Vuosikokous sekä vaalikokous 2015

Jani Huhtala / 9. toukokuuta 2016

Kapsi Internet-käyttäjät ry:n viimevuoden yhdistyksen vuosikokouksen järjestämisen yhteydessä keväällä ja vaalikokouksen yhteydessä syksyllä järjestettiin yhdistyksen toimihenkilöiden toimintaviikonloput missä vietiin yhdistyksen asioita monella saralla eteenpäin.

Vuosikokousviikonloppu 14-17.5.2015

Kevään tapahtuman aikana merkittävimpinä asioina agendassa olivat mm. tuleva tikettijärjestelmän uudistaminen OTRS:stä -> JIRAn Service Deskiin, Service Deskin vahvuudet ovat portaalissa, josta tikettejä pystyy tekemään joustavasti, sekä järjestelmän automatisaatiomahdollisuudet tikettien käsittelyssä. Tapahtumassa edistettiin Kapsin jäsenhallintajärjestelmä Sikteeriä sekä päivitettiin Sikteerin järjestelmäalusta uudempaan Djangoon. Lisäksi protoiltiin Zimbra sekä Sogo alustoja, joilla voitaisiin tarjota jäsenille fiksuja kalentereita tulevaisuudessa.

Vuosikokouksen asialistalla oli perinteisesti viime vuoden asioiden läpikäyntiä vuosikertomuksen sekä tilinpäätöksen osalta. Tämän lisäksi hallituksen kokoonpanossa tapahtui yksi muutos, kun pitkään yhdistyksen toiminnassa mukana ollut Tuomas Salomäki jättäytyi hallituksen kokoonpanosta pois ja hänen loppukaudelleen vuoden loppuun asti valittiin Veli-Matti Leppänen.

Vaalikokousviikonloppu 29.10 – 1.11.2015

Syksyn vaalikokouksen yhteydessä isoimpina asioina oli uusien ylläpitäjien kouluttamista tikettien tekemiseen ja murskaamaan pelottavan pitkäksi venynyt tikettijono. Toisena merkittävänä asiana oli edistää toukokuun lopussa saapunutta Kapsin uutta tallennusratkaisua, Fugua.

Vaalikokouksessa merkittävimpänä asiana on vuosittain hallituksen puheenjohtaja sekä jäsenvalinnat. Tässä kokouksessa erovuorossa olivat: puheenjohtaja Jesse Hulkko sekä Tuomo Mattila, Veli-Matti Leppänen ja Pekka Kivilinna.

Yhdistyksen uudeksi puheenjohtajaksi valittiin aiemmin hallituksessa istunut sekä tänä vuonna hallituksen toimihenkilönä toiminut Riku Karvonen.

Uusille kaksivuotiskausille valittiin: Jarkko Vääräniemi, Mikko Rytilahti ja Veli-Matti Leppänen.

Puolen Petan Fugu

Jasmin Hulkko / 15. joulukuuta 2015

Kirjoittajat: Henri Strand ja Jesse Hulkko.

Yhdistyksen uusi storage lähenee tuotannollista käyttöönottoaan. Tässä kohti on hyvä hieman istahtaa alas ja käydä läpi Kapsin tähän asti suurimman, toiminnallisesti kriittisimmän (ja hintavimman) infrauudistuksen tavoitteita, projektin eri vaiheita ja tämänhetkistä tilaa näin blogin välityksellä.

Jokaisella Kapsin jäsenellä on käytössään 500 gigatavua erikseen varmentamatonta tallennustilaa varmuuskopioille. Tätä tallennustilaa kutsutaan Siiloksi ja se on ollut käytettävissä jokaisen jäsenen kotihakemistosta kansiosta ”~/siilo/”.

Kuten yllä olevasta kuvasta näkyy, Siilo-levytila on ollut aktiivisessa ja alati kasvavassa käytössä. Kapasiteettia on lisätty tarpeen vaatiessa.

Kuten yllä olevasta kuvasta näkyy, Siilo-levytila on ollut aktiivisessa ja alati kasvavassa käytössä. Kapasiteettia on lisätty tarpeen vaatiessa.

Nyt eteen on tullut kriittinen tilanne; Siilo-levytila on käytännössä täynnä. Noin viisi vuotta sitten käyttöön otettu Siika-levypalvelin on lastattu täyteen kiintolevyjä ja se on palvelusikänsä päätteessä. Tilannetta ei helpota se, että Siika-palvelimen Solaris-pohjainen ZFS-järjestelmä on rajusti muokattu sekä useita major-versioita vanha. Siihen ei uskalleta enää tehdä suuria muutoksia. Ylläpidossa pidettiin jopa pienenä ihmeenä sitä, että Siika selvisi syyskuun alussa tapahtuneesta uudelleenkäynnistyksestä hengissä.

Siika-palvelimen käyttöönotosta voi lukea viiden vuoden takaisesta blogipostauksesta: https://blog.kapsi.fi/2010/09/29/270-teran-siika/

Uusi levyjärjestelmä — Fugu

Keväällä hankimme pitkällisen tallennusjärjestelmän uudistamisprojektin päätteeksi Dell Compellent SC8000 -levypalvelimen, jonka nimesimme japanilaisen pallokalalajin mukaan Fuguksi. Ensialkuun Fugussa on 504 teratavua eli noin puoli petatavua levytilaa. RAID-tekniikkojen käytön jälkeen käytettävää tallennustilaa jää noin 486 teratavua. Tämän arvioidaan riittävän nykyisen kasvun ja projektien puitteissa riittävän pitkään. Järjestelmä on myöskin laajennettavissa edelleen lisäämällä siihen levyhyllyjä.

Fugu koostuu useasta eri osasta: kahdesta toisiaan varmentavasta kontrollerista, SSD-levyhyllystä ja HDD-levyhyllystä. HDD-kiintolevyhyllyssä on 84 kpl 6 Tt NLSAS-kiintolevyjä ja SSD-hyllyyn on kalustettu nyt 8 kpl 1,9 Tt SSD-kiintolevyä. Käytännön räkkitilaa Fugu vie 42 räkkiunitin kaapistamme tällä hetkellä 11 räkkiunittia eli käytännön mitoissa vajaa puoli metriä.

Fugu-levypalvelin sisältää kaksi ohjainyksikköä, SSD-hyllyn ja aluksi yhden varsinaisen 5U kokoisen levyhyllyn. Yhdistyksen muuhun infrastruktuuriin liittytään yhdistyksen 10GE verkkoinfran kautta.

Fugu-levypalvelin sisältää kaksi ohjainyksikköä, SSD-hyllyn ja aluksi yhden varsinaisen 5U kokoisen levyhyllyn. Yhdistyksen muuhun infrastruktuuriin liittytään yhdistyksen 10GE verkkoinfran kautta.

Fugu saapui Nebulan konesaliin toukokuun lopussa, jonka jälkeen alkoi työmaa.

Työmaan suurin ongelma on nykyisten datojen siirto Fugulle. Suurin osa Siian datasta on jäsenten käyttöön tarkoitetun Siilo-tallennustilan tiedostoja. Toisiksi suurin yksittäinen datamassa koostuu Maanmittauslaitoksen avoimesta paikkatietoaineistosta, jota julkaistaan osoitteessa kartat.kapsi.fi.

ZFS jää myös uuden järjestelmän pääasialliseksi tiedostojärjestelmäksi. Itse Fugu tarjoaa ulospäin ainoastaan iSCSI-blokkilevyjä, joten tiedostojärjestelmä täytyy toteuttaa muulla tavoin. Kapsin käytössä on pitkään ollut NFS-pohjainen palvelinten välille jaettu levytila, joka on vanha, mutta toimiva teknologia. Puutteena on kuitenkin erityisesti metadata-tietojen hitaus suuria tiedostomääriä käsitellessä. Tämä tuli vastaan myös pyrkiessämme virtualisoimaan ZFS:ää toteuttavan NAS-koneen jakamaan NFS:ää yhdistyksen jäsenten käytössä oleville koneille. Tässä kohti varsin iso prioriteetti on kuitenkin saada Siilon varaama osa Siika-levyjärjestelmää poistettua käytöstä.

Fugun looginen topologia

Fugun looginen topologia: Fugu itsessään tarjoaa blokkilevyä iSCSI:n ylitse. Siilo on esimerkki jaetusta isokokoisesta yksittäisestä tiedostojärjestelmästä, jota käytetään yhtäaikaisesti useammalta koneelta. Toteutuksena Kapsilla käytetään ZFS:ää, joka on virtualisoituna nyt siilo.kapsi.fi -palvelimella.

Haluaisimme siirtää kaiken datan nopeasti Fugulle. Tämä ei tietenkään onnistu nopeasti tai varsinkaan yksinkertaisesti. Ensimmäinen yritys oli siirtää koko siilo-datamassa kerralla hyödyntäen ZFS:n tiedostojärjestelmätason lähetys- ja vastaanotto-ominaisuutta (zfs send ja zfs recv). Ongelmaksi muodostui juurikin datan pirstaloitumisesta aiheutunut erittäin hidas siirtonopeus, jonka puitteissa siirto olisi vienyt noin 3 kuukautta aikaa. Tämä ei aikataulullisesti käynyt päinsä, vaan migraatio päätettiin tehdä tiedostotasolla käyttäen perinteisempää rsync-menetelmää.

Rsync-menetelmän etu on siinä, että käyttäjät voidaan siirtää uutteen järjestelmään yksitellen, jolloin yhden käyttäjän kokema palvelukatko on hyvin lyhyt, vain jotain minuutteja. Lisäksi pystyimme käyttämään yhdistyksen toimihenkilöiden siilo-levytiloja koekaniinina ja korjaamaan varsinaisen migraation aikana tulleita virhetilanteita jo hyvin aikaisessa vaiheessa.

Tämän hetken tilanne – Siilon migraatio

Nyt uusi Siilo-levytila Fugu-palvelimen tarjoamana on käytössä jo 4/5 käyttäjistä eli tämän hetken käyttäjämäärällä noin 4800 käyttäjää ja sisältäen noin 137 teratavua dataa. Migraatio ei ole mennyt täysin ilman ongelmia. Uusi virtualisoitu ZFS-tiedostojärjestelmää tarjoava siilo-virtuaalikone on odotettua hitaampi ja vie huomattavan määrän CPU-aikaa suhteessa vanhaan järjestelmään.  Seuraavaksi parannamme virtualisoidun siilo.kapsi.fi -palvelimen suorituskykyä päivittämällä ZFS on Linux -ajurin sekä verkkoajurit uudempaan ja lisäämällä koneen käyttöön CPU coreja.

Suorituskykyyn liittyvien ongelmien ratkomisen jälkeen jatkamme migraatiota siirtämällä myös nykyiset käyttäjien varsinaiset kotihakemistot vastaavaan virtualisoidun ZFS on Linux -palvelimen palveltavaksi. Itse Fugu on osoittautunut erittäin nopeaksi ja toimivaksi ratkaisuksi. Kapsin ympäristössä haasteena on nimenomaisesti isokokoinen ja monelle koneelle jaettu yksittäinen tiedostojärjestelmä. Tästä on joka tapauksessa hyvä jatkaa ja kehittää yhdistyksen palveluita edelleen.

Suomalainen Edubox-palvelu maksuttomaan kokeilukäyttöön yhdistyksen jäsenille

Jasmin Hulkko / 24. helmikuuta 2015

Kapsin jäsenistölle on tarjottu Edubox-palvelu maksuttomaan kokeilukäyttöön maaliskuun loppuun saakka. Palvelussa on tarjolla hieman yli sata opintokokonaisuutta liittyen erilaisten Internet-palveluiden ja tietokoneohjelmistojen peruskäyttöön sekä jonkin verran yleisesti tietotekniikkaan. Kokonaisuudet on jaettu lyhyisiin muutaman minuutin esityksiin aiheittain.

Palvelu löytyy osoitteesta www.edubox.fi. Tutustumaan pääsee rekisteröitymällä käyttäen @kapsi.fi -sähköpostiosoitetta, jonka jälkeen materiaalit ovat vapaasti katsottavissa 31.3.2015 saakka. Toivomme palautetta palvelun hyödyllisyydestä ja kiinnostavuudesta blogin kommentteihin!

HELP! Minulla ei ole yhdistyksen sähköpostia käytössäni?!

Yhdistysken sähköpostilaatikko on olemassa kaikilla jäsenillä ja oletusarvoisesti osoitteet ovat muotoa tunnus@kapsi.fi. Helpoiten pääset tarkistamaan sähköpostisi kirjautumalla Webmailiin tunnuksillasi. Lisää ohjeita sähköpostiin liittyen löytyy yhdistyksen verkkosivuilta: https://www.kapsi.fi/ohjeet/email.html

Ylläpidon säätöviikonloppu 5/2014

Santtu Pajukanta / 20. tammikuuta 2015

Joulukuun puolivälissä vietettiin Kirkkonummen perämetsissä vuoden 2014 viidettä ja viimeistä ylläpidon säätöviikonloppua. Tämä säätöraportti on hieman myöhässä, sillä se unohtui luonnoksena odottamaan julkaisua – pahoittelut siitä! Säätöviikonlopussa suunniteltiin ja toteutettiin kauaskantoisia infrauudistuksia, kuten uutta web-palvelinjärjestelmää sekä uutta tallennusinfrastruktuuria.

Säätäjä on dossattu

Säätäjä on dossattu

Web-infrastruktuurilla tarkoitamme sitä laitteisto- ja ohjelmistoratkaisua, jolla Kapsin jäsenten web-sivuja palvellaan Internetiin. Nykyinen web-infrastruktuuri on siirretty lähes sellaisenaan vanhalta fyysiseltä raudalta virtualisoituun ympäristöön, eikä se hyödynnä täysin virtualisoinnin mukanaan tuomia mahdollisuuksia. Lisäksi nykyisen web-infrastruktuurin arkkitehtuuri ja konfiguraatio ovat kehittyneet vuosien varrella ns. orgaanisesti, ja tulos on luonteeltaan sen verran karvainen, että minkään uusien ominaisuuksien kehittäminen sen päälle on vaikeaa, työlästä ja virhealtista.

Uusi web-infrastruktuuri on suunniteltu alusta asti vikasietoiseksi ja suorituskykyiseksi: kun yksi taustapalvelin joudutaan ottamaan pois käytöstä ylläpito- ja huoltotoimenpiteiden vuoksi, loput taustapalvelimet jakavat sille aiemmin osuneen kuorman. Perinteiset PHP-sivustot tullaan ajamaan uudessa virtualisointia ja klusterointia hyödyntävässä eristetyssä ympäristössä, joka tulee kuitenkin samalla myös asettamaan hieman erilaiset vaatimukset jäsenten omille web-palveluille. Samalla pyrimme myös edistämään erilaisten palvelinohjelmistoina ajettavien web-alustojen (esim. Django & Gunicorn, Ruby on Rails, Node.JS) käyttömahdollisuuksia.

Uuden ympäristön käyttöönotto alkaa vuoden 2015 aikana, ja siirtyminen tulee tapahtumaan vaiheittain jäsenien toimesta. Kirjoitamme muutoksista ja siirtymisestä tarkemmin myöhemmin.

Säätäjä on dossattu II

Säätäjä on dossattu II

Myös uuden tallennusinfrastruktuurin suunnittelu eteni harppauksilla säätöviikonlopun aikana. Tässä puhutaan siis useiden satojen teratavujen suuruisen kovalevytilan tarjoamisesta yhdistyksen muiden palveluiden käyttöön. Kyseessä on Kapsin kannalta iso suunnitteluprojekti ja ennen kaikkea rahallisesti suuri hankinta. Käyttäjille näkyvistä muutoksista ensimmäinen on Siilo-varmuuskopiointitilan siirto uuteen tallennusjärjestelmään, joka toteutuu todennäköisesti vuoden 2015 aikana.

Bonkki saa uuden elämän testipalvelimina

Bonkki saa uuden elämän testipalvelimina

Oma tehtävänäni toimariporukassa on kehittää Edegal-kuvagalleriaa, josta kaavailemme jäsenille helposti asennettavaa ja helppokäyttöistä selainpohjaista kuvagalleriaa. Edegal on avoimen lähdekoodin ohjelmisto, jonka lähdekoodi löytyy GitHubista. Demoa kaipaavat voivat tutustua esimerkiksi omaan kuvagalleriaani, Anikin uuteen kuva-arkistoon tai Insomnia-verkkopelitapahtuman kuvagalleriaan.

Projekti on ollut käynnissä juhannuksesta 2013. Sitä voisi ennen kaikkea kuvata oppimiskokemuksena: tänä aikana on tullut yhä selvemmäksi miten kuvagalleria kannattaa ja ei kannata toteuttaa. Keväällä koitti koko palvelinpään uudelleenkirjoittaminen, edellisessä säätöviikonlopussa modernisoin kehitystyökalut ja JavaScript-kirjastot vuoteen 2014 ja tällä kertaa kirjoitin selainpään uusiksi. Vanha Backbone- ja Transparency-kirjastojen päälle rakennettu arkkitehtuuri sai väistyä uuden, Knockout-ohjelmistokehyksen päälle rakennetun tieltä.

Käyttäjälle ulkonäkö ja käyttökokemus pysyivät täysin identtisinä, mutta CoffeeScript-lähdekoodin määrä putosi noin puoleen – noin 400:sta noin 200:aan. Tämänhetkinen versio Edegalista on hyvä pohja lähteä rakentamaan keskeisimpiä puuttuvia ominaisuuksia kuten selainpohjaista kuvien lisäystä.

Verotuksen oikaisulautakunnan päätös

Olli Vainio / 16. joulukuuta 2014

Olen aiemmin useampaan otteeseen blogannut verottajan tekemästä päätöksestä, missä Kapsi tulkittiin elinkeinotoiminnaksi yleishyödyllisyyden sijaan:

Verotuksen oikaisulautakunta on antanut päätöksen viime torstaina 11.12., jossa oikaistaan verottajan tekemää päätöstä. Kapsin katsotaan olevan yleishyödyllistä toimintaa, vaikka verottaja oli virheellisesti toisin tulkinnut.

Tämä ei valitettavasti kuitenkaan ole prosessin loppu. Vielä on pitkä tie saada kaikki Kapsin verottajalle maksamat rahat takaisin parempaan käyttöön, eli yhdistystoiminnan edistämiseen. Blogaan lisää vielä näistä käänteistä aikanaan, kun prosessi etenee.

Yhteistoiminta, yhdistys ja tulevaisuus – atlas.kapsi.fi

Jasmin Hulkko / 28. syyskuuta 2014

Santtu lupaili edellisessä blogipostissa Atlassianin ohjelmistoja Kapsin tarjoamaa yhteis- ja yhteisötoimintaportaalina kaikkine projekti- ja ohjelmistospesifisine höystöineen. Tarve saada Kapsilaiset mukaan toimintaan muokkaamaan ja kommentoimaan sisältöä realisoituikin yllättävän nopeasti ja ensiversio yhteisöportaalista on auki yhdistyksen jäsenille nyt. Aloitimme Confluence-ryhmätyöympäristön turvin ja muut osa-alueet täydentyvät syksyn edetessä. Aluksi liikkeelle lähdetään lähinnä Kapsiin itseensä liittyvin projektein. Myöhemmin jäsenet voivat saada käyttöönsä omia työtiloja projekteilleen sekä mahdollisuuden liittää wiki- ja projektiympäristöön myös kapsin ulkopuolisia käyttäjiä.

Projektin ensimmäisen vaiheen vauhdittava voimana toimi kesän aikana alkanut pohdinta yhdistyksen tulevaisuudesta ja toiminnan eteenpäin viemisestä. Pohdinta muuttui kirjoitelmaksi ja kirjoitelma jaloistui kokonaisuudeksi, joka oli valmis yhdistyksen aktiivisten toimihenkilöiden kommenteille noin viikko sitten. Hyvin nopeasti kävi selväksi, että kirjoitusharjoitus ei välttämättä mennyt asiasisällöltään aivan metsään ja siitä syntyi hyvää keskustelua ja jatkomietintää toimariporukan sisällä.

Näin vaalikokouksen alla on väistämätöntä, että yhdistyksen tulevaisuutta koskevat visiot ja pohdinnat tulevat väistämättä vaikuttamaan siihen, mistä vaalikokouksessa keskustellaan. Tästä syystä on ensiarvoisen tärkeää, että kaikilla yhdistyksen jäsenillä on mahdollisuus omalta osaltaan osallistua tähän keskusteluun ja tuoda ajatukset esille, vaikka itse kokoukseen ei pääsisikään osallistumaan.

Pidemmittä puheitta, kirjautumaan pääsee Kapsin käyttäjänimellä ja salasanalla: atlas.kapsi.fi

Kommentteja toivotaan ensialkuun nyt erityisesti artikkeliin Kapsin Visio ja Strategia vuodesta 2015 tulevaisuuteen.

[Edit: Typo korjattu.]

Ylläpidon säätöviikonloppu 4/2014

Santtu Pajukanta / 21. syyskuuta 2014

Tänä viikonloppuna vietettiin Kirkkonummen perämetsissä jälleen ylläpidon säätöviikonloppua. Joukossa oli mukana useita uusia säätäjiä – allekirjoittanut mukaan luettuna – ja viikonlopun aikana rakenneltiin useita siistejä uusia palveluita, kuten Teamspeak-palvelinta, Renki-itsepalveluportaalia, Atlassianin tiimityöohjelmistoja ja Edegal-kuvagalleriaa. Taustapuolella muun muassa päivitettiin varmuuskopiointipalvelin Turskan ohjelmistoa ja prototyypattiin Kapsin tulevaa tallennusinfrastruktuuria.

Radioaktiivisten ratkaisujen käsittely vaatii asianmukaiset suojavarusteet.

Radioaktiivisten ratkaisujen käsittely vaatii asianmukaiset suojavarusteet.

Siinä missä muut säätöviikonlopun projektit ovat tulevaisuuteen katsovia pitkäaikaisia kehitysprojekteja, Kapsin avoin Teamspeak-palvelin on kaikkien käytettävissä alkaen tästä hetkestä. Teamspeak on erityisesti pelaajien suosiossa oleva reaaliaikainen äänikeskusteluohjelmisto. Tarvitset Teamspeakin käyttöön vain kuulokkeet, mikrofonin sekä ilmaisen Teamspeak-asiakasohjelman. Kapsin Teamspeak-palvelimen löydät osoitteesta teamspeak.kapsi.fi, ja sen salasana on kapsionparas. Väliaikaisia huoneita voi palvelimelle tehdä kuka tahansa, ja pysyviä huoneita voi pyytää Teamspeakissa roikkuvilta ylläpitäjiltä.

Atlassianin tiimityöohjelmistot Confluence, Jira ja Stash tuodaan jäsenten käyttöön talven 2014–2015 aikana. Confluence on kehittynyt ja helppokäyttöinen wiki, Jira on erityisesti ohjelmistoprojektien käyttöön kehitetty tiketöintijärjestelmä ja Stash on hieman Githubin ja Bitbucketin tyyppinen web-pohjainen hallintakäyttöliittymä Git-versionhallintajärjestelmälle. Confluencea, Jiraa ja Stashia voivat jäsenet käyttää niin julkisille kuin yksityisillekin projekteilleen – oli kyse sitten avoimen lähdekoodin ohjelmistoprojektista, roolipeliporukan pelikertomuswikistä tai vaikka hääjärjestelyistä.

Renki on kunnianhimoinen hanke, jonka tarkoituksena on tarjota jäsenille web-pohjainen itsepalveluportaali erikseen pyydettävien jäsenpalveluiden hallintaan. Nykyään esimerkiksi tietokannat ja nimipalvelut täytyy pyytää sähköpostitse ylläpidolta, mutta Rengin käyttöönoton jälkeen tämä käy näppärästi helppokäyttöisellä web-lomakkeella. Tarkoituksena on myös automatisoida ne ylläpitoprosessit, jotka ovat helposti automatisoitavissa, jolloin pyyntöjen läpimenoajat lyhenevät tuntuvasti nykyisestä.

Edegal on web-pohjainen kuvagalleriaohjelmisto, jonka prototyypin rakentelin juhannuksena 2013 cosplay- ja animetapahtumia dokumentoivaa Anikin kuva-arkistoa varten. Edegal on suunniteltu alusta asti tarjoamaan mahdollisimman nopea käyttökokemus, ja mielestäni olen tässä onnistunut: albumien ja kuvien latautumista ei todellakaan tarvitse odotella. Pidemmän tähtäimen tavoitteena on tarjota kuvagallerioita Kapsin jäsenille helposti asennettavana jäsenpalveluna. Edegal on tällä hetkellä vielä varsin aikaisessa kehitysvaiheessa, mutta esimakua saa tutustumalla esimerkiksi Anikin uuteen kuva-arkistoon tai Insomnian galleriaan. Rämäpäisimmät voivat lukea ohjeet ja sukeltaa koodiin GitHubissa.

Toimia tietoturvan edistämiseksi

Henri Salo / 22. toukokuuta 2014

Teemme Kapsin ylläpidossa monenlaisia tehtäviä jäsenten sekä muiden Internetin käyttäjien tietoturvan parantamiseksi. Pyrimme aktiivisesti seuraamaan tietoturvamaailman tapahtumia sekä vähentämään järjestelmiin kohdistuvia riskejä. Asiasta on ollut usein keskustelua irkissä ja monet jäsenet ovat olleet kiitollisia palvelusta, mutta tämä tulee silti välillä yllätyksenä Kapsilaisille.

Visualisaatiota verkkoliikenteen häirinnästä.

Visualisaatiota verkkoliikenteen häirinnästä.

Aihetta käsitellessä on hyvä tiedostaa yhdistyksen Linux-järjestelmien tietoturvan olevan oma kokonaisuutensa eikä alla kuvatut ongelmat vaaranna Kapsin järjestelmien luotettavuutta, vaan aiheuttavat harmia yksittäisille jäsenille tai muille Internetin käyttäjille. Alla joitain esimerkkejä toimistamme jäsenten tunnusten ja tietojen suojaamiseksi sekä muiden Internetin käyttäjien tietoturvan parantamiseksi.

Puhdistamme jäsenten saastuneita sivustoja yhdessä jäsenten kanssa. Teemme usein tietomurroista raportteja CERT-FI:lle sekä rikosilmoituksen poliisille. Osassa tapauksista rikoksen tekijä saadaan kiinni ja tekijä päätyy asiasta vastuuseen. Joka tapauksissa informaatio päätyy viranomaisten statistiikkaan ja antaa parempaa kuvaa yleisesti tietoturvamurroista ja niiden määrästä esimerkiksi Viestintäviraston käyttöön.

Viimeisimmät tietomurrot ovat koskeneet FileZillan saastuneita versioita, joista myös tiedotettiin jäsenistöä. Usean jäsenen tunnukselle kirjauduttiin ulkomailta pyrkimyksenä kerätä hyökkääjälle virtuaalirahaa Kapsin resursseilla. Kaiken kaikkiaan kyseessä oli varsin järjestäytynyt haitallinen toiminta, johon reagoimme tapauskohtaisesti mahdollisimman pikaisesti.

Ilmoitamme Kapsin järjestelmään päässeitä haitallisia tiedostoja esimerkiksi ClamAV-projektille, jotta muutkin tätä haittaohjelman torjuntasovellusta käyttävät laitteet havaitsevat samoja ongelmia tulevaisuudessa. ClamAV tekee yhteistyötä lukuisien muidenkin toimijoiden, kuten esimerkiksi F-Secure ja FireEye -firmojen kanssa.

Muistutamme jäseniä päivittämättömistä www-sivustoalustoista, joissa on tunnettuja tietoturvahaavoittuvuuksia. Tätä varten kehitetään aktiivisesti open-source työkalua, jolla on Kapsin ympäristössä lähetetty yli 10 000 muistutussähköpostia jäsenille vuoden 2011 jälkeen. Päivittämättömiin www-sivustoihin murtaudutaan usein ja niitä käytetään pääasiassa roskapostittamiseen, tiedonkeruuseen tai muuhun haitalliseen toimintaan. Usein murrettu sivusto on hyökkääjälle jalansija yhdistyksen järjestelmiin minkä pyrimme estämään proaktiivisesti.

Ilmoitamme jäsenille myös keskeneräisiä asennuksista, jotka hyökkääjä voisi halutessaan asentaa loppuun ja joissain tapauksissa tämän jälkeen ajaa mielivaltaista haitallista koodia Kapsin palvelimilla.

Ilmoitamme ja vaihdamme julkisuuteen vuotaneita salasanoja sekä testaamme Kapsin jäsenten tunnuksien salasanoja heikkojen varalta ja pyydämme vaihtamaan ne tarvittaessa parempaan. Päivitimme palveluita Heartbleed-haavoittuvuuden osalta jo ennen virallista korjausta.

Useat Kapsin toimihenkilöt toimivat myös työssään tietoturvaroolissa.

Ylläpidon ylläpitoviikonloppu 5/2013

Jon Ekberg / 8. joulukuuta 2013

Itsenäisyyspäivän pidentämä viikonloppu alkoi torstai-illalla kun ensimmäiset ylläpitäjät saapuivat kokouspaikalle. Mukana oli toinen ylläpidon uusista jäsenistä, joka pikaisen tutustumiskierroksen jälkeen oli jo täydellä vauhdilla lyhentämässä ylläpidon tikettijonoa. Muutamaa tuntia myöhemmin homma sujui kuin vanhalta tekijältä, joten voitaneen todeta valinnan osuneen kohdilleen.

Ensimmäinen suuri ihmettelynaihe löytyi sopasta joka syntyi yhdistämällä PostgreSQL, OpenIndiana, ZFS sekä pakallinen 15k SAS-levyjä. Levyjen suorituskyky ei tuntunut missään vaiheessa nousevan odotetulle tasolle, ja syitä etsittiin sekä possusta, kerneleistä sekä levyohjaimista.

Kapsi WEB2.0 -prototyyppi nostettiin pystyyn ja pistettiin kovaan syyniin. Prototyypin on tarkoitus havainnollistaa usealle palvelimelle hajautetun webpalvelimen hyötyjä ja haasteita. Järjestelmää ponnistettiin Apachen JMeterillä ja varmuuden vuoksi ylläpito laittoi huput päähän ja opettelivat dossaamaan.

Vihreähatut dossaavat

Vihreähatut dossaavat

Toinen prototyyppi joka viikonlopun aikana saatiin ajoon oli Kapsi SQL2.0. Kyseisessä järjestelyssä PostgreSQL sijoitettiin virtualisoidulle testipalvelimelle ja kantaa moukaroitiiin pgbenchillä kunnes pullonkaulat tulivat esille. Sama konsepti toistettiin myös mariadb:lle. Virtualisoidut tietokantapalvelimet eivät performoineet vielä halutulla tavalla ja erinäköisten konseptien testailuja jatketaan tulevaisuudessa.

Ylläpidon toinen uusi jäsen osoitti suurta innostusta karttapalveluita kohtaan ja suoritti muiden speksausten oheessa päivityksen yhdistyksen jäsenkartalle joka jo muutenkin oli päivityksen tarpeessa. Tulevaisuudessa lienee mahdollista nähdä myös muita päivityksiä karttapalveluiden osalta.

Lauantai-yöllä suoritettiin suunniteltu huoltokatko Siialle jonka jälkeen 10GE -yhteydet kättelivät onnistuneesti.

Viikonlopun aikana ehdittiin myös konseptoimaan potentiaalisia tulevaisuuden suunnitelmia, joista varmasti tullaan kirjoittamaan tulevaisuudessa enemmän kunhan toteuttamiskelpoiset ideat saadaan eroteltua esiin.

Ylimääräisen kokouksen päätöksistä ja taustoista

Olli Vainio / 29. marraskuuta 2013

Ylimääräistä kokousta edeltävänä aikana hallitus sai useita kyselyjä liittyen yhdistyksen tilanteeseen ja että olemmeko huomioineet asioita x, y ja z liittyen tilanteesen. Ajattelin tässä blogauksessa hieman selventää taustoja tilanteeseen, miksi kokouskutsussa ehdotettiin mitä ehdotettiin.

Aivan aluksi päätöksistä.

Yhdistyksen kokouksessa päätettiin olla keräämättä ylimääräistä jäsenmaksua tälle vuodelle kun hallitus veti esityksensä pois kokouksen aikana. Jäsenmaksut vuodelle 2014 päätettiin suoraan hallituksen pohjaesityksen mukaisesti eli 40 euroa henkilöjäseniltä ja 70 euroa yhteisöjäseniltä sisältäen arvonlisäveron 24 %. Päätettiin myös valittaa verottajan päätöksestä oikaisulautakuntaan.

Kaikki jotka ovat lukeenee aiemmat blogaukseni tästä verottajatilanteesta ymmärtenevät jo, että kyseessähän ei tosiaan ollut pelkkä arvonlisäverovelvollisuus, vaan tulkinta ettei Kapsi ole yleishyödyllinen. Tämä johtaa ALV-velvollisuuden lisäksi yhteisöverojen maksuun verotettavasta tuloksesta.

Kokouskutsussa oli ehkä asia tuotu hieman epäselvästi ilmi, mutta kun kokouskutsua tehtiin niin oli vielä tilanne jossa olisi kaikki verot tulleet 25.11.–23.12. maksuun. Lisäksi maksuun meni nyt veroasiantuntijan lasku Kapsin vastineen laatimisesta verottajalle. Jouduimme toimimaan oletuksella, että tämä on tilanne kun kutsua tehtiin ja tämän oletuksen pohjalta tuo 10 euron lisämaksuehdotus laitettiin kokouskutsuun. Jos emme olisi näin tehneet niin olisimme selkeästi riskeeranneet yhdistyksen hetkellisellä maksukyvyttömyydellä.

Saimme kuitenkin sovittua verottajan ja toisen laskuttajan kanssa ratkaisuja, jotka ostavat meille sen verran aikaa, että yhdistyksen normaalilla kassavirralla kaikki saadaan maksettua normaalisti ja siten hallitus päätti kokouksessa vetää esityksensä pois. Järjestelyt aiheuttavat marginaalisia korkokuluja, mutta tämä on paljon pienempi paha meidän mielestämme kuin jäseniltä ylimääräisen maksun kerääminen. Tapa hoitaa asia on ehkä ollut hieman hämmentävä jäsenistön perspektiivistä, mutta en näe miten olisimme voineet toimia minkään muun oletuksen mukaan. Lisäksi kokous oli pakko saada pidettyä, että meillä on aikaa ennen vuodenvaihdetta toimia päätösten mukaan.

Sitten korotetusta jäsenmaksusta.

Monet kysyivät ennen kokousta, että tietäähän hallitus, että hankintojen arvonlisäverot voi myöskin vähentää. Kyllä tämä on täysin tiedossa. Tilanne on kuitenkin se, että kaikkia veroja ei saada vähennettyä ja siten efektiivisesti kuluja tulee enemmän suhteessa tuloihin aiempaan tilanteeseen verraten. Lisäksi ensi vuodelle aiheutuu valituksesta laki- ja muista asiantuntijakuluista havaittava määrä. Pyrimme myös pitämään isomman marginaalin ensi vuoden taloudessa jos tulee vielä uusia yllätyksiä verottajan suunnasta niin ei ole heti ongelmia niiden myötä.

Monet ovat kysyneet myös, että miksei meillä ollu budjettia hoitaa näitä velvoitteita. On selvää, että olisi hyvä olla pelivaraa taloudessa ja Kapsilla onkin. Kuitenkin jos miettii, että juuri ennen verottajan ensimmäistä yhteydenottoa 3.10. olimme investoineet verkkolaitteistoihin ja kahteen uuteen palvelimeen niin ajoitus oli vähän epämieluisa. Taloudessa oli pelivaraa tiedossa olevien menojen ja maltillisten yllätysten varalle. Alla hieman aikajana niin saa käsitystä miten nopeasti kaikki tapahtui.

to 3.10.: Sain puhelinsoiton verottajalta jossa lyhyesti kävi ilmi, että ovat tämmöistä päätöstä tekemässä.

ma 7.10.: Saimme varsinaisen kirjeen verottajalta, mutta olimme saaneet tekstin haltuun jo aiemmin verotoimistosta pyytämällä. Tiedossa, että selvitys tulee olla jätetty 17.10. mennessä.

ma 7.10.: Jätimme pyynnön lisäajan saamisesta selvityspyynnön vastaukseen.

pe 11.10.: Saamme tiedon, että pyyntö lisäajasta on hylätty.

to 17.10.: Jätämme vastineen selvityspyyntöön.

ma 28.10.: Saamme ilmoituksen missä todetaan, että Kapsi ei ole enää yleishyödyllinen.

to 31.10.: Verotuspäätös mistä käy ilmi maksettavat summat ja eräpäivät.

ma 25.11.: Alkuperäinen eräpäivä yhteisöveroille.

Kuten aikajanasta voinee huomata, tuli kovin ns. puskista.

Toivottavasti tämä blogi selventää suurelle osalle kuvioita siitä miten asiat ovat, olivat ja miksi mitäkin tehtiin. Lisää kysymksyä voi esittää kommenteissa ja yritän niihin parhaani mukaan vastata.