# Red Alert 紅色警戒 [TOC] ## 簡介 + 鄭錫齊處長認為 IND 的系統管理者皆已畢業，應收回權限，且網站運作目的不明，所以拒絕校外存取 140.121.80 網段，造成 IND 託管的服務對校外失效 ### 時間線 + 2020/12/25 11:19 收到梁滌宏老師通知，IND 紅色警戒啟動 + 2020/12/25 21:40 資工系網全面停擺 + 2020/12/26 00:56 消息指出系館外的光纖被挖斷了 + 2020/12/28 16:30 計中跟社長說明此次事件 + 2020/12/29 13:10 課指組提出四個問題 ## 課指組的四個問題 1. IND 之前協助圖資處什麼事情？ 2. IND 之後的發展方向是什麼？ 3. 建議或見解，葉老師要跟我們談的內容 4. 是否有領圖資處的工讀金，何時之前有領，何時之後沒領？ ## 計中方的說明 ### 行動主因 + 新校長特別重視各種稽核報告，包含教育部的資安稽核報告；另外加上本學期的校內用電量報告計中這棟大樓（商船 + 圖資 + 機械？）的用電量是其他單位的兩倍，所以有人認為 IND 機房可能有不當用電，要求處長檢查並盡快作出回覆或行動；但因計中無法掌控所有 IND 現有服務狀態，加上現任 IND 幹部沒有所有機器權限及詳細服務現況，所以決定先將對外服務關閉 ### 計中提出的解決方案 #### 方案一：保留機房 * 優點 * 因為就在計中，機器網路和環境優良 * 不用搬家 * 缺點 * 必須和計中簽署合約，所有服務都必須列管 * 必須明確寫出運行的服務與目的 * 必須提供管理者權限給計中 * 開放任何服務前必須書面跟計中申請審核 #### 方案二：搬遷機房 * 目前正在由計中跟學務處商討，預計將會有兩個機櫃的空間 * 優點 * 沒有使用限制 * 缺點 * 要搬家 * 人員進出較雜亂 * 環境有待確認 ## IND 機房課程相關使用總整理 ### 虛擬化伺服器管理訓練 + 練習對象：幹部群 + 練習目的：在 IND 機房使用 Docker 配置固定 IP 給虛擬機，作為社員練習機使用 ### 基礎 SSH 遠端連線訓練 + 練習對象：一般社員 + 練習目的：使用 IND 機房配置的虛擬機進行 SSH 遠端連線基本操作 ### 網路服務架設練習 + 練習對象：一般社員 + 練習目的：使用 IND 機房虛擬機架設可以對外連線的網路服務，例如網頁伺服器、麥塊伺服器 ### 遠端開發 + 練習對象：一般社員 + 練習目的：以遠端的方式在 IND 機房的虛擬機上進行軟體開發 ### 版本控制訓練 + 練習對象：一般社員 + 練習目的：訓練社員使用版本控制以及基本的團隊合作開發方案 ### 群組管理機器人架設 + 練習對象：幹部群 + 練習目的：在 IND 機房的伺服器上架設可以自動管理社團 Discord 群組的機器人 ### 資安課程 + 練習對象：一般社員 + 練習目的：建立現代資訊安全意識及對策保護自己 ## 目前服務運作狀況 ### 未受影響的服務 + SSH 遠端連線（22 Port） + 海大副 DNS / IND 主 DNS（140.121.80.16:53） ### 受影響的服務 + FTP Server (21) + Debian Mirror 映像檔 + Ubuntu 18.04 Mirror 映像檔 + PuTTY Download Page + ArchLinux 映像檔 + CTAN TEX Archive Network + WWW Server (80/443) + IND 官方網站 + Ubuntu/Debian Repository Mirror + 共教組 gec.ind.ntou.edu.tw + 光電所實驗室與教授個人網站： + www.jengss.ntou.edu.tw 鄭森雄教授 + www.toxin.ntou.edu.tw 黃登福教授 + www.rhchen.ntou.edu.tw 陳榮輝教授 + www.shiau.ntou.edu.tw 蕭錫延教授 + www.applmicrol.ntou.edu.tw 蔡國珍副校長 + www.tyfang.ntou.edu.tw 方翠筠教授 + www.pcmc.ntou.edu.tw 張正明教授 + www.cyshiau.ntou.edu.tw 蕭泉源教授 + www.analysis.ntou.edu.tw 洪良邦教授 + www.p5116.ntou.edu.tw 潘崇良教授 + www.mtc5118.ntou.edu.tw 江孟燦教授 + www.kongzl.ntou.edu.tw 細胞免疫實驗室 + www.chang123.ntou.edu.tw 張克亮教授 + www.tsaijs.ntou.edu.tw 蔡震壽教授 + www.sjiang.ntou.edu.tw 食品生物技術學研究室 + www.bioc0013.ntou.edu.tw 曹欽玉教授 + www.wrfu.ntou.edu.tw 傅文榮教授 + www.irisko.ntou.edu.tw 食品科學系 生物科技組 + www.medchem.ntou.edu.tw 廖若川教授 + www.cjwu.ntou.edu.tw 吳彰哲教授 + www.biopolymer.ntou.edu.tw 蔡敏郎教授 + www.fslab222.ntou.edu.tw 邱思魁教授 + www.ychuang.ntou.edu.tw 黃意真教授 + www.chunju.ntou.edu.tw 張君如老師實驗室 + www.tychen.ntou.edu.tw 陳泰源教授實驗室 + www.ios.ntou.edu.tw 光電科學研究所 + www.oledlab.ios.ntou.edu.tw + www.ultrafast.ios.ntou.edu.tw 超快光電實驗室 + www.phylab.ios.ntou.edu.tw 普通物理實驗室 + www.oesemi.ios.ntou.edu.tw + www.aolab.ios.ntou.edu.tw 奈米光學實驗室 + www.optp.ios.ntou.edu.tw 光電物理網 + www.cfdlab.ios.ntou.edu.tw 晶纖元件實驗室 + 課程教學機 + 非標準服務 Port ### 總結 + IP Blocking 有在運作，但不是全部 + 可以預期的進一步緊縮 + ~~教育部跟新官上任統的鍋~~ ## 歷年社課清單 * [社團 Youtube 頻道](https://www.youtube.com/channel/UCHjo3Ic9aH0vQOlzbLo6uqA/videos) * [DSC x IND: Google Android Study Jam - Kotlin](https://www.facebook.com/ind.ntou/posts/4021921741170070) * [IND 109 課程安排 - 雲端的移動城堡](/O993WCK3R8yD7V_8NTLgjg) ## 緊急應變事項清單 * [ ] 服務主機交接 * [ ] [name=Ethen] * [ ] 海大 DNS (80.16) * [ ] Stone 虛擬伺服器 共同管理權限 (80.193) * [ ] [name=V字龍] * [ ] [name=Yao Wei] * [ ] OpenSource Mirror Service * [ ] [name=Compeador] * [ ] [name=PenutChen] * [ ] [name=崇菩 廖] * [ ] [name=030Mortal] * [ ] [name=賴柏勛] * [ ] [name=高敬庭] * [x] 連線服務主機跳板 [name=PenutChen] * [ ] WebServer 主機資料 [name=] * [ ] 在別處架設臨時的伺服器 共教中心部分 學校資訊活動管理 ## 利益關係人整理 過去曾有跟社團有來往，可能能幫社團說點話的人 | 名稱 | 緣由 | 是否仍在校 | 聯絡方式 | | :-: | :-: | :-: | :-- | | | | | ## 後續討論 ### 其他建議 * [name=林博仁] * 跟校方爭取重要服務先恢復網路存取（如 ftp.ntou.edu.tw 等） * 既有服務的維運加強與退場機制 + 無人維護或管理人未能即時響應的服務強制下線甚至直接釋出資源的標準流程（包含但不限於資料封存方式） + 增加監控與告警機制 + 為減少資安通報的必要措施與管理規範 + 切私人網路與 VPN，預設不提供可直接訪問的公共 IP，降低機器暴露程度 * 增加新人 & 有能力幫忙的舊人的參與度 + 完善已知問題追蹤方式（內部 Issue Tracker） + 統一的身份驗證方式（LDAP？），讓符合條件的成員都能有一定程度的機器權限 + 完善服務建置與維運的文件 + 畢業成員服務器託管的相關規範 * 創建低取代性的新服務 + 校內 CodiMD、GitLab 與 CI * 提高永續性與曝光 + 社課內容釋出與開放協作（註[name=PenutChen]：課程講義皆已可協作的 HackMD 為主） + 社課錄影與直播（註[name=PenutChen]：已經有在實行） + 開放非社團甚至非學校成員的參與（註[name=PenutChen]：過去有零星案例，可以大幅度開放參與） * 減少場地依賴 + 非實體聚會形式的社課（如視訊會議等） + 清理無人管理的資產（書、電器、舊外套等） * 在明確規範與可控前提下利用部份資源增加與學校各單位的合作 + 資工系的教授與其課程（如網頁程式設計） + 其他科系的教授與其課程？ + 計中……？ * 加強服務管理 + ~~ESXi Hypervisor 拆掉改 Proxmox VE，大部分服務轉虛擬化並確保可隨時轉移避免因為機器故障無法維持服務的問題~~ + 要求所有服務可快速重現（建置程序須保留） ### 意見與想法 + [name=Ethen] + 重點放在讓 IND 產生「價值」與「影響力」，想辦法與學校和計算機中心建立關聯 + 計中的主體性淡薄，淪為聽命行事的附屬組織 + 必須提昇 IND 的知名度，例如製作迷因、海報宣傳、強化網站等，讓人知道 IND 的存在以及對學生們的貢獻，提昇影響力並為了之後的招生做準備 + 過往 IND 在宿舍網路、學校基礎服務、網路資源與教學資源都有一席之地 + 寒暑訓內容主要為網路基礎到伺服器架設，後期因為對伺服器有興趣的人減少，所以加入一些 Open Source 免費軟體應用的教學 + 現階段的問題不是IND要整頓，而是鄭錫齊想要把我們拔掉。這件事不是突然發生的，而是已經折衝兩年的結果，兩年前他就想這麼做，被我阻止了。今年也想收走IND網域，一樣是被我阻止，他們要求的主機整頓、清點、要找的到人之類的事情我們也一一辦到了。然後幾個月前突然拔了IND所有的網路線，也是溝通後接回來了。我想這次會是攸關存亡的事情，還請大家全力支援 + 雖說上面擔心資安破口，但這陣子只發了一張通報，而且當下就處理掉了 + 因為計中被弱化的關係，原本與我們協作的計中也逐漸轉向保守，不增加新服務，同時大量外包裁撤掉就有的服務，例如宿網小組。當時社團化的時候就應該認知到應獨立於計中之外，另一方面導致今日走向也很大的原因來自於「IND 斷層」。十幾年前我會接手擔任社長並且進行社團化，一方面是與計中連結的斷鏈（創始老師離職），另一方面是當時已經沒有人了，招生與訓練跟不上離開的人的速度，而後也一直沒有很好的起色，因為 Google 之類網路服務起飛的關係，大多數人轉往網路服務，所以以純提供伺服器架設為主力的服務性社團 IND 就遇到大麻煩，即便全校教學依舊，但是參與者銳減。當時轉型就有嘗試引入 OpenSource 社群接軌，也確實帶來了一批新血，不少人現在都在群組中，也都很強。但當時也發生另一個致命傷是，多數社群活動都在台北，所以導致 IND 的人被拉走的問題，當時似乎也發生了一次新生危機。然後就是兩年前我來看到的狀況了，所以我又來了。這麼長時間又加上斷鏈不只一次，事實上我們東西還能找到這麼多可以接續已經很不容易了，這要感謝 台柱 @Vdragon 以及這段時間依然維護服務不倒的學長們 @medicalwei @pupuliao @orinx @timfanda35 與各位的努力，不過，過不過的了這一關，還需要大家再加把勁 + 回應 [name=林博仁]：現有服務已經篩選過一輪了，還留著的除了有管理者的以外，就是那些「不能死的服務」，監控告警機制已經做了 mon.ntouind.tw，之前公告過。不只是監控內部，也有在幫計中監控重要服務，但現在斷了也不會動。我是不太理解為何要拆掉 ESXi Hypervisor 拆掉改 Proxmox VE，ESXi 的可維護性並沒有比較差，不過我交給後續接任者決定，其他都同意 + 回應 [name=Yao Wei]：當時獲得 Class C 與獨立教室空間，創辦者的理想是，藉由學生社群輔助計算機中心提供服務，當時我們連社團都不是，但是大概提供了一半以上的校內服務 + [name=Mortal030] + 目前社員能提供給學校的只有教育部份，例如去年的 Ruby 教學課程，未來可以跟共教中心繼續討論更多的課程，提供給學校更多 IND 的存在感 + [name=Compeador] + IND 的教學目的相當足夠，但課程準備總是過於倉促，以至於課程的宣傳期過短 + 目前有兩個二年級的學弟可以交接，不過需要教育訓練 + [name=廖崇菩] + 在任期間有設定校長室、光電所及其下所有教授與實驗室的網站，還有資工系的網路程式設計課會使用 + [name=Yao Wei] + 交接與傳承比起繼續由畢業學生來支持更為重要，畢竟技術可以外包，文化不行 + 為什麼圖資處要外包服務？是因為節省成本，還是因為不信任學生？若是後者，則存在本質上的問題 + 構思解套方案的時候要考慮以下面向：學校當初為什麼要給我們一個 Class C 的網段，我們能夠在這個網段替學校做些什麼，假使學校或是系所沒有重要服務需要 IND 協助，那我們持有這個網段的必要性在哪，若是以教學角度持有網段，則該如何遊學生持續營運 + [name=Orin] + IND 是很多學校的典範，給予學生足夠的自由與實際的環境來做出改變，扼殺他們是非常不明至的，做為一個學生社團，已經近乎所能的回應了所有訴求 + IND 是一種教育方式，是海大難得的成果，花了很多年累積出來的，或許組織需要重整，但 IND 的存在是可貴的，應該要繼續延續下去，讓海大的教育留給學生更多想像與實做的空間 + [name=PenutChen] + 回應 [name=林博仁]：校內 CodiMD 跟 GitLab 還蠻不錯的，Markdown 文件與版本控制應該是近年來對資工系學生很有幫助也算是入門難度較低的技術 + [name=林博仁] + IND 可以不用那麼多公共 IP，大部分服務可以透過反向代理等方式讓外面能夠存取，也能夠避免部份安全上的疑慮 + 接下來的服務都要要求有完整的文件與重現方式