Kapitel 5. Problemområden att känna till för utgåvan wheezy

Innehållsförteckning

5.1. LDAP-stöd
5.2. Säkerhetsläget för webbläsare
5.3. ConsoleKit och alternativa fönsterhanterare
5.4. Stöd och ändringar i Gnome-skrivbordet
5.5. KDE desktop changes
5.6. NetworkManager
5.7. perl-suid borttaget
5.8. Request Tracker-versioner
5.9. Ändringar för bootlogd
5.10. /etc/mtab och _netdev
5.11. The pdksh to mksh transition
5.12. Puppet 2.6 / 2.7 kompabilitet
5.13. Multiarch implications for the toolchain
5.14. Cyrus SASL SQL backends
5.15. Firmware for network and graphics drivers

Ibland innebär förändringar i en ny utgåva att sidoeffekter vi inte kunnat undvika uppstår, i vissa fall skapas nya fel någon annanstans. Här dokumenterar vi problem som vi känner till. Vänligen läs ävan erratan, dokumentationen för aktuella paket, felrapporter och annan information som nämns i Avsnitt 6.1, ”Ytterligare läsning”.

5.1. LDAP-stöd

En funktion i de kryptografiska biblioteken i LDAP-biblioteken gör att program som använder LDAP och försöker ändra sina privilegier misslyckas med att ansluta till en LDAP-server med TLS eller SSL. Detta kan orsaka problem för setuid-program på system som använder libnss-ldap såsom sudo, su eller schroot och för suid-program som gör LDAP-sökningar likt sudo-ldap.

Rekommendationen är att ersätta paketet libnss-ldap med libnss-ldapd, ett nyare bibliotek som använder separata tjänster (nslcd) för alla LDAP-uppslagningar. Ersättningspaket för libpam-ldap är libpam-ldapd.

Kom ihåg att libnss-ldapd rekommenderar att tjänsten NSS caching (nscd) utvärderas för användning i din miljö före installation. Som ett alternativ till nscd kan du anta unscd.

Ytterligare information finns i felrapporterna #566351 och #545414.

5.2. Säkerhetsläget för webbläsare

Debian 7.0 innehåller flera webbläsarmotorer som påverkas av en strid ström av säkerhetshål. Den stora mängden fel och den partiella bristen på stöd uppströms i form av långsiktiga utvecklingsgrenar gör det mycket svårt att ha stöd för dessa webbläsare med bakåtporterade säkerhetslagningar. Dessutom gör biblioteksberoenden det omöjligt att uppdatera dessa till nyare versioner. Webbläsare utvecklade på webkit, qtwebkit- och khtml-motorerna ingår i Wheezy men täcks inte av säkerhetsstödet. Dessa webbläsare ska inte användas tillsammans med webbplatser du inte litar på.

För generell webbsurfning rekommenderar vi webbläsare baserade på Mozillas motor xulrunner (Iceweasel och Iceape) eller Chromium.

Xulrunner har en lång historia med bra stöd för bakåtporteringar för äldre utgåvor i de föregående cyklerna med utgåvor. Chromium - som bygger på kodbasen för Webkit - är ett lövpaket och kommer att hållas uppdaterad genom att den aktuella stabila utgåvan av Chromium tillhandahålls.

5.3. ConsoleKit och alternativa fönsterhanterare

ConsoleKit i Debian 7.0 anser inte att sessioner startade med startx eller fönsterhanterare som saknar consolekit-integration (e.g. xdm eller slim som lokala, detta kan innebära att en del enheter inte kan nås.

Vi rekomenderar att använda gdm3, kdm eller lightdm istället.

5.4. Stöd och ändringar i Gnome-skrivbordet

I standardläget är några tillgänglighetsanpassningar avstängda i GNOMEs sessionshantering (gdm3). För att aktivera zoom eller visuellt tangentbord är den enklaste vägen att aktivera shell-hanteringen.

För att göra detta justera filen /etc/gdm3/greeter.gsettings genom att ta bort kommentarsmaerkingen för:

session-name='gdm-shell'

och lägga till en kommentarsmarkering vid

session-name='gdm-fallback'

Observera att detta kräver ett kompatibelt grafikkort som klarar 3D — vilket är anledningen att det inte aktiverat som standard.

5.5. KDE desktop changes

The knetworkmanager package has been deprecated, and replaced by plasma-widget-networkmanagement in the new KDE Plasma Workspace.

If you are using the deprecated knetworkmanager standalone application, you should be prepared to do some manual configuration after the upgrade. You might need to manually add plasma-widget-networkmanagement to your panel or desktop.

Also, if the network connection shouldn't depend on having a network-manager widget running, you might want to set it as a system connection.

5.6. NetworkManager

NetworkManager kan känna av om ett nätverksgränssnitt hanteras av ifupdown för att undvika konflikter. Andra nätverkshanteringsapplikationer kan dock inte kännas av, exempelvis wicd-daemon. Problem och oväntade beteenden kan innebära att två sådana tjänster hanterar samma gränssnitt när en nätverksanslutning ska skapas.

Exempelvis om både wicd-daemon och NetworkManager körs kommer försök att köra en wicd-klient för att skapa en anslutning inte fungera och ett felmeddelande likt följande visas:

Anslutning misslyckades: fel lösenord

Försök att använda NetworkManager-klient kommer på samma sätt misslyckas med felmeddelandet:

NetworkManager körs inte. Vänligen starta det.

GNOME-användare rekomenderas att installera och prova NetworksManager men NetworkManager-tjänsten kan avaktiveras permanent om så önskas genom att köra följande kommando:

# update-rc.d network-manager disable

När tjänsten har avaktiverats bör filen /etc/resolv.conf justeras. Filen används för att ange vilka DNS-servrar som ska användas för namnuppslagning och innehållet kan ha ersatts av NetworkManager.

5.7. perl-suid borttaget

suidperl togs bort uppströms i och med 5.12, paketet perl-suid som tidigare distribuerades med Debian behövde således tas bort också. Möjliga alterantiv inkluderar att använda en enkel setuid-binär i C för att exekvera ett perlskript från en hårdkodad plats, eller genom att använda ett mer allmänt verktyg som sudo.

5.8. Request Tracker-versioner

Om du har paketet request-tracker3.8 installerat på ditt squeeze-system, kom ihåg att detta paket har tagits bort från wheezy och ersatts med request-tracker4. Vissa manuella steg krävs för att uppgradera mellan request-tracker3.8 och request-tracker4: installera request-tracker4 brevid din nuvarande installation av request-tracker3.8 och läs installations- och uppgraderingsinstruktionen i /usr/share/doc/request-tracker4/README.Debian.gz (sektion: Upgrading from request-tracker3.8 to request-tracker4).

Samma råd gäller om fortfarande har request-tracker3.6 eller ett äldre paket från tidigare Debian utgåvor som fortfarande används. Om detta är fallet rekommenderas en uppgradering steg för steg genom att följa uppgraderingsdokumentationen.

5.9. Ändringar för bootlogd

bootlogd har flyttat från sysvinit-utils-paketet till ett separat bootlogd-paket. Om du vill fortsätta använda bootlogd behöver du installera bootlogd-paketet. Observera att konfigurationsfilen /etc/default/bootlogd och dess inställning BOOTLOGD_ENABLE inte längre existerar. Om du inte vill köra bootlogd, ta bort bootlogd-paketet.

5.10. /etc/mtab och _netdev

Filen /etc/mtab innehöll förr en lista med de monterade filsystemen, den har nu blivit en symbolisk länk till /proc/mounts. I nästan alla fall innebär detta ett mer robus system eftersom listan inte kan bli fel mot verkligheten. Dock, om flaggan _netdev används i /etc/fstab för att indikera att filsystemet är ett nätverksfilsystem som kräver specialhantering kommer den inte att vara satt i /proc/mounts efter omstart. Detta kommer inte innebära problem för standardfilsystem som NFS, eftersom de inte behöver _netdev-flaggan. Filsystem som inte påverkas av detta är ceph, cifs, coda, gfs, ncp, ncpfs, nfs, nfs4, ocfs2 och smbfs. För filsystem som behöver _netdev-flaggan för att avmonteras korrekt vid nedstängning av systemet, exempelvis vid användning av NBD, är en statisk mtab enda vägen för att använda _netdev-flaggan i wheezy. Om du har en sådan installation ska du avslutningsvis efter uppgraderingen till wheezy återställa en statisk /etc/mtab genom att göra följande:

  • Redigera filen /etc/init.d/checkroot.sh och kommentera bort dessa rader:

            if [ "$rootmode" != "ro" ]; then
                    mtab_migrate
            fi
    

  • Om du har startat om systemet så är /etc/mtab ny en symbolisk länk:

    # rm /etc/mtab
    # cp /proc/mounts /etc/mtab
    

    Lägg till flaggan _netdev igen genom att montera det påverkade filsystemet:

    # mount -o remount filesystem
    

    /etc/mtab kommer att skapas korrekt nästa gång systemet startas.

5.11. The pdksh to mksh transition

Korn shell-paketet (pdksh) pensioneras i och med utgåvan efter wheezy eftersom pdksh inte längre underhålls (ingen aktiv utveckling har skett sedan 1999).

Paketet MirBSD Korn Shell (mksh) innehåller dess arvtagare. Det har utvecklats från Public Domain Korn Shell och har hållits uppdaterat med POSIX-standarden för skal. I Debian wheezy är pdksh ett övergångspaket som använder lksh, en variant av mksh byggt med ett speciellt kompabilitetsläge för att tillhandahålla en kompabilitetsbinär för pdksh. Denna kompabilitetsbinär beter sig mer som den traditionella Public Domain Korn Shell än nuvarande mksh. Men i och med att den innehåller beteendeändrande fellagningar är det inte en ren ersättare och du behöver justera dina

#!/bin/pdksh

skript till

#!/bin/mksh

och testa dessa. Om detta inte fungerar bör du justera dina skript. Om detta, av någon anledning, inte är görbart an du ändra de till

#!/bin/lksh

skript och testa igen. Detta test har större möjlighet att fungera utan att ändra mängder med kod. Hur som helst bör du vara medveten om att vid någon framtida tidpunkt kommer övergångspaketet att tas bort från Debian.

Kompabilitetsläget är inte särskilt användbart för interaktion, en systemadministratör bör justera inloggningsskalet för användarna av Korn Shell. För minimalt serviceavbrott bör detta göras manuellt före uppgraderingen av operativsystemet genom att installera mksh-paketet och ändra inloggnings- och interaktionsskal för användare av pdksh till mksh. Vidare rekomenderas att kopiera /etc/skel/.mkshrc till deras hemkataloger; detta tillhandahåller några skalfunktioner som pushd, popd och dirs och en trevlig

PS1

(skalprompt).

5.12. Puppet 2.6 / 2.7 kompabilitet

När ett system som hanteras av Puppet uppdateras från Squeeze till Wheezy måste du tillse att motsvarande puppetmaster kör åtminstone version 2.7 av Puppet. Om mastern kör Squeezes puppetmaster kommer det hanterade Wheezy-systenet ubte att kuna ansluta till den.

En sådan kombination kommer att visa ett felmeddelande likt följande när puppet agent körs:

Kunde inte hämta katalog från fjärrserver: Fel 400 på SERVER: Inget stöd för http-metoden POST
(Could not retrieve catalog from remote server: Error 400 on SERVER: No support for http method POST)

För att lösa detta problem ska puppetmaster uppgraderas. En 2.7 master kan hantera ett 2.6-klient-system.

5.13. Multiarch implications for the toolchain

The introduction of multiarch (as described in Avsnitt 2.2.2, ”Multiarch”) changes the paths for some files, which may break assumptions made by toolchain components. Debian's toolchain has been updated, but users trying to build or use external compilers might need to be aware of this.

Some hints to work around these issues can be found in /usr/share/doc/libc6/NEWS.Debian.gz and in bugreport #637232.

5.14. Cyrus SASL SQL backends

Configuration of SQL engine backends for Cyrus SASL, as provided in the libsasl2-modules-sql package, has changed from database specific configuration (e.g. mysql) to the generic sql auxprop plugin.

Configuration files for applications using SASL have to be updated, for example:

auxprop_plugin: mysql

should be replaced by:

auxprop_plugin: sql
sql_engine: mysql

In addition, the SQL query (if used) needs to have %u replaced with %u@%r, because user and realm are now provided separately.

5.15. Firmware for network and graphics drivers

Some hardware drivers, including drivers for (wired or wireless) network cards, as well as the driver for ATI/AMD graphics chipsets, require loadable firmware in order to operate properly.

That firmware is often not free software, and as such only available from the non-free archive, in the firmware-linux and other packages.