Update auf aktuelles Linux
Umstellung auf Debian 9.0 “Stretch”

Table of Contents

Debian 9 - Stretch

Die Version 9 von Debian GNU/Linux wurde [2017-06-17 Sat] freigegeben.

Zeitplan

DONE Laptops unter meiner Verwaltung [4/4]

CLOSED: [2017-06-29 Thu 19:55]

  • State “DONE” from “TODO” [2017-06-29 Thu 19:55]
  • [X] [2017-06-22 Thu] faepnb02 - ASUS EeePC 1201HA blau
  • [X] [2017-06-26 Mon] faepnb45 - HP EliteBook
  • [X] [2017-06-27 Tue] faepnb04 - Thinkpad T61
  • [X] [2017-06-29 Thu] faepnb41/03 - ASUS EeePC 1201HA scharz

DONE Upgrade der realen Server [8/8]

CLOSED: [2017-07-18 Tue 16:30] DEADLINE: <2017-07-19 Wed -1w>

  • State “DONE” from “TODO” [2017-07-18 Tue 16:30]
  • [X] [2017-07-10 Mon] faepsv05 (MooseFS)
  • [X] [2017-07-10 Mon] faepsv07 (MooseFS, NEU)
  • [X] [2017-07-10 Mon] faepsv08 (MooseFS, virtuelle Maschinen: tut1)
    • [X] libvirt
    • [X] backup2disk
  • [X] [2017-07-11 Tue] faepsv02 (MooseFS, MooseFS Master, virtuelle Maschinen)
  • [X] [2017-07-12 Wed] faepsv03 (AFS Fileserver)
    • [X] AFS file server
    • [X] Harddisk /dev/sdc (Seagate Constellation ES, 1 TByte, SN: Z1N06KH8, ~4,7 Jahre in Betrieb) SMART Reallocated_Sector_Ct ist mit ~4000 sehr hoch, Ausfall demnächst wahrscheinlich → prophylaktisch tauschen!
    • [X] AFS-Backup
  • [X] [2017-07-13 Thu] faepsv06 (AFS Fileserver, virtuelle Maschinen)
  • [X] [2017-07-13 Thu] faepsv00 (AFS Fileserver, virtuelle Maschinen, DHCP-Server)
    • [X] AFS file server
    • [X] DHCP-Server - startet nicht!
  • [X] [2017-07-18 Tue] faepsv09 (AFS Fileserver, virtuelle Maschinen, DHCP-Server)

DONE Computerraum und Präsentationsrechner

CLOSED: [2017-09-08 Fri 19:30] SCHEDULED: <2017-09-08 Fri>

  • State “DONE” from “TODO” [2017-09-08 Fri 19:30]

Diese Rechner werden alle am selben Tag auf den aktuellen Stand gebracht, damit sollten Schwierigkeiten für Studierende minimiert werden.

Zusätzlich werden an diesem Tag die NX-Rechner und der Präsentations-PC im Hörsaal P3 aktualisiert:

  • [X] faepop02/nx1
  • [X] faepop03/nx2
  • [X] faepop04/nx3
  • [X] faeppr01

DONE Upgrade der Arbeitsplätze und Rechenknoten auf spezielle Anforderung [21/21]

CLOSED: [2017-09-11 Mon 11:13]

  • State “DONE” from “TODO” [2017-09-11 Mon 11:13]
  • [X] [2017-06-08 Thu] faepop53
  • [X] [2017-06-09 Fri] faepop01 - mein Desktop-Rechner in Reserve, nebenbei FAI - Server
  • [X] [2017-07-10 Mon] faepop65
  • [X] [2017-08-10 Thu] faepop63
  • [X] [2017-08-11 Fri] faepop05 - rackmount, im Serverraum - 1 Disk defekt
  • [X] [2017-08-11 Fri] faepop09 - rackmount, im Serverraum
  • [X] [2017-08-11 Fri] faepop11 - rackmount, im Serverraum
  • [X] [2017-08-16 Wed] faepop10 - rackmount, im Serverraum
  • [X] [2017-08-16 Wed] faepop12 - rackmount, im Serverraum
  • [X] [2017-08-16 Wed] faepop13 - rackmount, im Serverraum
  • [X] [2017-08-17 Thu] faepop18 - rackmount, im Serverraum
  • [X] [2017-08-17 Thu] faepop19 - rackmount, im Serverraum
  • [X] [2017-08-17 Thu] faepop20 - rackmount, im Serverraum
  • [X] [2017-09-01 Fri] faepop75
  • [X] [2017-09-07 Thu] faepop29
  • [X] [2017-09-07 Thu] faepop30
  • [X] [2017-09-07 Thu] faepop76
  • [X] [2017-09-07 Thu] faepop77
  • [X] [2017-09-07 Thu] faepop74
  • [X] [2017-09-07 Thu] faepop32
  • [X] [2017-09-07 Thu 20:46] faepop69 - mein Desktop-Rechner - per Cron-job starten

DONE Upgrade der Arbeitsplätze und Rechenknoten ohne spezielle Anforderung

CLOSED: [2017-09-29 Fri 13:16] DEADLINE: <2017-09-29 Fri> SCHEDULED: <2017-09-01 Fri>

Getriggert über die cfengine wie beim letzten Mal:

  • wenn noch altes System
  • mit einer Wahrscheinlichkeit <= 1/30
  • Uhrzeit zwischen 01:00 und 02:00
  • und kein Benutzer eingeloggt ist.

Ab einem noch festzulegenden Zeitpunkt (ev. [2017-09-15 Fri]) werden eingeloggte Benutzer zwangsweise abgemeldet; zusätzlich wird eine höhere Update-Wahrscheinlichkeit (1/7) gewählt, damit zu Semesterbeginn ein weitgehend vollständiger Umstieg gesichert ist.

Ausnahmen:

faepop62
bis [2017-09-30 Sat] (Abgabetermin der Dissertation)

TODO Upgrade der virtuellen Server [9/10]

  • [X] [2017-06-26 Mon] faeptut1 - Matlab-Tutor neu
  • [X] [2017-07-05 Wed] faepcups - Drucken
  • [X] [2017-07-06 Thu] faepkrb2 - Kerberos
  • [X] [2017-07-06 Thu] faepkrb1 - Kerberos
  • [X] [2017-07-07 Fri] faepcondor - Batch-System
  • [X] [2017-07-07 Fri] faepafs3 - AFS-Datenbank
  • [X] [2017-07-07 Fri] faepafs2 - AFS-Datenbank
  • [X] [2017-07-10 Mon] faepafs1 - AFS-Datenbank
  • [X] [2018-01-19 Fri 13:30]–[2018-01-19 Fri 14:40] faepmail - Mail-Server
    • [X] CFengine stoppen
    • [X] VM stoppen, Image kopieren, VM starten
    • [X] SMTP (postfix) stopppen
    • [X] upgrade Basissystem
    • [X] upgrade IMAP/POP3: dovecot-imapd, dovecot-pop3d
    • [X] Server-Zertifikat testen: IMAP / POP3 http://wiki2.dovecot.org/SSL/DovecotConfiguration
    • [X] upgrade - SMTP mit postfix - intern testen
    • [X] Server-Zertifikat testen: SMTP
    • [X] Robot-Account testen
    • [X] CFengine starten
    • [X] reboot
    • [X] nochmals testen
  • [ ] faepsv (Web, Monitoring)
    • [ ] Integrität der Acounts prüfen: pwck, grpck
    • [ ] NIS master
    • [ ] SSH: erlaubte Benutzer
    • [ ] sudo –> /etc/sudoers prüfen
    • [ ] WWW HTTP Umleitung auf “https”: curl http://itp.tugraz.at/index.html
    • [ ] WWW HTTPS: curl https://itp.tugraz.at/index.html
    • [ ] smokeping
    • [ ] icinga
    • [ ] WWW - Statistiken erzeugen: Condor, NFS, AFS, Lizenzen
    • [ ] WWW - Statistiken einbinden: Condor, NFS, AFS, Lizenzen
    • [ ] WWW - MediaWiki
    • [ ] WWW - Ganglia
    • [ ] In Userdirectories funktioniert .htaccess nicht mit Options -Indexes z.B. https://itp.tugraz.at/~ahi/test/. Seltsamerweise funktioniert IndexIgnore *?

Die virtuelle Maschine faeptut3 bleibt weiterhin auf Debian 7; das entsprechende Service https://itptutor.tugraz.at/computing_tutor wird zum Testen auf die virtuelle Maschine faeptut1 verlegt.

TODO diverse andere Rechner [0/2]

  • [ ] Desktop Prof. Schachinger
  • [ ] Laptop Prof. Schachinger

vorgesehene Änderungen

  • Ein Webbrowser heißt statt iceweasel jetzt wieder firefox.
  • Ein Mailclient heißt statt icedove jetzt wieder thunderbolt.
  • Freeplane ersetzt FreeMind (mind mapping software) - Dateien von FreeMind können damit gelesen werden.
  • Der Client für OwnCloud wird durch NextCloud ersetzt.
  • GnuPG (gpg) wird im Gegensatz zu einer “normalen” Debian Installation weiter in der Version 1 aufgerufen - zur Auswahl der gewünschten Version dienen die Kommandos gpg1 und gpg2.

Probleme

DONE SSHD startet nicht

CLOSED: [2017-06-09 Fri 10:21]

  • State “DONE” from “TODO” [2017-06-09 Fri 10:21]

Das Subsystem “sftp” wird in /etc/ssh/sshd_config zweimal konfiguriert; einmal per Debian-Default und zum Anderen durch die Configuration Engine mit leicht anderer Verteilung von Whitespace. Die eigene Konfiguration ist jetzt überflüssig und wird nun nicht mehr eingefügt.

DONE eigene Repositorys sind ungenügend signiert

CLOSED: [2017-06-19 Mon 16:59]

  • State “DONE” from “TODO” [2017-06-19 Mon 16:59]

Die Signatur wie in Debian 8 reicht nicht mehr:

W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://itp.tugraz.at/Comp/debian stretch Release: The following signatures were invalid: 4860EB0E2DF8D22A453D4F97A73CA4AD73AFD4A6
W: Failed to fetch https://itp.tugraz.at/Comp/debian/dists/stretch/Release.gpg  The following signatures were invalid: 4860EB0E2DF8D22A453D4F97A73CA4AD73AFD4A6
W: Some index files failed to download. They have been ignored, or old ones used instead.

Andererseits funktioniert das “alte” Repository für Jessie. Hmm? Nach einem neuerlich Signieren funktioniert es auch mit Repository von Jessie nicht mehr? In Jessie allerdings schon! Könnte das ein Problem mit meinen langen Keys sein? Oder habe ich mir unter dem neuen Debian meinen private key ruiniert?

Zu lesen:

Durch Probieren stellt sich heraus, daß mein alter Key (1024 bit DSA, 1024 ElGamal) nicht gut genug ist. Mit RSA 4096 Bit funktioniert es gleich. Dokumentiert habe ich das nicht gefunden. Ähh- in https://www.debian-administration.org/users/dkg/weblog/48 wird es zumindest angedeuted.

DONE keine SSH-Login mit UID < 1000

CLOSED: [2017-06-19 Mon 17:00]

  • State “DONE” from “TODO” [2017-06-19 Mon 17:00]
  • PAM?
  • SELinux?

DONE DHCP-Server startet nicht

CLOSED: [2017-07-17 Mon 14:25] DEADLINE: <2017-07-18 Tue>

  • State “DONE” from “TODO” [2017-07-17 Mon 14:25]
Jul 13 12:18:48 faepsv00 isc-dhcp-server[25397]: Launching IPv4 server only.
Jul 13 12:18:48 faepsv00 dhcpd[25408]: Wrote 0 leases to leases file.
Jul 13 12:18:48 faepsv00 dhcpd[25408]: 
Jul 13 12:18:48 faepsv00 dhcpd[25408]: No subnet declaration for br0 (129.27.161.138).
Jul 13 12:18:48 faepsv00 dhcpd[25408]: ** Ignoring requests on br0.  If this is not what
Jul 13 12:18:48 faepsv00 dhcpd[25408]:    you want, please write a subnet declaration
Jul 13 12:18:48 faepsv00 dhcpd[25408]:    in your dhcpd.conf file for the network segment
Jul 13 12:18:48 faepsv00 dhcpd[25408]:    to which interface br0 is attached. **
Jul 13 12:18:48 faepsv00 dhcpd[25408]: 
Jul 13 12:18:48 faepsv00 dhcpd[25408]: 
Jul 13 12:18:48 faepsv00 dhcpd[25408]: Not configured to listen on any interfaces!
Jul 13 12:18:48 faepsv00 dhcpd[25408]: 
Jul 13 12:18:48 faepsv00 dhcpd[25408]: If you think you have received this message due to a bug rather
Jul 13 12:18:48 faepsv00 dhcpd[25408]: than a configuration issue please read the section on submitting
Jul 13 12:18:48 faepsv00 dhcpd[25408]: bugs on either our web page at www.isc.org or in the README file
Jul 13 12:18:48 faepsv00 dhcpd[25408]: before submitting a bug.  These pages explain the proper
Jul 13 12:18:48 faepsv00 dhcpd[25408]: process and the information we find helpful for debugging..
Jul 13 12:18:48 faepsv00 dhcpd[25408]: 
Jul 13 12:18:48 faepsv00 dhcpd[25408]: exiting.

Allerdings steht in der Konfiguration das korrekte SUbnetz drin:

...
subnet 129.27.161.0 netmask 255.255.255.0 {
   option subnet-mask       255.255.255.0;
   option broadcast-address 129.27.161.255;
   option routers           129.27.161.1;
...

Dazu passende Bug-Reports:

und möglicherweise verwandte Bug-Reports:

Ich werde dieses Problem nicht weiter behandeln, sondern feige umgehen, indem unser DHCP-Service am Institut eingestellt und stattdessen die Infrastruktur des Zentralen Informatikdienstes bemüht wird.

  • DONE abklären, ob PXE-Boot funktioniert

    CLOSED: [2017-07-14 Fri 14:54]

    • State “DONE” from “TODO” [2017-07-14 Fri 14:54]

    Die Konfiguration beim ZID wurde in Kooperation mit Harald Prettner bereits entsprechend geändert.

  • DONE erweitern von /etch/hosts mit “tugraz.at” zusätzlich zu “tu-graz.ac.at”

    CLOSED: [2017-07-17 Mon 14:03] SCHEDULED: <2017-07-17 Mon>

    • State “DONE” from “TODO” [2017-07-17 Mon 14:03]

    Ist sicher für die Notebooks-Adressen nicht notwendig - diese werden direkt auf “tugraz.at” gesetzt.

  • DONE testen, ob unsere Rechner mit der Domäne “tugraz.at” zurecht kommen

    CLOSED: [2017-07-17 Mon 11:30] SCHEDULED: <2017-07-17 Mon>

    • State “DONE” from “TODO” [2017-07-17 Mon 11:30]

    Als kritisch betrachte ich in diesem Kontext eigentlich nur zwei Dinge:

    • SSH host keys
    • Kerberos host keys

    Ich teste das fürs Erste auf einigen Rechnern:

    • faepop01 als Vertreter von Debian 9
    • faepop06 als Vertreter von Debian 8
    • faepop69 als Vertreter von Debian 8, gleichzeitig mein Desktop-Rechner und in diesem Test primärer Ausgangspunkt für SSH-Verbindungen
  • DONE TUGRaz online: Integrieren der MAC-Adressen, Aktivieren des DHCP-Service

    CLOSED: [2017-07-17 Mon 18:30] SCHEDULED: <2017-07-17 Mon>

    • State “DONE” from “TODO” [2017-07-17 Mon 18:30]

DONE XFCE4 startet nicht

CLOSED: [2017-09-12 Tue 10:08]

  • State “DONE” from “TODO” [2017-09-12 Tue 10:08]

Ursache war ein Paket dbus-user-session, daß von einer vorigen Installtione übriggeblieben ist. Mit dbus-x11 funktioniert das.

DONE KDE startet mit Warnungen

CLOSED: [2017-09-12 Tue 10:09]

  • State “DONE” from “TODO” [2017-09-12 Tue 10:09]

Wieder dbus-user-session.

DONE Skype ist zu alt

CLOSED: [2017-09-18 Mon 12:56]

  • State “DONE” from “TODO” [2017-09-18 Mon 12:56]

TODO Intel C++/Fortran Compiler ist zu alt

Beispiele die mit dem GNU Compiler kompiliert werden können, aber mit icpc -std=c++11 nicht:

#include <random>
#include <iostream>

int main()
{
  std::random_device rd;
  std::mt19937 gen(rd());
  std::uniform_real_distribution<> dis(1, 2);
  for (int n = 0; n < 10; ++n) {
    std::cout << dis(gen) << ' ';
  }
  std::cout << '\n';
}

Diese Beispiel funktioniert nicht mit icpc -std=c++11, aber mit icpc ohne weitere Parameter durchaus?

#include <complex>
#include <iostream>

int main()
{
  std::complex<double> z(0.0,1.0);
  std::cout << " z = " << z << std::endl;
  return 0;
}

TODO Drucken in Thunderbird

ev. nur bei HTML formatierten Texten

WAITING automatische Migration der secret keys von gpg funktioniert nicht   WAITING

SCHEDULED: <2017-12-15 Fri>

  • State “WAITING” from “TODO” [2017-09-06 Wed 15:08]
    Für die nächste Zeit wird der Default unter Debian 9 auf gpg 1.4 gelegt, um diese Einschränkung zu umgehen.

Email from Gernot Kraberger: Debian 9: gpg: migration der secret keys

kraber_g@faepop53:~$ stat .gnupg
  File: .gnupg
  Size: 2048            Blocks: 4          IO Block: 4096   directory
Device: 2ch/44d Inode: 569662437   Links: 3
Access: (0700/drwx------)  Uid: ( 3208/kraber_g)   Gid: (  503/  ag-avp)
Access: 2017-06-12 14:32:29.000000000 +0200
Modify: 2017-06-12 14:32:29.000000001 +0200
Change: 2017-06-12 14:32:29.000000000 +0200
 Birth: -

kraber_g@faepop53:~$ ps aux | grep gpg-agent
kraber_g  297120  0.0  0.0 101820  3604 ?        SLs  14:23   0:00
/usr/bin/gpg-agent --supervised
kraber_g  300470  0.0  0.0  22556   952 pts/5    S+   14:32   0:00 grep
--color=auto gpg-agent

kraber_g@faepop53:~$ gpg-connect-agent
> keyinfo --list
ERR 67141633 Keine Berechtigung <GPG Agent>


Auf dem alten System bekomme ich:

kraber_g@faepop62:~$ gpg -K
/afs/itp.tugraz.at/user/kraber_g/.gnupg/secring.gpg
---------------------------------------------------
sec   2048R/B61B837E 2015-11-20
uid                  Gernot Kraberger (pass) <****@*********>
ssb   2048R/D7C6307B 2015-11-20
END

Ideen:

WAITING hdfview: HDF5 Dateien scheinen leer zu sein   WAITING

SCHEDULED: <2017-11-23 Thu>

  • State “WAITING” from “WAITING” [2017-09-08 Fri 19:52]
    Test ob es inzwischen out of the box funktioniert → nein.
  • State “WAITING” from “TODO” [2017-07-19 Wed 10:26]
    Pakete aus Debian Jessie installiert und auf HOLD gesetzt → ausprobieren, wann der Fehler beseitigt wird?

Email from Gernot Kraberger: Debian 9: hdfview

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=853750

Mögliche Workarounds:

apt-get --yes remove hdfview libjhdf5* libjhdf4*
apt-get --yes autoremove
dpkg -l | grep libjhdf
apt-cache policy hdfview
apt-get -t jessie install hdfview
echo hdfview        hold | dpkg --set-selections
echo libjhdf4-java  hold | dpkg --set-selections
echo libjhdf5-java  hold | dpkg --set-selections
echo libjhdf5-jni   hold | dpkg --set-selections
echo libjhdf4-jni   hold | dpkg --set-selections
echo libjgraph-java hold | dpkg --set-selections
apt-get upgrade 
# hdfview funktioniert!
echo libjgraph-java install | dpkg --set-selections
echo hdfview        install | dpkg --set-selections
apt-get upgrade 
# hdfview funktioniert immer noch - allerdings ohne drucken zu können!

Die aktuell installierten Pakete mit [2017-09-08 Fri] sind:

$ LANG=C dpkg -l libjhdf* libjgraph-java hdfview
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name                      Version           Architecture      Description
+++-=========================-=================-=================-===========================================
ii  hdfview                   2.11.0+dfsg-2+b1  amd64             Java HDF Object viewer
ii  libjgraph-java            5.12.4.2+dfsg-5   all               JFC/Swing graph component for Java
hi  libjhdf4-java             2.9-3+b2          amd64             Java HDF4 Object Package
hi  libjhdf4-jni              2.9-3+b2          amd64             Java HDF4 Object Package (Java JNI library)
hi  libjhdf5-java             2.9-3+b2          amd64             Java HDF5 Object Package
hi  libjhdf5-jni              2.9-3+b2          amd64             Java HDF5 Object Package (Java JNI library)

Login-Manager auswählen

DONE startet ohne grafische Benutzeroberfläche

CLOSED: [2017-06-16 Fri 12:05]

  • State “DONE” from “TODO” [2017-06-16 Fri 12:05]

“KDM” existiert nicht mehr und wurde durch “sddm” bzw. “lightdm” ersetzt. Versuche, was mir besser gefällt:

faepop01 sddm
nur getestet mit lokalem Benutzer
  • Reboot und Shutdown-Knöpfe sind sehr prominent plaziert
  • Einstellung für locale steht sehr lange auf en_us und springt plötzlich auf de_at, wenn man beginnt das Passwort zu schreiben. Möchte sddm schon auf $HOME zugreifen? Das würde mit Kerberos Tickets und AFS-Tokens kollidieren!
  • Nach einigen nachinstallierten Paketen startet sddm nicht mehr korrekt. Es kommt keine Fehlermeldung, aber die grafische Benutzeroberfläche bleibt schwarz - anscheinend ein Problem mit PAM und der “Greeter” systemctl status sddm.service:
faepop53 lightdm
https://wiki.debian.org/LightDM Gefällt mir besser, ich hab damit auch etwas mehr Erfahrung, weil ich es zu Hause mit Debian Unstable verwende.

DONE grafische Benutzeroberfläche auf faepop63 startet nicht

CLOSED: [2017-08-29 Tue 09:26]

  • State “DONE” from “TODO” [2017-08-29 Tue 09:26]

lightdm startet auf faepop63 nicht, mit startx funktioniert es hingegen. Auf diesem Rechner war die Datei /etc/X11/default-display-manager nicht vorhanden. Mit diesem Fix funktiert es:

echo /usr/sbin/lightdm > /etc/X11/default-display-manager
service lightdm restart 

DONE Light-DM: langsames Einloggen

CLOSED: [2017-10-13 Fri 09:28]

  • State “DONE” from “TODO” [2017-10-13 Fri 09:28]

Nach der Eingabe des Benutzernamens kommt eine Pause von etwa 1 Sekunde, bis nach dem Passwort gefragt wird.

  • PAM? –> /var/log/auth.log
    • NIS
    • Kerberos
  • Lightdm

Beim Einloggen via SSH ist keine signifikante Verzügerung zu bemerken.

Eventuell relevante Informationen:

Das Problem hat sich im Lauf der Anpassungen und Aufräumarbeiten nebenbei erledigt.

TODO Light-DM: ignoriert ~/.dmrc

Light-DM startet die auf diesem Rechner zuletzt aktive Desktop Session und nicht die zuletzt vom aktuellen Benutzer verwendete. (Zugriff auf ~/.dmrc)

Light-DM - Infomationen u.s.w.

offene Fragen:

  • Wie genau wird bestimmt, welche session gestartet wird?
    • /usr/sbin/lightdm --show-config
    • /etc/lightdm/lightdm.confuser-session
    • andererseits merkt sich lightdm die zuletzt verwendete Session
      • auf der Maschine
      • für den user
  • Warum wird ~/.dmrc ignoriert?

Alternativen laut https://wiki.debian.org/DisplayManager:

gdm
Verhalten wie lightdm: ignoriert ~/.dmrc
lxdm
clumsy!
  • ignoriert Restriktionen zu Reboot/Shutdown in PolicyKit
  • installiert LXDE
  • installiert einige Abhängigkeiten zu GTK und GNOME
kdm
existiert nicht mehr
sddm
Desktop bleibt schwarz
xdm
na ja
wdm
uralt
  • Upstream keine Entwicklung
  • verwirrende Benutzeroberfläche: die Auswahl der Aktion (Einloggen, Neustart, Abschalten, …) über ein ComboBox kommt mir reichlich blöd vor
slim
Durchschalten den gewünschten Desktop-Oberfläche mit F1 - an sich ok, aber nicht offensichtlich gleich erkennbar.

Problem mit sddm

 * sddm.service - Simple Desktop Display Manager
   Loaded: loaded (/lib/systemd/system/sddm.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2017-10-09 10:43:32 CEST; 1min 16s ago
     Docs: man:sddm(1)
           man:sddm.conf(5)
  Process: 404918 ExecStartPre=/bin/sh -c [ "$(cat /etc/X11/default-display-manager 2>/dev/null)" = "/usr/bin/sddm" ] (code=ex$
 Main PID: 404922 (sddm)
    Tasks: 4 (limit: 4915)
   CGroup: /system.slice/sddm.service
           |-404922 /usr/bin/sddm
           `-404925 /usr/lib/xorg/Xorg -nolisten tcp -auth /var/run/sddm/{ed6ffbb0-4f4f-412c-ab90-b473941e86db} -background no$

Oct 09 10:43:35 faepop01 sddm[404922]: Greeter starting...
Oct 09 10:43:35 faepop01 sddm[404922]: Adding cookie to "/var/run/sddm/{ed6ffbb0-4f4f-412c-ab90-b473941e86db}"
Oct 09 10:43:35 faepop01 sddm-helper[404934]: [PAM] Starting...
Oct 09 10:43:35 faepop01 sddm-helper[404934]: [PAM] Authenticating...
Oct 09 10:43:35 faepop01 sddm-helper[404934]: [PAM] returning.
Oct 09 10:43:35 faepop01 sddm-helper[404934]: ^[[0;1;39m[PAM] acctMgmt: Authentication failure
Oct 09 10:43:35 faepop01 sddm[404922]: ^[[0;1;39mError from greeter session: "Authentication failure"
Oct 09 10:43:35 faepop01 sddm-helper[404934]: [PAM] Ended.
Oct 09 10:43:35 faepop01 sddm[404922]: ^[[0;1;39mAuth: sddm-helper exited with 1
Oct 09 10:43:35 faepop01 sddm[404922]: Greeter stopped.

Debian 8 - Jessie

vorgesehene Änderungen

grafische Oberflächen

  • GNOME fällt weg
  • installiert werden KDE, XFCE, FVWM und i3
  • default: KDE

Drucken

a2ps, enscript und mpage funktionieren nicht mit UTF-8; als Ersatz kann paps verwendet werden. enscript und mpage werden gelöscht, a2ps bleibt wegen der zahlreichen anderen Funktionen erhalten.

Internet

chromium statt google-chrome

Acrobat Reader

Die letzten Instanzen von Acrobat Reader werden bei dieser Gelegenheit entsorgt werden. Dafür kann der neue “Okular” Formulare ausfüllen und soll auch Notizen einfügen können.

aus https://wiki.ubuntuusers.de/Adobe_Reader

Mit den ab Adobe Reader 8.x und 9.x eingeführten JavaScript-Funktionen und der Flash-Unterstützung traten gehäuft Sicherheitslücken auf. Offene Schwachstellen können dazu führen, dass bereits beim einfachen Betrachten einer .pdf-Datei mit dem Acrobat Reader das System kompromittiert wird.

Gewarnt werden muss besonders vor der letzten verfügbaren Linux-Version 9.5.5, da Adobe die Entwicklung eingestellt hat und zahlreiche gemeldete Sicherheitslücken nicht mehr behebt! Neuere Versionen wie Adobe Reader X bzw. XI sind nicht für Linux erhältlich.

Zeitplan

  • einzelne Rechner auf Anforderung bereits im Sommersemester 2015
  • Server nach Erfordernis, Gelegenheit, Lust & Laune
  • Juli: keine Updates - Urlaub
  • einige Testrechner Anfang August 2015
  • Computerräume f. Studierende am 14. August 2015, gleichzeitig NX/X2Go und Hörsaal
  • die Masse der Maschinen ab 13. August 2015

DONE Upgrade der Arbeitsplätze und Rechenknoten auf spezielle Anforderung [22/22]

CLOSED: [2015-08-17 Mon 18:20]

  • [X] [2015-05-11 Mon] faepop31 (Testrechner)
  • [X] [2015-05-29 Fri] faepcr46 (Testrechner f. Studierende)
  • [X] [2015-06-08 Mon] faepop32 (neues Gerät)
  • [X] [2015-06-08 Mon] faepop33 (neues Gerät)
  • [X] [2015-06-09 Tue] faepop34 (neues Gerät)
  • [X] [2015-06-09 Tue] faepop55
  • [X] [2015-06-10 Wed] faepop23
  • [X] [2015-06-12 Fri] faepop30
  • [X] [2015-06-12 Fri] faepop36
  • [X] [2015-06-19 Fri] faepop37 (neues Gerät)
  • [X] [2015-06-22 Mon] faepop29
  • [X] [2015-06-22 Mon] faepop01 (Server für FAI) - gegen Semester-Ende
  • [X] [2015-06-26 Fri] faepop12
  • [X] [2015-08-04 Tue] faepop08
  • [X] [2015-08-05 Wed] faepop39
  • [X] [2015-08-05 Wed] faepop06
  • [X] [2015-08-05 Wed] faepop40
  • [X] [2015-08-05 Wed] faeppc03
  • [X] [2015-08-10 Mon] faepop60
  • [X] [2015-08-10 Mon] faepop62
  • [X] [2015-08-11 Tue] faepop69
  • [X] [2015-08-11 Tue] faepop46

DONE Computerraum und Präsentationsrechner

CLOSED: [2015-08-13 Thu 14:27] SCHEDULED: <2015-08-14 Fri>

  • State “DONE” from “TODO” [2015-08-13 Thu 14:27]

Diese Rechner werden alle am selben Tag auf den aktuellen Stand gebracht, damit sollten Schwierigkeiten für Studierende minimiert werden.

Zusätzlich werden an diesem Tag die NX-Rechner und der Präsentations-PC im Hörsaal P3 aktualisiert:

  • [X] faepop02/nx1
  • [X] faepop03/nx2
  • [X] faepop04/nx3
  • [X] faeppr01

DONE Upgrade der Arbeitsplätze und Rechenknoten ohne spezielle Anforderung

CLOSED: [2015-09-25 Fri 17:05] SCHEDULED: <2015-08-13 Thu>

  • State “DONE” from “WAITING” [2015-09-25 Fri 17:05]

Getriggert über die cfengine wie beim letzten Mal:

  • wenn noch altes System
  • mit einer Wahrscheinlichkeit <= 1/30
  • Uhrzeit zwischen 01:00 und 02:00
  • und kein Benutzer eingeloggt (nur bis maximal Ende August)

Ab Anfang September werden eingelogget Benutzer zwangsweise abgemeldet; zusätzlich wird eine höhere Update-Wahrscheinlichkeit (1/7) gewählt, damit bis Semesterbeginn der Umstieg gesichert ist.

DONE Upgrade der virtuellen Server [8/8]

CLOSED: [2016-01-13 Wed 15:59]

  • State “DONE” from “TODO” [2016-01-13 Wed 15:59]
  • [X] faepcups
  • [X] faepcondor
  • [X] faepkrb2
  • [X] faepkrb1
  • [X] faepmail [2015-09-28 Mon 09:45]
  • [X] faepsv (Web/Mail/Druck)
    • [X] Integrität der Acounts prüfen: pwck, grpck
    • [X] NIS master
    • [X] SSH: erlaubte Benutzer
    • [X] sudo –> /etc/sudoers prüfen
    • [X] WWW HTTP Umleitung auf “https”: curl http://itp.tugraz.at/index.html
    • [X] WWW HTTPS: curl https://itp.tugraz.at/index.html
    • [X] WWW - Statistiken erzeugen: Condor, NFS, AFS, Lizenzen
    • [X] WWW - Statistiken einbinden: Condor, NFS, AFS, Lizenzen
    • [X] WWW - MediaWiki
    • [X] WWW - Ganglia
    • [X] In Userdirectories funktioniert .htaccess nicht mit Options -Indexes z.B. https://itp.tugraz.at/~ahi/test/. Seltsamerweise funktioniert IndexIgnore *?
  • [X] faepafs3 - ziemlich problematisch wegen zu kleiner virtuellen Platte (1 GiByte) - besser funktioniert es mit Vergrößern auf 2 GiByte wie bei den Kerberos-Servern.
  • [X] faepafs2 - wie “faepafs3”

Die virtuelle Maschine faeptut3 bleibt vorläufig auf Debian 7; das entsprechende Service https://itptutor.tugraz.at/computing_tutor wird zum Testen auf die virtuelle Maschine faeptut1 verlegt.

DONE Upgrade der realen Server [9/9]

CLOSED: [2016-01-25 Mon 15:15]

  • State “DONE” from “TODO” [2016-01-25 Mon 15:15]
  • [X] faepsv00 (AFS Fileserver, virtuelle Maschinen, DHCP-Server)
  • [X] faepsv02 (MooseFS, MooseFS Master, virtuelle Maschinen)
  • [X] faepsv03 (MooseFS)
  • [X] faepsv04
    • [X] DHCP-Server
    • [X] apt-cache-ng
    • [X] smokeping
    • [X] OpenAFS DB
    • [X] icinga
    • [X] Config-Space für die Configuration Engine
    • [X] backup2disk
    • [X] BackupAFS
    • [X] apache2
    • [X] reboot und danach funktioniert noch immer alles?
    • [X] apache mit CGI
  • [X] faepsv05 (MooseFS)
  • [X] faepsv06 (AFS Fileserver, virtuelle Maschinen)
  • [X] faepsv07 (MooseFS, NEU)
  • [X] faepsv08 (MooseFS, virtuelle Maschinen)
  • [X] faepsv09 (AFS Fileserver, virtuelle Maschinen)

DONE div. andere Rechner [2/2]

CLOSED: [2016-01-04 Mon 11:32]

  • State “DONE” from “TODO” [2016-01-04 Mon 11:32]
  • [X] Desktop Prof. Schachinger
  • [X] Laptop Prof. Schachinger

Probleme

Erste Versuche mit Jessie zeigen einige kleine Probleme:

DONE faepsv02 stoppt Netzwerk spontan

CLOSED: [2016-01-04 Mon 11:49]

  • State “DONE” from “TODO” [2016-01-04 Mon 11:49]

Der Kernel bedient das Netzwerk-Interface plötzlich nicht mehr und gibt periodisch diese Meldung aus: igb: .... clearing RX timestamp hang. Das trat bisher zweimal mit der Kernel Version 4.1.8 auf; etwa 18 Stunden nach dem Neustart.

Die Hardware in dem Fall:

  • Mainboard: Intel S3420GP, Version: E77063-303
  • CPU: Intel(R) Xeon(R) X3470 @ 2.93GHz
  • Netzwerk: Intel Corporation 82576 Gigabit Network Connection

Zur ersten Abhilfe läuft seit [2015-10-21 Wed 10:00] der Kernel 3.14.51, mit dem das über 3 Wochen noch nicht beobachtet wurde. Mit der Kernelversion 4.1.15 gibt es jetzt [2016-01-04 Mon 11:30] seit [2015-12-30 Wed 05:46] kein Problem.

TODO Benutzern wird Hibernate/Suspend angeboten

KDE und XFCE bieten beim Ausloggen die Optionen “Suspend” und “Hibernate” an. Um das den Benutzern zu verbieten, wurde in der Datei /etc/polkit-1/localauthority/30-site.d/at.tugraz.itp.Suspend.pkla folgender Inhalt hinterlegt:

[Disable suspend/hibernate]
Identity=unix-user:*
Action=org.freedesktop.login1.suspend;org.freedesktop.login1.hibernate
ResultAny=no
ResultInactive=no
ResultActive=no

[Disable shutdown/reboot without admin authentication]
Identity=unix-user:*
Action=org.freedesktop.login1.power-off;org.freedesktop.login1.reboot
ResultAny=no
ResultInactive=no
ResultActive=auth_admin

Das funktioniert allerdings nicht wie erwartet - hibernate und suspend werden unterdrückt, reboot und poweroff werden in KDE auch nicht mehr angeboten, funktionieren aber in XFCE weiterhin.

pkaction | grep -i power
pkaction --verbose --action-id org.freedesktop.login1.hibernate
pkaction --verbose --action-id org.freedesktop.login1.power-off
pkaction --verbose --action-id org.freedesktop.login1.reboot
pkaction --verbose --action-id org.freedesktop.login1.suspend

Laut der Dokumentation von upower soll das aber über den Eintrag org.freedesktop.UPower funktionieren; dazu wird allerdings mit pkaction nichts angezeigt. Anscheinend bezieht sich das NUR auf D-Bus. In Debian 7 gab es allerdings org.freedesktop.upower.hibernate und org.freedesktop.upower.suspend?

TODO plantuml

Das Paket für plantuml existiert nicht in Debian, das inofizielle Paket für Debian 7 funktioniert nicht mehr mit einem aktuellen Java und hat keine mitgelieferten Sourcen, um es anzupassen. Die vernünftigste Lösung wird wahrscheinlich sein, das JAR einfach lokal zu installieren (/afs/itp.tugraz.at/opt/local/share/plantuml.jar) und einen angepassten Wrapper zu schreiben.

TODO Configuration HTCondor automatisieren

DONE nach Update funktioniert Network-Bridge nicht vollständig

CLOSED: [2015-12-29 Tue 11:33]

  • State “DONE” from “TODO” [2015-12-29 Tue 11:33]

Nach dem Update funktioniert die Network Bridge für die virtuellen Maschinen nicht mehr vollständig: die virtuellen Maschinen haben zwar weiter vollen Netzwerkzugang über das Bridge-Device, der Host dagegen keinen Zugang zum Netz. Abhilfe schafft das korrekte Konfigurieren von /etc/network/interfaces nach https://wiki.debian.org/BridgeNetworkConnections:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto  lo
iface lo inet loopback

# Set up interfaces manually, avoiding conflicts with, e.g., network manager
iface eth0 inet manual

# Bridge setup
auto  br0
iface br0 inet dhcp
      bridge_ports eth0
      bridge_stp off
      bridge_maxwait 5
      bridge_fd 0
      bridge_waitport 0
     #bridge_ports all

Das Problem mit der alten Konfiguration dürfte im Verwenden von DHCP für br0 und für eth0 gelegen sein.

WAITING libvirtd wird nicht automatisch gestartet   WAITING

  • State “WAITING” from “TODO” [2015-10-13 Tue 10:15]
    Der Fehler kann durch die Prozessüberwachung der Configuration Engine umgangen werden, das bedeuted allerdings einen deutlichen Zeitverlust bis zum Start der virtuellen Maschinen.

libvirtd wird von systemd nicht automatisch gestartet.

WAITING Hässliche Fonts in iceweasel   WAITING

  • State “WAITING” from “TODO” [2015-08-17 Mon 17:57]
    Entscheiden ob beim hinting_type der Eintrag Autohinter oder Native besser ist.

Einige Webseiten (zum Beispiel http://arxiv.org/) zeigen nach dem Update hässliche Fonts, anscheinend kann das aber leicht behoben werden:

root@faepop69 ~ # dpkg-reconfigure fontconfig-config 
root@faepop69 ~ # get-debconf fontconfig-config
fontconfig-config fontconfig/enable_bitmaps boolean false
fontconfig-config fontconfig/hinting_type select Native
fontconfig-config fontconfig/subpixel_rendering select Automatic

root@faepop40 ~ # dpkg-reconfigure fontconfig-config
root@faepop40 ~ # get-debconf fontconfig-config
fontconfig-config fontconfig/enable_bitmaps boolean false
fontconfig-config fontconfig/hinting_type select Autohinter
fontconfig-config fontconfig/subpixel_rendering select Automatic

DONE Bootmanager nur mehr durch Admin zu starten

CLOSED: [2015-12-16 Wed 10:04]

  • State “DONE” from “WAITING” [2015-12-16 Wed 10:04]
  • State “WAITING” from “TODO” [2015-05-28 Thu 13:34]
    Im Moment setze ich diesen Eintrag per cfengine in /boot/grub/grub.cfg, es wäre aber besser, wenn grub-mkconfig das gleich richtig erzeugt.

Wir bringen im Bootmanger Grub über die Datei /etc/grub.d/01_password ein Password ins Spiel; ab Jessie ist offensichtlich noch die Option --unrestricted im Startmenü notwendig, um ohne Passwort zu booten:

info -f grub -n 'Authentication and authorisation'

Der Fehler ist bei Debian bekannt: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=773138

Abhilfe schaffen wir durch Editieren der Datei /etc/grub.d/10_linux mit der Configuration Engine. Das ermöglicht zwar auch das Booten von älteren Kerneln und in den recovery mode ohne Passwort; für unsere Zwecke reicht das aber:

editfiles:
  debian_8::
    { /etc/grub.d/10_linux
      DefineClasses "CONF_CHANGE_GRUB"
      ReplaceAll 'CLASS="--class gnu-linux --class gnu --class os"'
            With 'CLASS="--class gnu-linux --class gnu --class os --unrestricted"'
    }

shellcommands:
  debian.CONF_CHANGE_GRUB::
    "/usr/sbin/update-grub"

DONE nach sudo ist das AFS-Token zerstört

CLOSED: [2015-08-14 Fri 16:06]

  • State “DONE” from “TODO” [2015-08-14 Fri 16:06]

Die Benutzung von sudo löscht manchmal/oft/fast immer das AFS-Token; das Kerberos-Ticket bleibt allerdings erhalten und das Token kann durch aklog wieder generiert werden. Details dazu findet man zum Beispiel in http://www.eenyhelp.com/answer/bug-782589-sudo-destroys-afs-tokens-exit-help-215644320.html Die Zeile Defaults !pam_setcred in /etc/sudoers.d/afs-permission-fix (Permission 0440) scheint das Problem zu lösen.

DONE planner-el

CLOSED: [2015-05-04 Mon 14:13]

  • State “DONE” from “TODO” [2015-05-04 Mon 14:13]

Das Paket planner-el existiert nicht, ein build der Version aus Debian Wheezy funktioniert allerdings ohne auf den ersten Blick erkennbare Probleme. Aber vermutlich ist es geschickter, wenn ich komplett zu ORG migriere - außer mir verwendet das ohnehin niemand.

DONE TMP in RAM-DISK

CLOSED: [2015-05-04 Mon 14:07]

  • State “DONE” from “TODO” [2015-05-04 Mon 14:07]

Wie bringt man die Rechner am einfachsten/saubersten dazu, /tmp/ in eine RAM-Disk zu legen? Die Lösung mit /etc/default/tmpfs funktioniert nicht mit systemd; sondern nur mit den alten Startup-Skripten.

Am einfachsten dürfte ein Eintrag in /etc/fstab sein. Die native Lösung, die systemd anbietet ist der Aufruf von systemctl enable tmp.mount; über die cfengine wird da aber einfacher ein Link von /etc/systemd/system/local-fs.target.wants/tmp.mount nach /lib/systemd/system/tmp.mount angelegt.

DONE Bos-Server stoppt um 04:00 Uhr und startet nicht mehr

CLOSED: [2016-01-25 Mon 15:13]

  • State “DONE” from “TODO” [2016-01-25 Mon 15:13]

Traditionell wird der bosserver (basic overseer) Sonntags um 04:00 Uhr gestartet um die Auswirkungen von resource leaks geringer zu halten.

Unter Debian 8 funktioniert bei unserem OpenAFS aus Debian Unstable das Stoppen zwar problemlos, das Service startet aber nicht mehr automatisch und wird erst später durch die Configuration Engine neu gestartet.

Die Restart-Zeiten können aber mit bos setrestart einfach geändert werden. Das Neustarten der binaries übernimmt ohnehin das Paketmanagement - Neustart um mit resource leaks fertigzuwerden sollte jetzt auch nicht mehr nötig sein.

Für alle Server funktioniert folgende Sequenz:

for host in faepafs1 faepafs2 faepafs3 $(vos listaddrs | sort)
do
    bos setrestart -server $host never -general
   #bos setrestart -server $host never -newbinary
    bos getrestart -server $host
done

Probleme nach Installation per FAI

Nach einer Installation per Fully Automatic Installation treten einige neue Fehler auf, die bei einer Installation mit dem Debian Installer nicht gesehen werden. Abhilfe kann durch Änderung unserer FAI-Konfiguration oder durch Ergänzungen in unserer post installation routine geschaffen werden.

WAITING curl holt keine Dateien via HTTPS   WAITING

  • State “WAITING” from “TODO” [2016-06-23 Thu 08:24]

curl weigert in der Postinstallationsphase per HTTPS Daten zu laden, weil dem Zertifikat nicht vertraut wird. Dem kann man mit der Option --insecure abhelfen; wesentlich besser wäre es wohl, die TLS-Zertifikate (ca-certificates) früher zu installieren.

WAITING apt-get holt keine Dateien via HTTPS   WAITING

  • State “WAITING” from “TODO” [2016-06-23 Thu 08:24]

Siehe Curl. Abhilfe durch Acquire::https::itp.tugraz.at::Verify-Peer "false"; in /etc/apt/apt.conf.d/99itp oder besser durch frühere Installation von ca-certificates.

DONE systemd.journal startet nicht

CLOSED: [2016-06-23 Thu 09:11]

  • State “DONE” from “TODO” [2016-06-23 Thu 09:11]
[    7.801880] systemd[1]: Unit systemd-journald-dev-log.socket entered failed state.
[   17.499042] systemd-journald[518]: Failed to get machine id: No such file or directory
[   17.500643] systemd[1]: systemd-journald.service has no holdoff time, scheduling restart.

Das Erzeugen einer machine id mit systemd-machine-id-setup behebt dieses Problem.

DONE systemd: Failed to start Cleanup of Temporary Directories

CLOSED: [2016-06-23 Thu 09:11]

  • State “DONE” from “TODO” [2016-06-23 Thu 09:11]
[  919.841783] systemd[1]: Starting Cleanup of Temporary Directories...
[  919.848297] systemd-tmpfiles[2766]: [/usr/lib/tmpfiles.d/systemd.conf:26] Failed to replace specifiers: /run/log/journal/%m
[  919.848311] systemd-tmpfiles[2766]: [/usr/lib/tmpfiles.d/systemd.conf:29] Failed to replace specifiers: /var/log/journal/%m
[  920.049956] systemd[1]: systemd-tmpfiles-clean.service: main process exited, code=exited, status=1/FAILURE
[  920.050055] systemd[1]: Failed to start Cleanup of Temporary Directories.

Das Problem hängt vermutlich eng damit zusammen, daß systemd.journal nicht läuft. Die monierten Zeilen in “/usr/lib/tmpfiles.d/systemd.conf” sind:

Z /run/log/journal/%m ~2750 root systemd-journal - -
z /var/log/journal/%m 2755 root systemd-journal - -

DONE NIS-Benutzer sind unbekannt

CLOSED: [2016-06-23 Thu 09:11]

  • State “DONE” from “TODO” [2016-06-23 Thu 09:11]

Alle Benutzer sind via NIS unbekannt; Kerberos-Tickets und AFS-Tokens funktionieren wie erwartet.

Nach Beheben der Probleme mit systemd funktioniert auch der NIS-Client ordnungsgemäß.

Debian 7 - Wheezy

Probleme

DONE GNOME: fordert wegen Updates zur Eingabe des Root-Passworts auf

CLOSED: [2014-10-14 Tue 09:30]

  • State “DONE” from “TODO” [2014-10-14 Tue 09:30]

:ID: 69b51730-4d8d-425c-b961-2c25abad18f9

sollte mit Deinstallatien von “unattended-upgrades” und “aptdaemon” erledigt sein

DONE GNOME: erlaubt Abschalten und Suspend der Maschine

CLOSED: [2013-07-17 Wed 06:56]

  • State “DONE” from “TODO” [2013-07-17 Wed 06:56]

behoben durch PolicyKit /etc/polkit-1/localauthority/30-site.d/org.freedesktop.SysPower.pkla:

[Disable shutdown/restart]
Identity=unix-user:*
Action=org.freedesktop.consolekit.system.stop;org.freedesktop.consolekit.system.restart
ResultAny=no
ResultInactive=no
ResultActive=auth_admin

DONE Zeitweise Login-Probleme mit UIDs < 1000

CLOSED: [2013-10-10 Thu 13:14]

  • State “DONE” from “TODO” [2013-10-10 Thu 13:14]

:ID: 135561a0-36bd-492f-abfd-84c6bd4a9bc4

In der Nacht (zwischen ~20:00 bis ~ 06:00) gibt es zeitweise Probleme beim Einloggen

Jul  4 20:24:11 faepop07 unix_chkpwd[26419]: password check failed for user (kasilov)
Jul  4 20:24:11 faepop07 kcheckpass[26416]: pam_unix(kdm:auth): authentication failure; logname=kasilov uid=778 euid=778 tty=:0 ruser= rhost=  user=kasilov
Jul  4 20:24:11 faepop07 kcheckpass[26416]: Authentication failure for kasilov (invoked by uid 778)
Jul  4 20:24:18 faepop07 unix_chkpwd[26422]: password check failed for user (kasilov)
Jul  4 20:24:18 faepop07 kcheckpass[26420]: pam_unix(kdm:auth): authentication failure; logname=kasilov uid=778 euid=778 tty=:0 ruser= rhost=  user=kasilov
Jul  4 20:24:18 faepop07 kcheckpass[26420]: Authentication failure for kasilov (invoked by uid 778)

DONE NX funktioniert nicht als Server

CLOSED: [2014-10-14 Tue 09:30]

  • State “DONE” from “TODO” [2014-10-14 Tue 09:30]

:ID: 5ec22027-d12d-4d72-8057-adb7baa59121

Anscheinend funktionieren die alten, aber neueren Pakete von NoMachine - da sind allerdings in der freien Version Beschränkungen in der Benutzerzahl (max. 2 gleichzeitig) vorgesehen?

Alternativen ausprobieren:

VNC
zu langsam, unsicher
X2Go
basiert auf der Technik von NX, aber besser implementiert; derzeit im Testbetrieb

X2Go wurde als Ersatz gewählt.

DONE Bildschirmschoner unter XFCE läßt sich nicht entsperren

CLOSED: [2013-06-18 Tue 13:59]

  • State “DONE” from “TODO” [2013-06-18 Tue 13:59]

XFCE verwendet “slock” aus den “suckless-tools”. Das kann weder mit PAM noch mit Kerberos direkt umgehen, ist bei uns also nutzlos. Andererseits ist im Paket auch “dmenu” enthalten, daß ich für den i3-Windowmanager brauche. Daher bleibt vorläufig Entsorgen durch die CFengine erste Wahl.

DONE kein GNOME in der Installation (faepop58)

CLOSED: [2013-06-18 Tue 11:25]

  • State “DONE” from “TODO” [2013-06-18 Tue 11:25]

Nachdem GNOME nicht mehr die Default-Oberfläche in Debian 7 ist (jetzt: XFCE) und wir uns auf die automatische Installatione verlassen haben wurde GOME nicht mehr automatisch installiert. Das Paket “gnome” kollidiert außerdem mit “icedove”, aber “gnome-core” sollte für die meisten Zwecke reichen.

DONE USB-Sticks funktionieren im Comuterraum nicht

CLOSED: [2013-10-11 Fri 17:13]

  • State “DONE” from “TODO” [2013-10-11 Fri 17:13]

Im eigenen Kernel war keine Unterstützung für USB-3 (XHCI) enthalten. Das ist ab 3.10.15-1.itp.7.2 behoben.

Debian 6 - Squeeze

Weil es jetzt keine desktopspezifischen Probleme mit 64Bit Linux mehr gibt, sollen einige PCs, die bisher mit 32-Bit Kernel gelaufen sind, neu installiert werden. Bei der Umstellung wird raumweise vorgegangen.

Probleme mit Debian Squeeze

größere Änderungen zu Debian Lenny

  • KDE 4

Debian 5 - Lenny

bestätigte Probleme

  • Iceweasel/Firefox 3.0 verwendet das vorhandene Kerberos Ticket beim Anmelden auf https://itp.tugraz.at/ nicht.
    • funktioniert, wenn in about:config “network.negotiate-auth.gsslib” auf “true” gesetzt wird
    • funktioniert allerdings nicht, wenn in der Datei /etc/iceweasel/pref/iceweasel.js die Zeile pref(“network.negotiate-auth.gsslib”, “true”); eingetragen wird

unbestätig

  • LaTeX und a0poster – Das erzeugte PostScript-File ist mit Ghostscript nicht darstellbar; PostScript-Dateien von “alten” Installationen sind lesbar - PDFLaTex funktioniert.
\documentclass[portrait,a0]{a0poster} 

Tasks

DONE Debian Lenny: SSHD - Probleme mit Kerberos-Login

CLOSED: [2009-03-04 Wed]

DONE faeppc35: blas + lapack? - wichtig wegen condor

CLOSED: [2009-03-31 Tue]

DONE faepop03 (HG Evertz) upgrade

CLOSED: [2009-04-01 Wed]

DONE upgrade FAEPSV04

CLOSED: [2009-03-04 Wed]

DONE upgrade FAEPSV03

CLOSED: [2009-03-04 Wed]

DONE xlock ist nicht installiert

CLOSED: [2009-03-18 Wed]

DONE kdevelop ist nicht installiert

CLOSED: [2009-03-18 Wed]

DONE upgrade FAEPOP09

CLOSED: [2009-03-23 Mon]

DONE upgrade FAEPOP10

CLOSED: [2009-03-23 Mon]

DONE upgrade FAEPOP11

CLOSED: [2009-03-23 Mon]

DONE upgrade FAEPOP12

CLOSED: [2009-03-23 Mon]

DONE upgrade FAEPOP14

CLOSED: [2009-03-23 Mon]

DONE upgrade FAEPOP15

CLOSED: [2009-03-23 Mon]

DONE upgrade faeppc32 (traubi)

CLOSED: [2009-03-24 Tue]

DONE automatische Zuweisung von Gruppen via pamgroups

CLOSED: [2009-03-30 Mon]

DONE CONDOR: auf allen neuen Debian Rechner außer LEHRE installieren

CLOSED: [2009-05-12 Tue]

DONE GRUB2 in Debian verwenden

CLOSED: [2011-08-09 Tue]

Debian 4 - Etch

Probleme/Aufgaben

DONE faeppc16 - Debian Etch - automatisches Token mit PAM

CLOSED: [2007-01-16 Tue]

DONE Installations-Pakete an Etch anpassen

CLOSED: [2007-01-16 Tue]

DONE Repository debian-multimedia verwenden

CLOSED: [2007-01-16 Tue]

DONE debian 4.0: plugdev,audio,scanner? als Benutzer-Gruppe für Desktop-Systeme

CLOSED: [2008-02-04 Mon]

DONE Debian-Repositories signieren

CLOSED: [2007-01-29 Mon]

Testen am faeppc16

  • [X] KDE
  • [X] GNOME
  • [X] FVWM
  • [X] Funktioniert der Scanner?
  • [X] Funktioniert das Brennen einer CD?
  • [X] Funktioniert das Brennen einer DVD?
  • [X] OpenOffice

secure apt - laden des Keys in den individuellen PC

Als Benutzer mit GNU Privacy Guard:

gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys B8412CF5 
gpg --armor --export B8412CF5 | sudo apt-key add -
apt-key list

oder als root:

wget --quiet --output-document=- http://itp.tugraz.at/~ahi/gpg-key.asc | apt-key add -
apt-key list

langfristige PLÄNE

  • Einsatz von debomatic statt meines dpkq-buildall
  • Virtualisierung mit LXC statt KVM/QEMU
  • weitere Tests mit LatencyTOP und perf

Author: Andreas Hirczy

Created: 2018-01-26 Fri 13:44

Validate XHTML 1.0