Κεφάλαιο 5. Ζητήματα που θα πρέπει να έχετε υπόψιν για την έκδοση bullseye

Πίνακας Περιεχομένων

5.1. Συγκεκριμένα αντικείμενα της αναβάθμισης για την έκδοση bullseye
5.1.1. Νέος προεπιλεγμένος οδηγός VA-API για Intel GPU
5.1.2. Το σύστημα αρχείων XFS δεν υποστηρίζει πλέον την επιλογή barrier/nobarrier
5.1.3. Διαφορετικη διάρθρωση της αρχειοθήκης ασφαλείας
5.1.4. Η κρυπτογράφηση των κωδικών ασφαλείας χρησιμοποιεί εξ ορισμού το yescrypt
5.1.5. Η υποστήριξη των NSS NIS και NIS+ απαιτεί καινούρια πακέτα
5.1.6. Config file fragment handling in unbound
5.1.7. κατάργηση παραμέτρου rsync
5.1.8. Διαχείριση πρόσθετων του Vim
5.1.9. OpenStack και cgroups v1
5.1.10. Αρχεία πολιτικής του OpenStack API
5.1.11. Μη διαθεσιμότητα του sendmail στη διάρκεια της αναβάθμισης
5.1.12. FUSE 3
5.1.13. Αρχείο επιλογών του GnuPG
5.1.14. Το Linux ενεργοποιεί namespaces χρήστη εξ ορισμού
5.1.15. Το Linux απενεργοποιεί μη προνομιούχες (unprivileged) κλήσεις στο bpf() εξ ορισμού.
5.1.16. το redmine απουσιάζει στην έκδοση bullseye
5.1.17. Exim 4.94
5.1.18. Η ανίχνευση των συσκευών SCSI είναι non-deterministic
5.1.19. το rdiff-backup απαιτεί αναβάθμιση του lockstep στον εξυπηρετητή και τον πελάτη
5.1.20. Ζητήματα μικροκώδικα των CPU της Intel
5.1.21. Αναβαθμίσεις που περιλαμβάνουν την libgc1c2 χρειάζονται δύο εκτελέσεις
5.1.22. Το fail2ban δεν μπορεί να αποστείλει e-mail με χρήση του mail από το πακέτο bsd-mailx
5.1.23. Δεν είναι δυνατές νέες SSH συνδέσεις στη διάρκεια της αναβάθμισης
5.1.24. Πράγματα που πρέπει να κάνετε μετά τη αναβάθμιση και πριν την επανεκκίνηση
5.2. Πράγματα που δεν περιορίζονται στη διαδικασία αναβάθμισης
5.2.1. Περιορισμοί στην υποστήριξη ασφάλειας
5.2.2. Πρόσβαση στις ρυθμίσεις του GNOME χωρίς ποντίκι
5.2.3. Η επιλογή εκκίνησης rescue δεν μπορεί να χρησιμοποιηθεί χωρίς έναν κωδικό πρόσβασης για τον χρήστη root
5.3. Παλαίωση και κατάργηση
5.3.1. Αξιοσημείωτα παρωχημένα πακέτα
5.3.2. Παρωχημένες συνιστώσες για την έκδοση bullseye
5.4. Γνωστά εξαιρετικά σοβαρά σφάλματα

Μερικές φορές, αλλαγές που εισάγονται σε μια καινούρια έκδοση έχουν παρενέργειες που αναμενόμενα δεν μπορούμε να αποφύγουμε ή εκθέτουν σφάλματα κάπου αλλού. Αυτή η ενότητα τεκμηριώνει τα προβλήματα των οποίων έχουν γνώση. Παρακαλούμε, διαβάστε επίσης τα παροράματα, τη σχετική τεκμηρίωση των πακέτων, τις αναφορές σφαλμάτων και άλλες πληροφορίες που αναφέρονται στην ενότητα Τμήμα 6.1, «Περαιτέρω διάβασμα».

5.1. Συγκεκριμένα αντικείμενα της αναβάθμισης για την έκδοση bullseye

Αυτή η ενότητα καλύπτει ζητήματα που σχετίζονται με την αναβάθμιση από την προηγούμενη έκδοση buster στην έκδοση bullseye.

5.1.1. Νέος προεπιλεγμένος οδηγός VA-API για Intel GPU

Για Intel GPU που είναι διαθέσιμες με τους επεξεργαστές Broadwell και νεώτερους, η υλοποίηση του Video Acceleration API (VA-API) έχει σαν προεπιλογή τον οδηγό intel-media-va-driver για την αποκωδικοποίηση βίντεο με επιτάχυνση στο υλικό. Συστήματα που έχουν εγκατεστημένο το πακέτο va-driver-all θα αναβαθμιστούν αυτόματα στον νεώτερο οδηγό.

Το πακέτο με τον παλιό οδηγό i965-va-driver είναι ακόμα διαθέσιμο και προσφέρει υποστήριξη μέχρι και την μικρο-αρχιτεκτονική Cannon Lake. Για να προτιμήσετε το παλιό οδηγό σε σχέση με τον καινούριο προεπιλεγμένο, θέστε την μεταβλητή περιβάλλοντος LIBVA_DRIVER_NAME στην τιμή i965, για παράδειγμα ορίζοντας την μεταβλητή στο αρχείο /etc/environment. Για περισσότερες πληροφορίες, παρακαλούμε δείτε την σελίδα στο Wiki hardware video acceleration.

5.1.2. Το σύστημα αρχείων XFS δεν υποστηρίζει πλέον την επιλογή barrier/nobarrier

Η υποστήριξη για τις επιλογές προσάρτησης κατατμήσεων barrier και nobarrier για το σύστημα αρχείων XFS έχει αφαιρεθεί. Συνιστάται να ελέγξετε το αρχείο /etc/fstab για την παρουσία οποιασδήποτε από αυτές τις δυο λέξεις κλειδιά και αφαιρέστε τις. Η προσάρτηση των κατατμήσεων που χρησιμοποιούν αυτές τις επιλογές θα αποτύχει.

5.1.3. Διαφορετικη διάρθρωση της αρχειοθήκης ασφαλείας

Για την έκδοση bullseye, η σουίτα πακέτων security ονομάζεται τώρα bullseye-security αντί codename/updates και οι χρήστες θα πρέπει να προσαρμόσουν κατάλληλα τα αρχείο των πηγών του APT κατά την αναβάθμιση.

Η γραμμή για την αρχειοθήκη security στις ρυθμίσεις του APT μπορεί να μοιάζει έτσι:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Αν οι ρυθμίσεις του APT περιλαμβάνουν επίσης pinning ή την επιλογή APT::Default-Release, είναι πιθανόν να απαιτήσουν προσαρμογές καθώς το κωδικό όνομα της αρχειοθήκης ασφαλείας δεν ταιριάζει πλέον το συνηθισμένο. Ένα παράδειγμα μιας λειτουργικής γραμμής APT::Default-Release για την έκδοση bullseye μοιάζε ως εξής:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

το οποίο αξιοποιεί το πλεονέκτημα του μη τεκμηριωμένου γνωρίσματος του APT που υποστηρίζει regular expressions (κάτω από το /).

5.1.4. Η κρυπτογράφηση των κωδικών ασφαλείας χρησιμοποιεί εξ ορισμού το yescrypt

Ο προεπιλεγμένος αλγόριθμος κατακερματισμού (hash) του συνθηματικού χρήστη για τους τοπικούς λογαριασμούς στο σύστημα έχει αλλάξει από SHA-512 σε yescrypt (δείτε τη σελίδα εγχειριδίου crypt(5)). Αυτό αναμένεται να προσφέρει βελτιωμένη ασφάλεια απέναντι στις επιθέσεις πρόβλεψης των συνθηματικών τύπου "λεξικού", σε όρους πολυπλοκότητας τόσο του χώρου όσο και του χρόνου της επίθεσης.

Για να επωφεληθείτε από αυτή τη βελτιωμένη ασφάλεια, αλλάξτε τα τοπικά συνθηματικά· για παράδειγμα, χρησιμοποιήστε την εντολή passwd.

Παλιά συνθηματικά θα συνεχίσουν να δουλεύουν χρησιμοποιώντας οποιοδήποτε hash συνθηματικού χρησιμοποιήθηκε για τη δημιουργία τους.

Ο αλγόριθμος yescrypt δεν υποστηρίζεται από το Debian 10 (buster). Ως αποτέλεσμα, αρχεία shadow password (/etc/shadow) δεν μπορούν να αντιγραφούν από ένα σύστημα bullseye σε ένα σύστημα buster. Αν αυτά τα αρχεία αντιγρφούν, κωδικοί που έχουν αλλάξει στο σύστημα bullseye δεν θα δουλέψουν στο σύστημα buster. Παρόμοια, hashes κωδικών δεν μπορούν να γίνουν cut&paste από ένα σύστημαbullseye σε ένα σύστημα buster.

Αν απαιτείται συμβατότητα για τους αλγορίθμους κατακερματισμού (hash) των συνθηματικών μεταξύ των εκδόσεων bullseye και buster, τροποποιείστε το /etc/pam.d/common-password. Βρείτε τη γραμμή που μοιάζει σαν αυτήν:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

και αντικαταστήστε το yescrypt με sha512.

5.1.5. Η υποστήριξη των NSS NIS και NIS+ απαιτεί καινούρια πακέτα

Η υποστήριξη για τα NSS NIS και NIS+ έχει μετακινηθεί σε ξεχωριστά πακέτα με τα ονόματα libnss-nis και libnss-nisplus. Δυστυχώς, η glibc δεν μπορεί να εξαρτάται από αυτά τα πακέτα, οπότε προς το παρόν είναι απλά συνιστώμενα.

Σε συστήματα που χρησιμοποιούν NIS ή NIS+, συνιστάται λοιπόν να ελέγξετε αν αυτά τα πακέτα είναι σωστά εγκατεστημένα μετά την αναβάθμιση.

5.1.6. Config file fragment handling in unbound

Ο αναλυτής (resolver) DNS unbound έχει αλλάξει τον τρόπο με τον οποίο χειρίζεται κομμάτια αρχείων ρυθμίσεων. Αν στηρίζεστε σε μια ντιρεκτίβα include: για να ενώσετε αρκετά κομμάτια σε ένα έγκυρο αρχείο ρυθμίσεων, θα πρέπει να διαβάσετε το αρχείο NEWS.

5.1.7. κατάργηση παραμέτρου rsync

Οι παράμετροι του rsync --copy-devices και --noatime έχουν μετονομαστεί σε--write-devices και --open-noatime. Η παλιά μορφή τους δεν υποστηρίζεται πλέον· αν τις χρησιμοποιείτε θα πρέπει να δείτε το αρχείο NEWS. Διαδικασίες μεταφοράς αρχείων μεταξύ συστημάτων που τρέχουν διαφορετικές εκδόσεις του Debian ίσως απαιτούν την αναβάθμιση του rsync, στο σύστημα που τρέχει buster, σε μια έκδοση από το αποθετήριο backports.

5.1.8. Διαχείριση πρόσθετων του Vim

Η διαχείριση των πρόσθετων για το vim που παρέχονται ιστορικά από το πακέτο vim-scripts, είναι τώρα μέρος τηςλειτουργικότητας του ίδιου του «πακέτου» και όχι από το πακέτο vim-addon-manager. Οι χρήστες του Vim θα πρέπει να προετοιμαστούν πριν την αναβάθμιση ακολουθώντας τις οδηγίες στο αρχείο NEWS.

5.1.9. OpenStack και cgroups v1

Το OpenStack Victoria (που κυκλοφόρησε με την έκδοση bullseye) απαιτεί την έκδοση cgroup v1 για το έλεγχο QoS των συσκευών block. Μιας και η έκδοση bullseye αλλάζει περνά επίσης στην εξ ορισμού χρήση του cgroupv2 (δείτε Τμήμα 2.2.4, «Control groups v2»), το δέντρο sysfs στον κατάλογο /sys/fs/cgroup δεν θα περιλαμβάνει γνωρίσματα του cgroup v1 όπως τα /sys/fs/cgroup/blkio, και ως αποτέλεσμα η εντολή cgcreate -g blkio:foo θα αποτύχει. Για κόμβους του OpenStack που τρέχουν nova-compute ή cinder-volume, συνίσταται έντονα η προσθήκη των παραμέτρων systemd.unified_cgroup_hierarchy=false και systemd.legacy_systemd_cgroup_controller=false στη γραμμή εντολών του πυρήνα ώστε να παρακαμφθεί η προεπιλογή και να αποκατασταθεί η παλιά ιεραρχία του cgroup.

5.1.10. Αρχεία πολιτικής του OpenStack API

Following upstream's recommendations, OpenStack Victoria as released in bullseye switches the OpenStack API to use the new YAML format. As a result, most OpenStack services, including Nova, Glance, and Keystone, appear broken with all of the API policies written explicitly in the policy.json files. Therefore, packages now come with a folder /etc/PROJECT/policy.d containing a file 00_default_policy.yaml, with all of the policies commented out by default.

Για να αποφευχθεί η περίπτωση να παραμείνει ενεργό το παλιό αρχείο policy.json, τα πακέτα του Debian OpenStack μετονομάζουν τώρα το αρχείο αυτό σε disabled.policy.json.old. Σε μερικές περιπτώσεις που δεν μπορούσε να γίνει κάτι καλλίτερο έγκαιρα για την έκδοση, το αρχείο policy.json απλά διαγράφεται. Επομένως, πριν την αναβάθμιση, συνίσταται έντονα να κάνετε ένα αντίγραφο ασφαλείας των αρχείων policy.json των υλοποιήσεών σας.

Περισσότερες πληροφορίες είναι διαθέσιμες στη σελίδα τεκμηρίωση upstream.

5.1.11. Μη διαθεσιμότητα του sendmail στη διάρκεια της αναβάθμισης

Σε αντίθεση με τις συνηθισμένες αναβαθμίσεις στο sendmail, στη διάρκεια της αναβάθμισης από την έκδοση buster στην έκδοση bullseye η υπηρεσία sendmail θα σταματήσει, προκαλώντας μεγαλύτερο χρόνο διακοπής από το συνηθισμένο. Για γενικές συμβουλές σχετικά με τη μείωση του χρόνου διακοπής δείτε τη σελίδα Τμήμα 4.1.3, «Προετοιμαστείτε για χρόνο διακοπής των υπηρεσιών».

5.1.12. FUSE 3

Μερικά πακέτα, περιλαμβανομένων των gvfs-fuse, kio-fuse, και sshfs έχουν αλλάξει στην έκδοση FUSE 3. Στη διάρκεια αναβαθμίσεων αυτό θα προκαλέσει την εγκατάσταση του πακέτου fuse3 και την αφαίρεση του πακέτου fuse .

Σε μερικές εξαιρετικές περιπτώσεις, πχ. όταν κάνετε την αναβάθμιση τρέχοντας απλά την εντολή apt-get dist-upgrade αντί των συνιστώμενων βημάτων από το κεφάλαιο Κεφάλαιο 4, Αναβαθμίσεις από την έκδοση 10 (buster), πακέτα που εξαρτώνται από το πακέτοfuse3 ίσως να μην αναβαθμιστούν στη διάρκεια της αναβάθμισης. Εκτελώντας ξανά τα βήματα που συζητιούνται στην ενότητα Τμήμα 4.4.5, «Αναβάθμιση του συστήματος» με το apt της έκδοσης bullseye ή αναβαθμίζοντας τα με το χέρι θα επιλύσει αυτό το πρόβλημα.

5.1.13. Αρχείο επιλογών του GnuPG

Ξεκινώντας με την έκδοση 2.2.27-1, η ανά χρήστη ρύθμιση της σουίτας GnuPG έχει μεταφερθεί πλήρως στο αρχείο ~/.gnupg/gpg.conf, και το αρχείο ~/.gnupg/options δεν χρησιμοποιείται πλέον. Παρακαλούμε μετονομάστε, αν είναι απαραίτητο, το αρχείο ή μεταφέρετε το περιεχόμενό του στην νέα τοποθεσία.

5.1.14. Το Linux ενεργοποιεί namespaces χρήστη εξ ορισμού

Από την έκδοση του πυρήμα του Linux 5.10, όλοι οι χρήστες επιτρέπεται εξ ορισμού να δημιουργούν user namespaces. Αυτό θα επιτρέψει σε προγράμματα όπως οι φυλλομετρητές ιστοσελίδων και διαχειριστές container να δημιουργούν πιο περιορισμένα περιβάλλοντα δοκιμών (sandbox) για μη έμπιστα ή λιγότερο έμπιστα κομμάτια κώδικα, χωρίς την ανάγκη να τα εκτελούν ως χρήστης root ή να χρησιμοποιούν ένα βοήθημαορισμού setuid-root.

Η προηγούμενη προεπιλογή για το Debian ήταν ο περιορισμός αυτού του γνωρίσματος σε διαδικασίες που εκτελούνται μόνο από τον χρήστη root, γιατί άφηνε περισσότερα προβλήματα ασφαλείας εκτεθειμένα στον πυρήνα. Όμως, καθώς η υλοποίηση αυτού του γνωρίσματος ωρίμασε, έχουμε τώρα την εμπιστοσύνη ότι ο κίνδυνος ενεργοποίησής του υπερκαλύπτεται από τα οφέλη που προσφέρει για την ασφάλεια.

Αν προτιμάτε να διατηρήσετε αυτό το γνώρισμα με περιορισμούς, ορίστε στο sysctl:

user.max_user_namespaces = 0
      

Σημειώστε ότι διάφορα γνωρίσματα σε περιβάλλοντα επιφάνειας εργασίας και container δεν θα δουλεύουν με αυτόν τον περιορισμό σε ισχύ, περιλαμβανομένων περιηγητών ιστοσελίδων, του WebKitGTK, του Flatpak και των μικρογραφιών (thumbnail) του GNOME.

Η επιλογή του sysctl kernel.unprivileged_userns_clone=0 που είναι συγκεκριμένα για το Debian, έχει ένα παρόμοιο αποτέλεσμα, αλλά έχει καταργηθεί.

5.1.15. Το Linux απενεργοποιεί μη προνομιούχες (unprivileged) κλήσεις στο bpf() εξ ορισμού.

Από την έκδοση του πυρήνα του Linux 5.10, το Debian απενεργοποιεί εξ ορισμού μη-προνομιούχες κλήσεις στην συνάρτηση bpf(). Ένας διαχειριστής μπορεί, όμως, ακόμα να αλλάξει αυτή την ρύθμιση αργότερα, αν αυτό απαιτείται, θέτοντας την τιμή 0 ή 1 στην παράμετρο kernel.unprivileged_bpf_disabled του sysctl.

Αμ προτιμάτε να διατηρήσετε τις μη προνομιούχες κλήσεις στο bpf(), ορίστε στο sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Για το υπόβαθρο της αλλαγής ως προεπιλογής για το Debian δείτε το σφάλμα bug 990411 για το σχετικό αίτημα.

5.1.16. το redmine απουσιάζει στην έκδοση bullseye

Το πακέτο redmine δεν διατίθεται στην έκδοση bullseye, καθώς ήταν πολύ αργά για να μεταφερθεί από την παλιά έκδοση του πακέτου rails το οποίο είναι κοντά στην λήξη της upstream υποστήριξης (λαμβάνοντας διορθώσεις μόνο για εξαιρετικά σοβαρά προβλήματα ασφαλείας) στην έκδοση που βρίσκεται στην έκδοση bullseye. Οι Συντηρητές/τριες του Ruby Extrasπαρακολουθούν από κοντά την upstream και θα βγάλουν μια έκδοση μέσω του αποθετηρίου backports από τη στιγμή που θα κυκλοφορήσει και θα έχει λειτουργικά πακέτα. Αν δεν μπορείτε να περιμένετε για αυτό πριν την αναβάθμιση, μπορείτε να χρησιμοποιήσετε μια εικονική μηχανή (VM) ή ένα container που τρέχει την έκδοση buster ώστε να απομονώσετε αυτή την συγκεκριμένη εφαρμογή.

5.1.17. Exim 4.94

Παρακαλούμε θεωρ´ την έκδοση του Exim στην έκδοση bullseye ως μια μείζονα αναβάθμισή του. Εισάγει την έννοια των αλλοιωμένων (tainted) δεδομένων που διαβάζονται από μη έμπιστες πηγές, όπως πχ. ο αποστολέας ή παραλήπτης ενός μηνύματος. Αυτά τα αλλοιωμένα δεδομένα (πχ. $local_part ή $domain) δεν μπορούν να χρησιμοποιηθούν με άλλα στοιχεία όπως το όνομα ενός αρχείου ή καταλόγου ή το όνομα μιας εντολής.

Αυτό θα χαλάσει ρυθμίσεις που δεν θα έχουν επικαιροποιηθεί ανάλογα. Παλιά αρχεία ρυθμίσεων του Exim στο Debian επίσης δεν θα δουλεύουν χωρίς τροποποιήσεις· οι νέες ρυθμίσεις χρειάζεται να εγκατασταθούν με την συγχώνευση των τοπικών τροποποιήσεων.

Τυπικά μη λειτουργικά παραδείγματα περιλαμβάνουν:

  • Παράδοση στον κατάλογο /var/mail/$local_part. Χρησιμοποιήστε την παράμετρο $local_part_data σε συνδυασμό με την check_local_user.

  • Χρησιμοποιώντας

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    αντί για

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    για ένα αρχείο ψευδωνύμων (aliases) εικονικού τομέα (domain).

Η βασική στρατηγική διαχείρισης αυτής της αλλαγής είναι να χρησιμοποιήσετε το αποτέλεσμα ενός lookup στην περαιτέρω επεξεργασία αντί της αρχικής (από μακριά παρεχόμενης) τιμής.

Για την διευκόλυνση της αναβάθμισης υπάρχει μια καινούρια κύρια επιλογή ρύθμισης για την προσωρινή υποβάθμιση σφαλμάτων αλλοίωσης σε προειδοποιήσεις, επιτρέποντας στην παλιά ρύθμιση να δουλεύει με την νεώτερη έκδοση του Exim. Για να χρησιμοποιήσετε αυτό το γνώρισμα προσθέστε

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

στις ρυθμίσεις του Exim (πχ. στο αρχείο /etc/exim4/exim4.conf.localmacros) πριν από την αναβάθμιση και ελέγξτε το αρχείο καταγραφής για προειδοποιήσεις σχετικά με tainting. Αυτό είναι μια προσωρινή εναλλακτική που είναι ήδη σημαδεμένη για αφαίρεση στην εισαγωγή.

5.1.18. Η ανίχνευση των συσκευών SCSI είναι non-deterministic

Εξαιτίας αλλαγών στον πυρήνα του Linux, η διερεύνηση για συσκευές SCSI δεν είναι πλέον ντετερμινιστική. Αυτό θα μπορούσε να είναι πρόβλημα για εγκαταστάσεις που βασίζονται στη σειρά της διερεύνησης των δίσκων. Δυο πιθανές εναλλακτικές που χρησιμοποιούν συνδέσμους στον κατάλογο /dev/disk/by-path ή έναν κανόνα για το udev προτείνονται σε αυτή την δημοσίευση στη λίστα αλληλογραφίας.

5.1.19. το rdiff-backup απαιτεί αναβάθμιση του lockstep στον εξυπηρετητή και τον πελάτη

Τα δικτυακά πρωτόκολλα των εκδόσεων 1 και 2 του πακέτου rdiff-backup είναι μη συμβατό. Αυτό σημαίνει ότι πρέπει να τρέχετε την ίδια έκδοση (ή 1 ή 2) του rdiff-backup τοπικά και απομακρυσμένα. Αφού η έκδοση buster έρχεται με την έκδοση 1.2.8 ενώ η έκδοση bullseye με την έκδοση 2.0.5, η αναβάθμιση μόνο του τοπικού ή μόνο το απομακρυσμένου συστήματος από την έκδοση buster στην έκδοση bullseye θα καταστρέψει τις εκτελέσεις του rdiff-backup μεταξύ των δύο.

Η έκδοση 2.0.5 του rdiff-backup είναι διαθέσιμη στο αποθετήριο buster-backports, δείτε backports. Αυτό δίνει την δυνατότητα στους χρήστες να αναβαθμίσουν πρώτα μόνο το πακέτο rdiff-backup στα συστήματα με buster, και μετά να αναβαθμίσουν ανεξάρτητα τα συστήματα στην έκδοσηbullseye όποτε αυτό είναι βολικό.

5.1.20. Ζητήματα μικροκώδικα των CPU της Intel

Το πακέτο intel-microcode που υπάρχει αυτή τη στιγμή στην έκδοση bullseye και το αποθετήριο buster-security (δείτε DSA-4934-1) είναι γνωστό ότι περιέχει δυο σημαντικά σφάλματα. Για μερικούς επεξεργαστές CoffeeLake αυτή η αναβάθμιση ενδέχεται να χαλάσει τις δικτυακές διεπαφές που χρησιμοποιούν το firmware-iwlwifi, και για μερικούς επεξεργαστές Skylake R0/D0 on systems που χρησιμοποιούν εξαιρετικά παλιό firmware/BIOS, το σύστημα ίσως "κρεμάσει" κατά την εκκίνηση.

If you held back the update from DSA-4934-1 due to either of these issues, or do not have the security archive enabled, be aware that upgrading to the intel-microcode package in bullseye may cause your system to hang on boot or break iwlwifi. In that case, you can recover by disabling microcode loading on boot; see the instructions in the DSA, which are also in the intel-microcode README.Debian.

5.1.21. Αναβαθμίσεις που περιλαμβάνουν την libgc1c2 χρειάζονται δύο εκτελέσεις

Packages that depend on libgc1c2 in buster (e.g. guile-2.2-libs) may be held back during the first full upgrade run to bullseye. Doing a second upgrade normally solves the issue. The background of the issue can be found in bug #988963.

5.1.22. Το fail2ban δεν μπορεί να αποστείλει e-mail με χρήση του mail από το πακέτο bsd-mailx

The fail2ban package can be configured to send out e-mail notifications. It does that using mail, which is provided by multiple packages in Debian. A security update (needed on systems that use mail from mailutils) just before the release of bullseye broke this functionality for systems that have mail provided by bsd-mailx. Users of fail2ban in combination with bsd-mailx who wish fail2ban to send out e-mail should either switch to a different provider for mail or manually unapply the upstream commit (which inserted the string "-E 'set escape'" in multiple places under /etc/fail2ban/action.d/).

5.1.23. Δεν είναι δυνατές νέες SSH συνδέσεις στη διάρκεια της αναβάθμισης

Although existing Secure Shell (SSH) connections should continue to work through the upgrade as usual, due to unfortunate circumstances the period when new SSH connections cannot be established is longer than usual. If the upgrade is being carried out over an SSH connection which might be interrupted, it's recommended to upgrade openssh-server before upgrading the full system.

5.1.24. Πράγματα που πρέπει να κάνετε μετά τη αναβάθμιση και πριν την επανεκκίνηση

Όταν έχει τελειώσει η διαδικασία του apt full-upgrade, η «τυπική» αναβάθμιση είναι πλήρης. Για την αναβάθμιση στην έκδοση bullseye, δεν υπάρχουν άλλες απαραίτητες ειδικές ενέργειες πριν την πραγματοποίηση μιας επανεκκίνησης.

5.2. Πράγματα που δεν περιορίζονται στη διαδικασία αναβάθμισης

5.2.1. Περιορισμοί στην υποστήριξη ασφάλειας

Υπάρχουν μερικά πακέτα για τα οποία το Debian δεν μπορεί να υποσχεθεί να παρέχει μια ελάχιστη έκδοση backport για λόγους ασφαλείας Αυτά τα πακέτα καλύπτονται στις ακόλουθες υποενότητες.

[Σημείωση]Σημείωση

Το πακέτο debian-security-support βοηθά στην ανίχνευση της κατάστασης της υποστήριξης της ασφάλειας των εγκατεστημένων πακέτων.

5.2.1.1. Κατάσταση ασφαλείας των φυλλομετρητών web και των μηχανών τους για απεικόνισης (rendering)

Debian 11 includes several browser engines which are affected by a steady stream of security vulnerabilities. The high rate of vulnerabilities and partial lack of upstream support in the form of long term branches make it very difficult to support these browsers and engines with backported security fixes. Additionally, library interdependencies make it extremely difficult to update to newer upstream releases. Therefore, browsers built upon e.g. the webkit and khtml engines[6] are included in bullseye, but not covered by security support. These browsers should not be used against untrusted websites. The webkit2gtk and wpewebkit engines are covered by security support.

Ως περιηγητή Ιστού συνιστούμε τον Firefox ή το Chromium. Θα επικαιροποιούνται μεταγλωττίζοντας και πάλι τις τρέχουσες ESR εκδόσεις για την σταθερή διανομή. Η ίδια στρατηγική θα εφαρμοστεί και για το Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye comes with an early access version of OpenJDK 17 (the next expected OpenJDK LTS version after OpenJDK 11), to avoid the rather tedious bootstrap process. The plan is for OpenJDK 17 to receive an update in bullseye to the final upstream release announced for October 2021, followed by security updates on a best effort basis, but users should not expect to see updates for every quarterly upstream security update.

5.2.1.3. Πακέτα βασισμένα στη γλώσσα Go

The Debian infrastructure currently has problems with rebuilding packages of types that systematically use static linking. Before buster this wasn't a problem in practice, but with the growth of the Go ecosystem it means that Go-based packages will be covered by limited security support until the infrastructure is improved to deal with them maintainably.

Αν οι επικαιροποιήσεις είναι εγγυημένες για τις βιβλιοθήκες ανάπτυξης της Go, τότε μπορούν να γίνονται μόνο μέσω τακτικών σημειακών εκδόσεων, οι οποίες ενδέχεται να καθυστερούν να βγουν.

5.2.2. Πρόσβαση στις ρυθμίσεις του GNOME χωρίς ποντίκι

Without a pointing device, there is no direct way to change settings in the GNOME Settings app provided by gnome-control-center. As a work-around, you can navigate from the sidebar to the main content by pressing the Right Arrow twice. To get back to the sidebar, you can start a search with Ctrl+F, type something, then hit Esc to cancel the search. Now you can use the Up Arrow and Down Arrow to navigate the sidebar. It is not possible to select search results with the keyboard.

5.2.3. Η επιλογή εκκίνησης rescue δεν μπορεί να χρησιμοποιηθεί χωρίς έναν κωδικό πρόσβασης για τον χρήστη root

With the implementation of sulogin used since buster, booting with the rescue option always requires the root password. If one has not been set, this makes the rescue mode effectively unusable. However it is still possible to boot using the kernel parameter init=/sbin/sulogin --force

To configure systemd to do the equivalent of this whenever it boots into rescue mode (also known as single mode: see systemd(1)), run sudo systemctl edit rescue.service and create a file saying just:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

It might also (or instead) be useful to do this for the emergency.service unit, which is started automatically in the case of certain errors (see systemd.special(7)), or if emergency is added to the kernel command line (e.g. if the system can't be recovered by using the rescue mode).

Για το υπόβαθρο και μια συζήτηση για τις συνέπειες της ασφάλειας δείτε #802211.

5.3. Παλαίωση και κατάργηση

5.3.1. Αξιοσημείωτα παρωχημένα πακέτα

Η ακόλουθη είναι μια λίστα γνωστών και σημαντικών παρωχημένων πακέτων (δείτε την ενότητα Τμήμα 4.8, «Παρωχημένα πακέτα» για μια περιγραφή).

Η λίστα των παρωχημένων πακέτων περιλαμβάνει:

  • Το πακέτο lilo έχει αφαιρεθεί από την έκδοσηbullseye. Ο διάδοχος του lilo ως φορτωτής εκκίνησης είναι το grub2.

  • The Mailman mailing list manager suite version 3 is the only available version of Mailman in this release. Mailman has been split up into various components; the core is available in the package mailman3 and the full suite can be obtained via the mailman3-full metapackage.

    Η παλιά legacy έκδοση 2.1 του Mailman δεν είναι πλέον διαθέσιμη (αυτό ήταν παλιά το πακέτο mailman). Αυτό το branch εξαρτάται από την έκδοση Python 2 η οποία δεν είναι πλέον διαθέσιμη στο Debian.

    Για οδηγίες αναβάθμισης, παρακαλούμε δείτε τη σελίδα τεκμηρίωσης της μετάβασης για το σχέδιο.

  • Ο πυρήνας του Linux δεν παρέχει πλέον υποστήριξη για το isdn4linux (i4l). Συνεπώς, τα σχετικά εκτός πυρήνα (userland) isdnutils, isdnactivecards, drdsl και ibod έχουν αφαιρεθεί από τις αρχειοθήκες.

  • The deprecated libappindicator libraries are no longer provided. As a result, the related packages libappindicator1, libappindicator3-1 and libappindicator-dev are no longer available. This is expected to cause dependency errors for third-party software that still depends on libappindicator to provide system tray and indicator support.

    Το Debian χρησιμοποιεί το libayatana-appindicator ως διάδοχο του libappindicator. Για το τεχνικό υπόβαθρο δείτεsee αυτή την ανακοίνωση.

  • Το Debian δεν παρέχει πλέον το πακέτο chef. Αν χρησιμοποιείτε το Chef για διαχείριση ρυθμίσεων, η καλλίτερη διαδρομή αναβάθμισης είναι ίσως να αλλάξετε στην χρήση των πακέτων που παρέχονται από την Chef Inc.

    Για το υπόβαθρο αυτής της αφαίρεσης, δείτε the removal request.

  • Python 2 is already beyond its End Of Life, and will receive no security updates. It is not supported for running applications, and packages relying on it have either been switched to Python 3 or removed. However, Debian bullseye does still include a version of Python 2.7, as well as a small number of Python 2 build tools such as python-setuptools. These are present only because they are required for a few application build processes that have not yet been converted to Python 3.

  • Το πακέτο aufs-dkms δεν είναι μέρος της έκδοσηςbullseye. Οι περισσότεροι χρήστες του aufs-dkms μπορούν να αλλάξουν στο σύστημα αρχείων overlayfs, που παρέχει ανάλογη λειτουργικότητα με την υποστήριξη του πυρήνα. Όμως, είναι δυνατόν να έχει κανείς μια εγκατάσταση του Debian σε ένα σύστημα αρχείων που δεν είναι συμβατό με το overlayfs, πχ. το xfs χωρίς την επιλογήd_type. Συμβουλεύουμε του χρήστες του aufs-dkms να αλλάξουν από το σύστημα αρχείων aufs-dkms πριν την αναβάθμιση στην έκδοση bullseye.

  • The network connection manager wicd will no longer be available after the upgrade, so to avoid the danger of losing connectivity users are recommended to switch before the upgrade to an alternative such as network-manager or connman.

5.3.2. Παρωχημένες συνιστώσες για την έκδοση bullseye

Με την επόμενη έκδοση του Debian 12 (με το κωδικό όνομα bookworm) μερικά γνωρίσματα θα καταστούν παρωχημένα. Οι χρήστες θα χρειαστεί να μεταβούν σε άλλες αρχιτεκτονικές για την αποτροπή προβλημάτων κατά την αναβάθμιση στην έκδοση Debian 12.

Αυτό περιλαμβάνει τα ακόλουθα χαρακτηριστικά:

  • The historical justifications for the filesystem layout with /bin, /sbin, and /lib directories separate from their equivalents under /usr no longer apply today; see the Freedesktop.org summary. Debian bullseye will be the last Debian release that supports the non-merged-usr layout; for systems with a legacy layout that have been upgraded without a reinstall, the usrmerge package exists to do the conversion if desired.

  • Η έκδοση bullseye είναι η τελευταία έκδοση του Debian που έρχεται με την εντολή apt-key. Αντί γι' αυτό, η διαχείριση των κλειδιών θα πρέπει να γίνεται προσθέτοντας αρχεία στον κατάλογο /etc/apt/trusted.gpg.d, σε δυαδικό μορφότυπο όπως δημιουργούνται από την εντολή gpg --export με την κατάληξη .gpg ή με τον μορφότυπο ASCII armored με κατάληξη .asc.

    Ένα υποκατάστατο του apt-key list για την διερεύνηση με το χέρι του keyring είναι υπό σχεδιασμό, αλλά η σχετική δουλειά για αυτό δεν έχει ακόμα ξεκινήσει.

  • Τα database backend του slapd slapd-bdb(5), slapd-hdb(5), και slapd-shell(5) έχουν αποσυρθεί και δεν θα συμπεριλαμβάνονται στην επόμενη έκδοσηDebian 12. Βάσεις δεδομένων LDAP που χρησιμοποιούν τα backend bdb ή hdb θα πρέπει να μετατραπούν στο backendslapd-mdb(5).

    Επιπρόσθετα, τα backend slapd-perl(5) και slapd-sql(5) έχουν καταργηθεί και πιθανόν να αφαιρεθούν σε κάποια μελλοντική έκδοση.

    Το Σχέδιο OpenLDAP δεν υποστηρίζεται αποσυρθέντα ή παρωχημένα backend. Υποστήριξη για αυτά τα backend στην έκδοση Debian 11 γίνεται σε μια βάση βέλτιστης προσπάθειας (best effort).

5.4. Γνωστά εξαιρετικά σοβαρά σφάλματα

Although Debian releases when it's ready, that unfortunately doesn't mean there are no known bugs. As part of the release process all the bugs of severity serious or higher are actively tracked by the Release Team, so an overview of those bugs that were tagged to be ignored in the last part of releasing bullseye can be found in the Debian Bug Tracking System. The following bugs were affecting bullseye at the time of the release and worth mentioning in this document:

Αριθμός σφάλματοςΠακέτο (πηγαίου κώδικα ή μεταγλωττισμένο - binary)Περιγραφή
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts
990026croncron: Reduced charset in MAILTO causes breakage
991081gir1.2-diodon-1.0Το πακέτο gir1.2-diodon-1.0 δεν έχει εξαρτήσεις
990318python-pkg-resourcespython-pkg-resources: παρακαλούμε προσθέστε το Breaks ως προς τα χωρίς έκδοση πακέτα του python
991449fail2banη διόρθωση για την προειδοποίηση ασφαλείας CVE-2021-32749 "σπάει" τα συστήματα με το πρόγραμμα mail από το πακέτο bsd-mailx
990708mariadb-server-10.5,galera-4mariadb-server-10.5: προβλήματα αναβάθμισης οφειλόμενα στο galera-3 -> galera-4 switch
980429src:gcc-10g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10λείπει το αρχείο i386-cpuinfo.h
984574gcc-10-basegcc-10-base: παρακαλούμε προσθέστε ότι Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: αποτυχία εγκατάστασης: /usr/lib/emacsen-common/packages/install/git emacs απέτυχε στο /usr/lib/emacsen-common/lib.pl γραμμή 19, <TSORT> γραμμή 7.
987264git-elgit-el: αποτυχία εγκατάστασης με το πακέτο xemacs21
991082gir1.2-gtd-1.0gir1.2-gtd-1.0 έχει κενό πεδίο Depends
948739gpartedΤο gparted δεν θα πρέπει να θέτει σε κατάσταση mask τις μονάδες .mount
984714gpartedΤο πρόγραμμα gparted θα έπρεπε να προτείνει το exfatprogs και να κάνει backport το commit που απορρίπτει το exfat-utils
984760grub-efi-amd64grub-efi-amd64: η αναβάθμιση δουλεύει, αποτυγχάνει η εκκίνηση (σφάλμα: symbol `grub_is_lockdown` not found)
968368ifenslaveifenslave: Η επιλογή bond-master αποτυγχάνει να προσθέσει διεπαφή στο bond
990428ifenslaveifenslave: Bonding not working on bullseye (using bond-slaves config)
991113libpam-chrootτο πακέτο libpam-chroot εγκαθιστά το pam_chroot.so σε λάθος κατάλογο
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy
982459mdadmΤο mdadm --examine σε περιβάλλον chroot χωρίς τις κατατμήσεις /proc,/dev,/sys προσαρτημένες αλλοιώνει το σύστημα αρχείων του συστήματος
981054openipmiopenipmi: λείπει η εξάρτηση από το kmod
948318openssh-serveropenssh-server: αδυναμία επανεκκίνησης του sshd μετά την αναβάθμιση στην έκδοση 8.1p1-2
991151procpsprocps: dropped the reload option from the init script, breaking corekeeper
989103pulseaudiopulseaudio regressed on control=Wave configuration
984580libpython3.9-devlibpython3.9-dev: λείπει η εξάρτηση από το zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: η εκτέλση της java στο qemu s390 δίνει ένα σήμα SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherbreaks with pulse-audio as output when spawned by speechd-up from init system
932501src:squid-deb-proxysquid-deb-proxy: ο δαίμονας δεν μπορεί να ξεκινήσει επειδή το αρχείο ρυθμίσεων μπλοκάρεται από το apparmor
991588tpm2-abrmdΤο πακέτο tpm2-abrmd δεν θα πρέπει να χρησιμοποιεί την παράμετρο Requires=systemd-udev-settle.service στην μονάδα του (στο systemd)
991939libjs-bootstrap4libjs-bootstrap4: "σπασμένοι" συμβολικοί σύνδεσμοι: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: η εντολή dh_auto_clean διαγράφει άσχετα αρχεία εκτός του πηγαίου κώδικα του πακέτου
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device
991788xfce4-settingsxfce4-settings: μαύρη οθόνη για τον φορητό υπολογιστή σε κατάσταση αναστολής (suspension) με το κλείσιμο και το άνοιγμα ξανά του καπακιού


[6] These engines are shipped in a number of different source packages and the concern applies to all packages shipping them. The concern also extends to web rendering engines not explicitly mentioned here, with the exception of webkit2gtk and the new wpewebkit.