Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij bullseye

Inhoudsopgave

5.1. Opwaarderingsspecifieke zaken voor bullseye
5.1.1. Nieuw VA-API-standaardstuurprogramma voor Intel GPU's
5.1.2. Het XFS-bestandssysteem ondersteunt niet langer de optie barrier/nobarrier
5.1.3. Gewijzigde indeling van het beveiligingsarchief
5.1.4. Wachtwoordfrommels gebruiken standaard yescript
5.1.5. Nieuwe pakketten zijn vereist voor de ondersteuning van NSS NIS en NIS+
5.1.6. Verwerking van configuratiebestandsfragmenten door unbound
5.1.7. Verouderde rsync-parameters
5.1.8. Afhandeling van vim-uitbreidingen
5.1.9. OpenStack en cgroups v1
5.1.10. Vermeldenswaardige uitgefaseerde pakketten
5.1.11. Verouderde componenten van bullseye
5.1.12. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren
5.2. Beperkingen inzake beveiligingsondersteuning
5.2.1. Veiligheidstoestand van webbrowsers en hun render-engines
5.3. Pakketspecifieke kwesties
5.3.1. Toegang tot de app GNOME-Instellingen zonder muis
5.3.2. sendmail downtime during upgrade

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.

5.1. Opwaarderingsspecifieke zaken voor bullseye

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van buster naar bullseye.

5.1.1. Nieuw VA-API-standaardstuurprogramma voor Intel GPU's

Voor Intel GPU's die beschikbaar zijn vanaf Broadwell en recenter, is de implementatie van de API voor Video-Acceleratie (VA-API) nu standaard ingesteld op intel-media-va-driver voor hardwareversnelde videodecodering. Systemen waarop va-driver-all geïnstalleerd is zullen automatisch naar het nieuwe stuurprogramma opgewaardeerd worden.

Het oudere stuurprogrammapakket i965-va-driver is nog steeds beschikbaar en biedt ondersteuning tot aan de Cannon Lake-microarchitectuur. Om het oude stuurprogramma te verkiezen boven het nieuwe standaard stuurprogramma, stelt u de omgevingsvariabele LIBVA_DRIVER_NAME in op i965, door bijvoorbeeld deze variabele in te stellen in /etc/environment. Raadpleeg voor meer informatie de Wiki-pagina's over hardware video acceleration.

5.1.2. Het XFS-bestandssysteem ondersteunt niet langer de optie barrier/nobarrier

Bij het XFS-bestandssysteem werd ondersteuning voor de aankoppelopties barrier en nobarrier verwijderd. Het wordt aanbevolen om /etc/fstab te controleren op de aanwezigheid van een van beide sleutelwoorden en deze te verwijderen. Partities die deze opties gebruiken zullen niet aangekoppeld worden.

5.1.3. Gewijzigde indeling van het beveiligingsarchief

In bullseye heet de beveiligingssuite nu bullseye-security in plaats van buster/updates en gebruikers moeten hun sources.list-bestanden voor APT dienovereenkomstig aanpassen bij het upgraden.

De beveiligingsregel in uw APT-configuratie kan er zo uitzien:

deb https://deb.debian.org/debian-security bullseye-security main contrib

5.1.4. Wachtwoordfrommels gebruiken standaard yescript

De standaard wachtwoordhash voor lokale systeemaccounts is gewijzigd naar yescrypt. Dit zal naar verwachting een verbeterde beveiliging bieden tegen op woordenboek gebaseerde aanvallen om wachtwoorden te raden, zowel wat betreft de ruimte- als de tijdcomplexiteit van de aanval.

Wijzig lokale wachtwoorden om van deze verbeterde beveiliging te profiteren; gebruik bijvoorbeeld heet commando passwd.

Oude wachtwoorden blijven werken, ongeacht de wachtwoord-hash die is gebruikt om ze te maken.

Yescrypt wordt niet ondersteund in Debian 10 (buster). Als gevolg hiervan kunnen shadow-wachtwoordbestanden (/etc/shadow) niet van een bullseye-systeem terug naar een buster-systeem worden gekopieerd. Als deze bestanden worden gekopieerd, zullen wachtwoorden die zijn gewijzigd op het bullseye-systeem niet werken op het buster-systeem. Evenzo kunnen wachtwoord-hashes niet worden geknipt en geplakt van een bullseye- naar een buster-systeem.

Als compatibiliteit vereist is voor wachtwoord-hashes tussen bullseye en buster, pas dan /etc/pam.d/common-password aan. Zoek de regel die er als volgt uitziet:

        password [success=1 default=ignore] pam_unix.so obscure yescrypt
      

en vervang yescrypt door sha512.

5.1.5. Nieuwe pakketten zijn vereist voor de ondersteuning van NSS NIS en NIS+

De ondersteuning voor NSS NIS en NIS+ werd verplaatst naar aparte pakketten, genaamd libnss-nis en libnss-nisplus. Helaas kan glibc deze pakketten niet vereisen en daarom worden deze nu slechts aanbevolen.

Op systemen die NIS of NIS+ gebruiken, is het daarom aangeraden om te controleren of die pakketten correct geïnstalleerd zijn na de upgrade.

5.1.6. Verwerking van configuratiebestandsfragmenten door unbound

De DNS-resolver unbound heeft de manier veranderd waarop het configuratiebestandsfragmenten verwerkt. Als u vertrouwt op een include:-richtlijn om verschillende fragmenten samen te voegen tot een geldige configuratie, moet u het NEWS-bestand lezen.

5.1.7. Verouderde rsync-parameters

De rsync-parameters --copy-devices en --noatime werden hernoemd naar --write-devices en --open-noatime. De oude vormen worden niet langer ondersteund. Indien u ze gebruikt, moet u het NEWS-bestand bekijken. Voor overdrachtsprocessen tussen systemen met verschillende Debian-releases kan het nodig zijn om de buster-kant te upgraden naar een versie van rsync uit de backports-pakketbron.

5.1.8. Afhandeling van vim-uitbreidingen

De uitbreidingen voor vim welke voorheen werden geleverd door vim-scripts, worden nu beheerd door vim's eigen pakket-functionaliteit in plaats van door vim-addon-manager. Gebruikers van vim moeten zich voor de opwaardering hierop voorbereiden door de instructies uit het bestand NEWS te volgen.

5.1.9. OpenStack en cgroups v1

OpenStack Victoria (uitgebracht in bullseye) vereist cgroup v1 voor blokapparaat QoS. Omdat in bullseye ook overgeschakeld wordt op het gebruik van cgroup v2 als standaard (zie Paragraaf 2.2.4, “Control groups v2”), zal de sysfs-boom in /sys/fs/cgroup geen cgroup-functies voor v1 bevatten zoals /sys/fs/cgroup/blkio, met als gevolg dat cgcreate -g blkio:foo zal mislukken. Voor OpenStack-nodes die nova-compute of cinder-volume gebruiken, wordt sterk aanbevolen om de standaardinstelling te overschrijven en de oude cgroup-hiërarchie te herstellen door aan de kernel-commandoregel de parameters systemd.unified_cgroup_hierarchy=false en systemd.legacy_systemd_cgroup_controller=false toe te voegen.

5.1.10. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket lilo werd verwijderd uit bullseye. De opvolger van lilo als bootloader is grub2.

  • Versie 3 van de mailinglijstbeheersuite Mailman is de enige versie van Mailman die beschikbaar is in deze release. Mailman werd in verschillende componenten opgesplitst. De kernfunctionaliteit is te vinden in het pakket mailman3 en de volledige suite kan geïnstalleerd worden met het metapakket mailman3-full.

    De oude Mailman-versie 2.1 is niet langer beschikbaar (dit was vroeger het pakket mailman). Deze tak vereist Python 2, dat niet langer beschikbaar is in Debian.

    Voor upgrade-instructies moet u de documentatie van het project over de omschakeling raadplegen.

  • De Linux-kernel biedt niet langer ondersteuning voor isdn4linux (i4l). Bijgevolg zijn de gerelateerde userland-pakketten isdnutils, isdnactivecards, drdsl en ibod uit de archieven verwijderd.

  • De verouderde libappindicator-bibliotheken worden niet langer aangeboden. Als gevolg hiervan zijn de gerelateerde pakketten libappindicator1, libappindicator3-1 en libappindicator-dev niet langer beschikbaar. Dit zal naar verwachting vereistenfouten veroorzaken voor software van derden die nog steeds libappindicator vereist voor de ondersteuning van de taakbalk en toepassingsaanwijzers.

    Debian gebruikt libayatana-appindicator als opvolger voor libappindicator. Raadpleeg voor technische achtergrond deze aankondiging.

  • Debian biedt chef niet langer aan. Indien u gebruikt maakt van Chef voor configuratiebeheer is overschakelen op het gebruik van de pakketten die aangeboden worden door Chef Inc waarschijnlijk het beste opwaarderingspad.

    Raadpleeg de vraag voor verwijdering voor achtergrondinformatie over het verwijderen van het pakket.

5.1.11. Verouderde componenten van bullseye

Met de volgende uitgave van Debian 12 (codenaam bookworm) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 12.

Daaronder valt de volgende functionaliteit:

  • Python 2 is al voorbij het einde van zijn levensduur en zal geen beveiligingsupdates ontvangen. Het wordt niet ondersteund voor het uitvoeren van toepassingen. Debian bullseye bevat echter nog steeds een versie van Python 2.7, evenals een klein aantal Python 2-bouwgereedschappen zoals python-setuptools. Deze zijn alleen aanwezig omdat ze nodig zijn voor een paar applicatie-bouwprocessen die nog niet zijn omgezet naar Python 3.

  • De historische rechtvaardigingen voor de indeling van het bestandssysteem met de mappen /bin, /sbin en /lib gescheiden van hun equivalenten onder /usr, zijn vandaag niet langer van toepassing; zie de samenvatting van Freedesktop.org. Debian bullseye zal de laatste Debian release zijn met ondersteuning voor de indeling met een niet-samengevoegde /usr; voor systemen met een oude indeling welke opgewaardeerd werden zonder opnieuw geïnstalleerd te zijn, bestaat het pakket usrmerge om desgewenst de omzetting te doen.

5.1.12. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering formeel afgerond. Bij de opwaardering naar bullseye zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.2. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

[Opmerking]Opmerking

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.1. Veiligheidstoestand van webbrowsers en hun render-engines

Debian 11 bevat verscheidene browser-engines die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun engines te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop de engines WebKit en KHTML[6] wel opgenomen in bullseye maar niet gedekt door de beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare websites moeten bezoeken. Het broncodepakket webkit2gtk wordt wel gedekt door de beveiligingsondersteuning.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

5.3. Pakketspecifieke kwesties

In de meeste gevallen kunnen pakketten probleemloos opgewaardeerd worden van buster naar bullseye. In een klein aantal gevallen kan enige tussenkomst nodig zijn, voor of tijdens het opwaarderingsproces. Hierna wordt dit per pakket besproken.

5.3.1. Toegang tot de app GNOME-Instellingen zonder muis

Zonder muis is er geen rechtstreekse manier om instellingen te wijzigen in de app GNOME-Instellingen (GNOME Settings) die beschikbaar gesteld wordt door gnome-control-center. Als mogelijke oplossing kunt u navigeren van de zijbalk naar de hoofdinhoud door tweemaal op de Rechterpijltoets te drukken. Om naar de zijbalk terug te keren, kunt u een zoekbewerking starten met Ctrl+F, iets intypen en dan op Esc drukken om de zoekbewerking af te breken. Nu kunt u gebruik maken van Pijl omhoog en Pijl omlaag om in de zijbalk te navigeren. Het is niet mogelijk om met het toetsenbord zoekresultaten te selecteren.

5.3.2. sendmail downtime during upgrade

In contrast to normal upgrades of sendmail, during the upgrade of buster to bullseye the sendmail service will be stopped, causing more downtime than usual. For generic advice on reducing downtime see Paragraaf 4.1.3, “Bereid u voor op het feit dat diensten een tijd onbeschikbaar zullen zijn”.



[6] Deze engines worden in een aantal verschillende broncodepakketten beschikbaar gesteld en de bezorgdheid betreft alle pakketten die ze beschikbaar stellen. De bezorgdheid betreft ook de render-engines die hier niet expliciet vermeld worden, met uitzondering van webkit2gtk.