Kapitel 5. Problemområden att känna till för utgåvan jessie

Innehållsförteckning

5.1. LDAP-stöd
5.2. Säkerhetsläget för webbläsare
5.3. ConsoleKit och alternativa fönsterhanterare
5.4. Stöd och ändringar i Gnome-skrivbordet
5.5. KDE desktop changes
5.6. NetworkManager
5.7. Ändringar för bootlogd
5.8. /etc/mtab och _netdev
5.9. The pdksh to mksh transition
5.10. Puppet 2.6 / 2.7 kompabilitet
5.11. Cyrus SASL SQL backends
5.12. Firmware for network and graphics drivers

Ibland innebär förändringar i en ny utgåva att sidoeffekter vi inte kunnat undvika uppstår, i vissa fall skapas nya fel någon annanstans. Här dokumenterar vi problem som vi känner till. Vänligen läs ävan erratan, dokumentationen för aktuella paket, felrapporter och annan information som nämns i Avsnitt 6.1, ”Ytterligare läsning”.

5.1. LDAP-stöd

En funktion i de kryptografiska biblioteken i LDAP-biblioteken gör att program som använder LDAP och försöker ändra sina privilegier misslyckas med att ansluta till en LDAP-server med TLS eller SSL. Detta kan orsaka problem för setuid-program på system som använder libnss-ldap såsom sudo, su eller schroot och för suid-program som gör LDAP-sökningar likt sudo-ldap.

Rekommendationen är att ersätta paketet libnss-ldap med libnss-ldapd, ett nyare bibliotek som använder separata tjänster (nslcd) för alla LDAP-uppslagningar. Ersättningspaket för libpam-ldap är libpam-ldapd.

Kom ihåg att libnss-ldapd rekommenderar att tjänsten NSS caching (nscd) utvärderas för användning i din miljö före installation. Som ett alternativ till nscd kan du anta unscd.

Ytterligare information finns i felrapporterna #566351 och #545414.

5.2. Säkerhetsläget för webbläsare

Debian 8 innehåller flera webbläsarmotorer som påverkas av en strid ström av säkerhetshål. Den stora mängden fel och den partiella bristen på stöd uppströms i form av långsiktiga utvecklingsgrenar gör det mycket svårt att ha stöd för dessa webbläsare med bakåtporterade säkerhetslagningar. Dessutom gör biblioteksberoenden det omöjligt att uppdatera dessa till nyare versioner. Webbläsare utvecklade på webkit, qtwebkit- och khtml-motorerna ingår i Jessie men täcks inte av säkerhetsstödet. Dessa webbläsare ska inte användas tillsammans med webbplatser du inte litar på.

För generell webbsurfning rekommenderar vi webbläsare baserade på Mozillas motor xulrunner (Iceweasel och Iceape) eller Chromium.

Chromium - while built upon the Webkit codebase - is a leaf package, which will be kept up-to-date by rebuilding the current Chromium releases for stable. Iceweasel, Iceape and Icedove will also be kept up-to-date by rebuilding the current ESR releases for stable.

5.3. ConsoleKit och alternativa fönsterhanterare

ConsoleKit i Debian 8 anser inte att sessioner startade med startx eller fönsterhanterare som saknar consolekit-integration (e.g. xdm eller slim som lokala, detta kan innebära att en del enheter inte kan nås.

Vi rekomenderar att använda gdm3, kdm eller lightdm istället.

5.4. Stöd och ändringar i Gnome-skrivbordet

I standardläget är några tillgänglighetsanpassningar avstängda i GNOMEs sessionshantering (gdm3). För att aktivera zoom eller visuellt tangentbord är den enklaste vägen att aktivera shell-hanteringen.

För att göra detta justera filen /etc/gdm3/greeter.gsettings genom att ta bort kommentarsmaerkingen för:

session-name='gdm-shell'

och lägga till en kommentarsmarkering vid

session-name='gdm-fallback'

Observera att detta kräver ett kompatibelt grafikkort som klarar 3D — vilket är anledningen att det inte aktiverat som standard.

5.5. KDE desktop changes

The knetworkmanager package has been deprecated, and replaced by plasma-widget-networkmanagement in the new KDE Plasma Workspace.

If you are using the deprecated knetworkmanager standalone application, you should be prepared to do some manual configuration after the upgrade. You might need to manually add plasma-widget-networkmanagement to your panel or desktop.

Also, if the network connection shouldn't depend on having a network-manager widget running, you might want to set it as a system connection.

5.6. NetworkManager

NetworkManager kan känna av om ett nätverksgränssnitt hanteras av ifupdown för att undvika konflikter. Andra nätverkshanteringsapplikationer kan dock inte kännas av, exempelvis wicd-daemon. Problem och oväntade beteenden kan innebära att två sådana tjänster hanterar samma gränssnitt när en nätverksanslutning ska skapas.

Exempelvis om både wicd-daemon och NetworkManager körs kommer försök att köra en wicd-klient för att skapa en anslutning inte fungera och ett felmeddelande likt följande visas:

Anslutning misslyckades: fel lösenord

Försök att använda NetworkManager-klient kommer på samma sätt misslyckas med felmeddelandet:

NetworkManager körs inte. Vänligen starta det.

GNOME-användare rekomenderas att installera och prova NetworksManager men NetworkManager-tjänsten kan avaktiveras permanent om så önskas genom att köra följande kommando:

# update-rc.d network-manager disable

När tjänsten har avaktiverats bör filen /etc/resolv.conf justeras. Filen används för att ange vilka DNS-servrar som ska användas för namnuppslagning och innehållet kan ha ersatts av NetworkManager.

5.7. Ändringar för bootlogd

bootlogd har flyttat från sysvinit-utils-paketet till ett separat bootlogd-paket. Om du vill fortsätta använda bootlogd behöver du installera bootlogd-paketet. Observera att konfigurationsfilen /etc/default/bootlogd och dess inställning BOOTLOGD_ENABLE inte längre existerar. Om du inte vill köra bootlogd, ta bort bootlogd-paketet.

5.8. /etc/mtab och _netdev

Filen /etc/mtab innehöll förr en lista med de monterade filsystemen, den har nu blivit en symbolisk länk till /proc/mounts. I nästan alla fall innebär detta ett mer robus system eftersom listan inte kan bli fel mot verkligheten. Dock, om flaggan _netdev används i /etc/fstab för att indikera att filsystemet är ett nätverksfilsystem som kräver specialhantering kommer den inte att vara satt i /proc/mounts efter omstart. Detta kommer inte innebära problem för standardfilsystem som NFS, eftersom de inte behöver _netdev-flaggan. Filsystem som inte påverkas av detta är ceph, cifs, coda, gfs, ncp, ncpfs, nfs, nfs4, ocfs2 och smbfs. För filsystem som behöver _netdev-flaggan för att avmonteras korrekt vid nedstängning av systemet, exempelvis vid användning av NBD, är en statisk mtab enda vägen för att använda _netdev-flaggan i wheezy. Om du har en sådan installation ska du avslutningsvis efter uppgraderingen till wheezy återställa en statisk /etc/mtab genom att göra följande:

  • Redigera filen /etc/init.d/checkroot.sh och kommentera bort dessa rader:

            if [ "$rootmode" != "ro" ]; then
                    mtab_migrate
            fi
    

  • Om du har startat om systemet så är /etc/mtab ny en symbolisk länk:

    # rm /etc/mtab
    # cp /proc/mounts /etc/mtab
    

    Lägg till flaggan _netdev igen genom att montera det påverkade filsystemet:

    # mount -o remount filesystem
    

    /etc/mtab kommer att skapas korrekt nästa gång systemet startas.

5.9. The pdksh to mksh transition

Korn shell-paketet (pdksh) pensioneras i och med utgåvan efter jessie eftersom pdksh inte längre underhålls (ingen aktiv utveckling har skett sedan 1999).

Paketet MirBSD Korn Shell (mksh) innehåller dess arvtagare. Det har utvecklats från Public Domain Korn Shell och har hållits uppdaterat med POSIX-standarden för skal. I Debian jessie är pdksh ett övergångspaket som använder lksh, en variant av mksh byggt med ett speciellt kompabilitetsläge för att tillhandahålla en kompabilitetsbinär för pdksh. Denna kompabilitetsbinär beter sig mer som den traditionella Public Domain Korn Shell än nuvarande mksh. Men i och med att den innehåller beteendeändrande fellagningar är det inte en ren ersättare och du behöver justera dina

#!/bin/pdksh

skript till

#!/bin/mksh

och testa dessa. Om detta inte fungerar bör du justera dina skript. Om detta, av någon anledning, inte är görbart an du ändra de till

#!/bin/lksh

skript och testa igen. Detta test har större möjlighet att fungera utan att ändra mängder med kod. Hur som helst bör du vara medveten om att vid någon framtida tidpunkt kommer övergångspaketet att tas bort från Debian.

Kompabilitetsläget är inte särskilt användbart för interaktion, en systemadministratör bör justera inloggningsskalet för användarna av Korn Shell. För minimalt serviceavbrott bör detta göras manuellt före uppgraderingen av operativsystemet genom att installera mksh-paketet och ändra inloggnings- och interaktionsskal för användare av pdksh till mksh. Vidare rekomenderas att kopiera /etc/skel/.mkshrc till deras hemkataloger; detta tillhandahåller några skalfunktioner som pushd, popd och dirs och en trevlig

PS1

(skalprompt).

5.10. Puppet 2.6 / 2.7 kompabilitet

TODO: Do puppet 2.7 and 3.7 have a similar issue?

När ett system som hanteras av Puppet uppdateras från Squeeze till Wheezy måste du tillse att motsvarande puppetmaster kör åtminstone version 2.7 av Puppet. Om mastern kör Squeezes puppetmaster kommer det hanterade Wheezy-systenet ubte att kuna ansluta till den.

En sådan kombination kommer att visa ett felmeddelande likt följande när puppet agent körs:

Kunde inte hämta katalog från fjärrserver: Fel 400 på SERVER: Inget stöd för http-metoden POST
(Could not retrieve catalog from remote server: Error 400 on SERVER: No support for http method POST)

För att lösa detta problem ska puppetmaster uppgraderas. En 2.7 master kan hantera ett 2.6-klient-system.

5.11. Cyrus SASL SQL backends

Configuration of SQL engine backends for Cyrus SASL, as provided in the libsasl2-modules-sql package, has changed from database specific configuration (e.g. mysql) to the generic sql auxprop plugin.

Configuration files for applications using SASL have to be updated, for example:

auxprop_plugin: mysql

should be replaced by:

auxprop_plugin: sql
sql_engine: mysql

In addition, the SQL query (if used) needs to have %u replaced with %u@%r, because user and realm are now provided separately.

5.12. Firmware for network and graphics drivers

Some hardware drivers, including drivers for (wired or wireless) network cards, as well as the driver for ATI/AMD graphics chipsets, require loadable firmware in order to operate properly.

That firmware is often not free software, and as such only available from the non-free archive, in the firmware-linux and other packages.