Stalo sa, stane sa
Maily z @fi.muni.cz na @muni.cz mohli končiť v spame: Začiatkom mesiaca nám bolo používateľmi nahlásené, že maily z fakultných adries @fi.muni.cz mohli pri doručovaní do schránok @muni.cz končiť v spame. Problém bol vyriešený 3. 10. opravou pravidiel na strane univerzitných správcov.
Výpadky Eduroamu a siete na MU 18.–21. 10.: Od utorka do piatka sme v uvedených dňoch bohužiaľ opäť zaznamenávali relatívne obvyklé problémy s autentizačnými servermi RADIUSu na strane univerzity. To znemožňovalo nové pripojenia do siete Eduroam (i v prípade roamingu medzi Wi-Fi AP), ale existujúce spojenia to neovplyvnilo.
Prvý výpadok bol v utorok medzi 13:14 a 14:00. K druhému došlo v stredu medzi 13:42 a 14:27. Počas neho došlo k vyčerpaniu dostupnej kapacity IPv4 adries v sieti wlan_fi (keďže tam prešla významná časť klientov z Eduroamu a wlan_fi má menší adresný rozsah), čo sme dočasne vyriešili vypnutím captive portálu, keďže pri aktuálnom spôsobe jeho nasadenia (podporovaného výrobcom AP) to spôsobuje, že každé AP využíva jednu IP z rozsahu siete wlan_fi.
Tretí výpadok vo štvrtok bol výrazne najdlhší, od 14:23 do 21:56, a jeho príčina bola podľa informácií správcov na MU spôsobená problémom so switchom v sieti MU. V tomto prípade došlo aj k nefunkčnosti telefónnej siete a niektorých služieb MU.
V nadväznosti na tieto problémy sme do Status FI doplnili indikáciu problémov aj na wlan_fi, doplnili sme posielanie IPv6 DNS serverov cez DHCP a RA na wlan_fi a od 31. 10. nám univerzitní správcovia sprístupnili backend servery univerzitného RADIUSu, čo by malo eliminovať väčšiu časť výpadkov, keďže tie boli často spôsobené problémom s univerzitnou proxy RADIUSu. (O túto možnosť sme mali záujem už dávnejšie, ale nebola nám sprístupnená.)
Nefunkčné prístupovky v budove B od 21. 10.: V dôsledku poruchy na kabeláži v budove B došlo k výpadku funkčnosti niektorých prístupových čítačiek v budove B (napríklad PC hala, B311). Problém bol v nasledujúcich dňoch odstránený (výmenou celej káblovej trasy medzi dvomi prístupovými čítačkami).
Infraštruktúra a hardvér
Vylepšenie kvality Wi-Fi v budove C: Na základe hlásení o problémoch s Wi-Fi sme vylepšili kvalitu pripojenia v strede krídla C2 (zvýšením sily signálu na blízkom Wi-Fi AP) a v študovni C123 (nasadením nového kusu AP priamo v miestnosti).
Softvérové vybavenie a prostredie
Nové moduly: Pribudli nové softvérové moduly neovim-0.8.0, gdb-12.1, gcc-12.2 (nastavené ako predvolená verzia balíčka gcc) a perl-5.36.0.
git-lfs na Aure a Adonis: Na žiadosť sme na výpočtové servery Aura a Adonis pridali balíček git-lfs (na Aise, Anxurovi či linuxových staniciach už bol prítomný). Ak vám na strojoch chýba nejaký softvér, neváhajte nám napísať (hlavne ak ide o softvér dostupný v balíčkoch, jeho doplnenie typicky nie je žiadnym problémom).
Služby
Mailový server FI na spamliste: S cieľom pomôcť správcom mailových serverov v boji so spamom existuje množstvo reputačných zoznamov IP adries (tzv. DNSBL), kam sú automaticky zaraďované adresy, u ktorých vyhodnocovací systém rozhodne, že sú nejakým spôsobom závadové. Vďaka možnosti preposielania mailov sa však bohužiaľ stáva, že na adresu u nás príde spam, ktorý prepošleme, a ďalší systém ho vyhodnotí ako spam, respektíve môže zároveň vyslať negatívny signál pre IP adresu nášho poštového servera do niektorých z týchto DNSBL.
Toto je síce ošemetné, ale ešte to nie je samo o sebe problematické, teda až do momentu, keď niektorí správcovia mailových serverov využívajú tieto signály ako dostačujúcu podmienku na to, aby všetku poštu od danej IP zahadzovali (pokiaľ sa na nachádza na danom DNSBL). Vhodnejším riešením je brať tento signál ako jeden z viacerých vstupov, na základe ktorých budete posudzovať jednotlivé maily, a nie rovno celý mailserver. Z nášho pohľadu je takáto prax nevhodná, ale nie je to niečo, čo by sme boli schopní priamo a jednoducho ovplyvniť a našťastie sa nevyskytuje až tak často. Každopádne sme na základe hlásenia o nedoručení mailu jedného z používateľov FI zistili, že sa nachádzame na jednom z týchto zoznamov. Historicky sa nám takéto situácie občas darí riešiť s používateľmi týchto citlivejších adries, ale nejde o úplne systémové riešenie.
Tento problém by sa dal riešiť filtrovaním mailov pri preposielaní, ale je to pomerne krehká záležitosť, preto sme ho ani nepoužívali: ak už niečo zahodíte, treba myslieť na to, že filtrovanie je vždy nedokonalé a môže zahodiť i legitímny mail. Preto je veľmi vhodné dať túto informáciu o zahodení odosielateľovi (NDR), aby vedel, že jeho mail nebol doručený. Lenže odosielateľ môže byť sfalšovaný a môžete tak spamovať niekoho, kto s tým nemá nič spoločné. Nakoniec sme však dospeli k záveru, že bude potrebné nasadiť filtrovanie odchádzajúcej pošty. Tým zamedzíme preposielaniu aspoň časti spamov a znížime šancu nášho umiestnenia do nejakého DNSBL, hoci problém úplne neeliminujeme. Zároveň sme s týmto incidentom začali našu prítomnosť v DNSBL pravidelne sledovať, aby sme mali prehľad o potenciálnych problémoch našich používateľov s poštou.
Problém s tlačou z Windows cez Sambu: Od 17. 10. sme na základe hlásení zaznamenali problémy s tlačou cez tlačové fronty na Windows používajúce tlač cez Sambu (pokus o tlač vráti chybu). Problém bol zrejme spôsobený aktualizáciou Windows a netýka sa všetkých inštalácií/verzií Windows. Môže vám tiež zlyhávať samotná inštalácia (sambovej) tlačovej fronty. Kolegovia zo sekcie Windows na vyriešení problému pracujú. Zatiaľ je možné v prípade núdze nainštalovať tlačovú frontu cez CUPS alebo tlačiť z iného stroja (Aisa/Anxur).
Na infopaneloch sa nezobrazovali JPEGy: Zistili sme, že na infopaneloch sa nedopatrením už nejakú chvíľu nezobrazovali obrázky typu JPEG, čo sme opravili.
Fakultný web a technická dokumentácia
Aktualizovaná značka na fakultných weboch: Na našich weboch (web FI, GitLab, Stratus.FI, Fadmin, …) sme aktualizovali dizajn náhradou pôvodnej kruhovej značky FI za značku zodpovedajúcu JVS MU.
Vedeli ste, že…
… (monitoring služieb/strojov) poskytujeme možnosť monitoringu dostupnosti strojov/služieb naším Nagiosom (konkrétne zaslanie mailu v prípade zmeny stavu). Služba je primárne cielená na správcov laboratórií a vlastníkov produkčných virtuálnych/fyzických strojov.
… (tlač z Aisy) pokiaľ máte právo tlače na fakultných tlačiarňach/kopírkach, môžete tlačiť aj z Aisy (napríklad cez lpr). Tlač funguje vďaka autentizácii cez Kerberos, takže ak ste sa prihlásili cez SSH kľúč, je ešte nutné vyrobiť si autorizačný lístok Kerbera zavolaním príkazu kinit (bez parametrov).
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
