CVT FI

RSS

Novinky, zajímavosti a změny v provozu počítačů, počítačové sítě, prezentační a další techniky na FI MU. Další informace jsou dostupné v Technických informacích na webu fakulty.

Pro hlášení problémů prosím kontaktujte příslušnou sekci CVT FI.

Informace o aktuálních problémech naleznete na stránce o výpadcích.

Vlastníci blogu: FI:unix@fi, FI:CVT FI
Starší příspěvky
Kategorie
Vlastníci blogu: FI:unix@fi, FI:CVT FI
Právo číst: kdokoliv v Internetu
Právo komentovat: kdokoliv přihlášený v ISu
17. 3.
2023

Novinky z unix@fi za 02/2023

  • RSS
Zajímavé | 7 | 7
Mgr. Tomáš Szaniszlo (CVT FI MU), učo 359894
unix

Požiarny poplach 6. 3., podpora subUID a subGID na Aure a linuxových staniciach, ako expirujú certifikáty.

Stalo sa, stane sa

MU bez internetu 7. 2.: V utorok 7. 2. došlo medzi 11:15 až k 11:55 k výpadku konektivity do internetu pre celú sieť univerzity. Príčinou bol výpadok napájania v CESNETe, ktorý nám/univerzite poskytuje konektivitu.

Expirovaný certifikát pre Eduroam 25. 2.: Tento mesiac bol na expirované certifikáty plodnejší. V sobotu 25. 2. o 1:00 expiroval ÚVT certifikát pre radius.muni.cz, používaný pri autentizácii pre Eduroam. Univerzitným správcom sa tento stav podarilo napraviť o 18:45.

Expirovaný certifikát pre FI VPN 28. 2.: No a táto trápnosť sa stala i nám – v utorok 28. 2. nám vypršal certifikát pre službu fakultnej VPN. Spôsobilo to nemožnosť pripojiť sa k FI VPN medzi 8:00 a 8:45. Ako sa to stalo? Naše certifikáty samozrejme sledujeme, vo viacerých prípadoch i cez dva samostatné mechanizmy. Sledovanie platnosti sme mali nastavené i pre VPN FI a dostali sme aj upozornenie, ktoré sme zaregistrovali. Problém však nastal súbehom dvoch vecí. Štandardne nám monitoring posiela upozornenie 14 a 7 dní pred expiráciou, a obvykle riešime nasadenie nového certifikátu až po druhom upozornení. V tomto prípade však má VPN vlastnú implementáciu kontroly (aby sme kontrolovali skutočne servírovaný certifikát serverom VPN a nie nejaký súbor na disku, ktorý v dobe implementácie tejto kontroly mohol byť reálne používaným certifikátom, ale v priebehu rokov by to mohlo prestať platiť). No a do tejto implementácie sa autorovi tohto blogu dostala logická chyba, že najprv sa kontrolovalo, že do vypršania je menej než 14 dní, a teda na kontrolu „menej než 7 dní“ vracajúcu v našom monitoringu urgentnejší stav teda nikdy nemohlo dôjsť… V túto chvíľu to už máme samozrejme opravené.

Požiarny poplach 6. 3.: (autorom bodu je kolega Kasprzak) V pondělí, 6. března, okolo 13. hodiny byla vyhlášena požární evakuace objektu fakulty. Jednalo se o falešný poplach způsobený aktivací požárního hlásiče ve 3. patře budovy C nadměrným množstvím prachu ve vzduchu. Příčinou byly probíhající práce na rekonstrukci 3.NP budovy C a neopatrnost zhotovitele, který měl při prašných pracích nechat čidlo dočasně deaktivovat. Děkujeme všem, kteří uposlechli pokynů evakuačního rozhlasu a vyšli z budovy ven.

Softvérové vybavenie a prostredie

Nový/aktualizovaný softvér: So začiatkom semestra sa vyrojilo množstvo požiadaviek na softvér, a tak sa na stroje dostali dotnet-sdk-7.0, JDK 17, Maven 3.6.3, R 4.1.2 s predinštalovanou kolekciou tidyverse (a ďalšími balíčkami pre účely MV013) a Podman (len na linuxových staniciach; kontajnery sa ukladajú lokálne do /var/tmp/$USER/containers; každý používateľ automaticky dostane rozsah 100000 subUID a subGID).

Nové moduly unix@fi: Zoznam nového softvéru ďalej pokračuje novými či aktualizovanými modulmi: perl po novom odkazuje na 5.36 namiesto 5.14, flutter-3.7.1 (aj ako flutter; dáta programu ukladáme kvôli ich veľkosti a kvóte na linuxovom HOME do /data/$USER a kopírujú sa tam pri prvom spustení, čo chvíľku trvá), rstudio-2022.12.0, android-studio-2022.1.1.20 (aj ako android-studio), rider-2022.3.2 (aj ako rider; dáta programu sa opäť kvôli veľkosti ukladajú do /data/$USER), idea-2022.3.2 (aj v podobe idea-2022.3.2-loc; ukladanie dát detto), netbeans-16 (aj ako netbeans-loc), gradle-7.6, llvm-15.0.7, netlogo-6.3.0, python3-3.10.2 (vrátane knižnice deepforest pre použitie na výpočtovom serveri Aura). Prevzali a opravili sme tiež modul bison-3.8.2.

Nové moduly od používateľov: Ďalej boli osobami mimo unix@fi pridané tieto moduly (teda tu negarantujeme nič): shellcheck-0.9.0, socat-1.7.3.3, tor-12.0.3, valgrind-3.20.0, john-1.9.0, maven-3.9.0 (aj ako maven).

Vyriešený problém so zmenou jazyka prostredia: (bod od kolegu Matouška:) Podařilo se nám vyřešit problém s nastavováním jazyka grafického prostředí, který se objevil minulý semestr. V souvislosti s tím jsme zrušili nastavení češtiny ve výchozím souboru .bashrc. Nové účty tak mají prostředí přívětivější zahraničním studentům (a domácí mají lepší předpoklad si nastavit svůj mateřský jazyk v anglickém prostředí, než cizinci v českém). Jazyk nastavený v grafickém prostředí se však nepoužije na serverech; k tomu je potřeba nastavit proměnnou prostředí LANG. V případě češtiny stačí odkomentovat řádek v ~/.bashrc, který byl v minulosti nucen všem novým uživatelům.

Podpora subUID a subGID na Aure: Na požiadanie vieme na Aure prideliť rozsah subUID a subGID, ktoré sa vám môžu hodiť pre rootless kontajnerizáciu s nástrojmi ako Podman.

Služby

VNet šablóna pre IPv4: (autorom bodu je opäť kolega Kasprzak:) Již před časem jsme zprovoznili pro uživatele Stratus.FI možnost vytvářet si vlastní privátní sítě. Předpřipravená šablona z důvodu co největší flexibility neobsahovala žádné údaje o přidělených adresách, ať už na druhé vrstvě (MAC adresy) nebo na třetí vrstvě (IPv4 a IPv6 adresy). Pokud si uživatel ale chce automatizovaně vytvářet sítě v rámci služby OneFlow, skládající se z více vzájemně propojených virtuálních strojů v různých rolích, je třeba aby síťová šablona měla už přednastavenou adresaci. Přidali jsme tedy původní šabloně alokaci 1024 MAC adres, šablonu přejmenovali na Private VLAN L2 addr only, a přidali ještě šablonu s přednastaveným rozsahem 1024 IP adres s názvem Private VLAN IPv4 addr.

Oprava tlače cez Sambu na kopírkach: V decembri sme dostali hlásenie, že pri tlači na kopírkach cez Sambu môže u dokumentov typu PostScript dochádzať k tlači písmenkovej polievky. Po otestovaní opravy na copy4a sme ju nasadili i na ostatné kopírky.

Vyriešené problémy s veľkými schránkami pošty: Zistili sme, že ak sú cache súbory mailboxov (~/mail/.imap/.imap/$MBOX/dovecot.index.cache) vašej pošty príliš veľké, môže dôjsť k vyčerpaniu limitu dostupnej pamäte v procese Dovecot (zabezpečuje prístup k pošte cez IMAP). V dôsledku to môže znemožniť čítanie i doručovanie vašej pošty kvôli zaseknutiu zámku na súbore. Limit sme niekoľkonásobne zvýšili, čo tento problém vyrieši. Spätnou kontrolou logov sme zistili, že tento problém sa mohol občas vyskytnúť u zhruba desiatky fakultných účtov.

Prechod na PHP 8 od 8. 2.

Sledovanie vyčerpania pamäte v centrálnom syslogu: V súvislosti s problémom s veľkými schránkami pošty sme pridali do nášho monitoringu správ v centrálnom syslogu detekciu chyby ENOMEM: Cannot allocate memory (viď výpis errno -l), vďaka čomu sa o podobných typoch problémov dozvieme (teda aspoň u strojov, ktoré majú nastavené posielanie syslogu k nám). Toto sledovanie rozširuje radu ďalších už existujúcich: hardvérové chyby, dôležité správy jadra, udalosti out of memory a podobne.

Prístup k fakultnej DB Oracle z Wi-Fi: Tento prístup sme povolili po vzore už doteraz povoleného prístupu z wlan_fi či Eduroamu k MariaDB a PostgreSQL.

Fakultný web a technická dokumentácia

Tlačítka na preklad vo wiki obojsmerne: Vo fakultnej wiki sme do lišty s možnosťou aktivácie automatického prekladu pre stránky, ktoré majú obe verzie udržované ručne, pridali možnosť prekladu v ľubovoľnom smere. Doteraz bola v jednom jazyku dostupná možnosť prekladu len jedným smerom (z pohľadu používateľa nemusel byť vždy tým intuitívnym).

VMware v zozname fakultných licencií: Do zoznamu fakultných licencií sme pridali zmienku o licenciách pre VMware.

Lepšia dokumentácia pre mailových klientov: V dokumentácii o prístupe k pošte sme sprehľadnili informácie ohľadne nastavovania poštových klientov: zdôraznili sme IMAP oproti okrajovému POP3 (ktoré sa však stále dá použiť na sťahovanie pošty napríklad z Gmailu) alebo sme výraznejšie oddelili konfiguráciu pre čítanie a odosielanie pošty (konfiguruje sa samostatne).

Vedeli ste, že…

(fakultné SSH known hosts) pravidelne skenujeme fakultné stroje na serverové SSH kľúče a následne ich aktuálny zoznam po potvrdení vlastníkmi strojov centrálne zverejňujeme? Motiváciou je dať vám možnosť nainštalovať si sťahovanie týchto kľúčov na svoj stroj (do /etc/ssh/ssh_known_hosts), aby ste mali prístup k fakultným strojom bez potreby potvrdzovať či overovať SSH kľúče.

(kontrola odkazov na webe FI) odkazy nachádzajúce sa na stránkach oficiálneho webu FI vo wiki pravidelne kontrolujeme? Kontrola beží raz denne pomocou nástroja link-checker od W3C. K výstupu kontroly sa dostanete v rozcestníku Fadmina, v sekcii wiki pod kontrola odkazů. Výstup dopĺňame o loginy zodpovedných kontaktov, takže si tieto osoby v prípade záujmu môžu ľahko nájsť svoje stránky a preveriť problémy s odkazmi, ktoré sa tam nachádzajú. Je teda nutné dodať, že ide o strojovú kontrolu a občas sa stáva, že táto kontrola má false positives, t. j. odkaz v skutočnosti funguje, ale napríklad webserver odmieta robotické prístupy.

Záverom

Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.

Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.

Dosud nečteno0 komentářůpermalink
« Novinky z unix@fi za 01/2023 (14. 2. 2023 17:49) | Novinky z unix@fi za 03/2023 » (28. 4. 2023 14:06)

Zatím žádné komentáře.