Capítulo 5. Problemas a estar atento na bullseye

Índice

5.1. Itens específicos de actualizações para Bullseye
5.1.1. Novo driver VA-API predefinido para GPUs Intel
5.1.2. O sistema de ficheiros XFS jão não suporta a opção barrier/nobarrier
5.1.3. Alteração do layout do arquivo de segurança
5.1.4. O hashing de palavras-passe utiliza yescrypt por predefinição
5.1.5. Suporte para NSS NIS e NIS+ necessita de novos pacotes
5.1.6. Ficheiros de fragmentos de configuração no unbound
5.1.7. depreciação de parâmetros do rsync
5.1.8. Vim addons
5.1.9. OpenStack e cgroups v1
5.1.10. Pacotes relevantes obsoletos
5.1.11. Componentes depreciados para bullseye
5.1.12. Coisas a fazer após a actualização e antes de reiniciar
5.2. Limitações no suporte de segurança
5.2.1. Estado da segurança dos navegadores web e seus rendering engines
5.3. Problemas com pacotes específicos
5.3.1. Aceder à aplicação de definições do GNOME sem o rato
5.3.2. sendmail downtime during upgrade

Por vezes, as alterações introduzidas num novo lançamento têm efeitos secundários que não podemos evitar razoavelmente, ou porão a descoberto bugs noutro lado. Esta secção documenta os problemas que conhecemos. Por favor leia a errata, a documentação dos pacotes relevantes, relatórios de bugs e outra informação mencionada em Secção 6.1, “Leitura adicional”.

5.1. Itens específicos de actualizações para Bullseye

Esta seção cobre itens relacionados com a actualização de buster para bullseye.

5.1.1. Novo driver VA-API predefinido para GPUs Intel

Para GPUs disponíveis com Broadwell e mais recentes, a implementação de Video Accelearation API (VA-API) tem agora predefinido o intel-media-va-driver para descodificação de vídeo acelerado por hardware. Sistemas que tenham instalado o va-driver-all irão ser atualizados automaticamente para o novo controlador.

O antigo driver ainda está disponível no pacote i965-va-driver e suporta até à micro arquitectura Cannon Lake. Para preferir o driver antigo em vez do predefinido, tem de definir a variável de ambiente LIBVA_DRIVER_NAME para i965, por exemplo pode definir a variável em /etc/environment. Para mais informação, por favor veja a página Wiki acelaração de vídeo por hardware.

5.1.2. O sistema de ficheiros XFS jão não suporta a opção barrier/nobarrier

Foi removido o suporte para as opções de mount barrier e nobarrier do sistema de ficheiros XFS. É recomendado verificar em /etc/fstab pela presença de alguma dessas palavras-chave e remove-las. As partições que utilizem estas opções irão falhar o mount.

5.1.3. Alteração do layout do arquivo de segurança

Para o bullseye, o conjunto de segurança é agora chamado de bullseye-security em vez de buster/updates e os utilizadores devem adaptar os seus ficheiros source-list do APT de acordo, ao atualizarem.

A linha do security na sua configuração do APT pode parecer assim:

deb https://deb.debian.org/debian-security bullseye-security main contrib

5.1.4. O hashing de palavras-passe utiliza yescrypt por predefinição

A hash predefinida das palavras-passe para as contas locais de sistema foi alterada para yescrypt. Com isto espera-se melhorar a segurança contra ataques de tentativa de adivinhar palavras-passe com recurso a dicionário, em termos de espaço e complexidade de tempo para o ataque.

Para tomar partido da melhoria desta segurança, altere as palavras-passe locais; por exemplo utilize o comando passwd.

As palavras-passe antigas irão continuar a funcionar, qualquer que tenha sido a hash de palavras-passe utilizada para as criar.

Yescript não é suportado em Debian 10 (Buster). Por isso, os ficheiros de shadow password (/etc/shadow) não podem ser copiados de um sistema Bullseye para um sistema Buster. Se esses ficheiros forem copiados, as palavras-passe que foram alteradas no sistema Bullseye não irão funcionar no sistema Buster. Similarmente, não se pode fazer cortar&colar às hashes de palavra-passe de um sistema Bullseye para um Buster.

Se for necessária a compatibilidade entre sistemas Bullseye e Buster, então modifique /etc/pam.d/common-password. Encontre a linha que se parece com:

        password [success=1 default=ignore] pam_unix.so obscure yescrypt
      

e substitua yescrypt por sha512.

5.1.5. Suporte para NSS NIS e NIS+ necessita de novos pacotes

O suporte para NSS NIS e NIS+ foi movido para pacotes separados chamados libnss-nis e libnss-nisplus. Infelizmente, glibc não pode depender desses pacotes, pois agora são apenas recomendados.

Em sistemas que utilizem NIS ou NIS+, é por isso recomendado verificar se esses pacotes estão correctamente instalados após a atualização.

5.1.6. Ficheiros de fragmentos de configuração no unbound

O DNS resolver unbound foi alterado na forma como lida com ficheiros de fragmentos de configuração. Se depende da directiva include: para juntar os vários fragmentos para uma configuração válida, deve ler o ficheiro NEWS.

5.1.7. depreciação de parâmetros do rsync

Os parâmetros --copy-devices e --noatime do rsync foram renomeados para --write-devices e para --open-noatime. As formas antigas já não são suportadas; se as está a utilizar, então deve ver: o ficheiro NEWS. Os processos de transferência entre sistemas que corram diferentes versões de lançamentos de Debian podem necessitar que do lado do Buster seja atualizado para uma versão do rsync do repositório backports.

5.1.8. Vim addons

Os addons para vim eram disponibilizados historicamente por vim-scripts, agora são geridos pela funcionalidade nativa package do Vim em vez do vim-addon-manager. Os utilizadores de Vim devem-se preparar antes de atualizar seguindo as instruções no ficheiro NEWS.

5.1.9. OpenStack e cgroups v1

O OpenStack Victoria (lançado em bullseye) necessita de cgroup v1 para QoS de dispositivos de bloco. Já que a partir de bullseye também muda para a utilização de cgroupv2 por predefinição (veja Secção 2.2.4, “Control groups v2”), a árvore sysfs em /sys/fs/cgroup não irá incluir as funcionalidades de cgroup v1, tais como /sys/fs/cgroup/blkio, e como resultado cgcreate -g blkio:foo irá falhar. Para nós de OpenStack que corram nova-compute ou cinder-volume, é altamente recomendado acrescentar os parâmetros systemd.unified_cgroup_hierarchy=false e system.legacy_systemd_cgroup_controller=false à linha de comandos do kernel de modo a ultrapassar a predefinição e restaurar a antiga hierarquia cgroup.

5.1.10. Pacotes relevantes obsoletos

Os seguintes são uma lista de pacotes conhecidos e relevantes que são obsoletos (para uma descrição, veja Secção 4.8, “Pacotes obsoletos” ).

A lista de pacotes obsoletos inclui:

  • O pacote lilo foi removido de bullseye. O sucessor de lilo como gestor de arranque é o grub2.

  • A versão 3 do pacote de gestão de listas de correio Mailman é a única versão do Mailman neste lançamento. O Mailman foi dividido em vários componentes; o core está disponível no pacote mailman3 e o conjunto completo pode ser obtido através do metapacote mailman3-full.

    O antigo Mailman versão 2.1 já não está disponível (costuma ver o pacote mailman. Este branch depende de Python 2, que já não está disponível em Debian.

    Para instruções de atualização, por favor veja a documentação de migração do projecto.

  • O kernel Linux já não disponibiliza suporte isdn4linux (i4l). Consequentemente, os pacotes de utilizador relacionados, isdnutils, isdnactivecards, drdsl e ibod foram removidos dos arquivos.

  • As bibliotecas libappindicator descontinuadas já não são disponibilizadas. Como resultado, os pacotes libappindicator1, libappindicator3-1 e libappindicator-dev já não estão disponíveis. Isto é esperado causar erros de dependências a software de terceiros que ainda dependa de libappindicator para disponibilizar suporte para a bandeja do sistema e indicadores.

    Debian utiliza libayatana-appindicator como o sucessor de libappindicator. Para o enquadramento histórico veja este anúncio.

  • Debian já não disponibliza chef. Se utilizar Chef para gestão de configuração, o melhor caminho para o atualização é provavelmente mudar para os pacotes disponibilizados por Chef Inc.

    Para o enquadramento da remoção, veja o pedido de remoção.

5.1.11. Componentes depreciados para bullseye

Com o próximo lançamento de Debian 12 (nome de código bookworm) serão depreciadas algumas funcionalidades. Os utilizadores irão necessitar de migrar para outras alternativas para prevenir problemas ao actualizar para 12.

Isto inclui as seguintes funcionalidades:

  • Python 2 já passou o fim de vida e não irá receber atualizações de segurança. Não é suportado para correr aplicações. No entanto, Debian bullseye ainda inclui a versão 2.7 de Python, assim como um número reduzido de ferramentas de compilação em Python 2, tais como python-setuptools. Estas estão presentes apenas porque são necessárias para alguns processos de compilação de aplicações que ainda não foram convertidos para Python 3.

  • As justificações históricas para esta disposição do sistema de ficheiros, com os directórios /bin, /sbin, e /lib separados dos seus equivalentes em /usr já não se aplicam atualmente; veja o resumo em Freedesktop.org. Debian bullseye irá ser o último lançamento de Debian que suporta o layout non-merged-usr; para sistemas com o layout antigo que tenham sido atualizados sem serem reinstalados, existe o pacote usrmerge para fazer a conversão, caso seja desejado.

5.1.12. Coisas a fazer após a actualização e antes de reiniciar

Quando apt full-upgrade tiver terminado, a actualização formal estará completa. Para o upgrade para bullseye não é necessário tomar ações especiais antes de reiniciar.

5.2. Limitações no suporte de segurança

Existem alguns pacotes onde Debian não pode prometer disponibilizar backports mínimos para problemas de segurança. Estes estão cobertos nas seguintes subsecções.

[Nota]Nota

O pacote debian-security-support ajuda a seguir o estado do suporte de segurança dos pacotes instalados.

5.2.1. Estado da segurança dos navegadores web e seus rendering engines

Debian 11 inclui vários motores de navegador da internet que são afectados por um fluxo regular de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a parcial falta de suporte dos autores sob a forma de branches de períodos de tempo longos torna muito difícil suportar estes navegadores e motores com backports de correcções de segurança. Além disso, as interdependências entre bibliotecas tornam extremamente difícil actualizar para novos lançamentos de orginais mais recentes. Por isso, estão incluidos no bullseye navegadores criados sob p.e. os motores webkit e khtml[6], mas não estão cobertos pelo suporte de segurança. Estes navegadores não devem ser utilizados para aceder a sites que não sejam de confiança. O pacote de código-fonte webkit2gtk é coberto pelo suporte de segurança.

Como navegador da web recomendamos Firefox ou Chromium. Estes irão manter-se atualizados ao recompilar os atuais lançamentos ESR para a stable. A mesma estratégia pode ser aplicada para o Thunderbird.

5.3. Problemas com pacotes específicos

Na maioria dos casos, a actualização dos pacotes deve ser suave entre buster e bullseye. Existe um pequeno número de casos onde poderá ser necessária alguma intervenção, quer antes ou depois da actualização; Estes estão detalhados abaixo, por pacote.

5.3.1. Aceder à aplicação de definições do GNOME sem o rato

Sem um dispositivo apontador, não há forma directa de alterar as definições na aplicação de definições do GNOME, disponibilizada por gnome-control-center. Como forma de contornar isto, pode navegar desde a barra lateral para o conteúdo principal carregando duas vezes na Seta Direita. Para voltar à barra lateral, pode iniciar uma pesquisa com Ctrl+F, escreva qualquer coisa e depois carregue em Esc para cancelar a pesquisa. Agora pode utilizar a Seta Cima e Seta Baixo para navegar pela barra lateral. Não é possível seleccionar resultados de pesquisa com o teclado.

5.3.2. sendmail downtime during upgrade

In contrast to normal upgrades of sendmail, during the upgrade of buster to bullseye the sendmail service will be stopped, causing more downtime than usual. For generic advice on reducing downtime see Secção 4.1.3, “Preparar para desligar temporariamente os serviços”.



[6] Estes engines são distribuidos num número de pacotes fonte diferentes e a preocupação aplica-se a todos os pacotes que os distribuem. A preocupação também se estende a web rendering engines que não explicitamente mencionados aqui, com a excepção de webkit2gtk.