Stalo sa, stane sa
MU bez internetu 7. 2.: V utorok 7. 2. došlo medzi 11:15 až k 11:55 k výpadku konektivity do internetu pre celú sieť univerzity. Príčinou bol výpadok napájania v CESNETe, ktorý nám/univerzite poskytuje konektivitu.
Expirovaný certifikát pre Eduroam 25. 2.: Tento mesiac bol na expirované certifikáty plodnejší. V sobotu 25. 2. o 1:00 expiroval ÚVT certifikát pre radius.muni.cz, používaný pri autentizácii pre Eduroam. Univerzitným správcom sa tento stav podarilo napraviť o 18:45.
Expirovaný certifikát pre FI VPN 28. 2.: No a táto trápnosť sa stala i nám – v utorok 28. 2. nám vypršal certifikát pre službu fakultnej VPN. Spôsobilo to nemožnosť pripojiť sa k FI VPN medzi 8:00 a 8:45. Ako sa to stalo? Naše certifikáty samozrejme sledujeme, vo viacerých prípadoch i cez dva samostatné mechanizmy. Sledovanie platnosti sme mali nastavené i pre VPN FI a dostali sme aj upozornenie, ktoré sme zaregistrovali. Problém však nastal súbehom dvoch vecí. Štandardne nám monitoring posiela upozornenie 14 a 7 dní pred expiráciou, a obvykle riešime nasadenie nového certifikátu až po druhom upozornení. V tomto prípade však má VPN vlastnú implementáciu kontroly (aby sme kontrolovali skutočne servírovaný certifikát serverom VPN a nie nejaký súbor na disku, ktorý v dobe implementácie tejto kontroly mohol byť reálne používaným certifikátom, ale v priebehu rokov by to mohlo prestať platiť). No a do tejto implementácie sa autorovi tohto blogu dostala logická chyba, že najprv sa kontrolovalo, že do vypršania je menej než 14 dní, a teda na kontrolu „menej než 7 dní“ vracajúcu v našom monitoringu urgentnejší stav teda nikdy nemohlo dôjsť… V túto chvíľu to už máme samozrejme opravené.
Požiarny poplach 6. 3.: (autorom bodu je kolega Kasprzak) V pondělí, 6. března, okolo 13. hodiny byla vyhlášena požární evakuace objektu fakulty. Jednalo se o falešný poplach způsobený aktivací požárního hlásiče ve 3. patře budovy C nadměrným množstvím prachu ve vzduchu. Příčinou byly probíhající práce na rekonstrukci 3.NP budovy C a neopatrnost zhotovitele, který měl při prašných pracích nechat čidlo dočasně deaktivovat. Děkujeme všem, kteří uposlechli pokynů evakuačního rozhlasu a vyšli z budovy ven.
Softvérové vybavenie a prostredie
Nový/aktualizovaný softvér: So začiatkom semestra sa vyrojilo množstvo požiadaviek na softvér, a tak sa na stroje dostali dotnet-sdk-7.0, JDK 17, Maven 3.6.3, R 4.1.2 s predinštalovanou kolekciou tidyverse (a ďalšími balíčkami pre účely MV013) a Podman (len na linuxových staniciach; kontajnery sa ukladajú lokálne do /var/tmp/$USER/containers; každý používateľ automaticky dostane rozsah 100000 subUID a subGID).
Nové moduly unix@fi: Zoznam nového softvéru ďalej pokračuje novými či aktualizovanými modulmi: perl po novom odkazuje na 5.36 namiesto 5.14, flutter-3.7.1 (aj ako flutter; dáta programu ukladáme kvôli ich veľkosti a kvóte na linuxovom HOME do /data/$USER a kopírujú sa tam pri prvom spustení, čo chvíľku trvá), rstudio-2022.12.0, android-studio-2022.1.1.20 (aj ako android-studio), rider-2022.3.2 (aj ako rider; dáta programu sa opäť kvôli veľkosti ukladajú do /data/$USER), idea-2022.3.2 (aj v podobe idea-2022.3.2-loc; ukladanie dát detto), netbeans-16 (aj ako netbeans-loc), gradle-7.6, llvm-15.0.7, netlogo-6.3.0, python3-3.10.2 (vrátane knižnice deepforest pre použitie na výpočtovom serveri Aura). Prevzali a opravili sme tiež modul bison-3.8.2.
Nové moduly od používateľov: Ďalej boli osobami mimo unix@fi pridané tieto moduly (teda tu negarantujeme nič): shellcheck-0.9.0, socat-1.7.3.3, tor-12.0.3, valgrind-3.20.0, john-1.9.0, maven-3.9.0 (aj ako maven).
Vyriešený problém so zmenou jazyka prostredia: (bod od kolegu Matouška:) Podařilo se nám vyřešit problém s nastavováním jazyka grafického prostředí, který se objevil minulý semestr. V souvislosti s tím jsme zrušili nastavení češtiny ve výchozím souboru .bashrc. Nové účty tak mají prostředí přívětivější zahraničním studentům (a domácí mají lepší předpoklad si nastavit svůj mateřský jazyk v anglickém prostředí, než cizinci v českém). Jazyk nastavený v grafickém prostředí se však nepoužije na serverech; k tomu je potřeba nastavit proměnnou prostředí LANG. V případě češtiny stačí odkomentovat řádek v ~/.bashrc, který byl v minulosti nucen všem novým uživatelům.
Podpora subUID a subGID na Aure: Na požiadanie vieme na Aure prideliť rozsah subUID a subGID, ktoré sa vám môžu hodiť pre rootless kontajnerizáciu s nástrojmi ako Podman.
Služby
VNet šablóna pre IPv4: (autorom bodu je opäť kolega Kasprzak:) Již před časem jsme zprovoznili pro uživatele Stratus.FI možnost vytvářet si vlastní privátní sítě. Předpřipravená šablona z důvodu co největší flexibility neobsahovala žádné údaje o přidělených adresách, ať už na druhé vrstvě (MAC adresy) nebo na třetí vrstvě (IPv4 a IPv6 adresy). Pokud si uživatel ale chce automatizovaně vytvářet sítě v rámci služby OneFlow, skládající se z více vzájemně propojených virtuálních strojů v různých rolích, je třeba aby síťová šablona měla už přednastavenou adresaci. Přidali jsme tedy původní šabloně alokaci 1024 MAC adres, šablonu přejmenovali na Private VLAN L2 addr only, a přidali ještě šablonu s přednastaveným rozsahem 1024 IP adres s názvem Private VLAN IPv4 addr.
Oprava tlače cez Sambu na kopírkach: V decembri sme dostali hlásenie, že pri tlači na kopírkach cez Sambu môže u dokumentov typu PostScript dochádzať k tlači písmenkovej polievky. Po otestovaní opravy na copy4a sme ju nasadili i na ostatné kopírky.
Vyriešené problémy s veľkými schránkami pošty: Zistili sme, že ak sú cache súbory mailboxov (~/mail/.imap/.imap/$MBOX/dovecot.index.cache) vašej pošty príliš veľké, môže dôjsť k vyčerpaniu limitu dostupnej pamäte v procese Dovecot (zabezpečuje prístup k pošte cez IMAP). V dôsledku to môže znemožniť čítanie i doručovanie vašej pošty kvôli zaseknutiu zámku na súbore. Limit sme niekoľkonásobne zvýšili, čo tento problém vyrieši. Spätnou kontrolou logov sme zistili, že tento problém sa mohol občas vyskytnúť u zhruba desiatky fakultných účtov.
Prechod na PHP 8 od 8. 2.
Sledovanie vyčerpania pamäte v centrálnom syslogu: V súvislosti s problémom s veľkými schránkami pošty sme pridali do nášho monitoringu správ v centrálnom syslogu detekciu chyby ENOMEM: Cannot allocate memory (viď výpis errno -l), vďaka čomu sa o podobných typoch problémov dozvieme (teda aspoň u strojov, ktoré majú nastavené posielanie syslogu k nám). Toto sledovanie rozširuje radu ďalších už existujúcich: hardvérové chyby, dôležité správy jadra, udalosti out of memory a podobne.
Prístup k fakultnej DB Oracle z Wi-Fi: Tento prístup sme povolili po vzore už doteraz povoleného prístupu z wlan_fi či Eduroamu k MariaDB a PostgreSQL.
Fakultný web a technická dokumentácia
Tlačítka na preklad vo wiki obojsmerne: Vo fakultnej wiki sme do lišty s možnosťou aktivácie automatického prekladu pre stránky, ktoré majú obe verzie udržované ručne, pridali možnosť prekladu v ľubovoľnom smere. Doteraz bola v jednom jazyku dostupná možnosť prekladu len jedným smerom (z pohľadu používateľa nemusel byť vždy tým intuitívnym).
VMware v zozname fakultných licencií: Do zoznamu fakultných licencií sme pridali zmienku o licenciách pre VMware.
Lepšia dokumentácia pre mailových klientov: V dokumentácii o prístupe k pošte sme sprehľadnili informácie ohľadne nastavovania poštových klientov: zdôraznili sme IMAP oproti okrajovému POP3 (ktoré sa však stále dá použiť na sťahovanie pošty napríklad z Gmailu) alebo sme výraznejšie oddelili konfiguráciu pre čítanie a odosielanie pošty (konfiguruje sa samostatne).
Vedeli ste, že…
… (fakultné SSH known hosts) pravidelne skenujeme fakultné stroje na serverové SSH kľúče a následne ich aktuálny zoznam po potvrdení vlastníkmi strojov centrálne zverejňujeme? Motiváciou je dať vám možnosť nainštalovať si sťahovanie týchto kľúčov na svoj stroj (do /etc/ssh/ssh_known_hosts), aby ste mali prístup k fakultným strojom bez potreby potvrdzovať či overovať SSH kľúče.
… (kontrola odkazov na webe FI) odkazy nachádzajúce sa na stránkach oficiálneho webu FI vo wiki pravidelne kontrolujeme? Kontrola beží raz denne pomocou nástroja link-checker od W3C. K výstupu kontroly sa dostanete v rozcestníku Fadmina, v sekcii wiki pod kontrola odkazů. Výstup dopĺňame o loginy zodpovedných kontaktov, takže si tieto osoby v prípade záujmu môžu ľahko nájsť svoje stránky a preveriť problémy s odkazmi, ktoré sa tam nachádzajú. Je teda nutné dodať, že ide o strojovú kontrolu a občas sa stáva, že táto kontrola má false positives, t. j. odkaz v skutočnosti funguje, ale napríklad webserver odmieta robotické prístupy.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
