From daniel.baumann at bfh.ch Wed May 15 07:02:42 2024 From: daniel.baumann at bfh.ch (Daniel Baumann) Date: Wed, 15 May 2024 07:02:42 +0200 Subject: LNI Weekly #5 (2024-04-30) Message-ID: LNI Weekly #5 (2024-04-30) ########################## 1. Fachliches ============= 1.1 Ceph Lifecycle ------------------ * wir beschaffen die E.1 NVMe Variante und pruefen eine Weiterverwendung der knapp 300 U.2 NVMe SSDs im Sommer/Herbst auf Wirtschaftlichkeit wenn/falls ein U.2 Server-Modell von Supermicro verfuegbar ist. 1.2 Arista Advanced Services ---------------------------- * weitere Advanced Services in 2024 werden voraussichtlich fuer folgende Dinge in Anspruch genommen werden koennen: * Abschluss der Entwicklung EVPN IPv6 Gateway in EOS, bisher transportiert das Gateway IPv4 und IPv6, hat selbst aber nur eine IPv4 Adresse. Das ist der letzte offene Punkt damit wir ein vollstaendig IPv6-only Underlay haben koennen das den Betrieb und Rollout massiv vereinfacht. * Review Wireless 1.3 Resetup Debian Repositories ------------------------------- * Aktueller Stand: * hab im vergangenen Wochenende versucht, noch soviel zu machen wie moeglich bevor wir zur Mai Arbeitsstillstands-Phase kommen: im Mai werden wir aufgrund SAFe und weiterer Termine grundsaetzlich kaum arbeiten, neben Daily Business ist es unrealistisch dass wir irgendwas zusaetzlich machen koennen. Arbeiten, wie diese, welche nicht staendig unterbrochen werden koennen, sind so nicht moeglich auszufuehren. Daher neue Einschaetzung erst Anfang Juni. * die Repositories sind noch ungetestet, BFH-spezifisches (metapackages etc.) fehlen noch, Key side-loading wieder noetig. * da es in der gegeneben Arbeitssituation nicht realistisch ist, dass wir den Lifecycle "auf einmal" machen duerfen, muessen wir die alten Linux-Systeme weiterhin updaten koennen. Daher ist das wiedererstellen von oldstable und oldoldstable notwendig. * *oldstable* zu ~80% fertig (Updates unserer Server ist erst mit *oldstable-backports* dann moeglich), *oldoldstable* und *testing* fehlen noch. * bisher keine Kompromitierten Repos gefunden. 1.4 Arbeitswelt 4.0 Dammweg --------------------------- * Grundsaetzlich gilt im Rahmen der Netzwerk-Gesamterneuerung "Wireless first"-Prinzip, d.h. nur dort wo es Sinn ergibt werden Arbeitsplaetze mit LAN-Kabel ausgestattet: * z.B. bei Labors * z.B. bei Performance/Latenz Anforderungen * Alle Arbeitsplaetze am Dammweg werden aus Redundanz und Test-Gruenden vom Grundsatz abweichend durchgehend mit LAN-Kabel erschlossen. * bcp1 hat Kabel bestellt, FSS wird die Kabel fuer alle nicht-LNI Arbeitsplaetze einziehen. 1.5 Anfrage Netzwerk-Dokumentation ---------------------------------- * TI-Dozent hat nach Netzwerk-Dokumentation zur Verwendung im Modul "Enterprise Infrastructure" nachgefragt. * mit Abschluss des Reviews der Arista Dokumente in ca. Q3/2024 war geplant, diese BFH-intern zu veroeffentlichen. * Aufgrund der Anfrage werden wir die Vorabversion (mit ensprechendem Disclaimer) schon vorher zur Verfuegung stellen (Announcement auf Mailingliste). 1.6 Knowhow: Wireguard [krj2] ----------------------------- * Folien: `WireGuard_30Apr2024.pdf `_ * Whitepaper: `https://www.wireguard.com/papers/wireguard.pdf `_ (`local copy `_) * Grundsaetzlich haben wir folgende Varianten fuer die Abloesung der Cisco ASA: * Beschaffung neue Cisco ASA * Evaluation und Beschaffung einer andere "Enteprise Appliance" (Fortinet, etc.) * Engineering und hoeherer Integrationsaufwand durch Migration auf Wireguard * Engineering und weniger hoher Integrationsaufwand durch uebergangsweise Migration auf OpenVPN bis mehr Ressourcen fuer Wireguard zur Verfuegung stehen * Unbhaengig von der Cisco ASA Abloesung koennen wir Wireguard fuer uns selber und ggf. andere fortgeschrittene User, so oder so parallel machen. * Weiteres Vorgehen: * Nach Install-Party Erarbeiten der genauen Integrationsarbeiten * Diskussion mit IDS bzgl. IDM Ressourcenverfuegbarkeit * Entweder Wireguard oder als Fallback OpenVPN umsetzen * Notizen zu noch offenen Punkten: * wollen wir Wireguard zu Wireguard verbindungen (mesh)? * IPv4 Public oder Private Adressen? * Pflege der Verlags-Prefixes? * wie verwalten wir die zugewiesenen IP Adressen? * wie kommt die zugewiesene IP Adresse auf den Client? * wie sieht der Update Fall einer zugwiesenen IP Adresse aus? * User/Geraete Lifecycle: wieviele User (IDS) und Geraete (FSS) Fluktiation gibt es? * IDM Integration? * wie sieht die App/Software Deployment fuer Enduser aus? * IPv6-only realistisch/moeglich? * Port-Konfiguration auf Server (Konvention vs. z.B. 443 fuer "Enterprise" Firewall Compatibility)? 1.7 Knowhow: DNS and Caching [keh3] ----------------------------------- * Folien: `DNSandCaching.pdf `_ 1.8 Knowhow: Letsencrypt, ACME, and dehydrated [kud3] ----------------------------------------------------- * Folien: `lets-encrypt.pdf `_ 1.9 Decision: Terminal multiplexer [shs1] ----------------------------------------- * Howto: `tmux-howto `_ * Weiteres Vorgehen: * Simon und Daniel erarbeiten eine defensive Vorkonfiguration (tmuxp, powerline, Ctrl-b) * Deployment auf ssh.bfh.info fuer Feedback * Wenn gut, Wechsel auf allen Systemen von screen auf tmux 1.10 Varia ----------- * Normen und Werte * Skillsmatrix * Kommunikation * Mismanagement * Yubikeys / Installparty 2. Administratives ================== 2.1 Wartungsfenster KW18 ------------------------ * geplante Wartungsfenster: * 2024-04-30 17:00-20:00: https://lists.bfh.science/private/bfh-linux-sysadmin/2024-April/003295.html 3. Organisatorisches ==================== 3.1 Backlog ----------- * https://bfh.info/team/backlog * keine Aenderungen 3.2 Priorisierung gbs4 KW18 --------------------------- * Netz: gemaess Backlog (shs1) * Rollout: gemaess Backlog (bcp1/gau1) * Linux: keine koordinierten Arbeiten bis wir wieder Container erstellen koennen * Supermicro Bestellung * xz-backdoor Mail auf bfh-linux-announce * Repository Resetup -- Daniel Baumann Tue, 30 Apr 2024 07:25:47 +0200 From daniel.baumann at bfh.ch Wed May 15 07:05:49 2024 From: daniel.baumann at bfh.ch (Daniel Baumann) Date: Wed, 15 May 2024 07:05:49 +0200 Subject: LNI Weekly #6 (2024-05-07) Message-ID: LNI Weekly #6 (2024-05-07) ########################## 1. Fachliches ============= 1.1 Knowhow: API and ABI [kab5] ------------------------------- * Folien: `API-ABI-time_t-transition.pdf `_ 1.2 Knowhow: binfmt_misc [nas3] ------------------------------- * Howto: `binfmt_misc `_ 1.3 Knowhow: Debian Kernel ABI [bad9] ------------------------------------- * Folien: `kernel-abi.pdf `_ 1.4 Varia --------- * Skillsmatrix * Rahmenvertrag Arista mit Adfinis +1y * Enkom verlaengert +1y * Supermicro Ausschreibung * Ceph Ausgabenbewilligung 1.5 Weiteres Vorgehen --------------------- * Wireguard * Git secrets 2. Administratives ================== 2.1 Wartungsfenster KW19 ------------------------ * kein geplantes Wartungsfenster 3. Organisatorisches ==================== 3.1 Backlog ----------- * https://bfh.info/team/backlog * Network / Legacy / LAN (EVPN overlay): * erledigt: review port config in dc: bpduguard and spanning-tree * erledigt: fabric-b fix ansible-avd ids 3.2 Priorisierung gbs4 KW19 --------------------------- * Netz: gemaess Backlog (shs1) * Rollout: gemaess Backlog (bcp1/gau1) * Linux: keine koordinierten Arbeiten bis wir wieder Container erstellen koennen * Supermicro Bestellung * Arista HDL Dokument auf bfh.info hochladen und ankuendigen. * xz-backdoor Mail auf bfh-linux-announce * Repository Resetup -- Daniel Baumann Wed, 08 May 2024 07:35:41 +0200 From daniel.baumann at bfh.ch Wed May 15 07:15:22 2024 From: daniel.baumann at bfh.ch (Daniel Baumann) Date: Wed, 15 May 2024 07:15:22 +0200 Subject: LNI Weekly #7 (2024-05-14) Message-ID: LNI Weekly #7 (2024-05-14) ########################## 1. Fachliches ============= 1.1 Big Picture [bad9] ---------------------- * Whiteboard: `PXL_20240514_095921390.jpg `_ 1.2 podman [hnj1] ----------------- * Folien: `podman_14_05_2024.pdf `_ * Ebook: `Podman-in-Action-ebook-FINAL-Red-Hat-Developer-1.pdf `_ * Weiteres Vorgehen: * weitere Informationen: * Storage (flat directories? kein overlayfs?) * Netzwerk (veth? public IPs?) * danach Abwaegungen: * podman vs. nspawn * podman vs. kvm 1.3 openssh mtcp [nas3] ----------------------- * *verschoben auf 21.5.2024* 1.4 Varia --------- * Supermicro NVMe Bestellung * Skillsmatrix * systemisches Mismanagement/ toxisches Arbeitsklima/Perspektivlosigkeit/Priorisierung: siehe LNI-Prio Protokoll 14.5, Antworten von gsb4 bis 22.5. * Nachfrage Adfinis wegen offenen Arista Offerten von Anfang 2024 * temporaere WLAN ESSID fuer Events: * bitte neue Anforderungen immer im Daily/Weekly einbringen. 2. Administratives ================== 2.1 Wartungsfenster KW20 ------------------------ * geplante Wartungsfenster: * 14.05.2024 17:00-21:00: https://lists.bfh.science/private/bfh-linux-sysadmin/2024-May/003318.html 3. Organisatorisches ==================== 3.1 Backlog ----------- * https://bfh.info/team/backlog * keine Aenderungen. 3.2 Priorisierung gbs4 KW20 --------------------------- * Netz: gemaess Backlog (shs1) * Rollout: gemaess Backlog (bcp1/gau1) * Linux: keine koordinierten Arbeiten bis wir wieder Container erstellen koennen * Supermicro Bestellung * Vorbereitungsauftrag SAFe Backlog-Workshop * Arista HDL Dokument auf bfh.info hochladen und announcen. * xz-backdoor Mail auf bfh-linux-announce * Repository Resetup -- Daniel Baumann Wed, 15 May 2024 07:09:59 +0200