Novinky z unix@fi za 08/2025 - CVT FI - Blogy

Stalo sa, stane sa

Nezmeškali ste staršie blogové príspevky? Na úvod pripomeňme blogové príspevky za letné mesiace:

• 06/2025: Časozber búrania déčok, Zamýšľaná PC učebňa v S405, Voľné videokáble v PC učebniach, Skúškové sedenie v mape miestností, Zrušený Dvorak z odpovedníkového skúškového sedenia, …,
• 07/2025: Nová statická UPS, Zatopenie Wi-Fi v PC hale, Reorganizácie PC učební, … (vrátane nadštandardného množstva (i pohyblivých) obrázkových materiálov),
• Časozber výstavby déčok (1. časť): druhé časozberné video, tentokrát už z výstavby novej budovy D.

Nefunkčná zmena hesla FI z ISu: Medzi 16. 7. a 13. 8. došlo peknej ilustrácii toho, že nefunkčná vec ani zďaleka neznamená, že ju niekto aj nahlási. V tomto období nefungovalo kvôli reinštalácii jedného ISového servera nastavenie hesla pre FI z ISu.

Na takéto medzisystémové volania často používame SSH, no a po aktualizácii systému na ISovom serveri sa ukázalo, že na našom serveri Thetis sme mali serverový kľúč SSH typu RSA, ktorý mal už primalú dĺžku. Mal 1024 bitov, pričom ssh-keygen implicitne generuje kľúče dĺžky 3072 bitov, a čo bolo v tomto prípade kľúčové, úroveň DEFAULT v crypto-policies(7) vyžaduje aspoň 2048 bitov. Novoreinštalovaný server ISu sa preto s Thetis odmietol spojiť, pričom ide o prvý prípad takejto situácie (ohľadne Thetis), na ktorý sme narazili. Kľúč na Thetis sme teda renovovali (na 3072 bitov) a tiež sme rozpracovali detekciu starších SSH kľúčov (postavenú na ich zbere pre fakultný zoznam kľúčov SSH).

Bohužiaľ, ISová aplikácia navyše na neúspech prenosu hesla neupozornila (to už bolo takisto opravené). Celkovo sa problém dotkol 50 osôb (ktorých sme k 09/2025 informovali mailom). Istým šťastím bolo, že nastavovanie hesla neprestalo fungovať skôr, pretože od 8. 7. sa novým prvákom vytvárali účty a množstvo z nich si pri tej príležitosti heslo nastavuje.

Krátky výpadok IPv4 pre FI 1. 8.: V piatok 1. 8. došlo medzi 14:44 a 14:50 k výpadku konektivity IPv4 pre FI. Na základe našich dát sa zdá, že nešlo o úplný výpadok a že jeho príčina bola niekde v sieti MU. IPv6 týmto zasiahnuté nebolo.

Výpadok tlače 18. 8.: V pondelok 18. 8. došlo medzi 15:04 až maximálne 16:10 k výpadku tlačových služieb v dôsledku našej chybnej úpravy konfigurácie.

Údržba Aury 27. 8.: V stredu 27. 8. sme v rámci plánovanej udalosti aktualizovali balíčky na výpočtovom serveri Aura a realizovali sme reštart. V dôsledku úprav systému však mohli byť GPU Aury nedostupné od predchádzajúceho dňa, za čo sa ospravedlňujeme.

Kapacita PC haly cez semester: Informujeme (na základe záujmu), že počas výukového obdobia bude PC hala v „pôvodnom“ stave, tzn. s kapacitou 48 linuxových, 20 windowsových a 6 macOS strojov. (Odstránené stroje, pôvodne z C117 a C123, sú v S405.)

Infraštruktúra a hardvér

Postskriptum k novému prístupovému bodu k tečúcej vode v PC hale: K tejto udalosti sme ešte dodatočne skúmali logy a prišlo nám zaujímavé sa s nimi podeliť. Časový priebeh:

• 20:42 podľa záznamu z kamery začína z AP odkvapkávať voda;
• 20:46 AP začalo hlásiť prvé chyby:
      usb usb1-port1: Cannot enable. Maybe the USB cable is bad?"
  (chystáme patch do jadra s upravenou formuláciou „Maybe the USB cable is bad or your device is flooded“); zaujímavé tiež je, že správy od subsystému usb sa po boote v logu AP nevyskytujú nikdy (chystáme automatickú detekcia zatopenia AP);
• 21:03 switch hlási prvý krátky výpadok linky pre port s AP; toto sa následne priebežne opakuje;
• 21:04 náš monitoring zaznamenáva prvé problémy so SNMP na AP (ale ešte neposiela notifikáciu);
• 21:05 AP loguje správy ohľadne rozhrania typu bridge:
      br0: port 1(eth0) entered blocking state
    br0: port 1(eth0) entered forwarding state
  čiže… AP skúsilo zavrieť bránu, ale nepomohlo to, tak to hneď aj vzdalo?
• 21:09 náš monitoring posiela prvú notifikáciu o nedostupnosti AP (ICMP);
• 21:11 posledná správa od AP v centrálnom syslogu;
• 21:11 port switcha definitívne prechádza do stavu DOWN;
• 21:57 port switcha hlási vypnutie napájania portu cez PoE (Power over Ethernet) kvôli skratu. ?

Úprava L3 siete Eduroamu: V piatok 29. 8. sme Eduroam migrovali zo siete s pôvodne verejnými IPv4 adresami (147.251.44.0/22) na NATovanú sieť s privátnymi adresami (vnútorné adresy 172.27.48.0/20, vonkajšie adresy 147.251.47.0/24). V rámci toho došlo, pre zachovanie konzistencie, aj k preadresovaniu pre IPv6: z 2001:718:801:22c::/64 na 2001:718:801:21b::/64.

Dôvod asi nie je prekvapivý: postupom času sa počet klientov zvyšoval: rastúci počet študujúcich i často viac zariadení s Wi-Fi na človeka. (Historický vývoj veľkosti siete Eduroamu: 2010 alebo skôr – /24 a 191 adries, 2014 – /24 a 239 adries, 2016 – /23 a 509 adries (preadresovanie strojov dvoch laboratórií), 2017 – /22 a 1021 adries (presun wlan_fi a siete s mgmt adresami).) Ako sme zmieňovali aj v 09/2024, postupne sme začali narážať i na strop siete /22 s 1021 adresami (i keď prvá ojedinelá lastovička prišla v tomto smere už 09/2023). V tejto situácii už nebol priestor na rozširovanie adresného rozsahu s verejnými adresami IPv4 (ktorých výhodou je izolovanosť jednotlivých klientov voči externým službám, ktoré by sa ich mohli snažiť blokovať), preto sme museli pristúpiť k prechodu na väčšiu privátnu sieť s maskou /20, t.j. až 4093 IPv4 adries. S cieľom neskrývať všetkých klientov za jedinú verejnú IPv4 adresu realizujeme v túto chvíľu NAT na časť (/24) pôvodného adresného priestoru Eduroamu. Ak by ste snáď, napriek nášmu testovaniu, narazili v súvislosti s týmto na nejaké problémy, oceníme prípadné avízo.

Učebňové stroje s Linuxom

Softvérové vybavenie a prostredie

gpustat na strojoch s GPU: Zobrazovať stav GPU vedia viaceré nástroje. Medzi štandardnejšie patria nvidia-smi, nvitop, nvtop. Na nami spravované stroje s GPU (hlavne nymfe{01..03}, nymfe{87..105}, aura) sme doinštalovali príjemne stručný gpustat. Má však drobnú nevýhodu, že informácie o vlastníkoch bežiacich procesov často zobrazuje veľmi tmavo.

Zaseknutia mutt na HTML správach: Bolo nám nahlásené zasekávanie mailového klienta mutt na Anxurovi (i na desiatky sekúnd) na HTML správach od M365. Problémom sa ukázal byť regulárny výraz na zvýraznenie mailových adries (/etc/Muttrc.local):

    color body brightyellow black [_a-z\.\$A-Z0-9-]+@[a-zA-Z0-9\./\-]+

Zjavne dochádzalo k nejakému backtrackingu. Vzhľadom na to, že dĺžky komponentov mailovej adresy sú limitované (lokálna časť na 64 a doména na 255 znakov), upravili sme regulárny výraz na

    color body magenta default [-a-z_0-9.]{1,64}@[-a-z_0-9.]{1,255} # email addresses

P. S.: Víte, jak vypadá e-mailová adresa? Zkuste si malý test.

Služby

Rozloženie klávesnice v odpovedníkovom skúškovom sedení: Už dávnejšie nám istí svedkovia (nie, nie tí) tvrdili, že niektoré klávesnice potrebovali na zaregistrovanie stlačenia klávesy až cca 350 kN. Nakoniec sa ukázalo, že ide o čistý blud a v skutočnosti niekedy jednoducho k prepnutiu klávesnice nedošlo kvôli softvérovému problému. Ako krok lepším smerom (a iste vítané zlepšenie) sme doimplementovali v odpovedníkovom režime zobrazovanie ikonky s rozložením klávesnice.

Oprava importu profilu VPN FI na Androide: Na základe hlásenia o pár problémoch s nakonfigurovaním VPN FI na Androide sme opravili Content-Type sťahovaného súboru OVPN. Na pohľad malá zmena, ale cesta k nej nebola jednoduchá. Pôvodne sme posielali application/x-download, ale relatívne prekvapivo sa táto informácia u uložených súborov v Androide ukladá a niektoré súbory následne nie je možné v aplikácii OpenVPN otvoriť. Prieskum ešte komplikovalo, že rôzne verzie Androidu sa v tomto správali mierne odlišne a zatiaľ čo niekde pomohlo súbor po uložení (akokoľvek) premenovať (!), inde nie. Reálnym riešením sa ukázalo byť použitie Content-Type: application/x-openvpn-profile.

Šablóna Debianu 13 v Stratus.FI: V Stratus.FI pribudla nová šablóna pre debianistov.

AlmaLinux 10 v PXE: Pre správcov strojov ponúkame už dlhšie možnosť inštalácie systému cez PXE, teda po sieti. Medzi dostupné inštalácie sme pridali aj AlmaLinux 10.

Aktualizácia GitLabu: Aktualizovali sme GitLab z verzie 17.11 na 18.3. Číhavci vyčíhajú novinky v dynamickom generovátku GitLabu (pekné! na druhú stranu, koľko inštrumentácie a administratívy musí byť ohľadne každého jedného vylepšenia…). Výber zaujímavostí: Fine-grained permissions for CI/CD job tokens; Bulk edit epic assignees, milestones, and more; ORCID identifier in user profile.

Aktualizácia fakultnej MariaDB: Aktualizovali sme i MariaDB v rámci fakultných databáz z verzie 10.11 LTS na nasledujúcu verziu 11.4 LTS. Detailisti si môžu prejsť novinky.

Aktualizácia fakultnej PgDB: Aktualizovali sme aj PostgreSQL z rady 14 na radu 16 (tu je aspoň verzovanie prehľadnejšie, než u MariaDB). Zvedavci môžu vyzvedať, čo je nové v rade 15 a v rade 16.

Aktualizácia Matomo na 5.4: Aktualizovali sme tiež webovú analytiku. Novinky.

Fakultný web a technická dokumentácia

Úložiská Aury: V časti o úložiskách v dokumentácii Aury sme zmienili aj možnosť využiť veľké osobné nezálohované úložisko data, na čo si vedľa /var/tmp nemusí hneď každý spomenúť.

Vedeli ste, že…

… (GitLab a What’s New) GitLab má aktualizácie relatívne často. Naše plánovanie aktualizácií je riadené primárne vydávaním bezpečnostných aktualizácií. Keby ste boli zvedaví, čo postupne pribúda, priebežne môžete sledovať novinky cez ikonku/menu Help (dole v ľavom paneli) a „odkaz“ What’s new (bohužiaľ, nemá to URL).

Záverom

Máte pripomienky, návrh na vylepšenie alebo jednoducho potrebu pochváliť nás? :-) Napíšte nám mail či využite IT ideas.

Ak vás tieto novinky zaujali, môžete si zapnúť sledovanie blogu a následne zapnúť posielanie mailových upozornení.