Stalo sa, stane sa
Sťahovanie strojov z C1 do PC haly: K už avizovanému sťahovaniu strojov z C117 a C123 do PC haly dôjde v pondelok 19. 5. (posledný deň výuky).
Prvoaprílové Artscii: Na prvý apríl sme si pre vás pripravili zdieľané kreslenie na terminálové plátno 78x22, na štýl r/place. Vyzerajte dedikovaný blogový príspevok.
Krátke výpadky pripojenia pre FI: V utorok, 22. 4., medzi 17:55 a 18:01, a vo štvrtok 24. 4., medzi 07:25 a 07:32 došlo k výpadkom dátového pripojenia pre FI. Príčinou bol problém s routerom na ÚVT, ktorý sa podarilo napraviť jeho aktualizáciou v piatok 25. 4. v skorý ranný čas.
Údržba GitLabu 25. 4. (a problém s git fetch): GitLab aktualizujeme na novú verziu, ktorá vychádza typicky každý mesiac (v stredy večer), už vcelku rutinne a prakticky hneď po avíze. Tentokrát sme údržbu aktualizovali v piatok večer v dlhšom časovom okne. Okrem aktualizácie GitLabu sme VM rebootovali do nového jadra, ale hlavne sme nabootovali do nových virtuálnych jadier. Počet VCPU (virtuálnych CPU) sme zvýšili zo 16 na 24 a RAM z 24 na 32 GB, reflektujúc pomaly rastúcu náročnosť a využívanosť GitLabu. K nedostupnosti došlo v piatok 25. 4., 19:26–19:46. Deň na to (v sobotu) sme ale bohužiaľ zistili problémy s git clone/pull cez HTTPS, končiace s chybou 500 (#536823 a #536734). Našťastie sa v pondelok objavil aspoň workaround v podobe nastavenia prefixu pre PAT, čím sa nám podarilo problém dosť rýchlo odstrániť.
Výpadok Anxura 29. 4.: V utorok 29. 4. došlo o 10:57 k pádu a resetu servera Anxur. Šlo o bohužiaľ už známy problém, ktorý bol nečakane vyvolaný novým spôsobom (operáciou v management rozhraní servera – BMC). O 11:07 bol už server opäť funkčný a do 11:35 sa nám podarilo dostať monitorované služby do OK stavu, vrátane učebňových strojov, ktoré sa v takýchto situáciách vďaka vzdialene pripájanému domovskému adresáru práve zo servera Anxur na nejakú dobu zaseknú, hoci eventuálne sa typicky dokážu zotaviť aj samé.
Infraštruktúra a hardvér
Originálne klávesnice k iMacom?: Historicky sme mali v PC hale pôvodne až dvanásť Lun, ktoré sme ale v roku 2017 pri obnove hardvéru, kvôli jeho vysokej cene a nižšej používanosti, redukovali na šesť strojov. Časom tiež dve z klávesníc prestali fungovať a nahradili sme ich obyčajnými PC klávesnicami. Od SKAS FI sme dostali podnet ohľadne doplnenia dvoch ďalších originálnych klávesníc iMac k strojom v PC hale, ktorému sme sa však rozhodli nevyhovieť. Dôvodom je pomerovo (oproti bežnej klávesnici) rádovo vyššia cena originálnej klávesnice od Apple a naďalej dlhodobo znižujúca sa úroveň využitia iMacov, kedy dôjde len ojedinele na využitie aspoň štyroch strojov súčasne.
Voľne stojace monitory a voľné videokáble: Ďalšou požiadavkou od SKAS FI bolo navrátenie samostatne stojacich monitorov do PC haly, ktoré sme po reorganizácii PC miestností už do PC haly nazad nevrátili. Dôvodom je, že v rámci plánovaného nafúknutia PC haly by museli byť zas odstraňované, a tiež fakt, že aktuálne je to už rok, čo je jeden z ostrovčekov v PC hale (úplne vzadu vpravo) vybavený voľnými HDMI a USB-C káblami pripojenými k monitorom, pre pripájanie vlastných notebookov. Došlo teda k zhode, že táto možnosť slúži ako dobrá alternatíva, hoci možno nie je úplne známa (to sa pokúsime napraviť). Pre úplnosť dodajme, že tento mesiac budeme i na základe dávnejšej požiadavky v IT ideas dopĺňať ďalšie videokáble.
Softvérové vybavenie a prostredie
Opravená detekcia príliš veľa procesov na Aise: Zdá sa, že od už pomerne dávnej aktualizácie Aisy na RHEL 9 nám chýbal potrebný skript v /etc/profile.d/check-too-many-threads.sh upozorňujúci na väčšie množstvo procesov (častokrát spôsobené VS Code), ktoré mohlo eventuálne vyčerpať limit na počet vlákien. To by viedlo k chybám -bash: fork: retry: Resource temporarily unavailable pri prihlasovaní sa na Aisu. Túto funkcionalitu sme opravili.
.NET na Anxura: Na žiadosť sme na zamestnanecký server Anxur nainštalovali .NET z balíčkov. Poskytované Node.js vo verzii 16 však pre účely copilot.vim nedostačovalo, takže sme nakoniec doinštalovali modulovú verziu (viď nižšie) s Node.JS vo verzii 20. Týmto máme .NET dostupný snáď všade.
Perličky cpanm a Linux::ACL na Aise: Na Aisu sme doinštalovali perlový modul Linux::ACL (a libacl-devel) umožňujúci pracovať s ACL priamo z Perlu. Zároveň sme doinštalovali na Aisu cpanm, čo v prípade potreby umožní jednoduchú lokálnu inštaláciu perlových modulov (do domovského adresára).
Nové moduly unix@fi: dotnet-9.0.203
Nové moduly od používateľov: rider-2024.3.7
Služby
Čriepky zaujímavostí z prevádzky nových rozvrhových panelov: V rámci uvedenia nových rozvrhových panelov v C1 do prevádzky sa tu podelíme o dve zaujímavosti.
Pokiaľ chcete prevádzkovať minimalistický prehliadač v kioskovom móde, ktorý jednoducho funguje, nie je to tak jednoduché. Doteraz nami používaný Uzbl už dlhšie nie je udržovaný, tak sme museli hľadať nové riešenie. Ak sa vydáte cestou Firefoxu, zistíte, že je ťažké vypnúť napríklad scrollbar (vyžaduje úpravy CSS) alebo ste tlačení do používania bizarných premenných prostredia ako MOZ_DISABLE_OHMYGODKILLITWITHFIRE. U Chromia zas musíte použiť cca desiatku prepínačov, no i tak mu nezabránite, aby „volal domov“. Naša voľba preto nakoniec padla na minimalistický prehliadač Surf, ktorého použitie je až čarovne jednoduché: surf -bFK $url.
Ďalším pekným objavom, ktorý umožňuje ovládať monitor softvérovo a meniť vlastnosti dostupné cez tlačítkové menu displeja, je ddcutil. Okrem toho, že je takéto ovládanie veľmi praktické a automatizovateľné (hoci vyžaduje istú chvíľu ladenia), u nás sa dosť hodí, keďže naše rozvrhové panely sú za krycími sklami, ktorých demontáž a montáž je pomerne riskantná. Paleta možností ddcutil je skutočne až prekvapivo široká. My sme z nich využili možnosť vypínať displej na noc a jednorázové nastavenie jasu displeja.
Neobvyklosti fakultných účtov a osôb: V rámci výroby fakultných účtov nás kontrola upozornila, že došlo k pokusu vytvoriť účet, ktorý má veľmi neobvyklé priezvisko, a to „.“. Bližším skúmaním sa ukázalo, že takýchto osôb sa v ISe nachádza viacero. Ide o prípad typicky indických študentov, ktorí nemusia mať nutne v dokladoch uvedené priezvisko, pretože v Indii nie je povinné. Na MU je konvencia, že takéto osoby dostanú do ISu pridelené ako priezvisko bodku, keďže tento parameter nemôže byť úplne prázdny. Ide o pekný príklad toho, ako je možné pri väčších systémoch naraziť na bežné implicitné predpoklady o menách osôb.
Oprava návodu v odpovedníkovom skúškovom sedení: Úvodnú stránku odpovedníkového sedenia sme opravili a i v prípadoch strojov s dualbootom už bude správne zobrazovať informácie pre Linux/Windows (napr. prepínanie klávesnice), a to nie na základe doterajšieho rozhodovania sa podľa hostname, ale podla hlavičky User-Agent, kde je OS uvedený tiež.
Jazyk skúškového sedenia: Pri príchutiach skúškového sedenia sme umožnili definovať jazyk, v ktorom bude prostredie dostupné. Doterajšie čisto české skúškové sedenie v niektorých anglicky vyučovaných predmetoch nebolo úplne vyhovujúce. Anglickú verziu prostredia je možné aktivovať pre obmedzené skúškové sedenie na žiadosť vopred a pre odpovedníkové sedenie zadaním nepovinného argumentu en k typu sedenia v aplikácii na správu skúškového sedenia. Pre zaujímavosť, interne ide o skutočne jednoduchú úpravu – pri spúšťaní kontajnera so skúškovým sedením nastavujeme premennú prostredia LANG. A pre úplnosť dodáme, že pre IS sa toto neuplatňuje, keďže ten na hlavičku Accept-Language neprihliada.
Úprava SPF pre fi.muni.cz: Vo voľnej súvislosti s nasadením DMARC pre fi.muni.cz, čo je technológia na boj proti nelegitímnym mailom (podvrhnuté maily, spam, …), sme boli nútení upraviť náš záznam SPF. V rámci sprísňovania opatrení pri prijímaní mailov najväčšími prevádzkovateľmi poštových schránok títo vyhodnotili náš záznam SPF ako príliš permisívny. S cieľom neznemožniť a neznefunkčniť presmerovanie pošty inam (čo je u nás pomerne bežné, no vytvára to problémy s SPF, ktoré môžu vyústiť v nedoručiteľnosť pošty) sme pôvodne boli výrazne permisívni. To sme teraz zmenili a explicitne sme zahrnuli medzi povolených odosielateľov pošty okrem našich rozsahov aj adresy Microsoftu a Outlooku. Ide o ukážku oligopolu vo svete doručovania pošty a z toho plynúcu nerovnosť podmienok, zvlášť pre menších prevádzkovateľov poštových serverov…
Fedora 42 v Stratus.FI: Do Stratus.FI sme pridali šablónu novovydanej Fedory 42.
Vypnutie dSpamu pre GitLab: GitLab umožňuje interakciu i pomocou mailov: pokiaľ vám príde napríklad mail od issue, môžete naň odpovedať, pričom sa mail pošle na adresu tvaru git+GITLAB_IDENTIFIER@gitlab.fi.muni.cz, a GitLab s ním už podľa identifikátora vhodne naloží. Tým sa však dostávame k rizikám pošty a zahadzovaniu spamu. Na základe hlásenia o dvoch stratených hláseniach do issues sme zistili, že ich zahodil spamový filter dSpam, preto sme upravili konfiguráciu fakultného poštového účtu pre GitLab, aby sa preň používal iba na pravidlách založený SpamAssassin, ktorý má menej false positives, a potenciálne problematickejší bayesovský na tokenoch založený spamfilter dSpam sme vypli.
Odolnejšie SSH (aj) na GitLabe: Po zvýšení limitu na „rozautentizované“ spojenia pre Aisu a Anxura sme rovnakú úpravu spravili aj pre GitLab, na základe detekcie ojedinelých krátkych aktivácií tohto mechanizmu.
Aura, kontajnery a LKM ip_tables: Pokiaľ ste na Aure chceli použiť kontajner, ktorý využíva iptables, zrejme ste pri spúšťaní dostali chybu ohľadne zavádzania modulu jadra iptables_nat. Ide o privilegovanú operáciu, ktorá zlyhá, preto sme modul zaviedli ručne. Ide však len o strednodobé riešenie: iptables sú už na ústupe a v RHEL 9 sú zastarané. Po prechode na RHEL 10 v budúcnosti už nebudú dostupné a bude nutné použiť kontajnerové obrazy, ktoré sú postavené na nft.
Vypnuté logovanie pre kontajnery aj pre Auru: Podobne ako na učebňových strojoch sme vypli implicitné logovanie kontajnerov do žurnálu aj pre Auru.
Aktualizácia MariaDB na 10.11: Povýšili sme verziu fakultnej databázy MariaDB z LTS 10.6 na nasledujúce LTS 10.11.
Fakultný web a technická dokumentácia
Dokumentácia Aury – alternatívy: Do dokumentácie sme do časti o žiadaní prístupu doplnili informáciu o dostupnosti (menších) GPU aj na Nymfách, čo môže časť požiadaviek pokryť a Aure týmto odľahčiť pre väčšie výpočty.
Plagáty Linux troubleshooting v /tech/: Minule avizované nové učebňové manuály k Linuxom sme linkovali aj do technickej dokumentácie.
Vedeli ste, že…
… (VPN FI a (Edu)VPN MU) existujú dve VPN? VPN FI postavenú na OpenVPN prevádzkujeme od doby COVID-19 a je preferovaným spôsobom, ako sa pripájať k službám FI – časť z nich (ako napríklad základné neprodukčné stroje v Stratus.FI) je na privátnych adresách, ktoré nie sú routované/dostupné mimo sieť FI. (Edu)VPN MU postavenú na WireGuarde poskytuje zas MU.
… (skupinový namespace v GitLabe) v prípade oficiálnejšej potreby vieme na žiadosť vyrobiť skupinu, resp. skupinový namespace v GitLabe, pre vhodnejšie zastrešenie projektov, napr. výskumnej skupiny.
Záverom
Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.
Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.
