Stalo sa, stane sa
Problémy v Stratus.FI s časom, 15. 5.: Ako sa už stalo i minule, opäť sa vyskytol problém vo virtualizácii Stratus.FI so skokom času vo virtuálnych strojoch. Došlo k tomu v dôsledku aktualizácie hosťovských uzlov virtualizácie a následnej live migrácie virtuálnych strojov medzi uzlami, čo je typický moment, kedy k problému dochádza. U malých jednotiek dotknutých produkčných strojov sme toto vyriešili (reštartom týchto strojov). Prípadné problémy mohli trvať medzi 17:05 a 23:20. Ide o nie úplne jednoduchý problém, ktorému sme však začali venovať sústredené úsilie s cieľom vyriešiť ho. Za prípadné komplikácie sa ospravedlňujeme.
Odstávka napájania 27. 5.: Ako už bolo oznámené i mailom, v sobotu 27. 5. došlo v ranných až obedňajších hodinách k plánovaným prácam na napájacích systémoch na FI, ktorých následkom boli výpadky zariadení mimo priestorov datacentra, a to postupne ako aj v nezálohovaných, tak neskôr i v zálohovaných napájacích okruhoch.
Prístup študentov na FI cez víkendy a sviatky skončí: Informujeme, že možnosť využívať niektoré priestory FI (A218 a A219) mimo štandardnej prevádzkovej doby študujúcimi nebude po 30. 6. predĺžená.
Linuxové učebňové stroje
Doplnené predlžovačky v B011: Do B011 sme pridali do každej rady predlžovačku pre jednoduchšie sprístupnenie voľných napájacích zásuviek. Voľné zásuvky sú i zo zadnej strany stola, ale jednak sú horšie dostupné a druhak™ pri nedbalej manipulácii s nimi občas dochádzalo k odpojeniu učebňového stroja namiesto vlastného adaptéra (tu ešte môže mierne miasť, že došlo len k odpojeniu monitora, ale nie – sú to PC typu all-in-one).
Softvérové vybavenie a prostredie
Balíček Open MPI na Aise: Na Aisu sme na podnet doinštalovali balíček s Open MPI („A High Performance Message Passing Library“). Upozorňujeme ale, že na Aise je nevhodné robiť výraznejšie výpočtovo náročné operácie.
Služby
Aktualizácia Stratus.FI: Softvér OpenNebula, ktorý používame v našej virtualizácii Stratus.FI, sme aktualizovali z verzie 6.4 na 6.6. Najzaujímavejšou novinkou je nové rozhranie FireEdge Sunstone, na ktoré po novom odkazujeme z prihlasovacej obrazovky, a u ktorého je výhľad, že časom nahradí súčasné rozhranie Ruby Sunstone (ktoré je už len v režime údržby). Môžete si ho vyskúšať a prípadné problémy s ním nám nahlásiť. Buď ich zvládneme opraviť ako chyby na našej strane alebo ich zvážime na nahlásenie vývojárom OpenNebuly, ako sme už niektoré veci nahlásili.
Šablóna Fedory 38 v Stratus.FI: V Stratus.FI sme doplnili šablónu Fedory 38. Vyšla už dávnejšie, ale kvôli bugu s kickstartom sa nám jej výroba natiahla.
Oprava šablóny Windows v Stratus.FI: Po nahlásení problému používateľom sme v Stratus.FI opravili šablónu Windows 10. Ide síce o šablónu s operačným systémom vo verzii, ktorý už nemá aktuálne dostupnú bezpečnostnú podporu, a teda nie je vhodné ju využívať na dôležité a produkčné účely, ale aspoň pre testovacie účely môže byť užitočná. Jej problémom bolo, že chybne nevyužívala heslo v premennej WIN_PASSWORD v používateľskom kontexte, takže po (pre Windows pomerne typicky dlhej) inštanciácii sa do nej nebolo možné prihlásiť.
Pri prekročení kvóty: Vylepšili sme hlásenie o prekročení kvóty na Aise. Náš prekrývajúci skript quota teraz v prípade prekročenia kvóty zvýrazní prekročený limit červenou farbou a správa vypísaná pri prihlásení sa do textového či grafického rozhrania Aisy alebo linuxových staníc je stručnejšia a neredundantná. Tiež sme výrazne zostručnili mail posielaný v prípade prekročenia kvóty – okrem základných a špecifických informácií nájdete viac v odkazovanej technickej dokumentácii. Viď tiež bod Revízia stránky o úložiskách a kvótach.
Vyššia kvóta pre /tmp Anxura: Vzhľadom na prípad používateľa, u ktorého došlo k problému pri práci s väčšou mailovou schránkou v programe mutt, ktorý pri práci s ňou využíva predvolene ako dočasné úložisko /tmp a môže tu dôjsť k prekročeniu kvóty a poškodeniu schránky, sme sa rozhodli túto kvótu zvýšiť zo 4 a 8 GB na 8 a 16 GB (ide o mäkkú a tvrdú kvótu). Pre zaujímavosť, naposledy došlo k takémuto zvýšeniu (z 2 a 4 GB) v roku 2020 počas letných prázdnin.
Novší webmail Roundcube: Aktualizovali sme webmailovú aplikáciu Roundcube dostupnú na https://www.fi.muni.cz/mail/ z verzie 1.1.12 na verziu 1.6.1. Táto má k dispozícii i možnosť nastaviť novšiu tému Elastic. Jej prínosom môže byť dostupnosť modernejšej témy či možnosť tmavého módu, avšak neumožňuje už trojstĺpcové rozloženie ako umožňuje téma Classic.
Preučovanie dSpamu v Outlooku nefunguje: V návode ohľadne spamov v pošte zmieňujeme, že trénovať a vylepšovať detekciu spamov je možné presúvaním pošty z/do spamovej zložky. Toto funguje vďaka tomu, že v Dovecote (služba na poštovom serveri obsluhujúca prístup k pošte cez IMAP) je možné rozoznať presun pošty z/do tejto zložky. Ukazuje sa však, že od nejakej doby (môže to byť zhruba od marca 2021) poštový klient Outlook poštu nepresúva príkazom MOVE, ale najprv ju stiahne (FETCH) z pôvodného a následne nahrá (APPEND) do nového umiestnenia. Týmto spôsobom sa de facto znemožňuje detekcia toho, že ide o jeden mail a má sa uplatniť automatické preučenie štatistického spamového filtra (dSpam). Poznámku o tom, že v Outlooku možnosť preučenia nefunguje, sme zmienili v aplikácii Fadmina, kde sa táto možnosť dá aktivovať.
Podpisy mailov z univerzitných domén DKIMom: Na poštovom serveri FI (Anxur) sme okrem mailov s odosielateľom v doméne fi.muni.cz začali pomocou DKIMu podpisovať aj maily s odosielateľom v akejkoľvek doméne pod muni.cz. DKIM umožňuje zvyšovať dôveryhodnosť mailov z hľadiska posudzovania ich legitímnosti a spamovosti. K tejto aktivite došlo v koordinácii s univerzitnými správcami pošty s cieľom zvýšiť reputáciu aj univerzitnej pošty. Nejde o dokonalé riešenie, keďže ideálne by sme mali podpisovať len maily odchádzajúce z domény fi.muni.cz, ale vzhľadom na to, že časť legitímnej pošty odchádzajúca z Anxura používa iné domény odosielateľa, sme podpismi pokryli i tieto. Prípadné nelegitímne rozosielané maily by sme dokázali rýchlo odhaliť a zamedziť ich ďalšiemu šíreniu, takže to nepredstavuje veľké riziko z hľadiska reputácie nami podpísaných mailov.
Neblokujeme za SSH na linuxové stanice: Súčasťou nášho fakultného firewallu je detekcia a logovanie prístupov, ktoré nie sú povolené. Ak vyhodnotíme, že je takýchto nepovolených prístupov dostatok, môže dôjsť k zablokovaniu zdrojových adries, ktoré toto spôsobili. Občas sa však stáva, že tieto pokusy sú ľudské a dochádza k nim v dôsledku neznalosti pravidiel. Napríklad linuxové stanice sú cez SSH prístupné len zo siete MU, aby sme znížili riziko príliš paralelného hádania hesiel (ochranu proti tomuto síce máme, ale jej reakčná rýchlosť nikdy nebude taká, aby dokázala zabrániť napríklad súbežnému pokusu o prihlásenie na všetky linuxové stroje, povedzme v rámci jednej sekundy). Aby sme limitovali počet blokovaní študujúcich z neznalosti tohto faktu, pridali sme prístup cez SSH na linuxové stanice medzi tiché blokovania – prístup bude síce stále blokovaný, ale informácia o tomto už nedoputuje do systému detekcie útokov. Pre predstavu, za posledný rok bolo cca 20 takýchto blokovaní, ktoré mohli byť potenciálne spôsobené nesprávnymi pokusmi o SSH na Nymfy či Múzy.
Lepšie delenie GPU na Aure: Na výpočtovom serveri Aura máme dve GPU karty. Aby sme boli schopní pokryť viac používateľov, kartu rozdeľujeme pomocou MIG (Multi-Instance GPU) na viacero inštancií – jednu inštanciu nie je jednoducho možné zdieľať medzi viacerými výpočtovými úlohami (jedine cez MPS). Ukazuje sa však, že počítajúci málokedy postupujú podľa našich inštrukcií (v technickej dokumentácii) a nenastavujú si CUDA_VISIBLE_DEVICES a počítajú teda na prvej dostupnej GPU/inštancii. To bola doteraz inštancia o veľkosti celej karty, čo bude pre väčšinu prípadov zbytočne veľa. Preto sme konfiguráciu MIGu/inštancií upravili tak, aby boli ako prvé v poradí menšie karty a využili sa tieto: viď nvidia-smi -L.
Oprava zriedkavých zlyhaní fakultnej autentizácie: Zistili sme, že v ojedinelých prípadoch mohlo dôjsť k zlyhaniu fakultnej autentizácie i so správnymi prihlasovacími údajmi. Ukázalo sa, že ide o problém v novšej verzii LMDB používanej KDC Kerberosu. Problém sme zatiaľ vyriešili ponížením verzie LMDB. Pre predstavu, tento problém postihol za apríl len 161 ppm autentizácií (a i tak sme na tento problém narazili v praxi a museli sme ho riešiť).
Mail o rušení fakultného účtu vedúcemu: Ak sa niekomu ruší fakultný účet a táto osoba má pracovisko, posielame v predstihu pred mailom o zrušení účtu tejto osobe ešte mail vedúcemu/vedúcej pracoviska. Do tohto mailu sme doplnili informáciu o možnosti urýchliť zrušenie účtu, prípadne i bez posielania mailu o expirácii dotknutej osobe. Táto možnosť bola sem-tam využívaná, najčastejšie v prípade dočasných hostí, pre ktorých fakultný účet ani nemusel byť relevantný.
Odkaz na zmenu hesla FI v ISe: V ISovom rozcestníku so zmenou hesiel pridali kolegovia z ISu podmienené zobrazovanie odkazu na zmenu fakultného hesla: https://is.muni.cz/auth/system/heslo_fi. Tento odkaz sa zobrazí tým, ktorí majú na FI štúdium, dohodu alebo pracovnú zmluvu.
Fakultný web a technická dokumentácia
Stránka o IT pre nových zamestnancov: Po vzore už veľmi dlho existujúceho dokumentu Začíname s FI sme pripravili obdobnú stránku s informáciami pre nových zamestnancov, ktorá poskytne prehľad novým zamestnancom vo veciach IT na FI. Tu ešte dodáme, že už dlho existuje obdobná stránka s IT informáciami pre vyučujúcich.
Neprerušovaná veľkoobjemová tlač na kopírkach: Pokiaľ, ako to už hlavne v skúškovom období býva, tlačíte na kopírkach úlohy s veľa listami, po novom by ste už nemali narážať na problém, že tlač sa vždy po 100 listoch zastaví a je nutné ručne zasiahnuť (vytlačené papiere odobrať a dať pokračovať tlač). To bolo spôsobené predvoleným horným výstupným zásobníkom tlače. Po nahlásení tohto problému sme predvolenú konfiguráciu výstupného zásobníka upravili na bočný, ktorý sa automaticky posúva nadol a nemá takýto postretnuteľný limit. Táto zmena sa týka všetkých kopírok (mimo copy2c, ktorá bočný výstupný zásobník nemá).
Revízia stránky o úložiskách a kvótach: Stránku o úložiskách a kvótach sme výrazne zostručnili, prepracovali sme zoznam úložísk v úvode, aby bol prehľadnejší, a na záver sme doplnili užitočné tipy ohľadne prekročenej kvótu pre niektoré programy (dívame sa na vás, VS Code a CLion). Viď tiež bod Pri prekročení kvóty.
Pripájanie fakultných úložísk home/data: Na stránky s postupom ohľadne pripájania unixových úložísk home a data spod Linuxu a Windows sme doplnili informáciu o tom, odkiaľ sú na základe obmedzení nášho fakultného firewallu tieto pripojenia dostupné. Odkazy na túto dokumentáciu sme tiež doplnili do aplikácie s nastavením exportov.
Detekcia rozbitých ISových odkazov na webe FI: Kolegovia z ISu doplnili stránok s predmetmi a stránok dokumentového serveru vracanie chybového kódu HTTP 404 v prípadoch, keď daný predmet či dokuemnt neexistuje (alebo nie je prístupný). Doteraz tieto stránky vracali chybový kód HTTP 200, čo znemožňovalo strojovú detekciu nefunkčných odkazov. Na toto budeme teraz môcť nadviazať v našom monitoringu chybných odkazov z webu FI a vedieť odhaliť i takéto prípady.
Detekcia nefunkčných odkazov na webe FI smerujúcich do muni.cz: Našu dlhšie existujúcu kontrolu chybných odkazov smerujúcich z oficiálneho webu FI von sme „zdôslednili“: doteraz sme sa problematickými odkazmi zaoberali len v prípadoch, keď mali za týždeň priemerne aspoň jednu návštevu denne (podľa našej analytiky Matomo). Pokusné zníženie či úplné odstránenie hranice počtu návštev sa ukázalo byť príliš prácne (vzhľadom na strojovosť kontroly sú niektoré výsledky hlásené falošne a tiež riešenie týchto problémov s osobami zodpovednými za stránky na webe je často kapitola sama o sebe). Vzhľadom na to, že odkazy smerujúce na nejaký web v doméne muni.cz sú o čosi prominentnejšie (a v prípade ich nefunkčnosti môžu o to viac budiť dojem „to si nevedia spraviť poriadok ani u seba?“), špecificky pre tieto odkazy sme začali hlásiť všetky Matomom detegované navštívené prípady.
Pomalý crawling webu FI Googlom: Zistili sme, že crawling webu FI pomocou stále majoritného vyhľadávača Google je u niektorých stránok dosť pomalý. Hlavná stránka alebo stránka v adresárovej štruktúre URL v prvej úrovni je typicky načítavaná robotom Google zhruba raz za niekoľko dní až malých týždňov. U menej prominentných stránok však môže ísť o crawling s frekvenciou až týždňov. Je možné, že ide jednoducho o dôsledok prioritizácie Googlom naprieč všetkými ďalšími možnými webmi, ktoré prelieza, keďže nám nie je známy nejaký dôvod, kvôli ktorému by malo byť indexovanie až takto zriedkavé. Ak sa teda spoliehate na indexáciu a crawling webu FI robotom Google, je dobré, aby ste na tento fakt mysleli a príliš sa na to nespoliehali.
Nová wiki značka fi-picture: Do fakultnej wiki sme doplnili značku fi-picture, ktorá umožňuje vygenerovať rôzne veľkostné varianty obrázkov z wiki files. Toto je užitočné, ak chcete zobrazovať obrázky v niektorých vybraných webových komponentoch ako sú časové osy či galérie, keďže v nich dochádza k rôznym škálovaniam obrázkov, ktoré sú bez tejto značky nie úplne kvalitné a môžu byť dosť rozmazané. Túto podporu nie je jednoduché realizovať plošne a potrebné prednastavenia parametrov budeme dopĺňať podľa potreby a záujmu.
Neaktuálne URL v prekladovom banneri po presune stránky: Vďaka upozorneniu sme zistili, že na automaticky prekladaných verziách stránok na webe FI zostáva pri ich presune na iné URL pôvodné (a už typicky neplatné) URL v banneri o preklade. Na existujúcich stránkach sme toto napravili a problém sme systémovo vyriešili.
Vedeli ste, že…
… (zálohujeme) unixové domovské adresáre, úložisko pošty na Aise a Anxurovi, osobné (i projektové) fakultné databázy, repozitáre GitLabu, obsah /www a /webhost na Aise, softvérové moduly, úložisko fi-graphics sú typicky denne zálohované a v prípade potreby je možné obnoviť prípadne stratené/poškodené dáta do stavu až rok dozadu? Okrem toho je možné požiadať aj o zálohovanie vášho pracovného fakultného stroja či servera, ktorý spravujete. Medzi nezálohované dáta patria unixové úložisko data, dočasné adresáre /tmp či /var/tmp, úložiská /mnt/data na linuxových staniciach alebo virtuálne stroje v Stratus.FI.
… (účty v GitLabe pre externistov) poskytujeme možnosť výroby externých účtov GitLabu? Existujú len v GitLabe, môžu ich vyrábať zamestnanci a je možné prideliť ich správu aj skupine osôb. Nemajú síce plné práva ako majú účty v GitLabe pridružené k fakultnému účtu, ale pre bežné účely spolupráce s externistami by mali byť postačujúce.
Záverom
Ak ste sa (poctivo) dočítali až sem, gratulujeme! Toto bol z hľadiska množstva (Markdown) textu na mesiac najdlhší novinkový blogový príspevok.
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
