Πίνακας Περιεχομένων
Μερικές φορές, αλλαγές που εισάγονται σε μια καινούρια έκδοση έχουν παρενέργειες που αναμενόμενα δεν μπορούμε να αποφύγουμε ή εκθέτουν σφάλματα κάπου αλλού. Αυτή η ενότητα τεκμηριώνει τα προβλήματα των οποίων έχουν γνώση. Παρακαλούμε, διαβάστε επίσης τα παροράματα, τη σχετική τεκμηρίωση των πακέτων, τις αναφορές σφαλμάτων και άλλες πληροφορίες που αναφέρονται στην ενότητα Τμήμα 6.1, «Περαιτέρω διάβασμα».
Αυτή η ενότητα καλύπτει ζητήματα που σχετίζονται με την αναβάθμιση από την προηγούμενη έκδοση buster στην έκδοση bullseye.
Η υποστήριξη για τις επιλογές προσάρτησης κατατμήσεων
barrier
και nobarrier
για το σύστημα
αρχείων XFS έχει αφαιρεθεί. Συνιστάται να ελέγξετε το αρχείο
/etc/fstab
για την παρουσία οποιασδήποτε από αυτές τις
δυο λέξεις κλειδιά και αφαιρέστε τις. Η προσάρτηση των κατατμήσεων που
χρησιμοποιούν αυτές τις επιλογές θα αποτύχει.
Για την έκδοση bullseye, η σουίτα πακέτων security ονομάζεται τώρα
bullseye-security
αντί
και οι
χρήστες θα πρέπει να προσαρμόσουν κατάλληλα τα αρχείο των πηγών του APT κατά
την αναβάθμιση.
codename
/updates
Η γραμμή για την αρχειοθήκη security στις ρυθμίσεις του APT μπορεί να μοιάζει έτσι:
deb https://deb.debian.org/debian-security bullseye-security main contrib
Αν οι ρυθμίσεις του APT περιλαμβάνουν επίσης pinning ή την επιλογή
APT::Default-Release
, είναι πιθανόν να απαιτήσουν
προσαρμογές καθώς το κωδικό όνομα της αρχειοθήκης ασφαλείας δεν ταιριάζει
πλέον το συνηθισμένο. Ένα παράδειγμα μιας λειτουργικής γραμμής
APT::Default-Release
για την έκδοση bullseye μοιάζε ως
εξής:
APT::Default-Release "/^bullseye(|-security|-updates)$/";
το οποίο αξιοποιεί το πλεονέκτημα της υποστήριξης απο το APT των regular
expressions (κάτω από το /
).
Ο προεπιλεγμένος αλγόριθμος κατακερματισμού (hash) του συνθηματικού χρήστη για τους τοπικούς λογαριασμούς στο σύστημα έχει αλλάξει από SHA-512 σε yescrypt (δείτε τη σελίδα εγχειριδίου crypt(5)). Αυτό αναμένεται να προσφέρει βελτιωμένη ασφάλεια απέναντι στις επιθέσεις πρόβλεψης των συνθηματικών τύπου "λεξικού", σε όρους πολυπλοκότητας τόσο του χώρου όσο και του χρόνου της επίθεσης.
Για να επωφεληθείτε από αυτή τη βελτιωμένη ασφάλεια, αλλάξτε τα τοπικά συνθηματικά· για παράδειγμα, χρησιμοποιήστε την εντολή passwd.
Παλιά συνθηματικά θα συνεχίσουν να δουλεύουν χρησιμοποιώντας οποιοδήποτε hash συνθηματικού χρησιμοποιήθηκε για τη δημιουργία τους.
Ο αλγόριθμος yescrypt δεν υποστηρίζεται από το Debian 10 (buster). Ως
αποτέλεσμα, αρχεία shadow password (/etc/shadow
) δεν
μπορούν να αντιγραφούν από ένα σύστημα bullseye σε ένα σύστημα buster. Αν
αυτά τα αρχεία αντιγρφούν, κωδικοί που έχουν αλλάξει στο σύστημα bullseye
δεν θα δουλέψουν στο σύστημα buster. Παρόμοια, hashes κωδικών δεν μπορούν να
γίνουν cut&paste από ένα σύστημαbullseye σε ένα σύστημα buster.
Αν απαιτείται συμβατότητα για τους αλγορίθμους κατακερματισμού (hash) των
συνθηματικών μεταξύ των εκδόσεων bullseye και buster, τροποποιείστε το
/etc/pam.d/common-password
. Βρείτε τη γραμμή που
μοιάζει σαν αυτήν:
password [success=1 default=ignore] pam_unix.so obscure yescrypt
και αντικαταστήστε το yescrypt
με
sha512
.
Η υποστήριξη για τα NSS NIS και NIS+
έχει μετακινηθεί σε ξεχωριστά πακέτα με τα ονόματα libnss-nis
και libnss-nisplus
. Δυστυχώς, η glibc
δεν μπορεί να εξαρτάται από αυτά τα
πακέτα, οπότε προς το παρόν είναι απλά συνιστώμενα.
Σε συστήματα που χρησιμοποιούν NIS ή NIS+, συνιστάται λοιπόν να ελέγξετε αν αυτά τα πακέτα είναι σωστά εγκατεστημένα μετά την αναβάθμιση.
Ο αναλυτής (resolver) DNS unbound
έχει αλλάξει τον τρόπο με τον οποίο χειρίζεται κομμάτια αρχείων
ρυθμίσεων. Αν στηρίζεστε σε μια ντιρεκτίβα include:
για
να ενώσετε αρκετά κομμάτια σε ένα έγκυρο αρχείο ρυθμίσεων, θα πρέπει να
διαβάσετε το αρχείο NEWS.
Η παράμετρος --noatime
του rsync
έχει μετονομαστεί σε
--open-noatime
. Η παλιά μορφή δεν υποστηρίζεται πλέον: αν
την χρησιμοποιείτε θα πρέπει να κοτάξετε το αρχείο old form is no longer
supported; if you are using it you should see the
NEWS file. Μεταφορές δεδομένων μεταξύ συστημάτων που τρέχουν
διαφορετικές εκδόσεις του Debian ίσως απαιτούν το σύστημα με έκδοση buster
να αναβαθμιστούν σε μια έκδοση του πακέτου rsync
από το αποθετήριο backports. Η έκδοση του
rsync
στην αρχική έκδοση του Debian
bullseye έχει επίσης εγκαταλείψει την παράμετρο
--copy-devices
υπέρ της παραμέτρου
--write-devices
, αλλά η έκδοση 3.2.3-4+deb11u1 (που
περιλαμβάνεται στην σημειακή έκδοση της bullseye 11.1) αναιρεί αυτή την
αλλαγή και υποστηρίζει και τις δυο επιλογές.
Η διαχείριση των πρόσθετων για το vim
που παρέχονται ιστορικά από το πακέτο
vim-scripts
, είναι τώρα μέρος
τηςλειτουργικότητας του ίδιου του «πακέτου» και όχι από το
πακέτο vim-addon-manager
. Οι χρήστες
του Vim θα πρέπει να προετοιμαστούν πριν την αναβάθμιση ακολουθώντας τις
οδηγίες στο αρχείο NEWS.
Το OpenStack Victoria (που κυκλοφόρησε με την έκδοση bullseye) απαιτεί την
έκδοση cgroup v1 για το έλεγχο QoS των συσκευών block. Μιας και η έκδοση
bullseye αλλάζει περνά επίσης στην εξ ορισμού χρήση του cgroupv2 (δείτε
Τμήμα 2.2.4, «Control groups v2»), το δέντρο sysfs στον κατάλογο
/sys/fs/cgroup
δεν θα περιλαμβάνει γνωρίσματα του
cgroup v1 όπως τα /sys/fs/cgroup/blkio
, και ως
αποτέλεσμα η εντολή cgcreate -g blkio:foo θα
αποτύχει. Για κόμβους του OpenStack που τρέχουν nova-compute
ή cinder-volume
, συνίσταται έντονα η προσθήκη των
παραμέτρων systemd.unified_cgroup_hierarchy=false
και
systemd.legacy_systemd_cgroup_controller=false
στη γραμμή
εντολών του πυρήνα ώστε να παρακαμφθεί η προεπιλογή και να αποκατασταθεί η
παλιά ιεραρχία του cgroup.
Ακολουθώντας τις συστάσεις της upstream, το OpenStack Victoria όπως
κυκλοφόρησε με την έκδοσηbullseye αλλάζει το OpenStack API ώστε να
χρησιμοποιεί το νέο YAML format. Ως αποτέλεσμα, οι περισσότερες υπηρεσίες
του OpenStack, συμπεριλαμβανομένων των Nova, Glance, και Keystone, φαίνονται
να έχουν "σπάσει" με όλες τις πολιτικές API γραμμένες ρητά στα αρχεία
policy.json
. Συνεπώς, τα πακέτα έρχονται τώρα με έναν
κατάλογο /etc/PROJECT/policy.d
που περιέχει ένα αρχείο
00_default_policy.yaml
, με όλες τις πολιτικές
αποσχολιασμένες εξ ορισμού.
Για να αποφευχθεί η περίπτωση να παραμείνει ενεργό το παλιό αρχείο
policy.json
, τα πακέτα του Debian OpenStack
μετονομάζουν τώρα το αρχείο αυτό σε
disabled.policy.json.old
. Σε μερικές περιπτώσεις που
δεν μπορούσε να γίνει κάτι καλλίτερο έγκαιρα για την έκδοση, το αρχείο
policy.json
απλά διαγράφεται. Επομένως, πριν την
αναβάθμιση, συνίσταται έντονα να κάνετε ένα αντίγραφο ασφαλείας των αρχείων
policy.json
των υλοποιήσεών σας.
Περισσότερες πληροφορίες είναι διαθέσιμες στη σελίδα τεκμηρίωση upstream.
Σε αντίθεση με τις συνηθισμένες αναβαθμίσεις στο sendmail
, στη διάρκεια της αναβάθμισης από την
έκδοση buster στην έκδοση bullseye η υπηρεσία sendmail θα σταματήσει,
προκαλώντας μεγαλύτερο χρόνο διακοπής από το συνηθισμένο. Για γενικές
συμβουλές σχετικά με τη μείωση του χρόνου διακοπής δείτε τη σελίδα Τμήμα 4.1.3, «Προετοιμαστείτε για χρόνο διακοπής των υπηρεσιών».
Μερικά πακέτα, περιλαμβανομένων των gvfs-fuse
, kio-fuse
, και sshfs
έχουν αλλάξει στην έκδοση FUSE 3. Στη
διάρκεια αναβαθμίσεων αυτό θα προκαλέσει την εγκατάσταση του πακέτου
fuse3
και την αφαίρεση του πακέτου
fuse
.
Σε μερικές εξαιρετικές περιπτώσεις, πχ. όταν κάνετε την αναβάθμιση τρέχοντας
απλά την εντολή apt-get dist-upgrade αντί των
συνιστώμενων βημάτων από το κεφάλαιο Κεφάλαιο 4, Αναβαθμίσεις από την έκδοση 10 (buster), πακέτα
που εξαρτώνται από το πακέτοfuse3
ίσως να μην αναβαθμιστούν στη διάρκεια της αναβάθμισης. Εκτελώντας ξανά τα
βήματα που συζητιούνται στην ενότητα Τμήμα 4.4.5, «Αναβάθμιση του συστήματος» με το
apt
της έκδοσης bullseye ή
αναβαθμίζοντας τα με το χέρι θα επιλύσει αυτό το πρόβλημα.
Ξεκινώντας με την έκδοση 2.2.27-1, η ανά χρήστη ρύθμιση της σουίτας
GnuPG
έχει μεταφερθεί πλήρως στο αρχείο
~/.gnupg/gpg.conf
, και το αρχείο
~/.gnupg/options
δεν χρησιμοποιείται πλέον. Παρακαλούμε
μετονομάστε, αν είναι απαραίτητο, το αρχείο ή μεταφέρετε το περιεχόμενό του
στην νέα τοποθεσία.
Από την έκδοση του πυρήμα του Linux
5.10, όλοι οι χρήστες
επιτρέπεται εξ ορισμού να δημιουργούν user namespaces. Αυτό θα επιτρέψει σε
προγράμματα όπως οι φυλλομετρητές ιστοσελίδων και διαχειριστές container να
δημιουργούν πιο περιορισμένα περιβάλλοντα δοκιμών (sandbox) για μη έμπιστα ή
λιγότερο έμπιστα κομμάτια κώδικα, χωρίς την ανάγκη να τα εκτελούν ως χρήστης
root ή να χρησιμοποιούν ένα βοήθημαορισμού setuid-root.
Η προηγούμενη προεπιλογή για το Debian ήταν ο περιορισμός αυτού του γνωρίσματος σε διαδικασίες που εκτελούνται μόνο από τον χρήστη root, γιατί άφηνε περισσότερα προβλήματα ασφαλείας εκτεθειμένα στον πυρήνα. Όμως, καθώς η υλοποίηση αυτού του γνωρίσματος ωρίμασε, έχουμε τώρα την εμπιστοσύνη ότι ο κίνδυνος ενεργοποίησής του υπερκαλύπτεται από τα οφέλη που προσφέρει για την ασφάλεια.
Αν προτιμάτε να διατηρήσετε αυτό το γνώρισμα με περιορισμούς, ορίστε στο sysctl:
user.max_user_namespaces = 0
Σημειώστε ότι διάφορα γνωρίσματα σε περιβάλλοντα επιφάνειας εργασίας και
container δεν θα δουλεύουν με αυτόν τον περιορισμό σε ισχύ, περιλαμβανομένων
περιηγητών ιστοσελίδων, του WebKitGTK
, του
Flatpak
και των μικρογραφιών (thumbnail) του
GNOME
.
Η επιλογή του sysctl kernel.unprivileged_userns_clone=0
που είναι συγκεκριμένα για το Debian, έχει ένα παρόμοιο αποτέλεσμα, αλλά
έχει καταργηθεί.
Από την έκδοση του πυρήνα του Linux
5.10, το Debian
απενεργοποιεί εξ ορισμού μη-προνομιούχες κλήσεις στην συνάρτηση bpf(). Ένας
διαχειριστής μπορεί, όμως, ακόμα να αλλάξει αυτή την ρύθμιση αργότερα, αν
αυτό απαιτείται, θέτοντας την τιμή 0 ή 1 στην παράμετρο
kernel.unprivileged_bpf_disabled
του sysctl.
Αμ προτιμάτε να διατηρήσετε τις μη προνομιούχες κλήσεις στο bpf(), ορίστε στο sysctl:
kernel.unprivileged_bpf_disabled = 0
Για το υπόβαθρο της αλλαγής ως προεπιλογής για το Debian δείτε το σφάλμα bug 990411 για το σχετικό αίτημα.
Το πακέτο redmine
δεν διατίθεται
στην έκδοση bullseye, καθώς ήταν πολύ αργά για να μεταφερθεί από την παλιά
έκδοση του πακέτου rails
το οποίο
είναι κοντά στην λήξη της upstream υποστήριξης (λαμβάνοντας διορθώσεις μόνο
για εξαιρετικά σοβαρά προβλήματα ασφαλείας) στην έκδοση που βρίσκεται στην
έκδοση bullseye. Οι Συντηρητές/τριες του Ruby
Extras
παρακολουθούν από κοντά την upstream και θα βγάλουν μια
έκδοση μέσω του αποθετηρίου backports από τη στιγμή που θα
κυκλοφορήσει και θα έχει λειτουργικά πακέτα. Αν δεν μπορείτε να περιμένετε
για αυτό πριν την αναβάθμιση, μπορείτε να χρησιμοποιήσετε μια εικονική
μηχανή (VM) ή ένα container που τρέχει την έκδοση buster ώστε να απομονώσετε
αυτή την συγκεκριμένη εφαρμογή.
Παρακαλούμε θεωρ´ την έκδοση του Exim στην έκδοση bullseye ως μια
μείζονα αναβάθμισή του. Εισάγει την έννοια των
αλλοιωμένων (tainted) δεδομένων που διαβάζονται από μη έμπιστες πηγές, όπως
πχ. ο αποστολέας ή παραλήπτης ενός μηνύματος. Αυτά τα αλλοιωμένα δεδομένα
(πχ. $local_part
ή $domain
) δεν
μπορούν να χρησιμοποιηθούν με άλλα στοιχεία όπως το όνομα ενός αρχείου ή
καταλόγου ή το όνομα μιας εντολής.
Αυτό θα χαλάσει ρυθμίσεις που δεν θα έχουν επικαιροποιηθεί ανάλογα. Παλιά αρχεία ρυθμίσεων του Exim στο Debian επίσης δεν θα δουλεύουν χωρίς τροποποιήσεις· οι νέες ρυθμίσεις χρειάζεται να εγκατασταθούν με την συγχώνευση των τοπικών τροποποιήσεων.
Τυπικά μη λειτουργικά παραδείγματα περιλαμβάνουν:
Παράδοση στον κατάλογο
/var/mail/$local_part
. Χρησιμοποιήστε την παράμετρο
$local_part_data
σε συνδυασμό με την
check_local_user
.
Χρησιμοποιώντας
data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
αντί για
data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
για ένα αρχείο ψευδωνύμων (aliases) εικονικού τομέα (domain).
Η βασική στρατηγική διαχείρισης αυτής της αλλαγής είναι να χρησιμοποιήσετε το αποτέλεσμα ενός lookup στην περαιτέρω επεξεργασία αντί της αρχικής (από μακριά παρεχόμενης) τιμής.
Για την διευκόλυνση της αναβάθμισης υπάρχει μια καινούρια κύρια επιλογή ρύθμισης για την προσωρινή υποβάθμιση σφαλμάτων αλλοίωσης σε προειδοποιήσεις, επιτρέποντας στην παλιά ρύθμιση να δουλεύει με την νεώτερη έκδοση του Exim. Για να χρησιμοποιήσετε αυτό το γνώρισμα προσθέστε
.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA allow_insecure_tainted_data = yes .endif
στις ρυθμίσεις του Exim (πχ. στο αρχείο
/etc/exim4/exim4.conf.localmacros
)
πριν από την αναβάθμιση και ελέγξτε το αρχείο
καταγραφής για προειδοποιήσεις σχετικά με tainting. Αυτό είναι μια προσωρινή
εναλλακτική που είναι ήδη σημαδεμένη για αφαίρεση στην εισαγωγή.
Εξαιτίας αλλαγών στον πυρήνα του Linux, η διερεύνηση για συσκευές SCSI δεν
είναι πλέον ντετερμινιστική. Αυτό θα μπορούσε να είναι πρόβλημα για
εγκαταστάσεις που βασίζονται στη σειρά της διερεύνησης των δίσκων. Δυο
πιθανές εναλλακτικές που χρησιμοποιούν συνδέσμους στον κατάλογο
/dev/disk/by-path
ή έναν κανόνα για το udev
προτείνονται σε αυτή την δημοσίευση
στη λίστα αλληλογραφίας.
Τα δικτυακά πρωτόκολλα των εκδόσεων 1 και 2 του πακέτου rdiff-backup
είναι μη συμβατό. Αυτό σημαίνει ότι
πρέπει να τρέχετε την ίδια έκδοση (ή 1 ή 2) του rdiff-backup
τοπικά και απομακρυσμένα. Αφού η
έκδοση buster έρχεται με την έκδοση 1.2.8 ενώ η έκδοση bullseye με την
έκδοση 2.0.5, η αναβάθμιση μόνο του τοπικού ή μόνο το απομακρυσμένου
συστήματος από την έκδοση buster στην έκδοση bullseye θα καταστρέψει τις
εκτελέσεις του rdiff-backup
μεταξύ
των δύο.
Η έκδοση 2.0.5 του rdiff-backup
είναι διαθέσιμη στο αποθετήριο buster-backports, δείτε backports. Αυτό δίνει την
δυνατότητα στους χρήστες να αναβαθμίσουν πρώτα μόνο το πακέτο rdiff-backup
στα συστήματα με buster, και μετά
να αναβαθμίσουν ανεξάρτητα τα συστήματα στην έκδοσηbullseye όποτε αυτό είναι
βολικό.
Το πακέτο intel-microcode
που
υπάρχει αυτή τη στιγμή στην έκδοση bullseye και το αποθετήριο
buster-security (δείτε DSA-4934-1)
είναι γνωστό ότι περιέχει δυο σημαντικά σφάλματα. Για μερικούς επεξεργαστές
CoffeeLake αυτή η αναβάθμιση ενδέχεται
να χαλάσει τις δικτυακές διεπαφές που χρησιμοποιούν το firmware-iwlwifi
, και για μερικούς επεξεργαστές
Skylake R0/D0 on systems που χρησιμοποιούν εξαιρετικά παλιό firmware/BIOS,
το
σύστημα ίσως "κρεμάσει" κατά την εκκίνηση.
Αν έχετε αναβάλει την αναβάθμιση εξαιτίας της προειδοποίησης ασφαλείας
DSA-4934-1 και εξαιτίας ενός από τα δύο αυτά προβλήματα, ή αν δεν έχετε
ενεργοποιήσει την αρχειοθήκη ασφαλείας, έχετε υπόψιν ότι η αναβάθμιση στο
πακέτο intel-microcode
στην έκδοση
bullseye μπορεί να προκαλέσει το πάγωμα του συστήματός σας κατά την εκκίνηση
ή να χαλάσει τη λειτουργία του iwlwifi. Σε αυτή την περίπτωση, μπορείτε να
ανακτήσετε το σύστημα απενεργοποιώντας τη φόρτωση του microcode κατά την
εκκίνηση· δείτε τις οδηγίες στις προειδοποιήσεις DSA, που περιλαμβάνονται
επίσης στο αρχείο README.Debian
του πακέτου intel-microcode
.
Πακέτα που εξαρτώνται από το πακέτο libgc1c2
στην έκδοση buster (πχ. το guile-2.2-libs
) ίσως ανασταλεό η αναβάθμισή τους
στη διάρκεια την πρώτης πλήρους αναβάθμισης στην έκδοση bullseye. Κάνοντας
μια δεύτερη αναβάθμιση συνήθως λύνει αυτό το πρόβλημα. Το υπόβαθρο του
προβλήμαοτς μπορεί να βρεθεί στον σύνδεσμο bug
#988963.
Το πακέτο fail2ban
μπορεί να
ρυθμιστεί ώστε να στέλνει ειδοποιήσεις με e-mail. Αυτό το κάνει
χρησιμοποιώντας την εντολή mail, η οποία παρέχεται από
πολλαπλά πακέτα στο Debian. Μια αναβάθμιση ασφαλείας (απαραίτητη σε
συστήματα που χρησιμοποιούν την εντολή mail από το πακέτο
mailutils
) μόλις πριν από την
κυκλοφορία της έκδοσηςbullseye "έσπασε" αυτή τη λειτουργικότητα σε συστήματα
στα οποία η εντολή mail παρέχεται από το πακέτο
bsd-mailx
. Χρήστες του
fail2ban
σε συνδυασμό με το
πακέτοbsd-mailx
που θέλουν
fail2ban
να στέλνουν e-mail θα πρέπει είτε να
αλλάξουν σε ένα άλλο πακέτο που να προσφέρει την εντολή
mail ή να αναιρέσουν με το χέρι την the
upstream commit (η οποία εισήγαγε το string "-E 'set
escape'
" σε διάφορα σημεία στον κατάλογο
/etc/fail2ban/action.d/
).
Παρ' όλο που οι υπάρχουσες συνδέσει με Secure Shell (SSH) θα πρέπει να
συνεχίσουν να δουλεύουν στη διάρκεια της αναβάθμισης ως συνήθως, εξαιτίας
ατυχών περιστάσεων η περίοδος κατά την οποία νέες συνδέσεις SSH δεν μπορούν
να εδραιωθούν είναι μεγαλύτερη από το συνηθισμένο. Αν η αναβαθμιστούν
γίνεται μέσω μιας σύνδεσης SSH που είναι πιθανόν να διακοπεί, συνιστάται να
αναβαθμίσετε το πακέτο openssh-server
πριν αναβαθμίσετε το πλήρες
σύστημα.
Η αναβάθμιση του πακέτου openvswitch
ίσως αποτύχει να επαναφέρεις τις διεπαφές γέφυρας μετά την εκκίνηση. Η
πρόχειρη λύση για αυτό είναι:
sed -i s/^allow-ovs/auto/ /etc/network/interfaces
Για περισσότερες πληροφορίες δείτε το bug #989720.
Υπάρχουν μερικά πακέτα για τα οποία το Debian δεν μπορεί να υποσχεθεί να παρέχει μια ελάχιστη έκδοση backport για λόγους ασφαλείας Αυτά τα πακέτα καλύπτονται στις ακόλουθες υποενότητες.
Σημείωση | |
---|---|
Το πακέτο |
Η έκδοση του Debian 11 περιλαμβάνει αρκετές μηχανές περιηγητών που επηρεάζονται από ένα σταθερό ρεύμα αδυναμιών ασφαλείας. Αυτός ο υψηλός ρυθμός αδυναμιών και η μερική έλλειψη upstream υποστήριξης με την μορφή μακροπρόσθεσμων branches καθιστά πολύ δύσκολη την υποστήριξη τέτοιων περιηγητών με backported διορθώσεις ασφαλείας. Επιπλέον, αλληλεξαρτήσεις βιβλιοθηκών καθιστούν πολύ δύσκολη την επικαιροποίηση σε πιο καινούριες upstream εκδόσεις. Συνεπώς, περιηγητές που δημιουργούνται για παράδειγμα με τις μηχανές webkit και khtml [6] περιλαμβάνονται στην έκδοση bullseye, αλλά δεν καλύπτονται μευποστήριξη ασφαλείας. Αυτοί οι περιηγητές δεν θα πρέπει να χρησιμοποιούνται σειστοσελίδες που δεν είναι αξιόπιστες. Οι μηχανές webkit2gtk και wpewebkit καλύπτονται με υποστήριξη ασφαλείας.
Ως περιηγητή Ιστού συνιστούμε τον Firefox ή το Chromium. Θα επικαιροποιούνται μεταγλωττίζοντας και πάλι τις τρέχουσες ESR εκδόσεις για την σταθερή διανομή. Η ίδια στρατηγική θα εφαρμοστεί και για το Thunderbird.
Η έκδοση του Debian bullseye έρχεται με μια πρώιμη πρόσβαση στην έκδοση
OpenJDK 17
(την επόμενη αναμενόμενη έκδοση του
OpenJDK LTS
μετά την έκδοση OpenJDK
11
), για να αποφευχθεί η μάλλον επίπονη διαδικασία bootstrap. Το
πλάνο είναι η έκδοση OpenJDK 17
να λάβει μια
επικαιροποίηση στην έκδοση bullseye για την τελική upstream έκδοση που
ανακοινώθηκε για τον Οκτώβριο του 2021, ακολουθούμενη από επικαιροποιήσεις
ασφαλείας στην καλλίτερη εφικτή βάση, αλλά οι χρήστες δεν θα πρέπει να
περιμένουν να δουν επικαιροποιήσεις για κάθε τριμηνιαία upstream αναβάθμιση
ασφαλείας.
Προς το παρόν, η υποδομή του Debian αντιμετωπίζει προβλήματα με το ξαναχτίσιμο τύπων πακέτων που χρησιμοποιούν συστηματικά στατικό linking. Πριν από την έκδοση buster αυτό δεν ήταν πρόβλημα στην πράξη, αλλά με την αύξηση του οικοσυστήματος της γλώσσας Go, σημαίνει ότι τα πακέτα που βασίζονται στην Go θα έχουν περιορισμένη κάλυψη ασφάλειας μέχρι η υποδομή του Debian να βελτιωθεί για να χειρίζεται αυτά τα πακέτο με αποτελεσματκό από άποψη συντήρησης τρόπο.
Αν οι επικαιροποιήσεις είναι εγγυημένες για τις βιβλιοθήκες ανάπτυξης της Go, τότε μπορούν να γίνονται μόνο μέσω τακτικών σημειακών εκδόσεων, οι οποίες ενδέχεται να καθυστερούν να βγουν.
Χωρίς μια συσκευή κατάδειξης (pointing device), δεν υπάρχει άμεσος τρόπος να
αλλάξει κανείς τις ρυθμίσεις στην εφαρμογή GNOME Settings που παρέχεται από
το πακέτο gnome-control-center
. Ως
προσωρινή λύση, μορείτε να περιηγηθείτε από την πλαϊνή μπάρα (sidebar) στο
κύριο περιεχόμενο πατώντας δύο φορές το δεξί βελάκι Right
Arrow. Για να επιστρέψετε στο sidebar, μπορείτε να ξεκινήσετε με
μια αναζήτηση με τον συνδυασμό πλήκτρων Ctrl+F, να
πληκτρολογήσετε κάτι, πατώντας μετά το Esc ώστε να
ακυρώσετε την αναζήτηση. Τότε, μπορείτε να χρησιμοποιήσετε το πάνω βελάκι
Up Arrow και το κάτω βελάκι Down Arrow για
να περιηγηθείτε στην πλαϊνή μπάρα. Δεν είναι εφικτό να επιλέξετε
αποτελέσματα αναζήτησης με το πληκτρολόγιο.
Με την υλοποίηση του sulogin
που χρησιμοποιείται από την
έκδοση buster, η εκκίνηση με την επιλογή rescue
απαιτεί
πάντα το συνθηματικό του χρήστη root. Αν δεν έχετε ορίσει ένα τέτοιο, αυτό
καθιστά την κατάσταση rescue πρακτικά μη χρησιμοποιήσιμη. Είναι, όμως, ακόμα
εφικτό να εκκινήσετε χρησιμοποιώντας την παράμετρο
πυρήναinit=/sbin/sulogin --force
Για να ρυθμίσετε το systemd να κάνει το ισοδύναμο αυτού όποτε εκκινεί στην κατάσταση rescue (γνωστή επίσης και ως single mode: δείτε την σελίδα εγχειριδίου systemd(1)), εκτελέστε την εντολή sudo systemctl edit rescue.service και δημιουργήστε ένα αρχείο που να περιέχει απλά:
[Service] Environment=SYSTEMD_SULOGIN_FORCE=1
Μπορεί επίσης (ή εναλλακτικά) να είναι χρήσιμο να το κάνετε αυτό και για την
μονάδα emergency.service
, η οποία ξεκινά
αυτόματα στην περίπτωση συγκεκριμένων σφαλμάτων (δείτε
την σελίδα εγχειριδίου systemd.special(7)),
ή αν η επιλογή emergency
προστεθεί στη γραμμή εντολών
του πυρήνα \ (πχ. αν το σύστημα δεν μπορεί να ανακτηθεί με την χρήση της
κατάστασης rescue).
Για το υπόβαθρο και μια συζήτηση για τις συνέπειες της ασφάλειας δείτε #802211.
Ο πυρήμας του Linux (από την έκδοση 5.9 και μετά) δεν υποστηρίζει πλέον
32-μπιτα εικονικά συστήματα xen
που
χρησιμοποιούν PV
mode. Τέτοιες εικονικές μηχανές θα πρέπει να μετατραπούν στην
64-μπιτη PC αρχιτεκτονική.
Μπορείτε να ελέγξετε σε ποια κατάσταση τρέχει ένα φιλοξενούμενο σύστημα Xen (μέσα από την εικονική μηχανή):
$ cat /sys/hypervisor/guest_type PV
Εικονικές μηχανές που επιστρέφουν, για παράδειγμα, PVH
ή
HVM
δεν επηρεάζονται.
Η ακόλουθη είναι μια λίστα γνωστών και σημαντικών παρωχημένων πακέτων (δείτε την ενότητα Τμήμα 4.8, «Παρωχημένα πακέτα» για μια περιγραφή).
Η λίστα των παρωχημένων πακέτων περιλαμβάνει:
Το πακέτο lilo
έχει αφαιρεθεί από
την έκδοσηbullseye. Ο διάδοχος του lilo ως φορτωτής εκκίνησης είναι το
grub2
.
Η έκδοση 3 της σουίτας διαχείρισης λιστών αλληλογραφίας Mailman είναι η μόνη
διαθέσιμη σε αυτή την έκδοση. Η εφαμε το πακέτο mailman3
και η πλήρης σουίτα μπορεί να αποκτηθεί
με το μεταπακέτοmailman3-full
.
Η παλιά legacy έκδοση 2.1 του Mailman δεν είναι πλέον διαθέσιμη (αυτό ήταν
παλιά το πακέτο mailman
). Αυτό το
branch εξαρτάται από την έκδοση Python 2 η οποία δεν είναι πλέον διαθέσιμη
στο Debian.
Για οδηγίες αναβάθμισης, παρακαλούμε δείτε τη σελίδα τεκμηρίωσης της μετάβασης για το σχέδιο.
Ο πυρήνας του Linux δεν παρέχει πλέον υποστήριξη για το
isdn4linux
(i4l). Συνεπώς, τα σχετικά εκτός πυρήνα
(userland) isdnutils
, isdnactivecards
, drdsl
και ibod
έχουν αφαιρεθεί από τις αρχειοθήκες.
Οι παρωχημένες βιβλιοθήκες libappindicator δεν διατίθενται πλέον. Ως εκ
τούτου, τα σχετικά πακέτα libappindicator1
, libappindicator3-1
και libappindicator-dev
δεν είναι πλέον
διαθέσιμα. Αυτό αναμένεται να προκαλέσει διάφορα σφάλματα εξαρτήσεων για
λογισμικό τρίτων που παρέχει υποστήριξη για το system tray και τον
indicator.
Το Debian χρησιμοποιεί το libayatana-appindicator
ως διάδοχο του
libappindicator. Για το τεχνικό υπόβαθρο δείτεsee αυτή την
ανακοίνωση.
Το Debian δεν παρέχει πλέον το πακέτο chef
. Αν χρησιμοποιείτε το Chef για διαχείριση
ρυθμίσεων, η καλλίτερη διαδρομή αναβάθμισης είναι ίσως να αλλάξετε στην
χρήση των πακέτων που παρέχονται από την Chef Inc.
Για το υπόβαθρο αυτής της αφαίρεσης, δείτε the removal request.
Η έκδοση Python 2 έχει ήδη ξεπεράσει το σημείο End Of Life, και δεν θα έχει
πλέον αναβαθμίσεις ασφαλείας. Δεν υποστηρίζεται για την εκτέλεση εφαρμογών,
και πακέτα που υποστηρίζονται από αυτήν πρέπει είτε να αλλάξουν στην έκδοση
Python 3 ή να αφαιρεθούν. Παρ' όλα αυτά, η έκδοση Debian bullseye
εξακολουθεί να περιέχει μια έκδοση του Python 2.7, καθώς και έναν μικρό
αριθμό εργαλείων δημιουργημένων με την έκδοση Python 2 όπως το πακέτο
python-setuptools
. Αυτά είναι
παρόντα μόνο επειδή απαιτούνται για τις διαδικασίες δημιουργίας μερικών
εφαρμογών που δεν έχουν ακόμα μεταβεί στην έκδοση Python 3.
Το πακέτο aufs-dkms
δεν είναι μέρος
της έκδοσηςbullseye. Οι περισσότεροι χρήστες του aufs-dkms
μπορούν να αλλάξουν στο σύστημα
αρχείων overlayfs
, που παρέχει ανάλογη λειτουργικότητα με
την υποστήριξη του πυρήνα. Όμως, είναι δυνατόν να έχει κανείς μια
εγκατάσταση του Debian σε ένα σύστημα αρχείων που δεν είναι συμβατό με το
overlayfs
, πχ. το xfs
χωρίς την
επιλογήd_type
. Συμβουλεύουμε του χρήστες του aufs-dkms
να αλλάξουν από το σύστημα αρχείων
aufs-dkms
πριν την αναβάθμιση στην
έκδοση bullseye.
Ο διαχειριστής δικτυακών συνδέσεων wicd
δεν θα είναι πλέον διαθέσιμος μετά την
αναβάθμιση, οπότε για να αποφύγετε τον κίνδυνο απώλειας της σύνδεσης
συνιστούμε στους χρήστες να αλλάξουν πριν την αναβάθμιση σε μια εναλλακτική
εφαρμογή όπως οι network-manager
ή
connman
.
Με την επόμενη έκδοση του Debian 12 (με το κωδικό όνομα bookworm) μερικά γνωρίσματα θα καταστούν παρωχημένα. Οι χρήστες θα χρειαστεί να μεταβούν σε άλλες αρχιτεκτονικές για την αποτροπή προβλημάτων κατά την αναβάθμιση στην έκδοση Debian 12.
Αυτό περιλαμβάνει τα ακόλουθα χαρακτηριστικά:
Οι ιστορικές αιτιολογήσεις για την διάταξη του συστήματος αρχείων με τους
καταλόγους /bin
, /sbin
, και
/lib
ως ξεχωριστών από τα ισοδύναμά τους κάτω από τον
κατάλογο /usr
δεν ισχύουν πλέον σήμερα· δείτε την
σελίδα Freedesktop.org
summary. Η έκδοση Debian bullseye θα είνα η τελευταία έκδοση του
Debian που θα υποστηρίζει την διάταξη με τον μη-συγχωνευμένο κατάλογο usr·
για συστήματα με την παλιά διάταξη που έχουν αναβαθμιστεί χωρίς
επανεγκατάσταση, υπάρχει το πακέτο usrmerge
για να κάνετε την μετατροπή εφόσον το
επιθυμείτε.
Η έκδοση bullseye είναι η τελευταία έκδοση του Debian που έρχεται με την
εντολή apt-key. Αντί γι' αυτό, η διαχείριση των κλειδιών
θα πρέπει να γίνεται προσθέτοντας αρχεία στον κατάλογο
/etc/apt/trusted.gpg.d
, σε δυαδικό μορφότυπο όπως
δημιουργούνται από την εντολή gpg --export με την
κατάληξη .gpg
ή με τον μορφότυπο ASCII armored με
κατάληξη .asc
.
Ένα υποκατάστατο του apt-key list για την διερεύνηση με το χέρι του keyring είναι υπό σχεδιασμό, αλλά η σχετική δουλειά για αυτό δεν έχει ακόμα ξεκινήσει.
Τα database backend του slapd
slapd-bdb(5),
slapd-hdb(5),
και slapd-shell(5)
έχουν αποσυρθεί και δεν θα συμπεριλαμβάνονται στην επόμενη έκδοσηDebian
12. Βάσεις δεδομένων LDAP που χρησιμοποιούν τα backend
bdb
ή hdb
θα πρέπει να μετατραπούν στο
backendslapd-mdb(5).
Επιπρόσθετα, τα backend slapd-perl(5) και slapd-sql(5) έχουν καταργηθεί και πιθανόν να αφαιρεθούν σε κάποια μελλοντική έκδοση.
Το Σχέδιο OpenLDAP δεν υποστηρίζεται αποσυρθέντα ή παρωχημένα backend. Υποστήριξη για αυτά τα backend στην έκδοση Debian 11 γίνεται σε μια βάση βέλτιστης προσπάθειας (best effort).
Παρ' όλο που το Debian κυκλοφορεί όταν είναι έτοιμο, αυτό δεν σημαίνει, δυστυχώς, ότι δεν υπάρχουν γνωστά σφάλματα. Ως μέρος της διαδικασίας κυκλοφορίας, όλα τα σφάλματα με σοβαρότητα κρισιμότερη από serious παρακολουθούνται ενεργά από την Ομάδα Έκδοσης, οπότε μια επισκόπηση των σφαλμάτων αυτών που είχαν μαρκαριστεί να αγνοούνται στην τελευταία φάση της κυκλοφορήσεις της έκδοσης bullseye μπορούν να βρεθούν στη σελίδα του Σύστημα Παρακολούθησης Σφαλμάτων του Debian. Τα παρακάτων σφάλματα επηρέαζαν την έκδοση bullseye την στιγμή της κυκλοφορίας της και αξίζει να αναφερθούν στο παρόν κείμενο:
Αριθμός σφάλματος | Πακέτο (πηγαίου κώδικα ή μεταγλωττισμένο - binary) | Περιγραφή |
---|---|---|
922981 | ca-certificates-java | ca-certificates-java: /etc/ca-certificates/update.d/jks-keystore doesn't update /etc/ssl/certs/java/cacerts |
990026 | cron | cron: Reduced charset in MAILTO causes breakage |
991081 | gir1.2-diodon-1.0 | Το πακέτο gir1.2-diodon-1.0 δεν έχει εξαρτήσεις |
990318 | python-pkg-resources | python-pkg-resources: παρακαλούμε προσθέστε το Breaks ως προς τα χωρίς έκδοση πακέτα του python |
991449 | fail2ban | η διόρθωση για την προειδοποίηση ασφαλείας CVE-2021-32749 "σπάει" τα συστήματα με το πρόγραμμα mail από το πακέτο bsd-mailx |
990708 | mariadb-server-10.5,galera-4 | mariadb-server-10.5: προβλήματα αναβάθμισης οφειλόμενα στο galera-3 -> galera-4 switch |
980429 | src:gcc-10 | g++-10: spurious c++17 mode segmentation fault in append_to_statement_list_1 (tree-iterator.c:65) |
980609 | src:gcc-10 | λείπει το αρχείο i386-cpuinfo.h |
984574 | gcc-10-base | gcc-10-base: παρακαλούμε προσθέστε ότι Breaks: gcc-8-base (<< 8.4) |
984931 | git-el | git-el,elpa-magit: αποτυχία εγκατάστασης: /usr/lib/emacsen-common/packages/install/git emacs απέτυχε στο /usr/lib/emacsen-common/lib.pl γραμμή 19, <TSORT> γραμμή 7. |
987264 | git-el | git-el: αποτυχία εγκατάστασης με το πακέτο xemacs21 |
991082 | gir1.2-gtd-1.0 | gir1.2-gtd-1.0 έχει κενό πεδίο Depends |
948739 | gparted | Το gparted δεν θα πρέπει να θέτει σε κατάσταση mask τις μονάδες .mount |
984714 | gparted | Το πρόγραμμα gparted θα έπρεπε να προτείνει το exfatprogs και να κάνει backport το commit που απορρίπτει το exfat-utils |
968368 | ifenslave | ifenslave: Η επιλογή bond-master αποτυγχάνει να προσθέσει διεπαφή στο bond |
990428 | ifenslave | ifenslave: το bonding δεν δουλεύει στην έκδοση bullseye (χρησιμοποιώντας τις ρυθμίσεις για bond-slaves) |
991113 | libpam-chroot | το πακέτο libpam-chroot εγκαθιστά το pam_chroot.so σε λάθος κατάλογο |
989545 | src:llvm-toolchain-11 | libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - failed to create temporary texture to hold untiled copy |
982459 | mdadm | Το mdadm --examine σε περιβάλλον chroot χωρίς τις κατατμήσεις /proc,/dev,/sys προσαρτημένες αλλοιώνει το σύστημα αρχείων του συστήματος |
981054 | openipmi | openipmi: λείπει η εξάρτηση από το kmod |
948318 | openssh-server | openssh-server: αδυναμία επανεκκίνησης του sshd μετά την αναβάθμιση στην έκδοση 8.1p1-2 |
991151 | procps | procps: κατάργηση της επιλογής reload από το init script, "σπάει" το corekeeper |
989103 | pulseaudio | pulseaudio regressed on control=Wave configuration |
984580 | libpython3.9-dev | libpython3.9-dev: λείπει η εξάρτηση από το zlib1g-dev |
990417 | src:qemu | openjdk-11-jre-headless: η εκτέλση της java στο qemu s390 δίνει ένα σήμα SIGILL at C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8 |
859926 | speech-dispatcher | συγκρούεται με το pulse-audio ως έξοδος αν το δημιουργεί το speechd-up από το init σύστημα |
932501 | src:squid-deb-proxy | squid-deb-proxy: ο δαίμονας δεν μπορεί να ξεκινήσει επειδή το αρχείο ρυθμίσεων μπλοκάρεται από το apparmor |
991588 | tpm2-abrmd | Το πακέτο tpm2-abrmd δεν θα πρέπει να χρησιμοποιεί την παράμετρο Requires=systemd-udev-settle.service στην μονάδα του (στο systemd) |
991939 | libjs-bootstrap4 | libjs-bootstrap4: "σπασμένοι" συμβολικοί σύνδεσμοι: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map |
991822 | src:wine | src:wine: η εντολή dh_auto_clean διαγράφει άσχετα αρχεία εκτός του πηγαίου κώδικα του πακέτου |
988477 | src:xen | xen-hypervisor-4.14-amd64: xen dmesg shows (XEN) AMD-Vi: IO_PAGE_FAULT on sata pci device |
991788 | xfce4-settings | xfce4-settings: μαύρη οθόνη για τον φορητό υπολογιστή σε κατάσταση αναστολής (suspension) με το κλείσιμο και το άνοιγμα ξανά του καπακιού |
[6] Αυτές οι μηχανές έρχονται με έναν αριθμό διαφορετικών πηγαίων πακέτων και ο προβληματισμός ισχύει για όλα τα πακέτα που τις παρέχουν. Ο προβληματισμός επεκτείνεται επίσης σε μηχανές rendering του παγκόσμιου ιστού, που δεν αναφέρονται ρητά εδώ, με την εξαίρεση του webkit2gtk και του καινούριου wpewebkit.