CVT FI

RSS

Novinky, zajímavosti a změny v provozu počítačů, počítačové sítě, prezentační a další techniky na FI MU. Další informace jsou dostupné v Technických informacích na webu fakulty.

Pro hlášení problémů prosím kontaktujte příslušnou sekci CVT FI.

Informace o aktuálních problémech naleznete na stránce o výpadcích.

Vlastníci blogu: FI:unix@fi, FI:CVT FI
Starší příspěvky
Kategorie
Vlastníci blogu: FI:unix@fi, FI:CVT FI
Právo číst: kdokoliv v Internetu
Právo komentovat: kdokoliv přihlášený v ISu
31. 5.
2024

Starinky z unix@fi za 02/2024

  • RSS
Informačně přínosné | 3 | 3
Mgr. Tomáš Szaniszlo (CVT FI MU), učo 359894
unix

Lepší captive portál, vertikálna myš k učiteľskému PC v B311, zsh-syntax-highlighting na Aise a Aure.

Stalo sa, stane sa

Nedostupnosť domovských adresárov 1. 2.: Počas výmeny chybného disku z diskového poľa, kde je umiestnené unixové úložisko /data, pripojené k serveru Anxur, došlo neobvykle k zablokovaniu celej zbernice SATA. To spôsobilo dočasnú nedostupnosť nielen úložiska /data, ale aj /home či zväzku s mailmi. Problém sa nám softvérovo nedarilo vyriešiť, našťastie pomohlo aspoň fyzické vytiahnutie disku z diskovej police. Výsledkom bola cca 20-minútová nedostupnosť dát na týchto úložiskách.

Chyba konfigurácie GPU na Aure: V rámci predsemestrálnej aktualizácie a rebootu Aury sme mali omylom chybne nakonfigurované jedno z GPU (na karte bolo zapnuté MIG, ale bez konfigurácie), ktoré preto nebolo dostupné pre výpočty. Po týždni sme boli na toto upozornení a problém sme napravili. Tento stav už detegujeme a opakovať by sa teda nemal.

Zaplnenie /tmp Aury 15. 2.: Došlo k chvíľkovému úplnému zaplneniu (v porovnaní s /var/tmp) relatívne malého úložiska /tmp na Aure. S cieľom pokúsiť sa trochu takéto situácie eliminovať, sme v /tmp vyrobili upozorňujúci súbor /tmp/ATTENTION: Prefer var-tmp to tmp odkazujúci na dokumentáciu úložísk Aury – používať /tmp na ukladanie výpočtových dát je nevhodné.

IP GitHubu blokované MU 28. 2.: Zistili sme, že jedna z IP, na ktorú rezolvuje github.com (140.82.121.4), bola blokovaná firewallom MU. Požiadali sme o jej odblokovanie a zároveň sme zabezpečili jej zaradenie na zoznam neblokovaných výnimiek.

Infraštruktúra a hardvér

Lepší captive portál: Upravili sme doterajšiu funkčnosť captive portálu na sieti wlan_fi, kde dochádzalo k autorizácii klientov na dvoch miestach. To mohlo mať občas v prípade desynchronizácie týchto stavov za následok napríklad to, že sa pri druhom, neskoršom pripojení v dni captive portál nezobrazil. Toto sme teraz upravili tak, že správu autorizácie sme presunuli na jedno miesto. Dôvodom, prečo toto riešenie nepoužívame od začiatku, bola jednoduchšia implementácia dvojitého riešenia.

Captive portál a RFC Začali sme podporovať RFC 8908 Captive Portal API, ktoré definuje HTTP API umožňujúce klientom interagovať s captive portálom, a tiež RFC 8910 Captive-Portal Identification in DHCP and Router Advertisements (RAs), ktoré má celkom samopopisný názov. Vďaka nemu sa klienti dozvedia o existencii captive portálu priamo pri získavaní IP adresy (v našom prípade posielame informáciu cez DHCPv4). To spôsobí, že výzvu ohľadne captive portálu dostanú klienti výrazne rýchlejšie a nemusia ani robiť vlastný probing jeho prítomnosti. Tiež sa vďaka tomuto zobrazuje (aspoň u mobilných zariadení) pri položke s wlan_fi informácia o existencii captive portálu (napr. Sign-in is required.).

Vertikálna myš k učiteľskému PC v B311: Pokusne sme vedľa klasickej myši doplnili aj ergonomickú vertikálnu myš. U tejto snahy o vylepšenie sme zvažovali, či sa do nej púšťať – jednoduchý nápad je pri dôkladnejšom pohľade nie až tak jednoduchý. Vertikálne myši pre pravákov a ľavákov sú rôzne, takže toto neobslúži všetkých, keďže sme pridali pravácku. A niektorí ľudia majú zas rôzne preferencie a doplnený model im vyhovovať nemusí.

Linuxové učebňové stroje

Kontajnerové úložisko aj na Nymfách a Múzach: Podobne ako v novembri pre Auru sme aj pre linuxové učebňové stanice nasadili úpravu, vďaka ktorej sa kontajnery ukladajú do /var/tmp/containers/$USER. Dôvod je v podstate bezpečnostný. Pôvodné umiestnenie /var/tmp/$USER, do ktorého sme predtým plošne presmerovávali ukladanie obrazov, bolo vo všeobecne zapisovateľnom /var/tmp, takže niekto iný mohol vyrobením tohto súboru/adresára funkčnosť Podmanu dotyčnému účtu zablokovať či pomocou symlinkového útoku zapisovať do neželaného miesta. Ešte pre úplnosť dodajme, že implicitne sa obrazy ukladajú do $HOME/.local/share/containers/storage, čo ale nebolo vzhľadom na ich veľkosť a relatívne obmedzenú veľkosť diskovej kvóty úplne vhodné.

Horšia odhaliteľnosť viac spustených Chrome: U Firefoxu sme nejakú dobu dozadu nasadili riešenie umožňujúce upozorniť vás, keď sa pokúšate na ďalšom stroji spustiť ďalšiu kópiu Firefoxu – to neprejde, pretože oba by používali rovnaký profil, ktorý je prvým Firefoxom zamknutý. Toto naše riešenie na to explicitne upozorní ešte pred spustením Firefoxu, vrátane doplnenia užitočnej informácie, kde je ten druhý (zabudnutý?) Firefox. Pre Google Chrome sme toto neriešili, pretože jeho správa o zamknutom profile zobrazovala rovno aj názov stroja, kde je ten profil zamknutý. Zdá sa však, že toto sa v medzičase zmenilo a sme v situácii podobnej, ako sme bývali u Firefoxu. Riešenie s Firefoxom nie je zrejme úplne prenositeľné, takže tento problém zatiaľ trvá a nie je vyriešený. Je tiež možné, že sa opraví sám nejakou ďalšou aktualizáciou Google Chrome.

Softvérové vybavenie a prostredie

zsh-syntax-highlighting na Aise a Aure: Doplnili sme na uvedených dvoch serveroch, čomu sa používatelia zsh iste potešia. (Na serveri Anxur a linuxových staniciach už nainštalované bolo.)

Oprava modulov pre zsh: Na základe upozornenia sme opravili chybu ModuleCmd_Load.c(199):ERROR:105: Unable to locate a modulefile for 'modules' zobrazovanú po prihlásení, ak máte ako prihlasovací shell zsh, čo tiež spôsobovalo nedostupnosť modulov u tohto prihlasovacieho shellu.

Nové moduly unix@fi: python3-3.10.13 (existuje aj python3-3.10.2, ale iné predmety potrebovali iné verzie balíčkov), jdk-21, rstudio-2023.12.1, webstorm-2023.3.3, clion-2023.3.4, tiny-2024 (aj ako tiny; vrátane symlinkov tinycc a tinyvm; používané PB111).

Služby

Pomalé prihlasovanie na Aisu trvá: Zdá sa, že riešenie zmieňované v minulom blogovom príspevku (prechod na pripájanie celého /home namiesto jednotlivých $HOME separátne), ktoré sme realizovali v rámci údržby Aisy pred semestrom, nepomohlo. Viď napríklad porovnanie (počíta sa s prihlasovaním cez bezheslový kľúč; upravte si prípadne zoznam strojov podľa toho, kam máte právo prístupu):

for HOST in aisa anxur aura nymfe01; do
    T1=$(date +%s.%N)
    T2=$(ssh filogin@$HOST date +%s.%N)
    echo -n $HOST\ ; bc -ql <<<"$T2 - $T1"
done

Obvykle trvá prihlásenie do dvoch sekúnd a v nedlho potom nasledujúcich pokusoch do pol sekundy (u Anxura dokonca do 0,1 sekundy vďaka staršiemu RHELu), ale občas sa to môže natiahnuť až na vyššie jednotky sekúnd. Budeme sa ešte snažiť nejak to vylepšiť, ale ide o pomerne ťažký problém daný veľkým počtom účtov/sedení na Aise.

Ešte iné krátke výpadky autentizácie na Aise: Zdá sa, že autentizácia na Aise podniká ďalší útok a od 22. 2. začalo dochádzať k tomu, že nárazovo, na cca jednu až dve minúty, sa raz za pár hodín veľká časť autentizácií korektnými prihlasovacími údajmi správala ako keby správne neboli. (18. 3. sme problém vyriešili; viac v budúcom blogu.)

Oprava zásobníka 1 na copy4a: Na základe hlásenia bol opravený zásobník 1 (respektíve jeho podávač) na kopírke copy4a, z ktorého tlač sa po pár vytlačených listoch pozastavovala (zaseknutý papier) a eventuálne z neho tlač prestala fungovať úplne. Máme podozrenie, že kopírka, resp. jej podávací mechanizmus, sa snažili z nudy o nejaké origami.

Lepšia kontrola spamovosti väčších mailov: Opravili sme konfiguráciu fakultného poštového servera (respektíve jeho kontroly spamu), keďže sme boli upozornení, že v prípade väčšieho mailu poslaného z adresy mimo FI na fakultnú skupinovú adresu nemusela správne fungovať kontrola na spam (v prípade doručovania do schránky na FI) alebo sa mail mohol zahodiť (v prípade preposielania z FI inam).

Dátum poslednej detekcie SSH kľúča: Pokiaľ patríte medzi osoby s právom správy nejakých zariadení vo Fakultnej administratíve, a ide o stroje s SSH serverom, doplnili sme do zoznamu videných kľúčov i informáciu, kedy naposledy bol daný SSH kľúč naskenovaný. Hodí sa na identifikáciu kľúčov, ktoré už prestal SSH server používať (typicky kvôli snahe o zvýšenie bezpečnosti).

Fakultný web a technická dokumentácia

Chyba v návode pre presný čas: Pokiaľ používate konfiguráciu NTP podľa nášho návodu, opravili sme v ňom chybu, ktorá mohla viesť k tomu, že sa čas nesynchronizoval. V prípade zrušenia serverov poolu a uvedenia iba nášho fakultného NTP servera mohlo dôjsť k tomu, že počet serverov bol z pohľadu protokolu príliš malý a stroj si ako synchronizačného peera nevybral žiadny NTP server (napr. vo výpise ntpq -p sa prejaví dosť neviditeľne absenciou * pred peerom a i z podrobných logov – aspoň u ntpd/ntpsec – nejde túto informáciu jasne vyčítať v podobe nejakej chybovej správy, teda kým si neuvedomíte absenciu správy obsahujúcej sys_peer…). Potrebnú zmenu konfigurácie (tos minclock) sme doplnili. Tiež sme tam pre úplnosť doplnili príkazy na uplatnenie zmien (reload démonov).

Záverom

Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.

Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.

Dosud nečteno0 komentářůpermalink
« Starinky z unix@fi za 01/2024 (22. 5. 2024 13:45) | Starinky z unix@fi za 03/2024 » (7. 6. 2024 09:17)

Zatím žádné komentáře.