Kapitel 5. Problemområden att känna till för bullseye

Innehållsförteckning

5.1. Specifik uppgraderingsinformation för bullseye
5.1.1. New VA-API default driver for Intel GPUs
5.1.2. The XFS file system no longer supports barrier/nobarrier option
5.1.3. Changed security archive layout
5.1.4. Password hashing uses yescrypt by default
5.1.5. NSS NIS and NIS+ support require new packages
5.1.6. Config file fragment handling in unbound
5.1.7. rsync parameter deprecation
5.1.8. Vim addons handling
5.1.9. OpenStack and cgroups v1
5.1.10. Föråldrade paket
5.1.11. Utfasning av komponenter för bullseye
5.1.12. Att göra efter uppgradering före omstart
5.2. Begränsningar i säkerhetsstödet
5.2.1. Säkerhetsläget för webbläsare och deras renderingsmotorer
5.3. Paketspecifika problem
5.3.1. Tillgång till Gnomes inställningsapplikation utan att använda en mus
5.3.2. sendmail downtime during upgrade

Ibland innebär förändringar i en ny utgåva att sidoeffekter vi inte kunnat undvika uppstår, i vissa fall skapas nya fel någon annanstans. Här dokumenterar vi problem som vi känner till. Vänligen läs även erratan, dokumentationen för aktuella paket, felrapporter och annan information som nämns i Avsnitt 6.1, ”Ytterligare läsning”.

5.1. Specifik uppgraderingsinformation för bullseye

Detta kapitel beskriver detaljer runt uppgradering från buster till bullseye.

5.1.1. New VA-API default driver for Intel GPUs

For Intel GPUs available with Broadwell and newer, the Video Acceleration API (VA-API) implementation now defaults to intel-media-va-driver for hardware accelerated video decoding. Systems which have va-driver-all installed will automatically be upgraded to the new driver.

The legacy driver package i965-va-driver is still available and offers support up to the Cannon Lake micro architecture. To prefer the legacy driver over the new default one, set the environment variable LIBVA_DRIVER_NAME to i965, for instance by setting the variable in /etc/environment. For more information, please see the Wiki's page on hardware video acceleration.

5.1.2. The XFS file system no longer supports barrier/nobarrier option

Support for the barrier and nobarrier mount options has been removed from the XFS file system. It is recommended to check /etc/fstab for the presence of either keyword and remove it. Partitions using these options will fail to mount.

5.1.3. Changed security archive layout

For bullseye, the security suite is now named bullseye-security instead of buster/updates and users should adapt their APT source-list files accordingly when upgrading.

The security line in your APT configuration may look like:

deb https://deb.debian.org/debian-security bullseye-security main contrib

5.1.4. Password hashing uses yescrypt by default

The default password hash for local system accounts has been changed to yescrypt. This is expected to provide improved security against dictionary-based password guessing attacks, in terms of both the space and time complexity of the attack.

To take advantage of this improved security, change local passwords; for example use the passwd command.

Old passwords will continue to work using whatever password hash was used to create them.

Yescrypt is not supported by Debian 10 (buster). As a result, shadow password files (/etc/shadow) cannot be copied from a bullseye system back to a buster system. If these files are copied, passwords that have been changed on the bullseye system will not work on the buster system. Similarly, password hashes cannot be cut&pasted from a bullseye to a buster system.

If compatibility is required for password hashes between bullseye and buster, modify /etc/pam.d/common-password. Find the line that looks like:

        password [success=1 default=ignore] pam_unix.so obscure yescrypt
      

and replace yescrypt with sha512.

5.1.5. NSS NIS and NIS+ support require new packages

NSS NIS and NIS+ support has been moved to separate packages called libnss-nis and libnss-nisplus. Unfortunately, glibc can't depend on those packages, so they are now only recommended.

On systems using NIS or NIS+, it is therefore recommended to check that those packages are correctly installed after the upgrade.

5.1.6. Config file fragment handling in unbound

The DNS resolver unbound has changed the way it handles configuration file fragments. If you are relying on an include: directive to merge several fragments into a valid configuration, you should read the NEWS file.

5.1.7. rsync parameter deprecation

The rsync parameters --copy-devices and --noatime have been renamed to --write-devices and --open-noatime. The old forms are no longer supported; if you are using them you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository.

5.1.8. Vim addons handling

The addons for vim historically provided by vim-scripts are now managed by Vim's native package functionality rather than by vim-addon-manager. Vim users should prepare before upgrading by following the instructions in the NEWS file.

5.1.9. OpenStack and cgroups v1

OpenStack Victoria (released in bullseye) requires cgroup v1 for block device QoS. Since bullseye also changes to using cgroupv2 by default (see Avsnitt 2.2.4, ”Control groups v2”), the sysfs tree in /sys/fs/cgroup will not include cgroup v1 features such as /sys/fs/cgroup/blkio, and as a result cgcreate -g blkio:foo will fail. For OpenStack nodes running nova-compute or cinder-volume, it is strongly advised to add the parameters systemd.unified_cgroup_hierarchy=false and systemd.legacy_systemd_cgroup_controller=false to the kernel command line in order to override the default and restore the old cgroup hierarchy.

5.1.10. Föråldrade paket

Detta är en lista med kända föråldrade paket (läs mer i Avsnitt 4.8, ”Föråldrade paket” för en beskrivning).

Listan med föråldrade paket inkluderar:

  • The lilo package has been removed from bullseye. The successor of lilo as boot loader is grub2.

  • The Mailman mailing list manager suite version 3 is the only available version of Mailman in this release. Mailman has been split up into various components; the core is available in the package mailman3 and the full suite can be obtained via the mailman3-full metapackage.

    The legacy Mailman version 2.1 is no longer available (this used to be the package mailman). This branch depends on Python 2 which is no longer available in Debian.

    For upgrading instructions, please see the project's migration documentation.

  • The Linux kernel no longer provides isdn4linux (i4l) support. Consequently, the related userland packages isdnutils, isdnactivecards, drdsl and ibod have been removed from the archives.

  • The deprecated libappindicator libraries are no longer provided. As a result, the related packages libappindicator1, libappindicator3-1 and libappindicator-dev are no longer available. This is expected to cause dependency errors for third-party software that still depends on libappindicator to provide system tray and indicator support.

    Debian is using libayatana-appindicator as the successor of libappindicator. For technical background see this announcement.

  • Debian no longer provides chef. If you use Chef for configuration management, the best upgrade path is probably to switch to using the packages provided by Chef Inc.

    For background on the removal, see the removal request.

5.1.11. Utfasning av komponenter för bullseye

Med nästa utgåva av Debian 12 (kodnamn bookworm) kommer några funktioner fasas ut. Användare behöver flytta till alternativ för att förhindra besvär vid uppgradering till 12.

Inklusive följande:

  • Python 2 is already beyond its End Of Life, and will receive no security updates. It is not supported for running applications. However, Debian bullseye does still include a version of Python 2.7, as well as a small number of Python 2 build tools such as python-setuptools. These are present only because they are required for a few application build processes that have not yet been converted to Python 3.

  • The historical justifications for the filesystem layout with /bin, /sbin, and /lib directories separate from their equivalents under /usr no longer apply today; see the Freedesktop.org summary. Debian bullseye will be the last Debian release that supports the non-merged-usr layout; for systems with a legacy layout that have been upgraded without a reinstall, the usrmerge package exists to do the conversion if desired.

5.1.12. Att göra efter uppgradering före omstart

När apt full-upgrade är klar innebär detta att den formella uppgraderingen är klar . För uppgraderingen till bullseye finns inga speciella åtgärder som måste genomföras före nästa omstart.

5.2. Begränsningar i säkerhetsstödet

Det finns ett antal paket där Debian inte kan lova minimala bakåtporteringar för säkerhetsproblem. Dessa beskrivs närmare i underavsnitten.

[Notera]Notera

Paketet debian-security-support håller reda på säkerhetsstatus för installerade paket.

5.2.1. Säkerhetsläget för webbläsare och deras renderingsmotorer

Debian 11 innehåller flera webbläsarmotorer som påverkas av en strid ström av säkerhetshål. Den stora mängden fel och den partiella bristen på stöd från utgivare i form av långsiktiga utvecklingsgrenar gör det mycket svårt att ha stöd för dessa webbläsare och motorer med bakåtporterade säkerhetslagningar. Dessutom gör biblioteksberoenden det extremt svårt att uppdatera dessa till nyare versioner. Webbläsare utvecklade på webkit, och khtml-motorerna[6] ingår i bullseye men täcks inte av säkerhetsstödet. Dessa webbläsare ska inte användas tillsammans med webbplatser du inte litar på. Källkodspaketet webkit2gtk täcks dock av säkerhetsstödet.

För vanlig webbsurf rekommenderar vi Firefox eller Chromium. De kommer att hållas uppdaterade och byggs från aktuell ESR-utgåva för Debian stable. Samma strategi gäller Thunderbird.

5.3. Paketspecifika problem

I de allra flesta fallen kommer paket att uppgradera lugnt och fint mellan buster och bullseye. Det finns dock ett mindre antal tillfällen när manuella ingrepp kommer att krävas, antingen före eller under uppgraderingen. Dessa beskrivs per paket nedan.

5.3.1. Tillgång till Gnomes inställningsapplikation utan att använda en mus

Utan ett pekdon är det inte möjligt att manipulera inställningar i Gnomes inställningsapplikation som tillhandahålls av gnome-control-center. Som en väg runt detta kan du navigera från sidomenyn till det huvudsakliga innehållet genom att trycka pil höger två gånger. För att komma tillbaka till sidomenyn är snabbaste lösningen att öppna en sökning med Ctrl+F och skriva något för att sedan avbryta sökningen med Esc. Nu kan pil uppåt och pil nedåt användas för att hoppa i sidomenyn. Det är inte möjligt att välja ett sökresultat med tangentbordet.

5.3.2. sendmail downtime during upgrade

In contrast to normal upgrades of sendmail, during the upgrade of buster to bullseye the sendmail service will be stopped, causing more downtime than usual. For generic advice on reducing downtime see Avsnitt 4.1.3, ”Förbered för att tjänster blir oåtkomliga”.



[6] Dessa motorer skickas med i ett antal olika källkodspaket och besväret gäller amtliga av dessa. Detta gäller också webbläsarmotorer som inte nämns här, med undantag för webkit2gtk.