Linux – HA – grsec – BFS – Kapsi – ???

Jesse Hulkko / 30. elokuuta 2013

$ uname -a
Linux lakka 3.2.46-grbfs-kapsi #1 SMP Wed Jun 5 19:48:35 EEST 2013 x86_64 GNU/Linux

Niin mistä puhe?

Ydin eli kerneli (engl. kernel) on tietokoneen käyttöjärjestelmän alin osa, joka mahdollistaa kaikkien muiden tietokoneen ohjelmien toiminnan. ( Wikipedia )

Mikäli olet sinut Kapsin tarjoamien palveluiden kanssa oletan, että tiedät vähintäänkin pääpiirteissään mistä tässä kaikessa on kyse. Nyt vajotaan ihan vähäisesti pintaa syvemmälle niihin periaatteisiin ja perusteisiin, jotka ovat olleet Kapsin Linux-käyttöjärjestelmäytimen kasauksen ja konfiguraation pohjana.

Yleistä Kapsin kerneliarkkitehtuurista

Ensimmäinen huomionarvoinen seikka Kapsin järjestelmiä tarkastellessa on se, että vaikka käytössä on pääosin Debian-distribuution mukaisia järjestelmiä, käytetty käyttöjärjestelmäydin ei ole Debian-projektin tarjoama. Kapsin ylläpito on varsin varhaisessa vaiheessa yhdistyksen historiaa alkanut ylläpitää omaa versiota Linux-kernelin käännöksestä. Tämä ei tarkoita sitä, että käytössä olisi  mitenkään suuresti normaalista Linux-ytimestä eroava versio, vaan pikemminkin lähtökohdiltaan Kapsin käyttämän laitteiston sekä tarpeiden mukaan säädetty versio kulloinkin vakaaksi todetusta ”vanilla”-versiosta.

Ymmärtääksemme nykyisen tilanteen kunnolla, täytyy tarkastelussa palata historiassa taaksepäin, aikaan vuosia ennen kuin itse liityin tähän kirjavaan joukkoon ylläpitäjiä, joiden prioriteetti on pitää Kapsin järjestelmät turvassa ja toimivina. Kapsin historia alkoi vuonna 2003.

Linux 2.6 joulukuussa 2003 lisäsi XFS- ja JFS-tiedostojärjestelmät, sisälsi uudet ALSA-ääni- ja syöttölaitteiden ajuritNPTL-säikeistyksen tuen ja tehosti käyttöä suurissa järjestelmissä.

Linux 2.6 oli Kapsin ensimmäisten toimintavuosien ajan ”uusi juttu”. Mentiin Debianinkin käyttämän 2.4-sarjan voimin hyvin pitkään. Nykyään  käytössä on vielä 3.2-sarjan kerneli, jota päivitetään eteenpäin käytännössä Kapsin käyttämien patchien sekä muun mahdollisen tarpeen mukaisesti.

Kernelin päivitykset ovat yhdistyksen toimintojen kannalta aika voimakkaasti käyttäjille näkyviä operaatioita ja aiheuttavat varsinkin shellipalveluihin ikävän käyttökatkon. Tästä syystä toimivaa ja turvallista kerneliversiota pyritään ajamaan mahdollisimman pitkään.

Kapsin käyttämät kernelipatchit

Kapsin kernelin suunnittelussa on otettu huomioon useita erityisesti yhdistyksen toimintaa koskettavia tekijöitä. Haasteina on ollut erityisesti tietoturva, suorituskyky sekä järjestelmien vakaus pitkänkin yhtäjaksoisen päälläolon jälkeen.

Käydään hieman läpi Kapsin käyttämiä patcheja sekä niiden taustoja ja osuutta kokonaisuudessa.

HA-patch

Kapsin historian alkuaikoina käytetyistä spesiaalisäädöistä tiedän vain sen verran, että käytössä oli jo tuolloin niinsanottu HA-patch. Nimi ei viittaa ”High Availabilityyn” kuten äkkiseltään voisi kuvitella, vaan patchin tekijöiden sukunimien ensimmäisiin kirjaimiin. Patchin kirjoitti Jaakko Heusala, yhdistyksen alkuvuosien puheenjohtaja ja ylläpitäjä usean vuoden ajalta. Jaakko osasi kertoa kommenteissa tämän historiasta sekä nimeämisestä, joten lainaan Jaakkoa tähän: 

”Tuo HA-pätsin nimi tulee ”huoh access limit” lyhennyksestä, koska käytin silloin nimimerkkiä huoh. Osittain se ehkä viittasi myös siihen fiilikseen, että oli etsitty toimivaa ratkaisua simppeliin ongelmaan maailmalta kuitenkaan hyvää ratkaisua löytämättä ja se pätsi oli vähän sellainen tulos ”nyt se kernelin koodi tänne, korjaan sen itse!” (Kernelin muokkaaminen oli melkeinpä niitä viimeisiä juttuja joita halusin ruveta tekeen silloin.)”

HA-patch on pohjimmiltaan hyvin yksinkertainen. Sen tarkoitus on pitää käyttäjien tiedostot piilossa toisilta käyttäjiltä chmod-määreistä riippumatta. Tämä on käyttäjille näkyvin muutos Kapsin kernelin osalta. HA-patch on myös koodillisesti erittäin yksinkertainen ja on siten tominut lähes muutoksitta aina versioista 2.4 asti.

Grsecurity

Toinen merkittävä virstanpylväs yhdistyksen kernel arkkitehtuurissa on grsec. Se on laaja patchset, jonka tarvoite on antaa lisäsuojaa erilaisia mahdollisia käyttöjärjestelmäytimen haavoittuvuuksien hyödyntämisyrityksiä vastaan. Kapsin tietoturva-arkkitehtuurissa grsecistä on pitkään käytetty sellaisia osia, jotka eivät vaadi suuria järjestelmäriippuvaisia konfiguraatioita. Esimerkiksi RBAC (Role Based Access Control) ei ole ollut toistaiseksi laajassa käytössä.

Grsecin ajatus tietoturvan kannalta on toimia yhtenä monista muuttujista, joita mahdollisen haavoittuvuuksia hyödyntävän hyökkääjän on vaikea ottaa huomioon yhdistyksen järjestelmiin suunnattuja toimia pohtiessaan. Lähtökohtaisesti grsec ei koskaan pysty täydellisesti estämään muun kernelin osa-alueen haavoittuvuuden hyödyntämistä, vaan aiheuttaa lähinnä tarpeen kohdistaa hyökkäystä juuri tätä kyseistä ympäristöä vastaan. Toisinsanoen yleisesti saatavilla olevat hyökkäyskoodit eivät välttämättä, toivottavasti, toimi sellaisenaan sopivin grsecin tarjoamin optioin varustettua järjestelmää vastaan. Käytännön kannalta grsec parhaimmillaankin ostaa ylläpidolle vain aikaa järjestelmän päivityksen valmisteluun.

Grsecin ja HA-patchin lisäksi kernelin suojauksessa on käytössä yksi vähemmän ”hieno”, mutta enemmän käytännönläheinen ajatusmalli turvallisuuteen liittyen. Pohjimmaisena on periaate, jonka mukaan kerran käynnistettyä järjestelmäydintä ei tule voida peukaloida. Grsec tarjoaa itsessään jonkin verran erilaisia kernelin muistialueen suojauksia tähän liittyen, mutta haittaohjelmien ja rootkittejen kannalta yleisin toimintamalli riitävät oikeudet hankittuaan on puuttua suoraan käytössä olevan kernelin toimintaan.

Kernelimoduulituki

Helpoin ja toimivin tapa muuttaa kernelin toimintaa järjestelmän ollessa käynnissä on ladata moduuli, joka toteuttaa hyökkääjän kannalta oleellisia toimintoja. Nämä voivat olla esimerkiksi kyseisen modulin olemassaolon ja tiettyjen hyökkääjän käyttämien palveluiden ja verkkoliikenteen piilottaminen koko muun järjestelmän näkyviltä. Tällainen palikka tunnetaan myös nimellä rootkit.

Kapsin lähestymistapa rootkiteiltä suojautumiseen on tehdä kernelistä mahdollisimman vaikeasti muutettava ajon aikana. Linux-järjestelmissä tähän on olemassa erittäin helppo ja yksinkertainen keino. Kernelistä on jätetty moduulituki kokonaan pois, jolloin kernelin muuttamiseksi vaaditaan koneen uudelleenkäynnistys. Kapsin kerneli on rakennettu juurikin näin.

Schedulointi ja BFS

Tästä aiheesta voisi ja ehkä pitäisikin kirjoittaa ihan oma blogiposti – tai kirja. Sen verran tuntuu olevan vaikeasti lähestyttävä kokonaiskonsepti kyseessä. Käydään nyt kuitenkin asia läpi popularistisellä tasolla ja yksinkertaistettuna niin ettei aiheuteta lukijoille välttämättä päänsärkyä.

Isoa shell-käyttäjämäärää palvelevan linux-koneen haasteena on väistämättä suoritettavien prosessejen suuri määrä. Kapsi ei ole toiminnassaan koskaan pyrkinyt asettamaan tiukkoja rajoja, vaan käyttäjien toimille asetetut järjestelmätason rajat pyrkivät vähentämään mahdollisten väärinkäytösten, tahattomien tai tahallisten, aiheuttamaa haittaa järjestelmän muille käyttäjille.

Yhdeksi merkittäväksi haasteeksi linuxin ja suuren prosessimäärän kanssa nousee interaktiiviset prosessit, jotka käyttävät yleensä hyvin pienen määrän suoritinaikaa kerrallaan, mutta todella usein. Esimerkkejä tällaisista interaktiivisista prosesseista ovat vaikkapa verkkoliikennettä vastaanottavat prosessit, jotka heräävät käsittelemään saapuneita paketteja tai SSH tai irssi, jotka ottavat käyttäjän syötteitä vastaan ja pitävät yllä aktiivisia yhteyksiä internettiin.

Suuri määrä interaktiivisia prosesseja on luonteeltaan haastava kuorma kernelille koska kernelin prosessischeduleri joutuu pitämään kirjaa ja tekemään päätökset siitä, mikä prosessi milloinkin saa suoritinaikaa ja mitkä prosessit joutuvat odottamaan pääsyä suoritukseen. Tämä kernelin sisäinen prosessi vie myös itsessään suoritinaikaa ja koneen resursseja riippuen kernelin sisäisen schedulerin toimintaperiaatteesta ja tehokkuudesta päätöksenteossa sekä seurannassa.

Linux-kernelin oletusarvoinen prosessischeduleri tunnetaan nimeltä CFS (Completely Fair Scheduler). Se pyrkii tarjoamaan tasa-arvoa prosessien suoritinajan suhteen ja päästää vähäisesti suoritinaikaa käyttävät prosessit suoritettavaksi useammin kuin pitkään suoritettavat prosessit. Tämä periaate on sinänsä hyvä ja toimiva, mutta Kapsin kaltaiesssa ympäristössä CFS:n toteutus aiheesta jätti huomattavasti toivomisen varaa.

Kapsin pääasiallinen shellipalvelin, Lakka, kärsi huomattavasta hitaudesta aina iltapäivisin ruuhka-aikaan talvella 2010. Tuolloin käytössä oli vielä HP DL380 G5 -sarjan palvelinkone, jossa oli kaksi fyysistä neljän ytimen suoritinta ja 16 Gt muistia.

lakka-kapsi-fi-vmstat-year-png

VMstat-kuvaaja kertoo suoritusta odottavien prosessejen määrän arvona ”running” ja levyoperaatioita odottavien prosessejen määrän arvona ”I/O sleep”. Running-arvon tulisi olla kaikissa tilanteissa pienempi kuin käytettävien prosessoriytimien määrä parhaan suorituskyvyn takaamiseksi. Kuvaajan vasen laita on ajalta ennen siirtymistä BFS-scheduleriin.

Ylläpidolla oli kaksi vaihtoehtoa hitailun ratkaisemiseksi. Joko hankkia uusi, järeämpi palvelinkone tai yrittää löytää resurssiongelmaan jokin muu ratkaisu. Käyttäjien toimien rajoittaminen ei kuulunut edes tuolloin harkittuihin vaihtoehtoihin.

Havaittiin eräänlainen ristiriita prosessejen suoritusjonon ja koneen CPU:n käyttöasteen välillä.

lakka-kapsi-fi-cpu-year-png

Kuvassa Lakka-palvelimen CPU-käyttö. CFS:n ollessa käytössä (kuvan vasen laita) CPU-resursseista oli käytössä yhteensä vain noin 25 %. Kuvaajan ”hassut” arvot oikealla johtuvat kyseisten kerneliversioiden epävakaudesta sekä lukuisista käyttökatoista vuoden 2010 aikana.

Suoritusjonon ja CPU-käytön välinen ristiriitatilanne antoi viitteitä siitä, että ehkä kernelin toiminnassa voisi olla parantamisen varaa prosessien scheduloinnin suhteen. Tutkittiin vaihtoehtoja ja päädyttiin kokeilemaan BFS-patchia Kapsin kernelissä. Muutos oli aika radikaali ja hitailuongelmat kerralla poissa.

Tässä vielä muutama kuva, jotka antavat käsitystä koneen yhtäaikaisten käyttäjien määrästä.

lakka-kapsi-fi-interrupts-year-png

Context switches -arvo kertoo sen, kuinka usein suoritettava prosessi vaihtuu sekunnin aikana. Oikealla olevat piikit ovat jälleen kerneliongelmien aiheuttamia vääristymiä kuvaajissa.

Tämä kuvaaja on lähinnä referenssiksi siitä, että CFS:sta BFS:iin vaihtaessa koneen käyttöaste ei juuri muuttunut. Vuosien 2010 ja 2011 aikana yhdistys kuitenkin sai paljon uusia jäseniä ja toisaalta shellikoneella alettiin myös ajamaan entistä raskaampia palvelinprosesseja kuiten Minecraft-palvelimia.

lakka-kapsi-fi-ps_sshd-year-png

SSHd-prosessien määrä Lakka-palvelimella CFS:sta BFS:iin siirryttäessä ja sen jälkeen.

SSHd-prosessien määrä kertoo yhtäaikaisesti palvelimella kirjautuneena olevat sessiot. Vaaleamman vihreä alue näyttää vuorokausivaihtelun kirjautumismäärissä. Käyttäjämäärien nousu vuoden 2011 alkuun mennessä on kohtuu huomattava.

Kokonaisuudessaan siirtyminen Kapsin kernelissä CFS-schedulerista BFS-scheduleriin ei ollut helppo tie. Epävakaus oli vuoden 2010 aikana todellinen riesa ja vasta Linux-kernelin VM (Virtual Memory) -kokonaisuuden suurempi korjaus toi lopulta helpotuksen vakausongelmiin. Suorituskyky nousi kuitenkin vaihdoksen myötä aivan uudelle tasolle, kun prosessien schedulointi ei enää ollut pullonkaula järjestelmän toiminnassa.

 

Teknisempää settiä voi seurata tai olla seuraamatta riippuen blogaajien mielenkiinnosta, käytettävissä olevasta ajasta sekä kuun asennosta. Kuulostellaan myös lukijoiden mielenkiintoa aiheeseen. 😉

Palvelinten lahjoituspäätös

Olli Vainio / 9. heinäkuuta 2013

Kapsin hallitus eilisessä hallituksen kokouksessaan on päättänyt lahjoittaa palvelimet Electronic Frontier Finland ry:lle ja Suomen luonnonsuojeluliiton Uudenmaan piiri ry:lle. Nämä kaksi hakijaa pystyivät perustelemaan Kapsin hallitukselle parhaiten koneelle järkevän käyttötarkoituksen.

Hakemuksia vastaanotettiin yhteensä seitsemän kappaletta.

Kapsi tulee jatkossakin uudistamaan palvelinkalustoaan ja tulevaisuudessa tulemme myös tämän blogin kautta ilmoittamaan lahjoitettavista palvelimista.

Lahjoitetaan kaksi palvelinta

Olli Vainio / 23. kesäkuuta 2013

Kapsi on taas uusimassa rautaa ja käyttämättömäksi jää pari vanhaa HP:n palvelinta. Nämä palvelimet lahjoitetaan yhdistyksen kokouksen päätöksen mukaisesti voittoa tavoittelemattomille yhdistyksille. Hallitus valitsee koneiden saajat.

Palvelin 1 ”Puska1”:

  • HP DL380 G5
  • 2x Intel Quad Xeon 2,33 GHz
  • 24GB keskusmuistia
  • 2x 146GB 2.5″ SAS-levyä
  • Hankittu syksyllä 2007

Palvelin 2 ”Karviainen”:

  • HP DL380 G5
  • 2x Intel Quad Core Xeon 2,50 GHz
  • 20GB keskusmuistia
  • 2x 146GB 2.5″ SAS-levyä
  • Hankittu maaliskuussa 2008

Molemmat koneet lahjoitetaan ilman minkäänlaista takuuta tai palautusoikeutta. Lähtökohtaisesti kuitenkin koneet ovat tuotannossa olleita koneita ja kaikki rauta on toimivaa.

Koneiden vastaanottaja voi tulla hakemaan koneen Helsingistä tai se voidaan erikseen sovittavalla ratkaisulla kuljettaa muualle vastaanottajan vastatessa kuluista.

Mikäli yhdistyksenne haluaa hakea konetta lahjoitettavaksi juuri teidän yhdistykselle, niin sen hakeminen tapahtuu sähköpostitse Kapsin hallitukselle.

Hakemuksesta on löydyttävä seuraavat asiat:

  • Yhdistyksen virallinen nimi
  • Lyhyt kuvaus yhdistyksen toiminnan luonteesta
  • Lyhyt kuvaus käytöstä johon palvelin tulisi
  • Kuvaus siitä, että yhdistyksellä on riittävät valmiudet käyttää lahjoitettua palvelinta (ts. soveltuva tila ja kykyä maksaa sähköt jne.)

Muita huomionarvoisia seikkoja:

  • Aiempina kertoina moni on hakenut palvelinta www-palvelimeksi tms. yleiseen käyttöön johon esimerkiksi Kapsin yhteisöjäsenyys on taysin riittävä ja yleisesti soveltuvakin. Kapsin yhteisöjäsenyys maksaa myöskin vähemmän kuin kummankaan koneen sähköt vuodessa.
  • Eniten painotetaan sitä, että mihin käyttöön palvelin tulisi.
  • Ensisijaisesti ei lahjoiteta niille yhdistyksille joille on jo lahjoitettu palvelin aiemminkin.
  • Hakemuksen ei kannata olla liian pitkä, TL;DR-fiiliksen aiheuttamista kannattaa välttää.

Hakemukset tulee olla perillä viimeistään perjantaina 5.7.2013 klo 17.00. Puuttellisia tai määräajan jälkeen tulleita hakemuksia ei huomioida.

Toimitilan ostamisesta

Olli Vainio / 24. helmikuuta 2013

Hiljattain lähetetyssä vuosikokouskutsussa puhutaan 7. kohdassa toimitilan ostamisen periaatepäätöksestä. Ajattelin tässä blogissa hieman selventää mistä on kyse.

LxHPrmKkT2rfm7nf2SRc3hybVRlxkVRQSwoVDW6qOls

2009 kun ensimmäisen kerran havaittiin, että yhdistys selkeästi tarvitsee toimitilat pohdittiin jo mikä olisi sopiva hankintamuoto ja päätettiin asia viedä vielä yhdistyksen kokouksen päätettäväksi. Tuolloin päädyttiin fiksuun ratkaisuun jossa todettiin, että hallitus voi vuokrata toimitilat, mutta ostamisesta vaaditaan yhdistyksen kokouksen päätös. Näin jälkikäteen tarkastellen yhdistyksen talouden kehitystä oli tämä huomattavan järkevä ratkaisu.

Nyt, 4 vuotta myöhemmin yhdistyksen asema toimitilan ostamisen kannalta on merkittävästi edullisempi. Yhdistyksen budjetti on yli tuplaantunut ja pankkilainojen korot ovat ennätysalhaalla. Lisäksi vuosi 2013 on monella tapaa välivuosi isoissa laitteistohankinnoissa joten budjetissa on hyvin tilaa toimitilan hankintaan.

Hallitus katsoo, että nyt on oikea aika tuoda tämä periaatekysymys toimitilan ostamisesta kokouksen tarkasteltavaksi. Käytännössä mikäli kokous antaa myönteisen periaatepäätöksen, pyritään toimitilan ostaminen toteuttamaan suhteellisen nopealla aikataululla ja tämän eteen on jo tehty valmistelevia toimia.

Karkeasti tarkastellen toimitilan ostamista varten otettaisiin 5 vuoden pankkilaina 70% osuudelle toimitilan hankintahinnasta ja loput maksettaisiin heti käteisellä. Lainan ottaminen nykyisillä koroilla ja vain 5 vuoden maksuajalla aiheuttaa hyvin pienet korkomenot, mutta tarjoaa huomattavan joustavuuden budjettiin verrattuna tilanteeseen jossa koko toimitila maksettaisiin käteisellä. Mikäli nykyinen budjettikehitys jatkuu on tosin hyvinkin mahdollista, että laina maksetaan nopeammalla aikataululla pois.

Olemme jo katsoneet toimitilaa minkä hankinta olisi järkevää. Jos kyseiseen tilaan päädymme niin kokonaishankintakustannus suhteessa yhdistyksen muihin menoihin budjetissa tulee olemaan hyvin maltillinen.

Toimitilan omistamisessa vuokraamiseen nähden on muutamia selkeitä hyötyjä joiden vuoksi tätä on nyt ajateltu. Omistetussa toimitilassa voidaan koko tila remontoida siihen käyttöön optimoiduksi ja pitkällä tähtäimellä kulut laskevat. Havaittava etu on myös yhdistyksen rahoitusasema on joustavampi kunhan toimitila on aikanaan velaton. Nykyisellään yhdistyksellä on lähinnä kovaa kyytiä arvoaan menettävää ATK-kalustoa taseessa, mutta velattoman toimtitilan myötä taseessa olisi myös konkreettista omaisuutta joka tarvittaessa käy uudemmankin kerran lainavakuutena – täten tarjoten aiemmin mainittua joustavuutta.

Tulen vielä myöhemmin blogaamaan lisää toimitilan hankinnasta prosessin edetessä mikäli yhdistyksen kokous hyväksyy periaatepäätöksen.

Peruskartta Android-mobiililaitteilla

Juho Juopperi / 9. helmikuuta 2013

OruxMapsMoottorikelkkaillessa Sirkassa tuli tarve saada kelkkareittikartta mukaan reissuun. Samsung Galaxy Tab 2 7.0 on mainio laite karttakäyttöön, mutta esim. Googlen kartoissa ei ole moottorikelkkareittejä, eikä ihan joka paikassa kuulu 3G. Ainakaan sesonkiaikana on turha kuvitella saavansa 3G:stä dataa läpi karttapaikan katselua ajatellen.

Onneksi Maanmittauslaitos julkaisi mm. peruskartan yleiseen käyttöön. Kartat on peilattu kapsin palvelimille (http://kartat.kapsi.fi/) ja niitä voi käyttää mobiililaitteiden, sekä karttasovellusten yleisesti tukeman WMS-rajapinnan kautta.

Asenna Orux Maps

Karttojen selailuun soveltuu mainiosti Android-sovellus Orux Maps. Orux Mapsin voi asentaa Googlen Play-palvelusta.

Vaihda karttaa karttavalikosta

Käynnistä Orux Maps ja valitse oikean yläkulman karttavalikosta valinta ”Switch map”. Avaa karttalistasta ”WMS Creator”.

Valitse WMS Creator karttalistasta

Syötä WMS-creatoriin osoitteeksi http://tiles.kartat.kapsi.fi/peruskartta?, paina OK, ja valitse esiin ponnahtavasta ikkunasta kaikki karttatasot.

Syötä karttapalvelun osoiteValitse kaikki karttatasot

Aseta kartan mini- ja maksimizoomit arvoihin 0 ja 20. Valitse myös ”Cacheable” ja ”Downloadable” -valinnat ja paina ”Create”.

Kartan asetukset

Alareunassa lukee ”WMS Created OK”. Palaa karttalistaan painamalla peruutusnäppäintä, päivitä lista painamalla ”Refresh maps” ja valitse ”WMS:Peruskartta”.

Valitse WMS:Peruskartta

 

Nyt sinulla on säädetty toimiva online-peruskartta! Joskus on kuitenkin tarve käyttää karttaa 3G:n kuulumattomissa. Offline-kartan voi tehdä karttavalikon ”Map Creator” -toiminnolla.

Käynnistä Map Creator

Map Creatorissa valitaan haluttu alue klikkaamalla alueen vasenta yläkulmaa ja oikeaa alakulmaa.

Valitse kartta-alue

Valitse ladattavat zoomitasot. Tasot 12, 14, 15 ja 16 riittävät eikä ladattavan datan koko kasva liian suureksi.

Valitse tasotLataus valmis

 

 

Kun karttadata on ladattu, peruuta pois Map Creatorista paluunäppäimellä ja valitse karttalistan yläkulmasta ”Offline Maps”. Offline-kartoissa pitäisi näkyä juuri luotu kartta.

Valitse juuri luotu offline-kartta

 

Sirkan kartta 18-zoomin

Onnea Kapsi!

Jesse Hulkko / 2. helmikuuta 2013

kapsi-logo-vari-tarkenne

Kiitos!

Kaikki eivät varmasti tunne yhdistyksen historiaa niin hyvin, että tietäisitte tämän merkityksen. Kaikki eivät ole olleet yhdistyksen toiminnan piirissä niin pitkään, että tämä herättäisi suuria tunteita. Kaikki eivät ole välttämättä tulleet ajatelleeksi niitä lukuisia ilon, surun, tuskan, väsymyksen, riemun, turhautumisen, onnistumisen ja välillä myös ylpeyden aiheita, jotka ovat yhdistyksen matkan varrella kohdanneet niin ylläpitoa, hallintoa kuin yhdistyksen jäsenistöäkin.

Kapsi on tullut toiminnan vakiintuneisuutta kuvaavaan ikään. Kapsi on 10 vuotias.

Kiitos jokaiselle Kapsin jäsenelle! Te tuotte tälle toiminnalle tarkoituksen ja teette tämän mahdolliseksi!

Kiitos yhdistyksen toimihenkilöille! Te olette tehneet omalla panoksellanne yhdistyksestä toimivan kokonaisuuden!

Sekä kiitos kaikille kumppaneille, joiden kanssa Kapsi on saanut toimia ja kasvaa yhdistyksenä nykyiseen muotoonsa!

Kapsin kymmenvuotinen taival on pitänyt sisällään runsaasti tapahtumia ja vaiheita. Itse aloitin Kapsin piirissä puuhastelun liittymällä jäseneksi syksyllä 2004. Tuolloin yhdistykseen kuului noin 200 jäsentä. Oli yhdistyksen toinen toimintavuosi. Liittymisestäni asti, vajaan yhdeksän vuoden ajan Kapsin toiminta on kehittynyt jatkuvasti pienin tasaisin askelin kohti nykyistä tilannetta. Kehitys jatkuu edelleen ja sitä ajaa yksinomaan jäsenistön tarpeet luotettaville, huolella ja taidolla ylläpidetylle alustalle, jonka päälle on hyvä rakentaa itselle merkittäviä palveluita.

Vajaan yhdeksän vuoden aikana Kapsista on muodostunut minulle elämäntapa. Yhdistyksen monimuotoinen toiminta on antanut puitteet omien taitojen kehittymiseen ja verkostoitumiseen IT- ja tietoliikennealan ammattilaisten kanssa. Mielenkiintoista puuhaa löytyy aina, kun sille itseltä löytyy aikaa. Isot ja pienet asiat etenevät päivä päivältä. Kapsi jatkaa kehitystään ja minä pienenä osana kokonaisuutta sen mukana. Suunnataan siis yhdessä kohti seuraavaa vuosikymmentä ja uusia haasteita!

Kiitos Kapsista kuuluu teille kaikille!

 

Ylläpidon tunkkausviikonloppu I/2012

Jon Ekberg / 22. lokakuuta 2012

Kapsin ylläpidossa on reilu tusina hyvinkin tavanomaisen oloista kaveria, joiden intohimon kohteena vain sattuu keskimääräistä useammin olemaan ZFS-levyjärjestelmän tai  Linuxin kernelin optimointi tuhansien käyttäjien palvelinjärjestelmään. Ylläpito on se Kapsin elin, joka parhaansa mukaan pitää huolen siitä, että Kapsin jäsenistö pystyy huoletta käyttämään Kapsin palveluita ilman turhia käyttökatkoja tai hidastumisia.

Rutiininomaista ylläpitotyötä tapahtuu päivittäin, ja tähän kuuluu kaikkea palvelupyyntöihin vastaamisesta omituisen muistikuorman selvittämiseen levypalvelimella. Tämä on sitä työtä, joka pitää palvelut ajossa ja Kapsin lipun korkealla. Mutta kuten pitkäaikaisimmat jäseneemme ovat ehkä huomanneet, niin Kapsihan kehittyy jatkuvasti. Uusia palvelimia hankitaan, uusia palveluita nostetaan pystyyn ja olemassa olevia palveluita hiotaan paremmiksi. Tehokkaaksi tavaksi suorittaa tätä työtä on kehittynyt konsepti nimeltään tunkkausviikonloppu.

Bugien metsästystä

Bugien metsästystä

Kapsin ylläpito koostuu maantieteellisesti hajautuneesta ryhmästä säätäjiä, joten ylläpidon yhteiset tapaamiset ovat aina hieman työläitä. Mutta kun ne onnistuvat, kuten nyt viikonloppuna, ovat lopputulokset huikeita. Jo alakoulussa opittiin miten saman pöydän ääressä ryhmätöitä tehdessä hommat edistyvät huikeaa vauhtia, ja sama pätee myös täällä. Viikonlopun aikana käytetään 48h tehokkaasti mitä erinäisimpien asioiden hoitamiseen,  tiedostopalvelimen debuggauksesta aina virtuaalialustojen päivittämiseen. Välillä otetaan rennommin, saunotaan ja speksataan mitä seuraavassa pyrähdyksessä tehtäisiin – olo on kuin pääsisi seuraamaan ohjelmistoalan startupin toimintaa lähietäisyydeltä.

Kaikenlaista on saatu [aikaan]. –Wraith

Säätäjät säätävät

Säätäjä + ES = Paremmat palvelut

Hommat jatkuvat pitkälle yöhön, ja viimeiset sammuttavat debuggerinsa vain hieman ennen auringonnousua. Aamulla kaverit ovat palanneet kannettaviensa ääreen jo ennen kuin kahvinkeitintäkään on saatu päälle. Mistä he löytävät energian tähän, voi vain kuvitella.

Mites kauan näiden tekemiseen olis menny normaaliin tapaan IRCin ylitse? Erm… pari vuotta? – Ylläpito

Ylläpito ei osoita kuluneen viikonlopun jälkeen minkäänlaisia väsymisen merkkejä. Liekö syynä ES vaiko onnistunut ruokahuolto – säätäjät haluaisivat vain jatkaa säätämistä. Nämä kaverit ovat yksi monista syistä siihen miksi Kapsi awesomeness on kehittynyt tähän malliin, eikä hidastumisen merkkejä ole näkyvissä.

Se yksi kostea juhannus…

Olli Vainio / 20. lokakuuta 2012

Nimittäin tänä vuonna. Toimitilalla.

Juhannusviikolla ennen juhannusta kesätyöntekijä lähti toimitilalta normaalisti töiden jälkeen pois ja kaikki oli ok. Sunnuntaina juhannuksen jälkeen toimihenkilöiden saapuessa paikalle olikin toimitila muuttunut uimaaltaaksi. Lattialla oli paikoin useampi sentti vettä ja rakenteet selvästi kastuneet. FFFFFUUUUUUU.

Tämän juhannuksen jälkeen oli tokikin hyvin ilmeistä, että toimitila tulee olemaan pidemmän aikaa poissa käytöstä. Aiemmin jo olimme harkinneet toimitilan vaihtoa tilanpuutteen vuoksi ja nyt päädyimmekin ratkaisuun, että sama tässä välissä vaihtaa toimitilaa kun kuitenkin joutuu tekemään kaiken uusiksi.

Tuo uuden toimitilan hankinta osoittautuikin sitten astetta haastavammaksi operaatioksi kuin olimme ajatelleet. Jostain syystä vuokranantajat suhtautuivat todella nihkeästi asunnon vuokraamista yhdistykselle toimitilaksi. Aloimme etsiä uutta toimitilaa heti juhannuksen jälkeen ja lopulta uusi toimitila saatiin vuokrattua syyskuun lopulla. Tämän 3 kuukauden aikana tuli kyllä kaikille hyvin ilmeiseksi toimitilan tarpeellisuus.

 Neuvottelupuoli uudella toimitilalla. Jotain asennuksia on vielä kesken.

Uusi toimitila on Oulun Kaijonharjussa sijaitseva 51,5 neliön kaksio johon olemme kalustaneet toisen huoneen neuvotteluhuoneen kaltaiseksi tilaksi ja toisen huoneen kalustus on vielä hieman kesken, mutta siitä on tarkoitus tehdä jonkun kaltainen ”säätötila”.

Toinen puoli uudesta toimitilasta on vielä vaiheessa.

Cyber Defence Exercise 2012 – CDX12

Jesse Hulkko / 19. lokakuuta 2012

Tammikuu 2012, IRC-chat, yksityisviesti:

”Haluasikohan Kapsin ylläpito osallistua kybersotaharjotuksen harjotukseen =)”

Näin alkoi eräs hyvin mielenkiintoinen keskustelu, joka johti omaltani sekä yhdistyksen kannalta vieläkin mielenkiintoisempaan tapahtumaketjuun. Meille tarjottiin tilaisuus osallistua kansainväliseen CDX12-kybersotaharjoitukseen pienessä sivuroolissa. Olimme Viron Cyber Defence Leaguen ohella toinen ”koekaniiniryhmä”, jonka tarkoitus oli testata harjoituksen skenaariota sekä infraa noin kuukausi ennen varsinaista harjoitusta.

Helmikuun alku. Harjoituksen testiajo lähestyi. Ylläpidosta kasattiin kymmenen hengen ”Blue Team” osallistumaan harjoitukseen. Erilaisia valmistelevia pohdintoja alettiin pitää mahdollisista tekniikoista, joilla erilaisiin infraa vastaan kohdistuviin verkkohyökkäyksiin voitaisiin parhaalla mahdollisella tavalla vastata. Strategian pohjaksi valittiin tietysti Kapsin oma tietoturvamalli ja samat tekniikat, jotka on käytössä myös yhdistyksen järjestelmien suojaamisessa. Pohdittiin uusia tapoja havainnoida hyökkäyksiä ja löytää järjestelmästä poikkeavuuksia. Koodia syntyi, speksi kehittyi.

All hands on deck!

Ylläpitäjäjoukko saa hälytyksen. Kansallisesti merkittävän Internet-operaattorin järjestelmiin kohdistuu parhaillaan kyberhyökkäys! Operaattorin pääasiallinen ylläpitotiimi on poissa ja tavoittamattomissa. Kasataan porukka, joka ei tunne infraa juuri entuudestaan. Dokumentaatio ei ole ajan tasalla. Verkkokuvista ja järjestelmäkuvauksista on jotain apua tilanteen hahmottamisessa. Omituisia asioita tapahtuu eri puolilla verkkoja.

Kapsin urhoollinen task force kokoontuu saman katon alle, tälläkertaa yhdistyksen pieneksi käyvään toimitilaan, selvittämään tilannetta ja turvaamaan infraa. Osa järjestelmistä on todella vanhoja, päivittämättä ja pahasti haavoittuvia. Tuntemattomassa tilanteessa infra täytyy saada nopeasti haltuun. Mahdollisimman moni julkisesti saatavilla oleva järjestelmä päivitetään ja Linux-kernelit vaihdetaan Kapsin omiin käännöksiin. Varustelu on alkanut.

Kaikkien järjestelmien logit ajetaan keskitettyyn paikkaan ja filtteröidään isolle screenille kaikkien nähtäville. Jos jotain merkittävää tapahtuu, se näkyy kaikille heti. Muut havainnointi ja vastatoimet alkavat olla paikoillaan.

Verkkotiimi alkaa päästä ennalta tuntemattoman palomuuriratkaisun jäljille. Verkko on ensimmäinen elementti, jossa hyökkääjä voidaan havaita. Samalla myös viimeinen työkalu, jolla mahdollinen tunkeutuja saadaan irti järjestelmistä. Ennakkovalmisteluja ei juuri verkon osalta keretty tekemään. Nyt mennään vaistojen ja pitkän kokemuksen turvin. Verkkotiimissä on kaksi henkilöä, mukana on Kapsin ylläpitotiimin tuolloin tuorein vahvistus, pitkän linjan kokenut verkkosäätäjä.

Hyökkäyksiä aletaan havaita. Jollain koneella on backdoor. Onneksi tilanne näkyy heti ja hälytykset sekä vastatoimet toimivat. Hyökkääjä on järjestelmistä ulkona jo ennen kuin tilanteeseen keretään reagoida. Kolmen ylläpitäjän vahvuiselle response-teamille jäi tälläerää vain takaoven siivoilu järjestelmästä.

Tästä eteenpäin hyökkäyksiä tulee useita yhtäaikaisesti ja kädet täyttyvät töistä. Operaattorin asiakkaiden WWW-sivuja onnistutaan töhrimään PHP-reiän kautta. Myös web-palvelimelle yritetään rootiksi, mutta jälleen kerran tuloksetta. Response-team hoitaa Linux-järjestelmiä jatkuvasti parempaan suuntaan ja paikkailee löydettyjä haavoittuvuuksia ja konfiguraatiovirheitä.

Windows-rintamalla yritetään asennella päivityksiä ja tarkastaa turvallisuusasetukset kohdalleen. Osa Windows-työasemista simuloi yrityksen hallinnon käyttöä. Käyttäjät availevat sähköpostilla tulleita linkkejä ja tiedostoja. Yksi PDF-tiedosto jäi verkkotiimin pystyttämään web-proxyyn. Haitanteko estyi jo ennalta.

Sähköpostipalvelimet eivät toimi. Harjoitusinfrassa on selkeitä ongelmia virtuaalikoneiden levyjen kanssa. Järjestelmät ovat hitaita ja osa koneista täysin käyttökelvottomia. Harjoituksen tekninen tiimi tutkii tilannetta. Ongelmiin ei saatu ratkaisua testiajon aikana. On syytä käydä asiat läpi ennen varsinaista harjoitusta. Testitiimejä oli kaksi, varsinaisessa harjoituksessa on yhdeksän. Tilanne ei näytä erityisen hyvältä.

Tutustun hieman tarkemmin harjoituksen taustalla olevaan tekniseen ympäristöön. Käy ilmi, että SAN-valmistajan ilmoittama levyjärjestelmän vauhti ei aivan vastaa reaalimailman toteumaa. Täytyy keksiä jokin vaihtoehtoinen ratkaisu. Aikaa on alle kolme viikkoa.

Kapsin uusi Siika-levyjärjestelmä otettiin ajoon reilut kaksi kuukautta aiemmin. Sitä ennen testausta tehtiin lähes vuosi. Pohdinta siirtyi Siika-järjestelmän hyödyntämään Solaris-pohjaiseen OpenIndiana-käyttöjärjestelmään ja sen ZFS-tiedostojärejstelmään. Saataisiinko tehokkaalla cachella riittävän paljon suorituskykyä olemassaolevalla raudalla, jotta testiajon ongelmat eivät toistuisi? Asiaa täytyy kokeilla käytännössä.

Kaksi Kapsin ylläpidon edustajaa pystyttää yhdelle blade-palvelimelle OpenIndianan. Levyt tulevat SAN-järjestelmästä 10 Gbps -verkon ylitse. Alustavat suorituskykyarvot vaikuttavat erittäin lupaavilta. Testauksen jälkeen päädytään siihen yhdessä teknisen tiimin kanssa, että tämä on paras ratkaisu mikä tällä aikataululla on järjestettävissä. Muita virtualisointijärjestelmän osa-alueita hienosäädetään. Harjoitus lähestyy.

To be continued, mikäli lukijoita kiinnostaa… 😉

Varainhankintaa palvelumyynnillä

Olli Vainio / 16. helmikuuta 2012

Viimeaikoina on ilmennyt useita hyviä tilausuuksia käyttää Kapsin toimihenkilöiden osaamista hyödyksi uusilla tavoilla. Yhdistyksen resursseja on pyydetty erinäisiin projekteihin joista yhdistys voisi saada jatkossa myös taloudellista hyötyä. Tulevaisuudessa haluaisimmekin toteuttaa näitä projekteja ja ajattelimme hakea myös jäsenistön hyväksyntää projektitoiminnalle sillä kyseessä on kuitenkin periaateellisesti merkittävä asia.

Kapsin ainoa tulonlähde on jäsenmaksut, jotka tulevat kyllä kattamaan Kapsin operatiivisen toiminnan kulut ihan hyvin. Kapsin taloudellinen asema on siis ihan hyvä. Olisi kuitenkin hyödyllistä saada muitakin tulonlähteitä yhdistyksen kehittämisen tueksi.

Aiomme ehdottaa vuosikokoukselle 2012 palvelumyynnin mahdollistamisesta varainhankintarkoituksessa. Tällaisia palveluita voi muun muasssa olla Kapsin säännöissäkin mainittu koulutustoiminta.

2011 vuosikokouksessa päätettiin, että yhdistys voi palkata työvoimaa tietyin rajoittein. Tässä periaatepäätöksessä aiomme ehdottaa, että projekteissa voi olla palkattua työvoimaa, myös sellaisia henkilöitä jotka ovat Kapsin vapaehtoisia toimihenkilöitä.

Meille on kuitenkin äärimmäisen tärkeää tehdä selkeä ero projektien ja yhdistyksen muun talouden välillä. Emme halua maksaa jäsenmaksuista kenellekkään palkkaa ellei se tule ehdottoman välttämättömäksi yhdistyksen operatiivisen toiminnan turvaamiseksi tulevaisuudessa. Mikäli kuitenkin eteen tulee riittävän iso projekti toivoisimme, että meillä olisi mahdollisuus palkata sen projektin puitteissa täyspäiväisiä työntekijöitä – myös sellaisia henkilöitä jotka ovat Kapsin hallituksessa tai toimihenkilöitä. Käytännössä tällaiset täyspäiväiset työntekijät olisivat myös Kapsin operatiivisen toiminnan etu sillä he voisivat tehdä työajallaan myös yhdistyksen muita tehtäviä.

Taloudellista hyötyä tilanteesta myös tulee kun on myyntiä niin voimme vähentä arvonlisäveroja laitteistohankinnoista, jotka ovat hyvin merkittävä menoerä vuosittain.

Tiivistettynä on 2 periaatetta tässä toiminnassa jota aiomme noudattaa:

1. Yhdistyksen jäsenten rahoja ei siirry projektin kulujen kattamiseen. Palkka yms. kulut tulee aina kattaa projekteista saatavilla tuloilla. Projekteista saatu voitto on yhdistyksen kannalta varainhankintaa.

2. Jos tulee tilanne missä yhdistyksen jäsenistön etu ja joku muu etu ovat ristiriidassa, yhdistyksen jäsenistön etu voittaa aina.