Stalo sa, stane sa
Nedostupnosť domovských adresárov 1. 2.: Počas výmeny chybného disku z diskového poľa, kde je umiestnené unixové úložisko /data
, pripojené k serveru Anxur, došlo neobvykle k zablokovaniu celej zbernice SATA. To spôsobilo dočasnú nedostupnosť nielen úložiska /data
, ale aj /home
či zväzku s mailmi. Problém sa nám softvérovo nedarilo vyriešiť, našťastie pomohlo aspoň fyzické vytiahnutie disku z diskovej police. Výsledkom bola cca 20-minútová nedostupnosť dát na týchto úložiskách.
Chyba konfigurácie GPU na Aure: V rámci predsemestrálnej aktualizácie a rebootu Aury sme mali omylom chybne nakonfigurované jedno z GPU (na karte bolo zapnuté MIG, ale bez konfigurácie), ktoré preto nebolo dostupné pre výpočty. Po týždni sme boli na toto upozornení a problém sme napravili. Tento stav už detegujeme a opakovať by sa teda nemal.
Zaplnenie /tmp
Aury 15. 2.: Došlo k chvíľkovému úplnému zaplneniu (v porovnaní s /var/tmp
) relatívne malého úložiska /tmp
na Aure. S cieľom pokúsiť sa trochu takéto situácie eliminovať, sme v /tmp
vyrobili upozorňujúci súbor /tmp/ATTENTION: Prefer var-tmp to tmp
odkazujúci na dokumentáciu úložísk Aury – používať /tmp
na ukladanie výpočtových dát je nevhodné.
IP GitHubu blokované MU 28. 2.: Zistili sme, že jedna z IP, na ktorú rezolvuje github.com
(140.82.121.4), bola blokovaná firewallom MU. Požiadali sme o jej odblokovanie a zároveň sme zabezpečili jej zaradenie na zoznam neblokovaných výnimiek.
Infraštruktúra a hardvér
Lepší captive portál: Upravili sme doterajšiu funkčnosť captive portálu na sieti wlan_fi, kde dochádzalo k autorizácii klientov na dvoch miestach. To mohlo mať občas v prípade desynchronizácie týchto stavov za následok napríklad to, že sa pri druhom, neskoršom pripojení v dni captive portál nezobrazil. Toto sme teraz upravili tak, že správu autorizácie sme presunuli na jedno miesto. Dôvodom, prečo toto riešenie nepoužívame od začiatku, bola jednoduchšia implementácia dvojitého riešenia.
Captive portál a RFC Začali sme podporovať RFC 8908 Captive Portal API, ktoré definuje HTTP API umožňujúce klientom interagovať s captive portálom, a tiež RFC 8910 Captive-Portal Identification in DHCP and Router Advertisements (RAs), ktoré má celkom samopopisný názov. Vďaka nemu sa klienti dozvedia o existencii captive portálu priamo pri získavaní IP adresy (v našom prípade posielame informáciu cez DHCPv4). To spôsobí, že výzvu ohľadne captive portálu dostanú klienti výrazne rýchlejšie a nemusia ani robiť vlastný probing jeho prítomnosti. Tiež sa vďaka tomuto zobrazuje (aspoň u mobilných zariadení) pri položke s wlan_fi informácia o existencii captive portálu (napr. Sign-in is required.).
Vertikálna myš k učiteľskému PC v B311: Pokusne sme vedľa klasickej myši doplnili aj ergonomickú vertikálnu myš. U tejto snahy o vylepšenie sme zvažovali, či sa do nej púšťať – jednoduchý nápad je pri dôkladnejšom pohľade nie až tak jednoduchý. Vertikálne myši pre pravákov a ľavákov sú rôzne, takže toto neobslúži všetkých, keďže sme pridali pravácku. A niektorí ľudia majú zas rôzne preferencie a doplnený model im vyhovovať nemusí.
Linuxové učebňové stroje
Kontajnerové úložisko aj na Nymfách a Múzach: Podobne ako v novembri pre Auru sme aj pre linuxové učebňové stanice nasadili úpravu, vďaka ktorej sa kontajnery ukladajú do /var/tmp/containers/$USER
. Dôvod je v podstate bezpečnostný. Pôvodné umiestnenie /var/tmp/$USER
, do ktorého sme predtým plošne presmerovávali ukladanie obrazov, bolo vo všeobecne zapisovateľnom /var/tmp
, takže niekto iný mohol vyrobením tohto súboru/adresára funkčnosť Podmanu dotyčnému účtu zablokovať či pomocou symlinkového útoku zapisovať do neželaného miesta. Ešte pre úplnosť dodajme, že implicitne sa obrazy ukladajú do $HOME/.local/share/containers/storage
, čo ale nebolo vzhľadom na ich veľkosť a relatívne obmedzenú veľkosť diskovej kvóty úplne vhodné.
Horšia odhaliteľnosť viac spustených Chrome: U Firefoxu sme nejakú dobu dozadu nasadili riešenie umožňujúce upozorniť vás, keď sa pokúšate na ďalšom stroji spustiť ďalšiu kópiu Firefoxu – to neprejde, pretože oba by používali rovnaký profil, ktorý je prvým Firefoxom zamknutý. Toto naše riešenie na to explicitne upozorní ešte pred spustením Firefoxu, vrátane doplnenia užitočnej informácie, kde je ten druhý (zabudnutý?) Firefox. Pre Google Chrome sme toto neriešili, pretože jeho správa o zamknutom profile zobrazovala rovno aj názov stroja, kde je ten profil zamknutý. Zdá sa však, že toto sa v medzičase zmenilo a sme v situácii podobnej, ako sme bývali u Firefoxu. Riešenie s Firefoxom nie je zrejme úplne prenositeľné, takže tento problém zatiaľ trvá a nie je vyriešený. Je tiež možné, že sa opraví sám nejakou ďalšou aktualizáciou Google Chrome.
Softvérové vybavenie a prostredie
zsh-syntax-highlighting
na Aise a Aure: Doplnili sme na uvedených dvoch serveroch, čomu sa používatelia zsh iste potešia. (Na serveri Anxur a linuxových staniciach už nainštalované bolo.)
Oprava modulov pre zsh: Na základe upozornenia sme opravili chybu ModuleCmd_Load.c(199):ERROR:105: Unable to locate a modulefile for 'modules'
zobrazovanú po prihlásení, ak máte ako prihlasovací shell zsh, čo tiež spôsobovalo nedostupnosť modulov u tohto prihlasovacieho shellu.
Nové moduly unix@fi: python3-3.10.13
(existuje aj python3-3.10.2
, ale iné predmety potrebovali iné verzie balíčkov), jdk-21
, rstudio-2023.12.1
, webstorm-2023.3.3
, clion-2023.3.4
, tiny-2024
(aj ako tiny
; vrátane symlinkov tinycc
a tinyvm
; používané PB111).
Služby
Pomalé prihlasovanie na Aisu trvá: Zdá sa, že riešenie zmieňované v minulom blogovom príspevku (prechod na pripájanie celého /home
namiesto jednotlivých $HOME
separátne), ktoré sme realizovali v rámci údržby Aisy pred semestrom, nepomohlo. Viď napríklad porovnanie (počíta sa s prihlasovaním cez bezheslový kľúč; upravte si prípadne zoznam strojov podľa toho, kam máte právo prístupu):
for HOST in aisa anxur aura nymfe01; do
T1=$(date +%s.%N)
T2=$(ssh filogin@$HOST date +%s.%N)
echo -n $HOST\ ; bc -ql <<<"$T2 - $T1"
done
Obvykle trvá prihlásenie do dvoch sekúnd a v nedlho potom nasledujúcich pokusoch do pol sekundy (u Anxura dokonca do 0,1 sekundy vďaka staršiemu RHELu), ale občas sa to môže natiahnuť až na vyššie jednotky sekúnd. Budeme sa ešte snažiť nejak to vylepšiť, ale ide o pomerne ťažký problém daný veľkým počtom účtov/sedení na Aise.
Ešte iné krátke výpadky autentizácie na Aise: Zdá sa, že autentizácia na Aise podniká ďalší útok a od 22. 2. začalo dochádzať k tomu, že nárazovo, na cca jednu až dve minúty, sa raz za pár hodín veľká časť autentizácií korektnými prihlasovacími údajmi správala ako keby správne neboli. (18. 3. sme problém vyriešili; viac v budúcom blogu.)
Oprava zásobníka 1 na copy4a: Na základe hlásenia bol opravený zásobník 1 (respektíve jeho podávač) na kopírke copy4a, z ktorého tlač sa po pár vytlačených listoch pozastavovala (zaseknutý papier) a eventuálne z neho tlač prestala fungovať úplne. Máme podozrenie, že kopírka, resp. jej podávací mechanizmus, sa snažili z nudy o nejaké origami.
Lepšia kontrola spamovosti väčších mailov: Opravili sme konfiguráciu fakultného poštového servera (respektíve jeho kontroly spamu), keďže sme boli upozornení, že v prípade väčšieho mailu poslaného z adresy mimo FI na fakultnú skupinovú adresu nemusela správne fungovať kontrola na spam (v prípade doručovania do schránky na FI) alebo sa mail mohol zahodiť (v prípade preposielania z FI inam).
Dátum poslednej detekcie SSH kľúča: Pokiaľ patríte medzi osoby s právom správy nejakých zariadení vo Fakultnej administratíve, a ide o stroje s SSH serverom, doplnili sme do zoznamu videných kľúčov i informáciu, kedy naposledy bol daný SSH kľúč naskenovaný. Hodí sa na identifikáciu kľúčov, ktoré už prestal SSH server používať (typicky kvôli snahe o zvýšenie bezpečnosti).
Fakultný web a technická dokumentácia
Chyba v návode pre presný čas: Pokiaľ používate konfiguráciu NTP podľa nášho návodu, opravili sme v ňom chybu, ktorá mohla viesť k tomu, že sa čas nesynchronizoval. V prípade zrušenia serverov poolu a uvedenia iba nášho fakultného NTP servera mohlo dôjsť k tomu, že počet serverov bol z pohľadu protokolu príliš malý a stroj si ako synchronizačného peera nevybral žiadny NTP server (napr. vo výpise ntpq -p
sa prejaví dosť neviditeľne absenciou *
pred peerom a i z podrobných logov – aspoň u ntpd/ntpsec
– nejde túto informáciu jasne vyčítať v podobe nejakej chybovej správy, teda kým si neuvedomíte absenciu správy obsahujúcej sys_peer
…). Potrebnú zmenu konfigurácie (tos minclock
) sme doplnili. Tiež sme tam pre úplnosť doplnili príkazy na uplatnenie zmien (reload démonov).
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.