Stalo sa, stane sa
Jeden z WordPressov na FI bol v júli napadnutý: Podarilo sa nám odhaliť napadnutie jednej z inštancií CMS prevádzkovaného na FI (konkrétne šlo o WordPress). O probléme sme sa dozvedeli vďaka tomu, že sme boli upozornení na pridanie nového vlastníka časti webu pod fi.muni.cz v Google Search Console Tools. Šlo však o dosť podozrivý mailový účet a kontrola webu okamžite ukázala, že jeho obsah by sa i pri prižmúrení všetkých dostupných očí len ťažko dal považovať za legitímny: šlo o text využívajúci arabské písmo. Obratom sme kontaktovali správcov webu, ktorí zistili, že išlo o novú inštaláciu/inštanciu WordPressu, ktorú mohol útočník vytvoriť na základe uhádnutia webového prístupového hesla jedného z účtov v existujúcej inštancii WordPressu na danom stroji. Po prijatí nevyhnutných logických opatrení a kontrole integrity systému došiel jeho správca k záveru, že nákazu sa podarilo odstrániť a problém teda vyriešiť.
Krátke výpadky servera Adonis 5. 9.: V tento deň sme zaznamenali tri krátke výpadky servera Adonis. Prejavovali sa de facto resetom OS a jeho opätovným bootom. Bohužiaľ sa nám nepodarilo dopátrať sa príčiny (pre zaujímavosť, v takýchto situáciách vedia pomôcť miesta ako systémový žurnál, centrálny syslog (keď disky „nejdú“, ale sieť áno), SEL BMC, detekcia hardvérových chýb cez mcelog/rasdaemon, grafy monitoringu alebo naše sledovanie procesov). Je možné, že sa už začína prejavovať vek servera, ktorý má už vyše dekády.
Infraštruktúra a hardvér
Stroje v KYPO už v sieti FI: All-in-one počítače s menami KyklopNN v miestnosti KYPO boli presunuté z privátnej siete, ktorá bola routovaná routerom pre firmy v budove S, do siete routovanej fakultným routerom. Vďaka tomu majú prístup napríklad k univerzitným privátnym adresám a tiež o niečo lepší prístup k službám na v sieti FI (i MU), keďže sa presunuli do nej. To isté sa týka zariadení zapojených cez ethernetové káble na stolíkoch.
Nové uzly Stratus FI už dlhšie nasadené: Už je to pomaly rok, čo sme obdržali hardvér z posledného nákupu. Jeho súčasťou bola nová Aura, o ktorej sme už písali, ale i tri nové uzly virtualizácie Stratus.FI. Akosi nám však ušlo zmieniť to oficiálne, takže aspoň dodatočne oznamujeme, že tieto uzly sú už produkčne nasadené (viď aj ich parametre).
Linuxové učebňové stroje
Nová počítačová učebňa B011
Aktualizácia na Ubuntu 22.04: Učebňové linuxové stroje sme, ako obvykle robievame raz za dva roky, aktualizovali z Ubuntu 20.04 na Ubuntu 22.04. To okrem hŕbky novšieho softvéru prináša zo zaujímavejších vecí prechod na Wayland (pôvodne sa používal X.Org), čo napríklad obnáša zmenu skratky na reštart grafického sedenia z Ctrl+Alt+Backspace na Alt+PrtScr+K.
Permanentne bežiaca Musa01: V rámci našej snahy, aby aspoň jeden stroj daného hardvérového typu bol dostupný prakticky nonstop (tak ako sú už dostupné stroje Nymfe01 a Nymfe02), sme podobne dali do nonstop prevádzky stroj Musa01 umiestnený v katedre.
Softvérové vybavenie a prostredie
Avast considered harmful: V priebehu augusta sme zistili, že antivírusový nástroj Avast robí pri plnej kontrole už relatívne agresívny sken vo svojej lokálnej sieti. Pokúša sa totiž prihlasovať cez SSH na stroje v okolí, čo náš detekčný systém zachytí a identifikuje ako pokus o hádanie hesiel. Dalo by sa predpokladať, že cieľom tohto skenu je odhaliť zraniteľné zariadenia v lokálnej sieti skôr, ako sa to podarí skutočnému útočníkovi, ktorý by ich následne mohol použiť na útočenie na Avastom chránený systém. Z nášho pohľadu však ide o vcelku neželanú aktivitu, keďže vytvára falošne pozitívne nálezy našej detekcie hádania hesiel. A navyše, po konzultácii s kolegami zo sekcie Windows, systémy Windows by mali byť dostatočne chránené už i vstavaným antivírovým riešením Microsoft Defender, a preto je naším odporúčaním Avast v sieti FI nepoužívať.
Nová verzia OpenNebuly: Povýšili sme verziu systému OpenNebula, na ktorom beží naša virtualizácia Stratus.FI, na 6.4. Za špecifickú zmienku stojí, že u virtuálnych strojov môžete začať vidieť informácie o chybách plánovača/VM (#5744 a #5745): či už v podobe výstražného trojuholníka v zozname virtuálov, alebo v podobe chybovej správy v informáciách o virtuáloch. Premiéru má tiež nové rozhranie FireEdge, ktoré nájdete na porte 2617.
Balíček zstd: Na Aisu, Anxura, Nymfy a Musy sme doplnili balíček zstd, ktorý je relatívne novým prírastkom do rodiny bežnejšie používaných nástrojov na (de)kompresiu (komprimované súbory majú príponu .zst). Na výpočtových serveroch Aura a Adonis už prítomný bol.
Softvér pre výuku: Na linuxových strojoch je po novom k dispozícii nástroj na simuláciu a návrh logických obvodov Digital (digital-simulator).
Nové moduly: Používateľom bol doplnený nový modul texlive-2022 so známou TeXovou distribúciou TeX Live a je zároveň nastavený ako predvolená verzia tohto balíčka.
Služby
Odpovedníkové skúškové sedenie i na Windows: Po novom je skúškové sedenie s ISovým odpovedníkom k dispozícii i na strojoch s Windows.
Odpovedníkové skúškové sedenie s Ctrl+C a Ctrl+V: V odpovedníkovom skúškovom sedení sa snažíme vytvoriť prostredie, ktoré čo najviac sťaží možnosť podvádzania (hoci z princípu i z hľadiska množstva vynaloženej námahy ide o best effort; ostatne, nikdy nebudeme schopní pokryť napríklad možnosti podvádzania idúce mimo PC). Riešenie je postavené na kioskovom móde prehliadača, pričom jedným z dodatočných opatrení je zakazovanie rôznych klávesových skratiek, s cieľom predísť možnosti spúšťania nástrojov ako vývojárska konzola, otvárania nového tabu atď. Doterajším riešením cez xmodmap však nebolo možné riešiť tieto zákazy dostatočne granulárne. Jedna z nebezpečných kláves na zakázanie bola Ctrl, avšak to zároveň vytváralo problém, keď niečia mechanická svalová pamäť použila napriek nášmu upozorneniu pred spustením odpovedníka skratku Ctrl+C. Výsledkom bolo, že xmodmap odfiltroval Ctrl a nešťastný účastník skúšky bol ešte nešťastnejší, pretože celý označený text bol nahradený písmenkom c. Existuje samozrejme klávesová skratka Ctrl+Z, ale… asi si domyslíte, v čom je problém. Po istom úsilí sme pomocou knižnice Xlib vyrobili malého démona, ktorý dokáže odchytiť neželané skratky využívajúce Ctrl, ale tie praktické a potrebné (Ctrl+C, Ctrl+V, Ctrl+Z, …) povolí. Táto úprava sa týka len linuxových strojov.
Úpravy skúškových sedení učiteľmi: Do aplikácie na správu skúškového sedenia s obmedzeným prostredím sme doplnili priamo pre vyučujúcich možnosť rušiť existujúce skúšky, prípadne ich konkrétne termíny alebo ich rozdeľovať a delegovať právo manipulácie s nimi (napríklad aktiváciu skúškového módu) ďalším osobám zabezpečujúcim dozor.
Nové šablóny v Stratus.FI (AlmaLinux a Fedora): Do fakultnej virtualizácie sme doplnili nové šablóny pre Fedora Linux 36 a AlmaLinux 9. Dopĺňali sme ich s až istým odstupom od ich vydania v dôsledku problémov pri výrobe obrazu. Špeciálne u distribúcií založených na RHEL 9 môžete naraziť na vyššie minimálne nároky na CPU, čo je potrebné reflektovať v deklarácii šablón (napríklad nastavením MODEL = "EPYC" v sekcii CPU_MODEL).
Výpis kvót Stratus.FI vo Fadmine: Do prehľadu účtu na Fadmine sme doplnili do sekcie s kvótami i vaše kvóty na prostriedky v Stratus.FI. To môže byť užitočné pre náš i váš rýchly prehľad, hlavne v súvislosti s nedávnym implementovaním skupinových kvót.
GitLab 15: V priebehu júna poskočila hlavná verzia nášho GitLabu na 15. Do GitLabu sa novinky dostávajú i v rámci priebežných aktualizácií, ale v rámci tohto vydania zmieňme z významnejších zmien aspoň WYSIWYG editor pre wiki.
Fakultný web a technická dokumentácia
Web prekladáme cez DeepL: Od 21. 6. sme začali oficiálny web FI prekladať pomocou služby DeepL. Motiváciou na prechod z doteraz používanej prekladovej služby Google Translate je podnet fakultných propagačných síl a očakávané zvýšenie kvality prekladov vďaka všeobecne lepšej reputácii DeepL oproti Google Translate. K prekladu stránok dochádza postupne, pri zmenách stránok v originálnom jazyku, takže nejakú dobu budete na webe vidieť preklad od oboch služieb. Za upozornenie na prípadné technické problémy budeme radi a pokúsime sa to napraviť. Teraz už len zostáva čakať a číhať, aké nepodarky prekladu vyprodukuje DeepL, aby sme ich mohli porovnať s tými od Google Translate: viď blogpost z októbra 2021 alebo prázdnin 2020.
Preklad webu raz denne: Doteraz sa stránky webu FI v režime automatického prekladu prekladali vždy pred zverejňovaním nových zmien na web FI, t.j. raz za hodinu. Dôvodom pre túto dočasnú zmenu frekvencie prekladu na raz denne je v túto chvíľu zatiaľ obmedzená kvóta, ktorú máme v rámci automatizovaného prekladu pomocou novonasadeného DeepL k dispozícii.
Nová wiki značka fi-temporary: Na základe podnetu sme vo fakultnej wiki implementovali značku, ktorá umožňuje časovo limitovať, kedy sa ňou obalený obsah zobrazí (od, do alebo oboje).
Lepšie UX wiki ohľadne kontroly odkazov: Urobili sme niekoľko úprav, ktoré by mali vám mali zjednodušiť používanie fakultnej wiki v súvislosti s chybnými odkazmi:
- V prípade premenovania, skrytia alebo zmazania stránky sa zobrazí upozornenie na to, že touto operáciou dôjde k znefunkčneniu prípadných odkazov na túto stránku. Zobrazujeme tiež odkaz na našu už dlho existujúcu kontrolu funkčnosti odkazov.
- Sprehľadnili sme stránku s kontrolou funkčnosti odkazov: doplnili sme do nej vysvetľujúci text a celkovo ju poupravili do menej technickej a pre bežných používateľov lepšej podoby.
- Kontrola odkazov sa deje raz denne: preto sme pre možnosť okamžitej kontroly doplnili odkaz na online kontrolu odkazov, a to ako do záhlavia stránky vo wiki, tak aj k URL našich stránok v súhrnnom výstupe našej kontroly funkčnosti odkazov.
Lepšia kontrola chybných odkazov na webe FI: V rámci už dlho realizovanej kontroly nefunkčných odkazov smerujúcich z oficiálneho webu FI von (prebieha raz týždenne), sme začali kontrolovať viac prípadov. Kapacitne nie je v našich možnostiach riešiť všetky detegované prípady nefunkčných odkazov, preto sa výber kontrolovaných odkazov prioritizuje podľa počtu zaznamenaných prístupov k nim na základe dát z webovej analytiky Matomo.
Vylepšenia dokumentácie HTML vo wiki: Časť rozcestníka wiki v technickej dokumentácii sme sprehľadnili lepšou organizáciou, doplnili sme dokumentáciu značky fi-code, aktualizovali sme celkový prehľad značiek (o chýbajúce fi-virtual-tour) a tiež sme sprehľadnili navigáciu medzi „našimi“ a „JVS“ značkami.
Zdroje obrázkov pre editorov webu: Do dokumentácie nahrávania obrázkov na web sme pridali tipy na zdroje obrázkov: galéria udalostí a úložisko fi-graphics.
Úprava dokumentácie úložiska fi-graphics: V dokumentácii úložiska fi-graphics (vlastneného členmi propagačných síl) sme podrobnejšie popísali spôsob pripojenia úložiska pod Windows a tiež sme upresnili, odkiaľ je toto úložisko prístupné.
Vedeli ste, že…
… (názvy strojov na FI) stroje na FI typicky dostávajú DNS názvy podľa antických mien z knihy Bohové a hrdinové antických bájí od V. Zamarovského, pokiaľ teda žiadateľ nepreferuje niečo iné. U mien podľa Zamarovského bol historický úzus, že tie začínajúce na alfu/a sú vyhradené pre CVT, testovacie stroje CVT majú zas na začiatku thétu/th a nepísane sú ešte stroje začínajúce pí/p typicky strojmi ParaDiSe. Zo zoznamu od Zamarovského ešte vynímame plurálové formy mien ako Bakchantky, Plejády či dobre známe Nymfy (ktoré majú aj podobu, ktorú možno nepoznáte), ktoré používame pre číslované sady strojov. A ďalším pravidlom, ktoré využíva náš skript na generovanie návrhov mien strojov, je, že sa snažíme vyhýbať podobným existujúcim názvom (pomocou Levenshteinovej vzdialenosti) kvôli predchádzaniu hrozbe zámeny.
… (Mosh na Aise) V prípade, že na SSH Aisy pristupujete cez internetové pripojenie, ktoré má vyššiu latenciu, stratovosť, či iné neduhy, môžete využiť Mosh, ktorý dokáže takéto problémy citeľne zmierniť. Okrem toho tiež nedôjde k strate spojenia pri presune vášho stroja do inej siete.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
