Kapitel 2. Was ist neu in Debian 9

Inhaltsverzeichnis

2.1. Unterstützte Architekturen
2.2. Was ist neu in der Distribution?
2.2.1. CDs, DVDs und BDs
2.2.2. Sicherheit
2.2.3. GCC versions
2.2.4. MariaDB ersetzt MySQL
2.2.5. Verbesserungen für APT und die Archiv-Layouts
2.2.6. Neuer deb.debian.org-Spiegel
2.2.7. Umstellung auf modernes GnuPG
2.2.8. Neues Archiv für debug-Symbole
2.2.9. Neue Art der Benennung von Netzwerkschnittstellen
2.2.10. Neues vom Debian Med Blend
2.2.11. Der Xorg-Server erfordert keine root-Rechte mehr

Das Wiki enthält weitere Informationen zu diesem Thema.

2.1. Unterstützte Architekturen

Debian 9 führt eine neue Architektur ein:

  • 64-Bit Little-Endian MIPS (mips64el)

Debian 9 entfernt bedauerlicherweise die Unterstützung für folgende Architektur:

  • PowerPC (powerpc)

Die folgenden Architekturen werden offiziell von Debian 9 unterstützt:

  • 32-Bit PC (i386) und 64-Bit PC (amd64)

  • 64-Bit ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI Hard-Float ABI, armhf)

  • MIPS (mips (Big-Endian) und mipsel (Little-Endian))

  • 64-Bit Little-Endian MIPS (mips64el)

  • 64-Bit Little-Endian PowerPC (ppc64el)

  • IBM System z (s390x)

Näheres zum Stand der Portierungen und Port-spezifische Informationen für Ihre Architektur finden Sie auf Debians Portierungs-Webseiten.

2.2. Was ist neu in der Distribution?

Diese neue Version von Debian erscheint wieder mit erheblich mehr Software als ihr Vorgänger Jessie; die Distribution enthält über 15346 neue Pakete und damit insgesamt über 51687 Pakete. Ein Großteil der Software in der Distribution wurde aktualisiert: über 29859 Softwarepakete (das entspricht 57% aller Pakete in Jessie). Außerdem wurde eine signifikante Zahl von Paketen (über 6739, 13% der Pakete in Jessie) aus verschiedenen Gründen aus der Distribution entfernt. Für diese Pakete werden Sie keine Aktualisierungen finden und sie werden in den Paketverwaltungsprogrammen als veraltet (obsolete) markiert sein; lesen Sie dazu auch Abschnitt 4.8, „Veraltete Pakete“.

Debian erscheint wieder mit verschiedenen Desktop-Anwendungen und -Umgebungen. Unter anderem enthält es die Desktop-Umgebungen GNOME 3.22, KDE Plasma 5.8, LXDE, LXQt 0.11, MATE 1.16 und Xfce 4.12.

Produktivprogramme wurden ebenfalls aktualisiert, inklusive der Büroanwendungs-Pakete:

  • LibreOffice wurde auf Version 5.2 aktualisiert;

  • Calligra wurde auf Version 2.9 aktualisiert.

Zu weiteren Aktualisierungen von Desktop-Anwendungen gehört auch das Upgrade auf Evolution 3.22.

Neben vielen weiteren enthält diese Veröffentlichung auch folgende Aktualisierungen:

PaketVersion in 8 (Jessie)Version in 9 (Stretch)
BIND - DNS-Server9.99.10
Emacs24.424.5 und 25.1
Exim - Standard-E-Mail-Server4.844.88
GNU Compiler Collection als Standard-Kompiliersoftware4.96.3
GnuPG1.42.1
Inkscape0.480.91
GNU-C-Bibliothek2.192.24
Linux-Kernel-Image3.16-Serie4.9-Serie
MariaDB10.010.1
Nginx1.61.10
OpenJDK78
OpenSSH6.7p17.4p1
Perl5.205.24
PHP5.67.0
Postfix - MTA2.113.1
PostgreSQL9.49.6
Python 33.43.5
Samba4.14.5
Vim78

2.2.1. CDs, DVDs und BDs

Die offizielle Debian-Distribution wird jetzt auf 12 bis 14 Binär-DVDs (abhängig von der Architektur) bzw. auf 12 Quellcode-DVDs ausgeliefert. Zusätzlich gibt es eine multi-arch-DVD mit einer Teilmenge der Veröffentlichung für die amd64- und i386-Architekturen zusammen mit dem Quellcode. Debian wird auch als Blu-ray- (BD) und Dual Layer (doppellagige) Blu-ray- (DLBD) Images für die Architekturen amd64 und i386 sowie für den Quellcode veröffentlicht. Debian wurde früher auch für jede Architektur als sehr großer Satz von CDs veröffentlicht, aber mit der Freigabe von Stretch wurde dies fallengelassen.

2.2.2. Sicherheit

Ab dem Stretch-Release ist das Kompilieren von position independent executables (PIE, positionsunabhängige Binärdateien) neue Standardeinstellung des GNU GCC-6 Kompilers. Entsprechend unterstützt die überwältigende Mehrzeit aller ausführbaren Dateien jetzt Address space layout randomization (ASLR), was eine Reihe von Exploits zur Ausnutzung von Schwachstellen erheblich entschärft. Somit sind diese Schwachstellen jetzt weniger nachvollziehbar und reproduzierbar, sondern eher rein theoretischer Natur.

2.2.3. GCC versions

Debian stretch includes only version 6 of the GNU GCC compiler, which may impact users expecting version 4.x or 5.x to be available. See the GCC5 and GCC6 wiki pages for more information about the transition.

2.2.4. MariaDB ersetzt MySQL

MariaDB ist jetzt mit der Version 10.1 die Standard-MySQL-Variante in Debian. Die Stretch-Veröffentlichung führt einen neuen Mechanismus für die Umschaltung der Standard-Variante ein, bei der Metapakete aus dem Quellpaket mysql-defaults genutzt werden. So wird zum Beispiel durch die Installation des Metapakets default-mysql-server das Paket mariadb-server-10.1 installiert. Bei Nutzern, die mysql-server-5.5 oder mysql-server-5.6 installiert hatten, werden diese entfernt und durch die entsprechende MariaDB-Variante ersetzt. Ähnlich dazu wird durch die Installation von default-mysql-client das Paket mariadb-client-10.1 installiert.

[Wichtig]Wichtig

Beachten Sie, dass die Datenbank-Binärdateiformate nicht abwärtskompatibel sind, so dass es nicht möglich ist, zu einer früheren Version von MariaDB oder MySQL zurückzukehren, wenn Sie einmal auf MariaDB 10.1 hochgerüstet haben (außer Sie haben einen vollständigen Dump der Datenbank). Machen Sie deshalb vor dem Upgrade Backups aller wichtigen Datenbanken mit einem passenden Werkzeug wie mysqldump.

Die Pakete virtual-mysql-* und default-mysql-* werden weiter bestehen bleiben. MySQL wird weiter in Debian betreut werden, und zwar im unstable-Zweig. Lesen Sie die Wiki-Seite des Debian-MySQL-Teams bezüglich aktueller Informationen über MySQL-zugehörige Software in Debian.

2.2.5. Verbesserungen für APT und die Archiv-Layouts

Der apt-Paketmanager hat seit der Veröffentlichung von Jessie eine Zahl von Verbesserungen erfahren. Die meisten davon gelten auch für aptitude. Hier einige Highlights:

Betreffend der Sicherheit verwirft APT jetzt standardmäßig schwächere Prüfsummen (z.B. SHA1) und versucht außerdem, Pakete als unprivilegierter Nutzer herunterzuladen. Lesen Sie dazu Abschnitt 5.3.2.3, „Neue Voraussetzungen für APT-Repositories“ und Abschnitt 5.3.2.1, „APT lädt jetzt Dateien als unpriviligierter Benutzer (_apt) herunter“.

Weitere Verbesserungen für APT-basierte Paketmanager beheben die nervige hash sum mismatch-Warnung, die früher auftauchte, wenn apt während einer Spiegel-Synchronisation ausgeführt wurde. Dies ist über das by-hash-Layout realisiert, das es APT ermöglicht, Dateien mit Metadaten über deren Inhalts-Hash herunterzuladen.

Falls Sie Paket-Repositories von Drittanbietern verwenden, könnten Sie trotzdem noch diese Probleme bemerken, wenn der Betreiber das by-hash-Layout nicht anbietet. Bitte empfehlen Sie solchen Betreibern von Paket-Repositories, das by-hash-Layout zu implementieren. Eine sehr kurze technische Beschreibung ist unter Repository format description im Debian Wiki zu finden.

Wahrscheinlich überwiegend für Spiegel-Administratoren interessant: APT in Stretch kann DNS-(SRV)-Records verwenden, um ein HTTP-Backend zu lokalisieren. Dies ist nützlich, um einen einfachen DNS-Namen bereitstellen zu können und dann Backends über DNS zu verwalten statt über einen redirector-Service. Diese Funktionalität wird auch von dem neuen, in Abschnitt 2.2.6, „Neuer deb.debian.org-Spiegel“ beschriebenen Debian Spiegel-Dienst verwendet.

2.2.6. Neuer deb.debian.org-Spiegel

Debian stellt jetzt einen neuen, zusätzlichen Dienst namens deb.debian.org bereit. Er bietet den Inhalt des main-Archivs, das Security-Archiv, Ports und sogar unser neues Debug-Archiv (siehe Abschnitt 2.2.8, „Neues Archiv für debug-Symbole“ unter einem einfach zu merkenden Hostnamen an.

Dieser Dienst beruht auf dem neuen DNS-Support in APT, enthält aber einen Fallback zu einer regulären Weiterleitung bei Verwendung von HTTPS oder für ältere APT-Versionen. Weitere Details finden Sie unter deb.debian.org.

Unser Dank für die CDN-Backends hinter diesem Service geht an Fastly und Amazon CloudFront.

2.2.7. Umstellung auf modernes GnuPG

Die Stretch-Veröffentlichung ist die erste Version von Debian, die den modernen Zweig von GnuPG in dem gnupg-Paket enthält. Dieser enthält Kryptographie über elliptische Kurven, bessere Standardeinstellungen, eine modularere Architektur und verbesserte Smartcard-Unterstützung. Dieser moderne GnuPG-Zweig unterstützt explizit einige ältere, bekanntermaßen unsichere Formate wie PGPv3 nicht mehr. Lesen Sie /usr/share/doc/gnupg/README.Debian, wenn Sie weitere Informationen benötigen.

Wir werden den classic-Zweig von GnuPG noch weiter als gnupg1 anbieten für Leute, die diesen noch benötigen, allerdings wird diese Version jetzt als veraltet angesehen.

2.2.8. Neues Archiv für debug-Symbole

[Anmerkung]Anmerkung

Dieser Abschnitt ist überwiegend für Entwickler interessant oder wenn Sie einen vollständigen Stack-Trace zu einem Fehlerbericht hinzufügen wollen.

Früher enthielt das Main-Archiv Pakete mit Debug-Symbolen für ausgewählte Bibliotheken oder Programme. Seit Stretch wurden die meisten davon in ein separates Archiv namens debian-debug verschoben. Dieses Archiv enthält Pakete mit Debug-Symbolen für die Mehrheit aller von Debian bereitgestellten Pakete.

Falls Sie solche Debug-Pakete beziehen möchten, fügen Sie folgendes zu Ihren APT-Quellen hinzu:

deb http://debug.mirrors.debian.org/debian-debug/ stretch-debug main

Alternativ können Sie sie auch von snapshot.debian.org beziehen.

Einmal aktiviert, können Sie jetzt die Debug-Symbole für ein bestimmtes Paket herunterladen, indem Sie das Paket paketname-dbgsym installieren. Bitte beachten Sie, dass einzelne Pakete trotzdem noch ein pkg-dbg-Paket im Main-Archiv haben könnten statt des neuen dbgsym.

2.2.9. Neue Art der Benennung von Netzwerkschnittstellen

Der Installer und das neu installierte System nutzen eine neue Methode zur Festlegung der Namen von Netzwerkschnittstellen, die altbekannten Namen wie eth0, eth1 usw. werden nicht mehr verwendet. Die alte Methode hatte Probleme mit konkurrierenden Zugriffen bei der Namensvergabe, was dazu führen konnte, dass sich Namen von Netzwerkschnittstellen unerwartet änderten; desweiteren war sie inkompatibel mit der Vorgehensweise, das root-Dateisystem nur mit Leserechten (read-only) einzubinden. Das neue Verfahren zur Namensvergabe nutzt mehr Daten als Grundlage, um ein reproduzierbareres Ergebnis zu erzielen. Es verwendet die von Firmware bzw. BIOS bereitgestellten Index-Nummern und nutzt dann die Nummern der PCI-Steckplätze, um Schnittstellennamen wie ens0 oder enp1s1 (für Ethernet) oder wlp3s0 (für WLAN) festzulegen. USB-Geräte können zu jeder Zeit neu an das System angeschlossen werden und daher werden für sie Namen basierend auf deren Ethernet-MAC-Adressen verwendet.

Diese Änderung betrifft keine Systeme, die per Upgrade von Jessie auf Stretch hochgerüstet werden; die Namensvergabe wird dort weiter basierend auf Regeln in der Datei /etc/udev/rules.d/70-persistent-net.rules stattfinden. Weitere Informationen finden Sie in /usr/share/doc/udev/README.Debian.gz oder in der Upstream-Dokumentation.

2.2.10. Neues vom Debian Med Blend

Neben zahlreichen neuen Paketen und Aktualiserungen der Software für Wissenschaft und Medizin hat das Debian-Med-Team erneut den Fokus auf die Qualität der bereitgestellen Pakete gelegt. In einem GSoC- und einem Outreachy-Projekt haben zwei Studenten hart daran gearbeitet, Continuous-Integration-Support zu den Paketen mit den höchsten Popularity-Contest-Werten hinzuzufügen. Auch der letzte Debian-Med-Sprint in Bukarest konzentrierte sich auf das Testen verschiedener Pakete.

Zur Installation von durch das Debian-Med-Team betreuten Paketen installieren Sie die Metapakete namens med-*, die in Version 3.0.1 in Debian Stretch enthalten sind. Besuchen Sie gerne die Debian-Med-Seiten für eine vollständige Übersicht der biologischen und medizinischen Software in Debian.

2.2.11. Der Xorg-Server erfordert keine root-Rechte mehr

In der Stretch-Version von Xorg ist es möglich, den Xorg-Server als regulärer Benutzer laufen zu lassen (statt wie sonst üblich als root). Dies reduziert das Risiko von Rechteausweitungen aufgrund von Programmfehlern im X-Server. Allerdings müssen einige Voraussetzungen erfülllt werden, damit dies funktioniert:

  • logind und libpam-systemd werden benötigt.

  • Das System muss Kernel Mode Setting (KMS) unterstützen. Aufgrunddessen könnte es in einigen Virtualisierungs-Umgebungen (wie z.B. Virtualbox) nicht funktionieren, oder falls der Kernel keinen Treiber für Ihre Grafikkarte enthält.

  • Der X-Server muss auf der virtuellen Konsole laufen, von der er gestartet wurde.

  • Nur der Displaymanager gdm3 unterstützt es derzeit in Stretch, X als nicht-privilegierter Benutzer laufen zu lassen. Andere Displaymanager werden X nach wie vor als root laufen lassen. Alternativ dazu können Sie X auch manuell als nicht-root-Benutzer starten, indem Sie in der virtuellen Konsole startx eingeben.

Wenn Xorg als regulärer Benutzer läuft, werden die Logdateien unter ~/.local/share/xorg/ verfügbar sein.