Глава 5. Что нужно знать о bullseye

Из файловой системы XFS была удалена поддержка параметров монтирования barrier и nobarrier. Рекомендуется проверить /etc/fstab на наличие любого из ключевых слов и удалить его. Разделы, использующие эти параметры, не будут подключены.

Для bullseye раздел безопасности теперь называется bullseye-security вместо codename/updates. Нужно исправить файлы источников APT при обновлении.

Строка с разделом безопасности в настройках APT будет выглядеть так:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Если настройки APT также включает закрепление (pinning) или APT::Default-Release, это, вероятно, потребует корректировок, поскольку кодовое имя архива безопасности больше не совпадает с кодовым именем обычного архива. Пример рабочей строки APT::Default-Release для bullseye выглядит следующим образом:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

который использует поддержку регулярных выражений в APT (внутри /).

Хэш пароля по умолчанию для учетных записей локальной системы изменена с SHA-512 на yescrypt (смотрите crypt(5)). Ожидается, что это обеспечит повышенную защиту от атак с подбором пароля на основе словаря как с точки зрения пространственной, так и временной сложности атаки.

Чтобы воспользоваться преимуществами этой улучшенной системы безопасности, измените локальные пароли; например, используйте команду passwd.

Старые пароли будут продолжать работать, используя тот хэш пароля, который использовался для их создания.

Yescrypt не поддерживается Debian 10 (buster). В результате файлы паролей shadow (/etc/shadow) не могут быть скопированы из системы bullseye обратно в систему buster. Если эти файлы будут скопированы, пароли, которые были изменены в системе bullseye, не будут работать в системе buster. Аналогично, хэши паролей нельзя скопировать из bullseye в buster.

Если требуется совместимость хэшей паролей между bullseye и buster, измените /etc/pam.d/common-password. Найдите строку, которая выглядит следующим образом:

пароль [success=1 default=ignore] pam_unix.so obscure yescrypt
	

и замените yescrypt на sha512.

Поддержка NSS NIS и NIS+ перенесена в отдельные пакеты под названием libnss-nis и libnss-nisplus. К сожалению, glibc не может зависеть от этих пакетов, поэтому теперь они только рекомендуются.

Поэтому в системах, использующих NIS или NIS+,, рекомендуется проверить правильность установки этих пакетов после обновления.

Клиент DNS unbound изменил способ обработки фрагментов файла настройки. Если используете директиву include: для объединения нескольких фрагментов в допустимую настройку, то следует прочитать файл NEWS.

Параметр rsync --noatime был переименован в --open-noatime. Старая форма больше не поддерживается; если её используете, то посмотрите файл NEWS. Для процессов передачи данных между системами, на которых запущены разные версии Debian, может потребоваться обновление на стороне buster до версии rsync из репозитория backports. В версии rsync в первоначальном выпуске bullseye также была отменена поддержка --copy-devices в пользу --write-devices, но версия 3.2.3-4+deb11u1 (включена в выпуск bullseye 11.1) отменяет это устаревание и поддерживает оба варианта.

Дополнения для vim, которые ранее предоставлялись vim-scripts, с помощью встроенной функциональности «пакета» Vim, а не vim-addon-manager. Пользователям Vim следует подготовиться перед обновлением, следуя инструкциям в файле NEWS.

Для OpenStack Victoria (выпущенного в bullseye) требуется cgroup версии 1 для обеспечения качества обслуживания (QoS) устройств. Поскольку bullseye также переходит на использование cgroupv2 по умолчанию (см. Раздел 2.2.4, «группы управления 2 версии»), дерево sysfs в /sys/fs/cgroup не будет включать функции cgroup v1, такие как /sys/fs/cgroup/blkio, и в результате cgcreate -g blkio:foo завершится ошибкой. Для узлов OpenStack, на которых выполняется nova-compute или cinder-volume, настоятельно рекомендуется добавить параметры systemd.unified_cgroup_hierarchy=false и systemd.legacy_systemd_cgroup_controller=false в командной строке ядра, чтобы переопределить значение по умолчанию и восстановить старую иерархию cgroup.

Следуя рекомендациям авторов (upstream), OpenStack Victoria, выпущенный в bullseye, переключает API OpenStack на использование нового формата YAML. В результате большинство сервисов OpenStack, включая Nova, Glance и Keystone, похоже, не работают со всеми политиками API, явно прописанными в файлах policy.json. Таким образом, пакеты теперь поставляются с каталогом /etc/PROJECT/policy.d, содержащим файл 00_default_policy.yaml, в котором все политики по умолчанию закомментированы.

Чтобы старый файл policy.json не работал, пакеты Debian OpenStack теперь переименовывают этот файл в disabled.policy.json.old. В некоторых случаях, когда ничего лучшего нельзя было сделать к моменту выпуска, файл policy.json даже просто удаляется. Поэтому перед обновлением настоятельно рекомендуется создать резервную копию файлов policy.json ваших развертываний.

Более подробная информация доступна в авторской (upstream) документации.

В отличие от обычных обновлений sendmail, во время обновления buster до bullseye служба sendmail будет остановлена, что приведет к бОльшему времени простоя, чем обычно. Общие рекомендации по сокращению времени простоя приведены в разделе Раздел 4.1.3, «Подготовка к перерыву в работе служб».

Некоторые пакеты, включая gvfs-fuse, kio-fuse и sshfs, переключились на FUSE 3. Во время обновления это приведет к установке fuse3 и удалению fuse .

В некоторых исключительных случаях, например, при выполнении обновления путем выполнения только apt-get dist-upgrade вместо рекомендуемых шагов обновления из Глава 4, Обновление с Debian 10 (buster), пакеты, зависящие от fuse3 могут быть сохранен во время обновления. Повторное выполнение шагов, описанных в Раздел 4.4.5, «Обновление системы», с помощью apt из bullseye или их обновление вручную позволит устранить это.

Начиная с версии 2.2.27-1, настройки для каждого пользователя в наборе GnuPG были полностью изменены на ~/.gnupg/gpg.conf, а ~/.gnupg/options больше не используется. Пожалуйста, переименуйте файл, если необходимо, или переместите его содержимое в новое место.

Начиная с версии Linux 5.10, всем пользователям по умолчанию разрешено создавать пользовательские пространства имен. Это позволит таким программам, как веб-браузеры и менеджеры контейнеров, создавать более ограниченные изолированные среды для ненадежного или менее надежного кода без необходимости запуска от имени root или использования помощника setuid-root.

В предыдущем стандарте Debian по умолчанию эта функция была ограничена процессами, запущенными от имени пользователя root, поскольку это вызывало больше проблем с безопасностью в ядре. Однако, по мере того как реализация этой функции стала более эффективной, мы теперь уверены, что риск её включения перевешивается преимуществами безопасности, которые она предоставляет.

Если предпочитаете ограничить использование этой функции, задайте sysctl:

user.max_user_namespaces = 0
      

Обратите внимание, что при наличии этого ограничения различные функции рабочего стола и контейнера не будут работать, включая веб-браузеры, WebKitGTK, Flatpak и миниатюры GNOME.

Специфичный для Debian sysctl kernel.unprivileged_userns_clone=0 имеет аналогичный эффект, но устарел.

Начиная с версии Linux 5.10, Debian по умолчанию отключает непривилегированные вызовы bpf(). Однако можно изменить эту настройку позже, если потребуется, записав 0 или 1 в sysctl kernel.unprivileged_bpf_disabled.

Если предпочитаете, чтобы непривилегированные вызовы bpf() оставались включенными, установите sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Причины изменения настроек по умолчанию в Debian смотрите ошибку 990411 для запроса на изменение.

Пакет redmine не предоставляется в bullseye, так как было слишком поздно переходить со старой версии rails, которая находится на завершающей стадии поддержки (получает исправления только для серьезных ошибок безопасности), на версию из bullseye. Разработчики Ruby Extras внимательно следят за обновлениями и выпустят версию через backports, как только она будет выпущена и у них появятся рабочие пакеты. Если не можете дождаться, пока это произойдет, прежде чем обновлять, можно использовать виртуальную машину или контейнер под управлением buster, чтобы изолировать это конкретное приложение.

Пожалуйста, рассмотрите версию Exim в bullseye как серьёзное обновление Exim. Он вводит концепцию искаженных данных, считываемых из ненадежных источников, таких как, например, отправитель или получатель сообщения. Эти искаженные данные (например, $local_part или $domain) нельзя использовать, среди прочего, в качестве имени файла, каталога или команды.

Это нарушит работу настроек, которые не были обновлены соответствующим образом. Старые файлы конфигурации Debian Exim также не будут работать без изменений; необходимо установить новые настройки с объединенными локальными изменениями.

Типичные примеры неработоспособности включают:

Основная стратегия работы с этим изменением заключается в использовании результата поиска при дальнейшей обработке вместо исходного (предоставленного удаленно) значения.

Чтобы упростить обновление, появилась новая опция основной конфигурации, позволяющая временно понизить уровень ошибок taint до уровня предупреждений (warning), позволяя старой конфигурации работать с более новым Exim. Чтобы использовать эту функцию, добавьте

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

в конфигурацию Exim (например, в /etc/exim4/exim4.conf.localmacros) перед обновлением и проверьте файл журнала на наличие taint предупреждений. Это временное решение, которое уже помечено для удаления при внедрении.

Из-за изменений в ядре Linux проверка устройств SCSI больше не является детерминированной. Это может быть проблемой для установок, которые зависят от порядка проверки диска. В этом сообщение из списка рассылки предлагаются две возможные альтернативы, использующие ссылки в /dev/disk/by-path или правило udev.

Сетевой протокол версий 1 и 2 rdiff-backup несовместим. Это означает, что надо использовать одну и ту же версию (1 или 2) rdiff-backup локально и удаленно. Поскольку buster поставляется с версией 1.2.8, а bullseye — с версией 2.0.5, обновление только локальной системы или только удаленной системы с buster на bullseye приведет к разрыву связи rdiff-backup между ними.

Версия 2.0.5 rdiff-backup доступна в архиве buster-backports, смотрите backports. Это позволяет пользователям сначала обновить только пакет rdiff-backup в своих системах buster, а затем самостоятельно обновить системы до bullseye в удобное для них время.

Пакет intel-microcode, который в настоящее время доступен в bullseye и buster-security (см. DSA-4934-1), содержит две известные существенные ошибки. Для некоторых процессоров CoffeeLake это обновление может привести к поломке сетевых интерфейсов, использующих firmware-iwlwifi, и для некоторых процессоров Skylake R0/D0 в системах, использующих очень устаревшее встроенное ПО/BIOS, система может зависать при загрузке.

Если отложили обновление с версии DSA-4934-1 из-за любой из этих проблем или у вас не включен архив безопасности, имейте в виду, что обновление пакета intel-microcodeв bullseye может привести к зависанию вашей системы при загрузке или сломать iwlwifi. В этом случае вы можете восстановиться, отключив загрузку микрокода при загрузке; смотрите инструкции в DSA, которые также находятся в intel-microcode README.Debian.

Пакеты, которые зависят от libgc1c2в buster (например, guile-2.2-libs), могут быть отложены во время первого полного обновления до bullseye. Повторное обновление обычно решает проблему. Причина проблемы в ошибке #988963.

Пакет fail2ban можно настроить для отправки уведомлений по электронной почте. Для этого используется команда mail, которая предоставляется несколькими пакетами в Debian. Обновление для системы безопасности (необходимое для систем, использующих mail из mailutils), выпущенное непосредственно перед выпуском bullseye, нарушило эту функциональность для систем, в которых mail предоставляется bsd-mailx. Пользователи fail2ban в сочетании с bsd-mailx, которые хотят fail2ban отправлять электронную почту, должны либо переключиться на что-то другое предоставляющее mail, либо вручную откатить исходный коммит (который вставил строку "-E 'set escape'" в нескольких местах в /etc/fail2ban/action.d/).

Хотя существующие соединения Secure Shell (SSH) должны продолжать работать после обновления в обычном режиме, из-за неблагоприятных обстоятельств период, в течение которого новые SSH-соединения не могут быть установлены, оказывается более длительным, чем обычно. Если обновление выполняется по SSH-соединению, которое может быть прервано, рекомендуется обновить openssh-server перед полным обновлением системы.

Обновление openvswitch может не привести к восстановлению мостов после загрузки. Обходной путь заключается в следующем:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

Подробнее см. ошибка #989720.

Когда будет завершено выполение команды apt full-upgrade, «формальная» процедура обновления будет завершена. Для обновления до bullseye не требуется выполнять каких-либо специальных действий до выполнения перезагрузки.

Для некоторых пакетов Debian не может гарантировать какой-либо минимальной поддержки исправлений безопасности. О таких пакетах написано в следующих разделах.

	Примечание
	Пакет debian-security-support помогает отслеживать статус поддержки безопасности установленных пакетов.

Без указательного устройства нет прямого способа изменить настройки в приложении "Настройки GNOME", предоставляемом gnome-control-center. В качестве обходного пути можно перейти от боковой панели к основному содержимому, дважды нажав на стрелку вправо. Чтобы вернуться к боковой панели, вы можете начать поиск с помощью Ctrl+F, ввести что-либо, затем нажать Esc, чтобы отменить поиск. Теперь можно использовать стрелку вверх и стрелку вниз для навигации по боковой панели. Невозможно выбрать результаты поиска с помощью клавиатуры.

В связи с реализацией sulogin, используемой начиная с buster, для загрузки с параметром rescue всегда требуется пароль root. Если он не установлен, это делает режим восстановления практически недоступным. Однако загрузка по-прежнему возможна с использованием параметра ядра init=/sbin/sulogin --force

Чтобы настроить systemd на выполнение аналогичных действий всякий раз, когда он загружается в аварийный режим (также известный как одиночный режим: смотрите systemd(1)), запустите sudo systemctl edit rescue.service и создайте следующий файл:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Возможно, также (или вместо этого) было бы полезно сделать это для модуля emergency.service, который запускается автоматически в случае определенных ошибок (см. systemd.special(7)), или если в командную строку ядра добавлен emergency (например, если система не может быть восстановлена с помощью режима восстановления).

Причины и обсуждение последствий для безопасности смотрите в #802211.

Ядро Linux (начиная с версии 5.9) больше не поддерживает 32-битные виртуальные машины xen, использующие режим PV. Такие виртуальные машины необходимо преобразовать в архитектуру 64-битного ПК.

Проверить, в каком режиме запущен гостевой сервер Xen (внутри виртуальной машины) можно так:

$ cat /sys/hypervisor/guest_type
PV
        

На виртуальные машины, которые возвращают, например, PVH или HVM, это не влияет.

Ниже приводится список заслуживающих внимания устаревших пакетов (описание см. в Раздел 4.8, «Устаревшие пакеты»).

В список устаревших пакетов входят следующие пакеты:

В следующем выпуске Debian 12 (кодовое имя bookworm) некоторые возможности устарели. Пользователям требуется перейти на использование других альтернатив, чтобы избежать проблем с обновлением до Debian 12.

Изменения коснулись следующих возможностей:

Для ряда устройств на базе armel, которые поддерживались в buster, Debian больше не может создавать требуемое ядро Linux из-за аппаратных ограничений. Неподдерживаемыми устройствами являются:

Пользователям этих платформ, которые, тем не менее, хотят перейти на bullseye, следует включить источники buster в APT. Перед обновлением следует добавить файл настроек APT, содержащий:

Package: linux-image-marvell
Pin: release n=buster
Pin-Priority: 900
	

Поддержка безопасности для этой конфигурации будет действовать только до окончания срока службы buster.