Kapitel 2. Was ist neu in Debian 10

Inhaltsverzeichnis

2.1. Unterstützte Architekturen
2.2. Was ist neu in der Distribution?
2.2.1. UEFI Secure Boot
2.2.2. AppArmor standardmäßig aktiviert
2.2.3. Optionales Härten von APT
2.2.4. unattended-upgrades für Stable-Zwischenveröffentlichungen
2.2.5. Wesentlich verbesserte Handbuchseiten für Deutsch-sprechende Nutzer
2.2.6. Filterung des Netzwerk-Verkehrs standardmäßig basierend auf nftables
2.2.7. Cryptsetup setzt standardmäßig auf das on-disk LUKS2-Format
2.2.8. Driverless printing with CUPS 2.2.10
2.2.9. Basisunterstützung für Allwinner-A64-basierte Geräte
2.2.10. News from Debian Med Blend
2.2.11. GNOME defaults to Wayland
2.2.12. Merged /usr on fresh installs
2.2.13. News from Debian Live team

Das Wiki enthält weitere Informationen zu diesem Thema.

2.1. Unterstützte Architekturen

Die folgenden Architekturen werden offiziell von Debian 10 unterstützt:

  • 32-Bit PC (i386) und 64-Bit PC (amd64)

  • 64-Bit ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI Hard-Float ABI, armhf)

  • MIPS (mips (Big-Endian) und mipsel (Little-Endian))

  • 64-Bit Little-Endian MIPS (mips64el)

  • 64-Bit Little-Endian PowerPC (ppc64el)

  • IBM System z (s390x)

Näheres zum Stand der Portierungen und Port-spezifische Informationen für Ihre Architektur finden Sie auf Debians Portierungs-Webseiten.

2.2. Was ist neu in der Distribution?

Diese neue Version von Debian erscheint wieder mit erheblich mehr Software als ihr Vorgänger Stretch; die Distribution enthält über 13370 neue Pakete und damit insgesamt über 57703 Pakete. Ein Großteil der Software in der Distribution wurde aktualisiert: über 35532 Softwarepakete (das entspricht 62% aller Pakete in Stretch). Außerdem wurde eine signifikante Zahl von Paketen (über 7278, 13% der Pakete in Stretch) aus verschiedenen Gründen aus der Distribution entfernt. Für diese Pakete werden Sie keine Aktualisierungen finden und sie werden in den Paketverwaltungsprogrammen als veraltet (obsolete) markiert sein; lesen Sie dazu auch Abschnitt 4.8, „Veraltete Pakete“.

Debian erscheint wieder mit verschiedenen Desktop-Anwendungen und -Umgebungen. Unter anderem enthält es die Desktop-Umgebungen GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20 und Xfce 4.12.

Produktivprogramme wurden ebenfalls aktualisiert, inklusive der Büroanwendungs-Pakete:

  • LibreOffice wurde auf Version 6.1 aktualisiert;

  • Calligra wurde auf Version 3.1 aktualisiert.

  • GNUcash wurde auf Version 3.4 aktualisiert;

Mit der Buster-Veröffentlichung enthält Debian erstmals ein standardmäßig aktiviertes System für Mandatory Access Control (in Deutsch etwa: zwingend erforderliche Zugangskontrolle). Neue Installationen von Debian Buster haben AppArmor installiert und aktiviert. Weitere Informationen finden Sie weiter unten.

Außerdem ist Buster die erste Debian-Veröffentlichung, die Rust-basierte Programme wie Firefox, ripgrep, fd, exa usw. mitbringt sowie eine signifikante Anzahl Rust-basierter Bibliotheken (mehr als 450). Buster enthält Rustc 1.34.

Zu weiteren Aktualisierungen von Desktop-Anwendungen gehört auch das Upgrade auf Evolution 3.30.

Neben vielen weiteren enthält diese Veröffentlichung auch folgende Aktualisierungen:

PaketVersion in 9 (Stretch)Version in 10 (Buster)
Apache2.4.252.4.38
BIND - DNS-Server9.109.11
Cryptsetup1.72.1
Dovecot - MTA2.2.272.3.4
Emacs24.5 und 25.126.1
Exim - Standard-E-Mail-Server4.894.92
GNU Compiler Collection als Standard-Kompiliersoftware6.37.4 und 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
GNU-C-Bibliothek2.242.28
lighttpd1.4.451.4.53
Linux-Kernel-Image4.9-Serie4.19-Serie
LLVM/Clang-Werkzeugkette3.76.0.1 und 7.0.1 (Standardversion)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix - MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI Secure Boot

Secure Boot ist eine Funktionalität, die auf den meisten aktuellen PCs aktiviert ist und verhindert, dass beim Booten unsignierter Code geladen wird. Dies soll vor einigen Arten von Bootkits und Rootkits schützen.

Debian kann jetzt auf den meisten PCs, auf denen Secure Boot aktiviert ist, installiert werden.

Es ist möglich, Secure Boot auf Systemen zu aktivieren, auf denen bereits eine Debian-Installation vorhanden ist, sofern das System mittels UEFI bootet. Zuvor ist es aber erforderlich, shim-signed, grub-efi-amd64-signed oder grub-efi-ia32-signed zu installieren sowie ein Linux-Kernel-Paket aus Debian Buster.

Einige Funktionen von GRUB und Linux sind im Secure-Boot-Modus eingeschränkt, um Modifikationen an deren Code zu verhindern.

Weitere Informationen finden Sie Im Debian Wiki unter SecureBoot.

2.2.2. AppArmor standardmäßig aktiviert

In Debian Buster ist AppArmor standardmäßig aktiviert. AppArmor ist ein System für Mandatory Access Control (in Deutsch etwa: zwingend erforderliche Zugangskontrolle). Dieses ordnet verschiedenen Anwendungen über entsprechende Profile speziell zugeschnittene Berechtigungen zu, wie Berechtigungen für mount, ptrace und das Senden von Systemsignalen oder Lese-, Schreib- und Ausführungsrechte für Dateien.

The apparmor package ships with AppArmor profiles for several programs. Some other packages, such as evince, include profiles for the programs they ship. More profiles can be found in the apparmor-profiles-extra package.

AppArmor is pulled in due to a Recommends by the buster Linux kernel package. On systems that are configured to not install recommended packages by default, the apparmor package can be installed manually in order to enable AppArmor.

2.2.3. Optionales Härten von APT

Alle von APT bereitgestellten Methoden (z.B. http und https) außer cdrom, gpgv und rsh können das vom Linux-Kernel angebotene seccomp-BPF-Sandboxing verwenden, um die dabei erlaubten Systemaufrufe einzuschränken; alle anderen Aufrufe werden dabei mittels SIGSYS-Signalen abgefangen. Das Sandboxing ist derzeit optional und muss bewußt aktiviert werden über:

      APT::Sandbox::Seccomp ist ein bool'scher Wert, um die Funktionalitäten
      ein- oder auszuschalten.
    

Es gibt zwei Optionen, mit denen die Funktionalität detaillierter konfiguriert werden kann:

      APT::Sandbox::Seccomp::Trap ist eine Liste weiterer Systemaufrufe, die
      abgefangen werden sollen.
      APT::Sandbox::Seccomp::Allow ist eine Liste weiterer Systemaufrufe, die
      erlaubt sein sollen.
    

2.2.4. unattended-upgrades für Stable-Zwischenveröffentlichungen

Frühere Versionen von unattended-upgrades waren standardmäßig so eingestellt, dass sie nur Upgrades installiert haben, die von der Security-Suite bereitgestellt wurden. In Buster wird jetzt das System auch automatisch auf die neueste Zwischenveröffentlichung aktualisiert. Details hierzu finden Sie in der NEWS.Debian-Datei des Pakets.

2.2.5. Wesentlich verbesserte Handbuchseiten für Deutsch-sprechende Nutzer

Die Programmdokumentation (manpages oder Handbuchseiten) für verschiedene Software wie systemd, util-linux und mutt wurde für Deutsch beträchtlich erweitert. Bitte installieren Sie das Paket manpages-de, um von diesen Verbesserungen zu profitieren. Während des Lebenszyklus von Debian Buster werden weitere neue/verbesserte Übersetzungen über das backports-Archiv bereitgestellt.

2.2.6. Filterung des Netzwerk-Verkehrs standardmäßig basierend auf nftables

Starting with iptables v1.8.2 the binary package includes iptables-nft and iptables-legacy, two variants of the iptables command line interface. The nftables-based variant, using the nf_tables Linux kernel subsystem, is the default in buster. The legacy variant uses the x_tables Linux kernel subsystem. The update-alternatives system can be used to select one variant or the other.

Dies gilt für alle dazugehörigen Programme und Werkzeuge:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

All these have also gained -nft and -legacy variants. The -nft option is for users who can't or don't want to migrate to the native nftables command line interface. However, users are strongly enouraged to switch to the nftables interface rather than using iptables.

nftables bietet einen vollwertigen Ersatz für iptables, aber mit erheblich besserer Performance, einer aufgefrischten Syntax, besserer Unterstützung für IPv4/IPv6 Dual-Stack-Firewalls, vollständig autarken Operationen für dynamische Aktualisierungen der Regelsätze, eine Netlink-API für Dritt-Anbieter-Anwendungen, schnellere Paketklassifizierung durch verbesserte generische set- und map-Infrastrukturen, sowie vielen anderen Verbesserungen.

Diese Änderung ist konform mit dem, was andere große Linux-Distributionen wie RedHat tun, die jetzt nftables als Standard-Firewall-Werkzeug einsetzen.

Beachten Sie auch, dass alle iptables-Binärdateien jetzt in /usr/sbin installiert sind (statt wie früher in /sbin). Ein symbolischer Link ist zu Kompatibilitätszwecken vorhanden, wird aber nach dem Lebenszyklus von Debian Buster entfernt werden. Hart-codierte Binärpfade in Skripten müssen aktualisiert werden und sollten daher vermieden werden.

Ausführliche Dokumentation finden Sie in den README- und NEWS-Dateien des Pakets sowie im Debian Wiki.

2.2.7. Cryptsetup setzt standardmäßig auf das on-disk LUKS2-Format

Die cryptsetup-Version in Debian Buster setzt standardmäßig auf das neue on-disk LUKS2-Format. Neue LUKS-Volumes werden per Voreinstellung dieses Format benutzen.

Anders als das vorherige LUKS1-Format bietet LUKS2 Redundanz der Metadaten, Erkennung korrupter Metadaten und konfigurierbare PBKDF-Algorithmen. Authentifizierte Verschlüsselung wird ebenfalls unterstützt, ist jedoch noch experimentell.

Existing LUKS1 volumes will not be updated automatically. They can be converted, but not all LUKS2 features will be available due to header size incompatibilities. See the cryptsetup manpage for more information.

Please note that the GNU GRUB bootloader doesn't support the LUKS2 format yet. See the corresponding documentation for further information on how to install Debian 10 with encrypted boot.

2.2.8. Driverless printing with CUPS 2.2.10

Debian 10 bringt CUPS 2.2.10 mit sowie cups-filters 1.21.6. Zusammen bieten sie dem Nutzer alles, was nötig ist, um von den Vorzügen von treiberlosem Drucken (driverless printing) profitieren zu können. Dafür ist grundsätzlich erforderlich, dass eine Netzwerk-Druckerwarteschlange oder ein Drucker den AirPrint-Service bereitstellt. Ein moderner IPP-Drucker ist mit hoher Wahrscheinlichkeit AirPrint-fähig; auch eine Druckerwarteschlange aus Debian CUPS ist AirPrint-fähig.

Im Wesentlichen können die DNS-SD-Broadcasts (Bonjour) eines CUPS-Servers, der eine Druckerwarteschlange anbietet, oder eines IPP-Druckers ohne Zutun des Nutzers in dem Druckdialog der Anwendungen angezeigt werden. Als zusätzlichem Nutzen kann auf diesem Wege auf nicht-freie Druckertreiber der Hardware-Hersteller verzichtet werden.

Eine Standardinstallation des cups-Pakets installiert auch das Paket cups-browsed; Druckerwarteschlangen und IPP-Drucker werden jetzt automatisch von diesem Hilfsprogramm eingerichtet und verwaltet. Dies ist der empfohlene Weg, um dem Nutzer ein nahtloses und störungsfreies Drucken über das neue treiberlose System bieten zu können; siehe dazu den Beitrag im Debian-Wiki (englisch).

2.2.9. Basisunterstützung für Allwinner-A64-basierte Geräte

Thanks to the efforts of the linux-sunxi community Debian buster will have basic suport for many devices based on the Allwinner A64 SoC. This includes FriendlyARM NanoPi A64; Olimex A64-OLinuXino and TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE, and Pinebook; SINOVOIP Banana Pi BPI-M64; and Xunlong Orange Pi Win(Plus).

The essential features of these devices (e.g. serial console, ethernet, USB ports and basic video output) should work with the kernel from buster. More advanced features (e.g. audio or accelerated video) are included or scheduled to be included in later kernels, which will be made available as usual through the backports archive. See also the status page for the Linux mainlining effort.

2.2.10. News from Debian Med Blend

The Debian Med team has added several new packages and updates for software targeting life sciences and medicine. The effort to add Continuous Integration support for the packages in this field was (and will be) continued.

To install packages maintained by the Debian Med team, install the metapackages named med-*, which are at version 3.3 for Debian buster. Feel free to visit the Debian Med tasks pages to see the full range of biological and medical software available in Debian.

2.2.11. GNOME defaults to Wayland

Following upstream, GNOME in buster defaults to using the Wayland display server instead of Xorg. Wayland has a simpler and more modern design, which has advantages for security.

The Xorg display server is still installed by default and the default display manager still allows you to choose it as the display server for the next session, which may be needed if you want to use some applications (see Abschnitt 5.1.8, „Einige Anwendungen funktionieren nicht in GNOME mit Wayland“).

People requiring accessibility features of the display server, e.g. global keyboard shortcuts, are recommended to use Xorg instead of Wayland.

2.2.12. Merged /usr on fresh installs

On fresh installs, the content of /bin, /sbin and /lib will be installed into their /usr counterpart by default. /bin, /sbin and /lib will be soft-links pointing at their directory counterpart under /usr/. In graphical form:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

When upgrading to buster, systems are left as they are, although the usrmerge package exists to do the conversion if desired. The freedesktop.org project hosts a Wiki with most of the rationale.

This change shouldn't impact normal users that only run packages provided by Debian, but it may be something that people that use or build third party software want to be aware of.

2.2.13. News from Debian Live team

The Debian Live team is proud to introduce LXQt live ISOs as a new flavor. LXQt is a lightweight Qt desktop environment. It will not get in your way. It will not hang or slow down your system. It is focused on being a classic desktop with a modern look and feel.

The LXQt desktop environment offered in the Debian Live LXQt project is pure, unmodified, so you will get the standard desktop experience that the LXQt developers created for their popular operating system. Users are presented with the standard LXQt layout comprised of a single panel (taskbar) located on the bottom edge of the screen, which includes various useful applets, such as the Main Menu, task manager, app launcher, system tray area, and integrated calendar.

The buster live images come with something new that a bunch of other distributions have also adopted, which is the Calamares installer. Calamares is an independent installer project (they call it The universal installer framework) which offers a Qt based interface for installing a system. It doesn't replace debian-installer on the live images; rather, it serves a different audience.

Calamares is really easy to use, with friendly guided partitioning and really simple full-disk encryption setup. It doesn't cover all the advanced features of debian-installer (although it very recently got RAID support) and it doesn't have an unattended install mode either. However, for 95%+ of desktop and laptop users, Calamares is a much easier way to get a system installed, which makes it very appropriate for live systems. For anyone who needs anything more complicated, or who's doing a mass-install, debian-installer is still available in both text and GUI forms.

Debian Live Buster re-introduces the standard live image. This is a basic Debian image that contains a base Debian system without any graphical user interface. Because it installs from a squashfs image rather than installing the system files using dpkg, installation times are a lot faster than installing from a minimal Debian installation image.