Infraštruktúra a hardvér
Menej blokovaní zariadení kvôli Wi-Fi: Občas sa stáva, že zariadenia pripojené k Wi-Fi (či už Eduroamu alebo wlan_fi) majú nadviazané spojenia s inými zariadeniami v tejto lokálnej sieti. To môže byť problém, keď sa následne takýto notebook alebo mobil dostane mimo sieť FI/MU a zariadenie má chvíľu v novej sieti pocit, že ešte by chcelo udržovať pôvodnú komunikáciu. To však už môže náš firewall vyhodnotiť ako pokus o sieťový sken a túto nefakultnú IP adresu zablokovať. Po tom, ako sme podobné prípady riešili už dávnejšie tak, že túto komunikáciu len potichu zahadzujeme, sme vzhľadom na väčšie množstvo za október takto hlásených problémov pridali medzi podobne potichu zahadzované i ďalšie pokusy o komunikáciu. Ide napríklad o porty TCP/80, TCP/62078 (UPnP či iPhone-sync), UDP/1900 (SSDP či UPnP) a pár ďalších.
Povoľujeme aj UDP RDP: Na fakultnom firewalle sme v prípadoch povoleného RDP cez TCP povolili aj UDP variant RDP. Tento môže byť vďaka väčšej odolnosti UDP voči sieťovým chybám o niečo príjemnejší na používanie, než verzia s TCP.
Softvérové vybavenie a prostredie
Doplnené balíčky: Na linuxové stanice sme pridali zoxide – inteligentnejšie cd – a balíček kotlin pre rovnomenný programovací jazyk. Na Aisu, Auru a linuxové stanice sme doplnili jc (JSON Convert), ktorý umožňuje džejsonifikovať výstup bežnejších linuxových príkazov, čo zjednodušuje strojové spracovanie.
Oprava login2uco a uco2login: Po aktualizácii OS Aisy neboli funkčné skripty login2uco a uco2login kvôli chýbajúcej knižnici, čo sme napravili použitím vhodnejšej inštancie interpreta jazyka Perl.
Služby
Zrýchlenie enumerácie LDAPu na Aise: Niektoré operácie, ktoré využívali výpis zoznamu všetkých používateľov v systéme (napr. cd ~xlog<TAB>) mohli trvať veľmi dlho (i viac než 10 sekúnd). Problémom je, že takáto enumerácia v LDAPe je v SSSD príliš pomalá. Tento problém nemá úplne jednoduché riešenie. Zatiaľ sme ho ale aspoň redukovali zvýšením doby platnosti cache týchto informácií z dvoch minút na dve hodiny, takže by k nemu malo dochádzať výrazne menej často. Viď tiež minule zmieňované pomalé prihlasovanie na Aisu.
Opravený DNS leak VPN (aktualizovaná konfigurácia): Na základe upozornenia používateľom sme opravili DNS leak pri používaní fakultnej VPN spod Windows (minimálne pre Windows 11). Vďaka spôsobu, akým sa Windows snažia využívať DNS, dochádzalo k tomu, že dotazy DNS nemuseli byť zodpovedané cez VPN, ale i mimo, čo je samozrejme problém pri používaní VPN z dôvodu ochrany súkromia. Túto chybu sme napravili uvedením direktívy block-outside-dns do konfigurácie klienta. Problém je možné vyriešiť inštaláciou nového konfiguračného profilu. Na okraj dodáme, že táto ochrana súkromia sa už z princípu nevzťahuje napríklad pri použití DNS over HTTPS. Ak by ste prípadne s novou konfiguráciou narazili na problémy, budeme radi za spätnú väzbu.
Problém s tlačou cez Sambu z macOS 14: Zistili sme, že tlač cez Sambu prestala fungovať v novovydanej verzii macOS 14 Sonoma. Tlač cez IPP fungovala. (K 01/2024 sme vyriešili a aktualizovali sme návod.)
Vylepšenia skenovania SSH kľúčov: V našom pravidelnom skenovaní SSH kľúčov fakultných strojov sme spravili niekoľko opráv či vylepšení:
- Oprava skenovania RSA kľúčov: Nedopatrením sme skeny obmedzovali len na variant
ssh-rsa a náš sken teda nedetegoval nové kľúče variantov rsa-sha2-256 a rsa-sha2-512. Toto sa týkalo napríklad i reinštalácie Aisy.
- Dátum posledného výskytu kľúča: v aplikácii s výpisom SSH kľúčov pre stroj sme pri zobrazení kľúčov vybraného stroja pridali zobrazovanie dátumu, kedy bol SSH kľúč naposledy videný.
- Deaktivácia nepoužívaných typov kľúčov: Ak u stroja vidíme nejaké SSH kľúče, ale niektorý z nich zmizne a neobjaví sa tam aspoň týždeň, berieme to tak, že v rámci aktualizácie systému bol odstránený a kľúč deaktivujeme.
- Mazanie dlho nevidených kľúčov: Týka sa kľúčov, ktoré sme nevideli aspoň dva roky.
SSHFP pre Aisu a Anxura: V DNS sme zverejnili pre servery Aisa a Anxur SSH kľúče v podobe záznamov SSHFP. Viď napríklad host -t sshfp aisa.fi.muni.cz. Ideou je, že pokiaľ je v zóne DNS nasadené DNSSEC, je možné uviesť tam odtlačky SSH kľúčov, ktoré môže následne SSH klient overovať namiesto toho, aby sa na ich verifikáciu pri prvom prístupe pýtal používateľa. Toto sa však nedeje implicitne a je nutné povoliť to pomocou voľby klienta VerifyHostKeyDNS=yes. V túto chvíľu ide teda skôr o iniciálne využitie tejto možnosti, než že by v tomto počte strojov prinášala významné zjednodušenie.
Fakultný web a technická dokumentácia
Dokumentácia Podmanu (i s GPU) na Aure: Dokumentáciu Aury sme doplnili o popis možností využitia rootless kontajnerov prostredníctvom Podmanu, vrátane využitia grafických kariet (2x Nvidia A100 80 GB) prítomných na Aure. Tiež sme tam zdokumentovali prideľované rozsahy subuid a subgid a štandardné umiestnenie kontajnerov.
Odtlačky SSH kľúčov Aisy v /tech/: V súvislosti s reinštaláciou Aisy a zmenou jej SSH kľúčov vyplával do popredia problém, že sme doteraz nikde neuvádzali odtlačky SSH kľúčov Aisy, aby si ich bolo možné pri prvom pripájaní sa overiť. Doplnili sme ich teda do dokumentácie Aisy.
Okamžité publikovanie zmien vo wiki: Naša wiki umožňujúca správu obsahu oficiálneho webu po novom ponúka možnosť okamžitého zverejnenia realizovaných zmien. Namiesto doterajšieho čakania typicky jednej hodiny na publikovanie nových zmien je možné zmeny zverejniť v ráde desiatok sekúnd (vrátanie prípadného automatického prekladu).
Rýchlejšia synchronizácia vývesky na web: Správy z Vývesky ISu sa do databázy fakultnej wiki prenášajú každú hodinu. Okrem toho tam mohlo byť prítomné ďalšie až polhodinové oneskorenie dané TTL ISovej RSS, ktoré sme v spolupráci s ISom odstránili.
Zmena faviconu na webe FI: Na doméne fi.muni.cz sme začali namiesto doterajšieho tradičného logotypu FI „Ligatura FI“ používať podobu loga „M“ vizuálne jednotnú s logotypmi iných fakúlt MU: 
.
Opravené zobrazovanie obrázkov aktualít: Pri prenášaní výveskových správ ISu na web FI sme opravili dlhšie trvajúci problém s tým, že obrázky sa mohli zobrazovať s rôznou výškou. Dôvodom dlhšieho trvania opravy bolo, že obrázky v ISe boli pozíciované a škálované atribútmi background-position a background-size a túto informáciu nešlo jednoducho transformovať do šablóny HTML a CSS danej frameworkom JVS, ktorý na webe FI používame.
Viditeľné kotvy na webe FI: Vo fakultnej wiki sme pridali zobrazovanie ikonky klikateľnej mriežky vedľa nadpisov, ktoré majú na sebe. Ako príklad viď rozcestník /tech/.
Možnosť YouTube videí na webe FI: Do fakultnej wiki sme pridali novú značku umožňujúcu vkladanie videí YouTube: <fi-embed type="youtube" id="dQw4w9WgXcQ">.
Vylepšená wiki značka fi-hero: Wiki značke implementujúcej hero box sme pridali možnosť využívať obrázok na pozadí (bg="image.png"), ktorý tiež môže byť realizovaný gradientovo pre lepšiu čitateľnosť (bg-gradient). Pridali sme tiež skratku light pre jednoduchší zápis triedy box-hero__title--light. A ešte sme pridali možnosť uvádzať rôzne modifikačné triedy (napr. box-hero--size-... alebo no-white a pod.; viď mini framework či dokumentáciu hero boxov). Viď tiež našu dokumentáciu tejto značky.
Vedeli ste, že…
… (výroba unixových skupín) na požiadanie vieme vytvoriť unixovú skupinu (v LDAPe) na riadenie prístupu napríklad na Aise, Anxurovi a pod.? Viď napríklad aisa$ getent group staff. Tieto skupiny môžu byť buď naviazané na už existujúce mailové či iné skupiny vo Fadmine, prípadne vytvorené podľa vašich požiadaviek s možnosťou ručnej správy či synchronizácie voči ISu.
… (skracovač URL) pokiaľ potrebujete krátky odkaz, napríklad na fakultné URL, priamo v rámci FI takúto službu neposkytujeme, ale môžete využiť skracovač odkazov poskytovaný ISom?
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
