Stalo sa, stane sa
Problémy s Eduroamom: Po zmenách Eduroamu avizovaných v príspevku z apríla dlhodobo dochádzalo k výrazne zníženej kvalite Eduroamu, ktorá by ale od začiatku júna mala byť podľa našich dát opäť na pôvodnej úrovni spoľahlivosti. O celom príbehu vám ešte prinesieme samostatný príspevok v tomto blogu.
Nižšia kvalita Wi-Fi 9. a 10. 5.: V dôsledku aktualizácie firmvéru na prístupových bodoch Wi-Fi z pondelka 9. 5. došlo zrejme k degradácii výkonu Wi-Fi: dostali sme študentské hlásenie o častých odpojeniach a nízkej prenosovej rýchlosti, ktoré sa dotklo viacerých ľudí/zariadení. V utorok 10. 5. sme teda vrátili na AP pôvodný starší firmvér.
Skúšky v PC hale: Počítačová hala sa po minulosemestrálnom pilotnom skúškovaní opäť využila na skúšky (s tým, že jeden stroj bol vyhradený ako demo sedenie s obmedzeným prostredím) a podobne sa bude diať i ďalšie semestre. Viď tiež našu dokumentáciu.
Výpadok napájania 22. 5.: V nedeľu došlo k výpadku napájania v budove FI, ktorého okolnosti podrobne spísal kolega v tomto blogu.
Výpadky siete FI a služieb MU 31. 5.: V utorok 31. 5. došlo medzi 12:55 a 18:26 k niekoľkým, zväčša krátkym problémom s konektivitou medzi sieťou FI a internetom alebo so službami poskytovanými univerzitou (hlavne DNS, autentizácia Eduroamu či odosielanie pošty zo siete FI). Dôvodom boli problémy so smerovaním v sieti univerzity.
Prázdninová prevádzka PC učební: Od pondelka 4. 7. začína prázdninový režim PC učební.
Infraštruktúra a hardvér
Validácia DNSSEC na fakultných serveroch DNS: Na fakultných rezolveroch DNS (t.j. tých, ktoré predvolene používajú na základe konfigurácie z DHCP stroje na FI) sme zapli validáciu DNSSEC. To znamená, že pokiaľ sa vaše zariadenie opýta niektorého z našich serverov DNS, ten jeho odpoveď zistí a oproti doterajšiemu stavu navyše i validuje, že získané záznamy sú správne podpísané, a teda dôveryhodné. Kedysi sme už validáciu zapnutú mali, ale vzhľadom na občasné problémy (autorovi textu prichádza na um hlavne jedna z celkom dôležitých domén jednej veľkej, na MU populárnej softvérovej firmy) sme ju pred časom vypli.
DNSSEC pre naše zóny: V priebehu mesiaca sme postupne zavádzali DNSSEC pre domény/zóny, ktoré má CVT/unix v správe. Menovite ide z tých najdôležitejších hlavne o fi.muni.cz, is.muni.cz a tiež reverzné zóny pre IPv4 a IPv6. Viď napríklad dig +dnssec -t a www.fi.muni.cz. Dá sa povedať, že ide o pomerne neskoré nasadenie už relatívne bežnej technológie, ale na druhú stranu máme teraz túto vec až na niektoré drobnosti vyriešenú. Ide o celkom zaujímavú tému, takže sa vám cez prázdniny pokúsime priblížiť detaily tejto operácie v samostatnom blogovom príspevku.
Linuxové učebňové stroje
Nová PC učebňa B011: Pre viac informácií viď príspevok od kolegu.
Softvérové vybavenie a prostredie
Upozorňovanie na veľa vlákien na Aise: Na Aise sme vyrobili kontrolu, ktorá po prihlásení sa cez SSH (a za predpokladu používania Bashu alebo Z shellu) upozorní v prípade, že vám beží viac vlákien, než sú tri štvrtiny zo soft limitu (teda 768) podľa ulimit (viď minulé zvýšenie limitu na Nymfách a Aise). Cieľom je, aby ste nedošli do situácie, kedy dostanete chyby ako fork: retry: No child processes alebo fork: Resource temporarily unavailable, z ktorých sa často už nemusíte byť schopní zotaviť bez asistencie unix@fi. Takto ste na potenciálny blížiaci sa problém upozornení i so stručným popisom inštrukcií, ako ho riešiť.
Pre zaujímavosť, kontrola je realizovaná štartovacím skriptom /etc/profile.d/check-too-many-threads.sh a počet vlákien sa kvôli minimalizácii zdržania pri štarte shellu predpočítava raz za minútu pomocou skriptu /usr/local/sbin/count-threads-per-user.pl. Zvedavci si iste nájdu zaujímavé detaily v týchto pomerne podrobne dokumentovaných skriptoch sami.
Softvér SageMath na Aure: Na žiadosť sme na výpočtový server Aura doplnili softvér pre matematické výpočty SageMath (vo verzii 9.5). Jedným z rozhodnutí pri príprave novej Aury bolo zbaviť sa rokmi nazbieraných balíčkov, ktoré už nemajú používateľov. Ak by ste teda narazili na niečo iné chýbajúce, viď možnosti doplnenia softvéru na Aure.
Oprava problému Xcode na Lunách: Boli sme upozornení, že vývojové prostredie Xcode na Lunách požaduje pri spustení inštaláciu dodatočných komponentov pod administrátorským účtom. To je už v túto chvíľu opravené, a to i pre budúcnosť: problém vznikol pri minulej aktualizácii macOS a vďaka úprave nášho aktualizačného postupu by sa už toto nemalo opakovať.
Služby
Odpovedníkové skúškové sedenie i na Windows: Od mája je možné vďaka úsiliu win@fi realizovať odpovedníkové skúškové sedenie i na strojoch Windows.
Upozornenie na SPF pri presmerovaní mailov: Maily a celkovo ich ekosystém patria medzi jednu z problematickejších/krehkejších technológií. Jedným z problémov, s ktorým sa môžete stretnúť, je odmietanie mailov pri ich preposielaní zo svojej fakultnej mailovej adresy na iný server kvôli technológii Sender Policy Framework (SPF – umožňuje pre doménu definovať v DNS, z akých IP/hostnames môžu odchádzať maily, ktoré majú ako odosielateľa adresu z tejto domény). Ide o to, že ak vám niekto z mailovej domény origin.cz, ktorá má v DNS striktnejší záznam SPF (viď napr. dig +short -t txt origin.cz | grep v=spf), pošle mail na fakultnú adresu (t.j. v doméne fi.muni.cz), kde máte nastavené presmerovanie na adresu, ktorej mailové servery striktnejšie vyhodnocujú záznamy SPF (napríklad seznam.cz), cieľový mailový server typicky vyhodnotí, že ide o spam, pretože mu mail príde z inej adresy, než aké origin.cz uvádza v DNS ako legitímne. Preto sme v uvedenej aplikácii, kde si presmerovania môžete meniť, uviedli upozornenie na tento problém i s návrhom možného alternatívneho riešenia.
Zvýšenie limitu na počet spojení s Oracle DB: V rámci našich služieb umožňujeme vyrábať si osobné databázy i pre Oracle Database. Vzhľadom na to, že softvér používaný na prístup k nim (sqlplus) nie je úplne kvalitný a jeho pozostatky zostávajú bežať (alebo je softvér v poriadku a iba nemáme kvalitných používateľov?), môže sa stať, že dôjde k vyčerpaniu limitu možných spojení k Oracle Database. Tento problém už dlho zmierňujeme tým, že na Aise bežiace procesy sqlplus staršie než týždeň raz denne automaticky ukončujeme. 15. 5. ale došlo k takej ich kumulácii, že táto best-effort ochrana nebola dosť rýchla a efektívna, takže došlo k vyčerpaniu limitu. Limit na počet spojení sme sa preto rozhodli zvýšiť zo 150 na 300.
VPN nemusí ochrániť WebRTC: Do pozornosti dávame fakt, že (video)hovory cez prehliadače nemusí VPN ochrániť. Ide o pozorovanie, na ktoré sme boli upozornení študentom. Do FAQ dokumentácie VPN sme po analýze príčiny tejto (vlastne známej) vlastnosti doplnili informácie, prečo to tak je.
Fakultný web a technická dokumentácia
Zavedenie security.txt na webe FI: Pri príležitosti vydania RFC 9116 (A File Format to Aid in Security Vulnerability Disclosure) definujúceho náležitosti súboru security.txt sme pre doménu fi.muni.cz zverejnili náš záznam.
Oprava katalógu predmetov (občas chýbali dáta): Po dlhšej dobe sa nám podarilo vypátrať zapeklitejší problém v kóde zabezpečujúcom zobrazovanie predmetového katalógu. Občas sa vám totiž mohlo nedeterministicky stať to, že v šablóne programov chýbali informácie o predmetoch (kód bol šedý, bez odkazu, a názov predmetu chýbal).
Problém bol spôsobený tým, že takéto požiadavky obsluhuje viacero vlákien webservera, pričom sa z dôvodu efektivity niektoré informácie získané z databázy ukladali do statickej premennej. To sa časom ukázalo byť chybou, pretože na webe máme k dispozícii katalógy pre rôzne ročníky, ktoré sa v dátach líšia. Tým, že sa pri obsluhovaní požiadavky získavali dáta nielen pre aktuálny rok, ale i okolité roky, problém sa neprejavoval úplne vždy a navyše záviselo na tom, ktoré vlákno túto požiadavku obslúžilo, a aké malo uložené dáta.
Vedeli ste, že…
… (drôtový ekvivalent wlan_fi) sieť zodpovedajúca z hľadiska L2 bezdrôtovej sieti wlan_fi existuje aj v drôtovej podobe? Nájdete ju napríklad na voľne položených kábloch v PC hale, C525, na katedrách a podobne. Analogicky ako pre wlan_fi je nutné autentizovať sa na nej pomocou https://wifi.fi.muni.cz/ (na okraj dodajme, že captive portál síce na tejto L2 sieti máme, ale jeho funkcionalitu zabezpečujú prístupové body Wi-Fi, a po kábli teda nie je k dispozícii).
… (Wi-Fi sieť pre krátkodobé akcie) pokiaľ organizujete krátkodobú akciu na FI, ktorej sa má zúčastniť väčšie množstvo osôb bez vzťahu k FI/MU, vieme ponúknuť výrobu dočasnej Wi-Fi siete s dohodnutým SSID a zdieľaným heslom.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
