Kapitel 5. Ting man skal være opmærksom på i forbindelse med jessie

Indholdsfortegnelse

5.1. LDAP-understøttelse
5.2. Sikkerhedsstatus på web-browsere
5.3. ConsoleKit og alternative skærmhåndteringer
5.4. Ændringer i og understøttelse af GNOME-skrivebordet
5.5. Ændringer for KDE-skrivebordet
5.6. NetworkManager
5.7. Bootlogd-ændringer
5.8. /etc/mtab og _netdev
5.9. Overgangen fra pdksh til mksh
5.10. Puppet 2.6 / 2.7-kompatibilitet
5.11. Cyrus SASL SQL-motorer
5.12. Firmware for netværks- og grafikdrivere

Sommetider kan ændringer, som er introduceret i en ny udgave, have bivirkninger som vi ikke med rimelighed kan undgå, eller disse ændringer kan afsløre fejl andre steder. Dette afsnit dokumenterer problemer som vi er bekendt med. Læs også gerne errata, dokumentationen for de relevante pakker, fejlrapporter og anden information som er nævnt i Afsnit 6.1, “Yderligere læsning”.

5.1. LDAP-understøttelse

En egenskab i kryptografi-bibliotekerne, som bruges i LDAP-bibliotekerne, bevirker at programmer som bruger LDAP vil fejle når de forsøger at ændre deres effektive privilegier, når der forbindes til en LDAP-server, der bruger TLS eller SSL. Dette kan medføre problemer for suid-programmer på systemer som bruger libnss-ldap som sudo, su eller schroot og for suid-programmer der udfører LDAP-søgninger som sudo-ldap.

Det anbefales at erstatte pakken libnss-ldap med pakken libnss-ldapd, som er et nyere bibliotek, der bruger en separat dæmon (nslcd) til alle LDAP-opslag. Erstatningen for pakken libpam-ldap er libpam-ldapd.

Bemærk at pakken libnss-ldapd anbefaler NSS-cachedæmonen, (nscd) som du bør kontrollere for, om den passer til dit miljø, før du installerer den. Som et alternativ til pakken nscd, kan du overveje pakken unscd.

Yderligere information kan findes i fejlrapporterne #566351 og #545414.

5.2. Sikkerhedsstatus på web-browsere

Debian 8 inkluderer adskillige browsermotorer, som er påvirket af en stadig strøm af sikkerhedsbrister. Den høje forekomst af sårbarheder og den delvist manglende støtte fra udviklerne i form af langtidsunderstøttede versionsgrene, gør det meget svært at understøtte disse browsere med bagudporterede sikkerhedsrettelser. Hertil kommer at gensidige afhængigheder mellem programbiblioteker gør det umuligt at opdatere til en nyere opstrøms-udgave. Derfor er browsere der bygger på motorerne webkit, qtwebkit og khtml inkluderet i Jessie, men de er ikke fuldt dækket af sikkerhedsunderstøttelse. Disse browsere bør ikke bruges til at tilgå upålidelige internetsider.

Til almindelig brug af internetbrowser, anbefaler vi browsere, der bygger på Mozillas xulrunner-motor (Iceweasel og Iceape) eller Chromium.

Chromium - while built upon the Webkit codebase - is a leaf package, which will be kept up-to-date by rebuilding the current Chromium releases for stable. Iceweasel, Iceape and Icedove will also be kept up-to-date by rebuilding the current ESR releases for stable.

5.3. ConsoleKit og alternative skærmhåndteringer

ConsoleKit in Debian 8 tager ikke højde for sessioner startet med startx eller skærmhåndteringer der mangler consolekit-integration (f.eks. xdm eller slim) som lokal, hvilket kan forhindre adgang til nogle enheder.

Vi anbefaler at bruge en af pakken gdm3, kdm eller lightdm i stedet for.

5.4. Ændringer i og understøttelse af GNOME-skrivebordet

Som standard er nogle af tilgængelighedsværktøjerne ikke aktiveret i GNOME's skærmhåndtering (gdm3). Den enkleste måde at aktivere zoom eler et visuelt tastatur er at aktivere shell-velkomsten.

For at gøre dette redigeres filen /etc/gdm3/greeter.gsettings hvor den følgende linje udkommenteres:

session-name='gdm-shell'

mens denne fil gøres aktiv

session-name='gdm-fallback'

Bemærk at der kræves et kompatibelt 3D-grafikkort - hvilket er årsagen til at det ikke er aktiveret som standard.

5.5. Ændringer for KDE-skrivebordet

Pakken knetworkmanager er blevet forældet og erstattet af plasma-widget-networkmanagement i det nye KDE Plasma-arbejdsrum.

Hvis du bruger det forældede knetworkmanager uafhængige program, så bør du forberede dig på lidt manuel konfiguration efter opgraderingen. Du skal manuelt tilføje plasma-widget-networkmanagement til dit panel eller skrivebord.

Og hvis netværksforbindelsen ikke skal være afhængig af at have en kontrol for network-manager kørende, så skal du sætte den som en systemforbindelse.

5.6. NetworkManager

NetworkManager kan detektere om en netværksgrænseflade er håndteret af ifupdown for at undgå konflikter, men den er ikke i stand til at gøre dette med andre netværkshåndteringsprogrammer såsom wicd-daemon. Problemer og uventet opførsel kan blive resultatet hvis to sådanne dæmoner håndterer den samme grænseflade, når der forsøges at blive oprettet en netværksforbindelse.

For eksempel, hvis wicd-daemon og NetworkManager begge kører, vil et forsøg på at bruge en wicd-klient til en forbindelse fejle med denne fejlbesked:

Forbindelse mislykkedes: Ugyldig adgangskode

Forsøg på at bruge en NetworkManager-klient kan også fejle med beskeden:

NetworkManager kører ikke. Start den venligst.

Det anbefales at brugere af GNOME overvejer at installere og prøve NetworkManager, men NetworkManager-dæmonen kan permanent deaktiveres, hvis det ønskes, med den følgende kommando:

# update-rc.d network-manager disable

Efter deaktivering af dæmonen, så anbefales det at undersøge indholdet af /etc/resolv.conf. Denne fil bruges til at specificere DNS-servere for navneopslag og indholdet af denne fil kan være blevet erstattet af NetworkManager.

5.7. Bootlogd-ændringer

bootlogd er flyttet fra sysvinit-utils til et separat pakke bootlogd. Hvis du ønsker at fortsætte med at bruge bootlogd, så skal du installere pakken bootlogd. Bemærk at konfigurationsfilen /etc/default/bootlogd og dens indstilling BOOTLOGD_ENABLE ikke længere findes; hvis du ikke ønsker at køre bootlogd, så fjern pakken bootlogd.

5.8. /etc/mtab og _netdev

Filen /etc/mtab brugt til at lagre listen over nuværende monterede filsystemer, er blevet ændret til en symbolsk henvisning til /proc/mounts. I næsten alle tilfælde, vil denne ændring medføre et mere robust system, da listen aldrig kan blive inkonsistent med virkeligheden. Hvis du bruger _netdev-indstillingen i /etc/fstab for at indikere at et filsytsem er et netværksfilsystem der kræver speciel håndtering, så vil dette ikke længere blive angivet i /proc/mounts efter genstart. Dette vil ikke medføre problemer for gængse netværksfilsystemer såsom NFS, som ikke afhænger af _netdev-indstillingen. Filsystemer som er upåvirket af denne problemstilling er ceph, cifs, coda, gfs, ncp, ncpfs, nfs, nfs4, ocfs2 og smbfs. For filsystemer som reelt afhænger af _netdev for korrekt afmontering ned nedlukning, for eksempel når der bruges en NBD, vil en statisk mtab være den eneste måde at bruge _netdev i wheezy. Hvis du har sådan en opsætning, så skal du efter at du er færdig med opgraderingen til wheezy gendanne en statisk /etc/mtab ved at udføre følgende:

  • Rediger /etc/init.d/checkroot.sh og kommenter disse linjer ud:

            if [ "$rootmode" != "ro" ]; then
                    mtab_migrate
            fi
    

  • Hvis du har genstartet systemet, og /etc/mtab nu er en symbolsk henvisning:

    # rm /etc/mtab
    # cp /proc/mounts /etc/mtab
    

    Tilføj indstillingen _netdev igen ved at genmontere de påvirkede filsystemer:

    # mount -o remount filsystem
    

    /etc/mtab vil blive genskabt næste gang du genstarter systemet.

5.9. Overgangen fra pdksh til mksh

Pakken Public Domain Korn Shell (pdksh) er trukket tilbage for udgivelsen efter jessie, da pdksh ikke længere vedligeholdes (der er ikke aktivt blevet udviklet på pakke nsiden 1999).

Pakken MirBSD Korn Shell (mksh) indeholder dets efterfølger; den har udviklet sig fra Public Domain Korn Shell og er blevet holdt opdateret med POSIX-standarden på skallen. I Debian jessie er pdksh en overgangspakke der bruger lksh, en variant af mksh bygget med speciel kompatibilitetsindstillinger for at tilbyde en pdksh-binær symbolsk henvisning. Denne kompatibilitetsbinære fil opfører sig mere som den traditionelle Public Domain Korn Shell end den nuværende mksh. Da den dog indeholder opførselsændrende fejlrettelser er det ikke en direkte erstatning. Så du rådes til at ændre dine

#!/bin/pdksh

skripter til

#!/bin/mksh

og teste dem. Hvis testen mislykkes, så rådes du til at rette dine skripter. Hvis, af en eller anden årsag, dette ikke er muligt, så kan du ændre dem til

#!/bin/lksh

skripter, og teste dem igen. Denne test har større sandsynlig for at lykkes uden at du skal ændre en masse af din kode. Vær dog opmærksom på, at denne overgangspakke på et tidspunkt vil blive droppet af Debian.

Den kompatibilitets binære fil er ikke egnet for interaktiv brug, så som systemadministrator skal du justere logindskallen for dine Korn Shell-brugere. For minimal tjenesteafbrydelse, så gør dette før opgradering af operativsystemet: Installer manuelt pakken mksh og ændre logindet og/eller interaktive skaller for brugere som bruger pdksh til mksh. Derudover opfordres du til at kopiere /etc/skel/.mkshrc til deres hjemmemapper: Dette giver nogle skalfunktioner såsom pushd, popd og dirs samt en pæn

PS1

(skalprompt).

5.10. Puppet 2.6 / 2.7-kompatibilitet

TODO: Do puppet 2.7 and 3.7 have a similar issue?

Når der opgraderes et Puppet-håndteret system fra squeeze til wheezy, så skal du sikre dig at den tilsvarende puppetmaster kører mindst Puppet version 2.7. Hvis masteren kører squeezes puppetmaster, så vil det håndterede wheezy-system ikke kunne forbinde til denne.

En sådan kombination vil føre til den følgende fejlbesked under en puppet agent-kørsel:

Kunne ikke hente katalog fra ekstern server: Fejl 400 på SERVER: Ingen understøttelse for http method POST

For at løse denne problemstilling skal puppetmaster opgraderes. En 2.7 master kan håndtere et 2.6-klientsystem.

5.11. Cyrus SASL SQL-motorer

Konfiguration af SQL engine-motorer for Cyrus SASL, som tilbudt i pakken libsasl2-modules-sql er ændret fra databasespecifik konfiguration (f.eks. mysql) til det generiske sql auxprop-udvidelsesmodul.

Konfigurationsfiler for programmer der bruger SASL skal opdateres, for eksempel:

auxprop_plugin: mysql

skal erstattes af:

auxprop_plugin: sql
sql_engine: mysql

Derudover skal SQL-forspørgslen (hvis anvendt) have %u erstattet med %u@%r, da bruger og område (realm) nu tilbydes separat.

5.12. Firmware for netværks- og grafikdrivere

Nogle udstyrsdrivere, inklusiv drivere for (kablet eller trådløst) netværkskort, samt drivere nfor ATI/AMD-grafikchipsæt, kræver firmware der kan indlæses for at fungere korrekt.

Firmwaren er ofte ikke frit programmel, og som sådan kun tilgængelig fra det ikkefrie arkiv, i pakkerne firmware-linux og other.