechanizmus je, že občas niekto dočasne sprístupnil svoj domovský adresár a následne tieto práva zabudol zrušiť alebo šlo o prípady študentov, ktorí nesprávnou manipuláciou s príkazmi ako chmod nastavili svojmu domovskému adresáru príliš liberálne oprávnenia, napríklad i úplne otvorené 0777 či dokonca úplne nezmyselné 7777.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
