lug – What's up, LUG Servers

科大移动线路故障

2017年4月7日 0:00 起，我校移动线路出现故障，LUG旗下多项服务受到影响：

科大开源镜像站（临时解析至教育网线路）
LUG首页（同上）
GitLab（同上）
反向代理（临时解析至教育网线路，所有线路访问变慢）
科大博客（临时解析至电信线路）
防污染DNS（移动线路不可用；电信、教育网线路解析变慢）
LUG VPN（临时解析至教育网线路；访问国外网站速度变慢）
Light（同上）

给您带来的不便，我们深表歉意。

update 02:34 移动线路恢复

多个网站出现SSL认证故障

由于GlobalSign OCSP服务出现故障，导致USTC LUG旗下多个站点的SSL证书状态显示为“被吊销”。

~~目前暂无临时解决方案，静待缓存过期。~~

update 20161019：对于macOS用户，请在终端中执行以下命令强制清除缓存：

sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM responses WHERE responderURI LIKE "%http://%.globalsign.com/%";'

科大电信出口遭到攻击

2016年8月26日 17:45 科大电信出口遭受DDOS攻击，目前出口丢包率较高。

公网访问以下服务的电信接入点，将变得不稳定：

开源镜像站
权威DNS
LUG主页
LUG FTP
防污染DNS
GitLab
科大博客
反向代理
LUG BBS
FreeShell（端口映射）

请用户暂时切换至教育网接入点或移动接入点。

P.S. 校内用户不受影响

update 2016.08.26 18:29:26: jameszhang联系电信封掉了受攻击的IP，服务恢复正常。总故障时间44分钟。

LUG主页、GitLab故障公告

反向代理服务器于2016年3月30日 04:16 内核崩溃。于30日07:26强制重启后恢复。故障原因正在调查中。

事故过程：

2016-03-29 20:32 监控报警，www.ustclug.org无法正常访问。接到报警后，我尝试访问www.ustclug.org没有遇到故障。以为是误报。

2016-03-30 04:16 监控报警，git.ustclug.org等网站挂了一片。（此时正在与周公聊天）

2016-03-30 05:54 boj前辈在QQ群中报告了网站故障。

2016-03-30 07:07 早上醒来后看到一堆报警，于是查找故障原因。发现反代服务器kernel panic。

2016-03-30 07:27 对反代服务器所在的虚拟机执行reset命令，强制重启后服务恢复。

最后，向凌晨还在辛苦工作的boj致以最诚挚的问候和衷心的感谢(づ￣ 3￣)づ)

LUG FTP 恢复服务

如题，LUG FTP 即日起正式恢复并上线。

在新架构下，LUG FTP 与提供 LUG 主页（https://lug.ustc.edu.cn）的服务器进行了分离，请使用新域名进行访问： ftp://ftp.ustclug.org

用户名与密码均使用 ftp。

update 2015-9-4：添加了HTTP访问方式http://ftp.ustclug.org/。

继续阅读LUG FTP 恢复服务

LUG 主页服务器停机维护通知

近期，lug.ustc.edu.cn 服务器一块硬盘出现了坏道，造成部分数据损坏。

损坏数据多为 LUG 主页 wiki 生成的缓存，其他重要数据均已备份。而 Time Machine 的备份文件在另一块硬盘上，未受到任何影响。

为避免进一步的数据损失，技术部门将于2015年5月2日下午3:00开始对该服务器执行停机维护，更换损坏的硬盘。预计停机2小时，届时以下服务将不可用：

希望各位用户予以理解！

LUG 权威 DNS 更新 TLSA 记录

自从服务器更换 TLS 证书之后，DNS 服务器上的 TLSA 记录并没有及时更新，使得在通过 git.ustclug.org 访问 GitLab 服务器以及通过 ustclug.org 访问主页服务器是会报 TLSA 验证失败错误。

现已更新 TLSA 记录，两个网站的 TLSA 验证恢复正常。

感谢 hugo 的 bug 报告。

LUG 网络服务3月9日网络中断说明

由于全校范围的网络故障，3 月 9 日下午 17:00 ~ 18:00 网络时断时续，3 月 10 日凌晨 0:00 ~ 6:00 大约每半小时断网一次。

昨天的故障和 3 月 5 日持续 45 分钟的故障，原因估计是近代物理楼某接口发送大量 ARP 包导致核心交换机 CPU 过载，换句话说，就是核心交换机被拒绝服务攻击了。

现代交换机通常是使用 ASIC（专用芯片）或 FPGA 来做绝大部分数据包的转发，只有少数控制包（如 ARP、STP 包）要交给交换机 CPU 做处理，交换机的 CPU 通常计算能力非常有限。例如 MAC 地址学习功能一般是由 CPU 进行的，首先所有 ARP 包被发到 CPU，CPU 把 MAC 地址和物理端口的映射关系写入到 ASIC 或 FPGA 中的二层转发表。如果交换机收到大量 ARP 包，又没有在入站端口对 ARP 包进行限速，就会导致交换机 CPU 忙不过来。

非常抱歉近几天的网络故障给您带来的不便。同时强烈谴责（有意或无意）进行网络攻击的人，对全校师生造成了这么大的麻烦！

ustclug.org 换发新 SSL 证书

2015 年 1 月 6 日 zhsj 发现 Chrome 40 Beta 版里，ustclug.org 和 servers.ustclug.org 的地址栏不是小绿锁而是小黄锁，也就是不完全是安全连接。这是由于 Chrome 40 决定把证书失效时间不早于 2016 年 1 月 1 日，并且使用 SHA-1 数字签名算法的 SSL 证书认为是不安全的。推荐使用的是 SHA-256 数字摘要算法。

1 月 7 日，stephen 向 LUG 捐赠了 StartSSL Class 2 认证账号一枚，可用于颁发有效期两年的任意 SSL 证书。用该账号给 https://ustclug.org/ 和 https://servers.ustclug.org/ 换发了使用 SHA-256 和 RSA 2048 位数字签名的新 SSL 证书。

ustclug.org 新证书的基本信息（为防垃圾邮件用了图片）：

感谢 stephen 的捐赠！

LUG 服务器停止支持 SSL 3.0 协议

根据 Google 最新发布的安全建议，SSL 3.0 存在 POODLE 漏洞，导致 HTTPS 安全连接可能被中间人攻击。这是一个协议设计漏洞，而非软件 bug，因此不可能通过升级软件的方式解决。

目前 LUG 使用 SSL 的 Web 站点已经禁用不安全的 SSL 3.0 协议，只支持 TLS 协议（TLSv1、TLSv1.1、TLSv1.2）。

本修改导致 IE6 用户无法使用 LUG 站点的 HTTPS 服务。事实上我们使用的 StartSSL 证书也不被 Windows XP 信任（其中包括 IE6），在此只能对 IE6 用户说声抱歉了。