Kapitola 5. Na co si dávat pozor u Squeeze

Obsah

5.1. Potenciální problémy
5.1.1. Přechod od IDE ovladačů k PATA
5.1.2. Změna formátu metadat mdadm vyžaduje aktuální Grub
5.1.3. Nefunkční pam_userdb.so s novější libdb
5.2. Potenciální problémy s odkloněním /bin/sh
5.3. Změna jaderné politiky ohledně konfliktu zdrojů
5.4. Zavádění se na některých SPARC systémech zasekne
5.5. Podpora LDAP
5.6. sieve se přesouvá na oficiálně přidělený port
5.7. Bezpečnost webových prohlížečů
5.8. Desktop KDE
5.8.1. Přechod z KDE3
5.8.2. Nové KDE metabalíky
5.9. Změny v desktopu GNOME
5.9.1. GDM 2.20 a 2.30
5.9.2. Přístupová oprávnění k zařízením
5.9.3. Vztah mezi balíky network-manager a ifupdown
5.10. Změny v grafickém systému
5.10.1. Zastaralé Xorg ovladače
5.10.2. Nastavení grafického režimu z jádra
5.10.3. Dynamické připojování/odpojování vstupních zařízení
5.10.4. Odstřelení X serveru
5.11. Změna cesty v muninu
5.12. Postup aktualizace Shorewallu

5.1. Potenciální problémy

Některé změny s sebou občas nesou vedlejší projevy, kterým se nedá rozumně vyhnout, nebo odkryjí chyby v úplně jiných programech či knihovnách. V této kapitole dokumentujeme všechny problémy, které jsou nám známé. Doporučujeme však přečíst i errata, dokumentaci ke konkrétním balíkům, hlášení o chybách a další zdroje zmíněné v 6.1 – „Další dokumentace“.

5.1.1. Přechod od IDE ovladačů k PATA

S novou verzí linuxového jádra se u některých PATA(IDE) řadičů používá jiný ovladač, v důsledku čehož se mohou změnit názvy pevných disků, optických mechanik a páskových zařízení.

Namísto názvů zařízení je nyní doporučeno identifikovat disková zařízení pomocí pojmenovaných souborových systémů, nebo ještě lépe pomocí unikátních identifikátorů, tzv. UUID. Tak máte zaručeno, že se se starým i novým jádrem budete odkazovat na stejné zařízení. Při přechodu na jádro ze Squeeze se balík linux-base zeptá, zda chcete, aby přechod na UUID proběhl automaticky. Budete-li souhlasit, balík automaticky upraví konfigurační soubory většiny balíků v systému včetně zavaděčů. Pokud přechod na UUID odmítnete, nebo pokud nepoužíváte debianí balíky s jádrem, budete si muset správné pojmenování diskových zařízení ohlídat sami, protože by se mohlo stát, že po restartu systém nezavedete.

5.1.2. Změna formátu metadat mdadm vyžaduje aktuální Grub

Následující se vztahuje pouze na uživatele, kteří chtějí, aby zavaděč grub-pc zaváděl jádro přímo z RAID zařízení vytvořeného pomocí mdadm 3.x a výchozích hodnot, nebo pokud je verze metadat nastavena explicitně parametrem -e. Konkrétně se to týká všech polí vytvořených během a po instalaci Debianu Squeeze. Pole vytvořená staršími verzemi mdadm a pole vytvořená s parametrem -e 0.9 postižena nejsou.

Verze balíku grub-pc starší než 1.98+20100720-1 nebudou schopny zavádět z polí používajících formát metadat 1.x (výchozí hodnota je nyní 1.2). Abyste si zachovali startující systém, ujistěte se, že používáte balík grub-pc verze 1.98+20100720-1 nebo novější (v Debianu Squeeze se nachází dostatečně nová verze). Pokud systém nestartuje, může pomoci Super Grub2 Disk nebo grml.

5.1.3. Nefunkční pam_userdb.so s novější libdb

Některé soubory Berkeley Database verze 7 vytvořené pomocí starší libdb3 nemusí být čitelné v novějších verzích libdb (viz hlášení o chybě #521860). Dá se to obejít tím, že soubory vytvoříte znovu příkazem db4.8_load z balíku db4.8-util.

5.2. Potenciální problémy s odkloněním /bin/sh

Pokud jste ručně odklonili /bin/sh, nebo změnili symbolický odkaz /bin/sh, aby ukazoval někam jinam než na /bin/bash, mohou se při aktualizacích balíků dash a bash objevit problémy. (K problémovým změnám patří například i instalace jiných shellů, pokud jim povolíte, aby se staly výchozími systémovými shelly tím, že na sebe převezmou /bin/sh.)

Zaznamenáte-li při aktualizaci nějaké problémy, vraťte systém do stavu, aby /bin/sh a jeho manuálová stránka ukazovaly na příslušné soubory z balíku bash a poté spusťte příkaz dpkg-reconfigure --force dash.

 dpkg-divert --remove /bin/sh
 dpkg-divert --remove /usr/share/man/man1/sh.1.gz
 ln -sf bash /bin/sh
 ln -sf bash.1.gz /usr/share/man/man1/sh.1.gz

5.3. Změna jaderné politiky ohledně konfliktu zdrojů

Výchozí hodnota parametru acpi_enforce_resources se v Linuxu změnila na strict. To může vést k tomu, že některým starým ovladačům pro přístup k senzorům může být odepřen přístup k senzorům. Dá se to obejít třeba tím, že jádru předáte při zavádění parametr acpi_enforce_resources=lax.

5.4. Zavádění se na některých SPARC systémech zasekne

Systémy používající grafické karty ATI (například Ultra 10) mohou při zavádění zamrzat s poslední viditelnou hláškou console [tty0] enabled, bootconsole disabled. Problém se dá obejít použitím parametru jádra video=atyfb:off, který vypne framebuffer. Opravené jádro by mělo být dostupné v první aktualizaci Squeeze (Debian 6.0.1).

5.5. Podpora LDAP

Vlastnost kryptografických knihoven využívaných LDAP knihovnami způsobuje, že programy využívající LDAP při pokusu o změnu efektivních oprávnění selžou při pokusu o připojení k LDAP serveru pomocí TLS nebo SSL. To může na systémech používajících libnss-ldap způsobit problémy se suid programy jako sudo, su, schroot) nebo sudo-ldap.

Doporučuje se nahradit balík libnss-ldap balíkem libnss-ldapd, což je novější knihovna využívající pro všechny LDAP dotazy separátního daemona (nslcd). Náhradou libpam-ldap je analogicky balík libpam-ldapd.

Balík libnss-ldapd doporučuje instalaci cachovacího daemona NSS (balík nscd), což byste měli zvážit, zda se hodí do vašeho prostředí. Alternativou k balíku nscd pak je třeba unscd.

Více informací naleznete v hlášeních o chybách #566351 a #545414.

5.6. sieve se přesouvá na oficiálně přidělený port

Organizace IANA oficiálně přidělila službě ManageSieve TCP port 4190. Port 2000, který používaly starší verze softwaru včetně timsieved, byl podle IANA registru přidělen pro Cisco SCCP. Tato změna je v Debianu zohledněna od verze 4.38 balíku netbase.

Instalace, které používaly místo čísla portu název služby (sieve), se po restartu okamžitě přepnou na nový port (někdy dokonce okamžitě po aktualizaci souboru /etc/services). Mezi postižené služby patří například Cyrus IMAP a jiné aplikace využívající sieve (třeba DoveCot).

Pro minimalizaci výpadku služeb byste měli projít nastavení Cyrusu ( nejspíš i DoveCotu) a zajistit, aby se služby neočekávaně nepřesunuly z portu 2000/tcp na port 4190/tcp.

Může se hodit:

  • Soubor /etc/services se aktualizuje automaticky, avšak pokud jste v něm prováděli změny, budete dotázáni, která verze souboru se má použít.

  • I když se to nedoporučuje, nic vám nebrání přepsat v souboru /etc/services řádek sieve zpět na port 2000.

  • Soubor /etc/cyrus.conf (nebo jiný konfigurační soubor vašeho mailového řešení) můžete předem upravit tak, aby používal statické číslo portu.

  • Nejelegantnější řešení spočívá v nastavení Cyrusu tak, aby naslouchal na obou portech (2000 i 4190), čímž problém zcela obejdete a zároveň zajistíte mnohem hladší přechod na nový port.

5.7. Bezpečnost webových prohlížečů

Debian 6.0 obsahuje několik jader webových prohlížečů. Ta bývají cílem neustálých bezpečnostních útoků. Kombinováno s částečnou neochotou upstream vývojářů podporovat dlouhodobě stabilní větve to znamená, že je velmi obtížné pro tyto prohlížeče backportovat bezpečnostní opravy. Také se může stát, že závislosti mezi knihovnami zabrání přechodu na novější verzi. Ve výsledku to znamená, že prohlížeče založené na jádrech qtwebkit a khtml jsou ve Squeeze obsaženy, ale nemají zaručenu bezpečnostní podporu. Sice se snažíme bezpečnostní chyby sledovat a opravovat, ale obecně byste v těchto prohlížečích neměli navštěvovat nedůvěryhodné stránky.

Pro běžné brouzdání doporučujeme prohlížeče založené na jádře Mozilla xulrunner (Icewease a Iceape), Webkit (např. Epiphany) nebo Chromium. Xulrunner již během minulých vývojových cyklů ukázal, že má rozumnou podporu starších verzí.

Chromium, založený na kódu Webkitu, je koncový balík, takže kdyby již nebylo dále možné backportovat bezpečnostní opravy, pořád zde existuje možnost přejít na novější verzi (což pro samotnou knihovnu Webkit není možné).

Webkit je podporován svými vývojáři v dlouhodobě udržované stabilní větvi.

5.8. Desktop KDE

Squeeze je prvním vydáním Debianu, které přináší plnou podporu KDE příští generace založené na Qt 4. Většina oficiálních KDE aplikací se nachází ve verzi 4.4.5, s výjimkou balíku kdepim, který používá verzi 4.4.7. O změnách se můžete dozvědět více v oznámeních projektu KDE.

5.8.1. Přechod z KDE3

K Desktop Environment řady 3.x již není v Debianu 6.0 podporováno a při aktualizaci bude automaticky nahrazeno řadou 4.4. Protože se jedná o výraznou změnu, měli by uživatelé provést několik opatření, aby si zajistili co nejhladší přechod.

[Důležité]Důležité

Nedoporučuje se aktualizovat systém, na kterém právě běží nějaké aktivní sezení KDE 3, protože ho to může zcela rozhodit a v nejhorším případě můžete přijít i o nějaká data.

Při prvním přihlášení do aktualizovaného systému budou uživatelé přivítáni migračním průvodcem (kaboom), který pomůže s migrací osobních dat a případně se zálohou původní konfigurace. Více informací naleznete na domovské stránce Kaboom.

Přestože již není desktopové prostředí KDE 3 podporováno jako celek, stále je možné instalovat jednotlivé KDE 3 aplikace, protože hlavní knihovny KDE 3 (kdelibs) a Qt 3 jsou v Debianu 6.0 stále dostupné. Existuje zde však riziko, že tyto aplikace nemusí zapadnout do okolního prostředí. Jisté je, že v příští verzi Debianu (7.0) již nebude podporováno ani KDE 3, ani Qt 3, takže pokud používáte starší aplikace, je vhodné se poohlédnout po jejich náhradě.

5.8.2. Nové KDE metabalíky

Jak bylo zmíněno výše, Debian 6.0 přináší některé nové metabalíky:

  • Pro běžné desktopové použití doporučujeme nainstalovat balík kde-standard. kde-standard do systému automaticky přitáhne KDE Plasma Desktop a sadu vybraných aplikací.

  • Vyžadujete-li co nejmenší desktop, můžete si nainstalovat balík kde-plasma-desktop a ručně přidat aplikace, které potřebujete. Jedná se zhruba o ekvivalent balíku kde-minimal z Debianu 5.0.

  • Pro zařízení malých rozměrů existuje alternativní prostředí KDE Plasma Netbook, které můžete nainstalovat pomocí balíku kde-plasma-netbook. Plasma Netbook i Plasma Desktop mohou koexistovat na stejném systému a můžete se mezi nimi přepínat v Nastavení systému (náhrada dřívějšího KControl).

  • Pro kompletní sadu oficiálních KDE aplikací pak máte k dispozici balík kde-full.

5.9. Změny v desktopu GNOME

Mezi současnou verzí a verzí dodávanou s Lennym se mnohé změnilo. Více informací naleznete v poznámkách k vydání GNOME 2.30.

5.9.1. GDM 2.20 a 2.30

Na systémech aktualizovaných z Lennyho zůstane starší GDM (GNOME Display manager) verze 2.20. Tato verze bude po celou dobu životnosti Squeeze podporovaná, ale tím to končí. Proto doporučujeme po aktualizaci na Squeeze nainstalovat GDM ve verzi 2.30 (z balíku gdm3). Nově instalované systémy získají GDM 2.30 automaticky. Kvůli nekompatibilitám mezi oběma verzemi není možné zajistit automatický přechod a nastavení z GDM 2.20 se nepřenese. Na druhou stranu by typickému desktopovému systému mělo stačit nainstalovat balík gdm3 a vše by mělo běžet. Přechod na nové GDM byste měli provádět z konzoly, nebo maximálně s jedním otevřeným sezením.

5.9.2. Přístupová oprávnění k zařízením

Skupiny cdrom, floppy, audio, video, plugdev a powerdev již nejsou potřeba, protože oprávnění k těmto zařízením jsou automaticky přidělována každému fyzicky přihlášenému uživateli. Více informací naleznete v dokumentaci balíku consolekit.

Většina grafických programů vyžadujících správcovská oprávnění nyní předpokládá, že to zařídí PolicyKit (namísto dřívějšího gksu). Doporučený způsob přidělení správcovských oprávnění je přidání uživatele do skupiny sudo.

5.9.3. Vztah mezi balíky network-manager a ifupdown

Při aktualizaci balíku network-manager budou všechna síťová rozhraní ze souboru /etc/network/interfaces používající DHCP bez speciálních parametrů převedena pod správu NetworkManageru. To znamená, že příkazy ifup a ifdown již na těchto síťových rozhraních nebudou fungovat. Místo toho je můžete spravovat některým z rozhraní NetworkManageru (viz dokumentace NetworkManageru).

Rozhraní definovaná v /etc/network/interfaces s jednou nebo více volbami budou NetworkManagerem ignorovaná. To se konkrétně týká bezdrátových rozhraní používaných během instalace Debianu (hlášení o chybě #606268).

5.10. Změny v grafickém systému

Systém X Window prošel v Debianu 6.0 mnohými změnami, tato kapitola zmiňuje ty významnější.

5.10.1. Zastaralé Xorg ovladače

Ovladače grafických karet cyrix, imstt, sunbw2 a vga již nejsou distribuovány. Uživatelé by měli přejít na některý z obecných ovladačů jako je vesa nebo fbdev.

Starý ovladač via byl dlouho neudržovaný a byl proto nahrazen ovladačem openchrome. Přechod na openchrome proběhne automaticky.

Ovladače nv a radeonhd jsou sice součástí tohoto vydání, ale dlouhodobě se od jejich používání upouští. Uživatelé by měli zvážit přechod na ovladač nouveau resp. radeon.

Vstupní ovladače calcomp, citron, digitaledge, dmc, dynapro, elo2300, fpit, hyperpen, jamstudio, magellan, microtouch, mutouch, palmax, spaceorb, summa, tek4957 a ur98 se již dále nevyvíjí a byly z tohoto vydání vyřazeny. Uživatelé těchto zařízení by měli začít používat kombinaci příslušného jaderného ovladače a Xového ovladače evdev. Připojení mnoha sériových zařízení do linuxového vstupního zařízení použitelného v evdev zvládne nástroj inputattach.

5.10.2. Nastavení grafického režimu z jádra

Jaderné ovladače grafických čipů Intel (počínaje i830), ATI/AMD (od původního Radeonu po řadu Radeon HD 5xxx Evergreen) a NVIDIA nyní podporují nastavení grafického režimu přímo v jádře.

5.10.3. Dynamické připojování/odpojování vstupních zařízení

X server dodávaný v Debianu 6.0 přináší lepší podporu dynamického připojování/odpojování vstupních zařízení jako jsou myši, klávesnice, tablety, apod. Staré balíky xserver-xorg-input-kbd a xserver-xorg-input-mouse byly nahrazeny balíkem xserver-xorg-input-evdev, který vyžaduje jádro se zapnutou volbou CONFIG_INPUT_EVDEV. Protože se některé kódy kláves zasílané tímto ovladačem liší od těch tradičních, budou si muset uživatelé programů xmodmap a xbindkeys upravit své konfigurační soubory.

5.10.4. Odstřelení X serveru

Tradičně se dal X server ukončit klávesovou zkratkou Ctrl+Alt+Backspace. Protože by si mohli uživatelé ublížit, je tato možnost ve výchozí instalaci X serveru vypnutá a musíte si ji zapnout překonfigurováním balíku keyboard-configuration (pro celý systém), případně si to individuálně nastavit v nastavení klávesnice vašeho desktopového prostředí.

5.11. Změna cesty v muninu

Ve Squeeze se změnilo výchozí umístění, do kterého se ukládají vygenerované webové stránky muninu, z /var/www/munin na /var/cache/munin/www a proto je nutné upravit konfigurační soubor /etc/munin/munin.conf. Pokud přecházíte ze starší verze, přečtěte si prosím /usr/share/doc/munin/NEWS.Debian.gz.

5.12. Postup aktualizace Shorewallu

Uživatelé firewallu shorewall by si měli před přechodem na Debian 6.0 přečíst návod na stránce http://www.shorewall.net/LennyToSqueeze.html. Dokument je dostupný i v balíku shorewall-doc v souboru /usr/share/doc/shorewall-doc/html/LennyToSqueeze.html.