Capítulo 2. Las novedades de Debian 10

Tabla de contenidos

2.1. Arquitecturas soportadas
2.2. ¿Qué novedades hay en la distribución?
2.2.1. Arranque seguro UEFI
2.2.2. AppArmor activo por omisión
2.2.3. Bastionado opcional de APT
2.2.4. Actualizaciones desatendidas para publicaciones estables
2.2.5. Mejora sustancial en las páginas de manual para usuarios que hablan alemán
2.2.6. Filtrado de red basado en nftables por omisión
2.2.7. Cryptsetup utiliza el formato de LUKS2 en disco
2.2.8. Impresión sin controladores en CUPS 2.2.10
2.2.9. Soporte básico de dispositivos basados en Allwinner A64
2.2.10. Noticias de la mezcla Debian Med
2.2.11. GNOME utiliza Wayland por omisión
2.2.12. Fusión de /usr en nuevas instalaciones
2.2.13. Noticias del grupo Debian Live

Hay más información disponible sobre este tema en el Wiki.

2.1. Arquitecturas soportadas

Las siguientes son las arquitecturas oficialmente soportadas en Debian 10:

  • PC de 32 bits (i386) y PC de 64 bits (amd64)

  • ARM de 64 bits (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI hard-float ABI, armhf)

  • MIPS (mips («big-endian») y mipsel («little-endian»))

  • MIPS «little-endian» de 64 bits (mips64el)

  • PowerPC «little-endian» de 64 bits (ppc64el)

  • IBM System z (s390x)

Puede leer más acerca del estado y la información específica de las adaptaciones para su arquitectura en la página web de las adaptaciones de Debian.

2.2. ¿Qué novedades hay en la distribución?

Esta nueva versión de Debian trae de nuevo muchos más programas que su predecesora stretch; la distribución incluye más de 13370 paquetes nuevos, para un total de más de 57703 paquetes. La mayor parte de los programas que se distribuyen se han actualizado: más de 35532 paquetes de programas (corresponde a un 62% de los paquetes en stretch). También se han eliminado por varios motivos un número significativo de paquetes (más de 7278, 13% de los paquetes en stretch). No verá ninguna actualización para estos paquetes y se marcarán como «obsoletos» en los programas de gestión de paquetes. Consulte la sección Sección 4.8, “Paquetes obsoletos”.

Debian trae de nuevo varias aplicaciones de escritorio y entornos. Entre otros ahora incluye los entornos de escritorio GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20 y Xfce 4.12.

También se han actualizado las aplicaciones de productividad, incluyendo las suites de oficina:

  • LibreOffice se ha actualizado a la versión 6.1;

  • Calligra se ha actualizado a la versión 3.1.

  • GNUcash se ha actualizado a la versión 33.4;

Con buster, Debian introduce por primera vez un sistema de control de acceso obligatorio por omisión. Las nuevas instalaciones de Debian buster tendrán AppArmor instalado por omisión. Consulte más abajo para más información.

Además, buster es la primera publicación de Debian que se distribuye con programas basados en Rust como Firefox, ripgrep, fd, exa, etc. y un número significativo de librerías basadas en Rust (más de 450). Buster se publica con Rustc 1.34.

Las actualizaciones de otras aplicaciones de escritorio incluyen la actualización a Evolution 3.30.

Esta versión, entre muchas otras cosas, incluye las siguientes actualizaciones:

PaqueteVersión en 9 (stretch)Versión en 10 (buster)
Apache2.4.252.4.38
BIND Servidor DNS9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 y 25.126.1
Exim servidor de correo predeterminado4.894.92
La colección de compilador GNU como el compilador por omisión6.37.4 y 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
La biblioteca de C de GNU2.242.28
lighttpd1.4.451.4.53
imagen del núcleo de Linuxserie 4.9serie 4.19
LLVM/Clang toolchain3.76.0.1 y 7.0.1 (por omisión)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. Arranque seguro UEFI

El arranque seguro («Secure Boot», N. del T.) es una funcionalidad activa en la mayoría de los PCs que previene la carga de código sin firmar, protegiéndolos frente a unos tipos de virus de arranque y «rookits».

Debian puede instalarse ahora en la mayoría de los PCs que tienen el arranque seguro habilitado.

Es posible activar el arranque seguro en un sistema que ya tiene una instalación de Debian, si ya arranca con UEFI. Antes de hacerlo, es necesario instalar shim-signed, grub-efi-amd64-signed o grub-efi-ia32-signed, y un paquete del núcleo de Linux de buster.

Algunas funcionalidades de GRUB y de Linux están restringidas en el modo de arranque seguro para evitar modificaciones de su código.

Puede encontrar más información en el wiki de Debian en la página SecureBoot.

2.2.2. AppArmor activo por omisión

En Debian buster AppArmor está activado por omisión. AppArmor es un sistema de control de acceso obligatorio que permite restringir las capacidades de un programa (como puedan ser los permisos de lectura, escritura y ejecución sobre archivos o los permisos sobre montaje, ptrace y señales) a través de una serie de perfiles definidos por programa.

El paquete apparmor se distribuye con perfiles de AppArmor para distintos programas. Algunos otros paquetes, como por ejemplo evince, incluyen perfiles para los programas que incluyen. Puede encontrar más perfiles en el paquete apparmor-profiles-extra.

AppArmor se instala a través de las Recommendaciones del paquete del núcleo Linux de buster. Puede instalar el paquete apparmor manualmente para activar AppArmor en los sistemas que están configurados para no instalar paquetes recomendados por omisión.

2.2.3. Bastionado opcional de APT

Todos los métodos que ofrece APT (p.ej. http, y https) exceptuando los métodos cdrom, gpgv, y rsh pueden utilizar «seccomp-BPF sandboxing» tal y como lo ofrece el núcleo de Linux. Esta función restringe la lista de llamadas del sistema permitdas, y atrapa otras con una señal SIGSYS. Esta ejecución registringida es actualmente opcional y tiene que activarse con:

      APT::Sandbox::Seccomp es un valor booleano para activarlo/desactivarlo
    

Puede utilizar dos opciones para configurar esta funcionalidad:

      APT::Sandbox::Seccomp::Trap es la lista de nombres de más llamadas al sistema a capturar
      APT::Sandbox::Seccomp::Allow es la lista de nombres de llamadas al sistema a permitir
    

2.2.4. Actualizaciones desatendidas para publicaciones estables

Las versiones anteriores de unattended-upgrades estaban configuradas por omisión para instalar sólo actualizaciones del grupo de seguridad. En buster también permite actualizar automáticamente de la última publicación estable. Consulte el archivo NEWS.Debian para más información.

2.2.5. Mejora sustancial en las páginas de manual para usuarios que hablan alemán

Se ha extendido substancialmente la documentación (man-pages) para varios proyectos como systemd, util-linux y mutt. Si desea beneficiarse de estas mejoras debe instalar el paquete manpages-de. Se proporcionarán nuevas/mejoradas traducciones durante el ciclo de vida de buster a través del archivo backports.

2.2.6. Filtrado de red basado en nftables por omisión

A partir de la versión 1.8.2 del paquete binario iptables se incluyen iptables-nft y iptables-legacy, dos variantes del interfaz de línea de órdenes de iptables. La variante nftables, que utiliza el subsistema del núcleo nf_tables es utilizada por omisión en buster. La variante antigua utiliza el subsistema del núcleo de Linux x_tables. Se puede utilizar el sistema update-alternatives para seleccionar una variante o la otra.

Esto aplica a todas las herramientas y utilidades relacionadas:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

Para todas estas hay ahora una variante -nft y -legacy. La opción -nft option es para los usuarios que no pueden o no quieren migrar a la interfaz de línea de órdenes nftables nativa. Sin embargo, se recomienda encarecidamente a los usuarios que cambien a la interfaz nftables en lugar de utilizar iptables.

nftables ofrece un reemplazo completo de iptables, con mejor rendimiento, sintaxis refrescada, mejor soporte de cortafuegos con pila dual IPv4/IPv6, operaciones atómicas para actualizaciones dinámicas de las reglas, una API para aplicaciones, clasificación de paquetes más rápida a través de mejoras de la infrastructura de mapas y de conjuntos genéricos, y muchas otras mejoras.

Este cambio está en línea con los cambios introducidos por otras distribuciones importantes de Linux, como Red Hat, que ahora utiliza nftables como su herramienta de cortafuegos por omisión.

Tenga en cuenta también que todos los binarios de iptables se instalan en /usr/sbin en lugar de en /sbin. Existe un enlace simbólico por compatibilidad, pero se eliminará después del ciclo de publicación de buster. Los programas que incluyan la ruta completa a los binarios deben corregirse y debe evitarse ese tipo de configuración.

Tiene disponible documentación extensiva en los archivos README y NEWS en el Wiki de Debian.

2.2.7. Cryptsetup utiliza el formato de LUKS2 en disco

La versión de cryptsetup que se distribuye con Debian buster utiliza el nuevo formato LUKS2 en disco. Los nuevos volúmenes LUKS utilizarán este formato por omisión.

A diferencia del formato anterior LUKS1, LUKS2 proporciona redundancia de metadatos, detectión de corrupción de metadatos y algoritmos PBKDF. También incluye soporte de cifrado autenticado, pero éste está marcado aún como experimental.

Los volúmenes LUKS1 existentes no se actualizarán automáticamente. Pueden convertirse al nuevo formato, pero no estarán disponibles todas las funcionalidades de LUKS2 debido a incompatibilidades en los tamaños de la cabecera. Consulte la página de manual de cryptsetup para más información.

Tenga en cuenta que el cargador de arranque GNU GRUB aún no ofrece soporte del formato LUKS2. Consulte la documentación correspondiente para más información sobre cómo instalar Debian 10 con el arranque cifrado.

2.2.8. Impresión sin controladores en CUPS 2.2.10

Debian 10 ofrece CUPS 2.2.10 y cups-filters versión 1.21.6. Los dos juntos le ofrecen a un usuario todo lo que necesita para beneficiarse de la impresión sin controladores. El requisito principal es que exista una cola de impresión de red o una impresora que ofrezca el servicio «Airprint». Es muy probable que una impresora moderna IPP tenga la funcionalidad de «AirPrint», en Debian CUPS se dispone siempre de una cola de impresión capaz de utilizar esta funcionalidad.

Esencialmente, las publicaciones en la red a través del servicio DNS-SD (Bonjour) de un servidor CUPS que ofrezca una cola de impresión, o de aquellas impresoras IPP que lo hagan, se mostrarán en los diálogos de impresión de las aplicaciones sin que sea necesaria ninguna acción por parte del usuario. Un beneficio adicional es que ya no es necesario utilizar controladores de impresión de los fabricantes no libres o de complementos adicionales para imprimir en este tipo de impresoras.

Una instalación por omisión del paquete cups también instala el paquete cups-browsed. Las colas de impresión y las impresoras IPP se configurarán y gestionarán de forma automática con esta utilidad. Esta la forma recomendada para un usuario para ofrece una experiencia de impresión sin controladores transparente y sin problemas.

2.2.9. Soporte básico de dispositivos basados en Allwinner A64

Gracias a los esfuerzos de la comunidad linux-sunxi, Debian buster tendrá soporte básico de muchos dispositivos que están basados en el Allwinner A64 SoC. Esto incluye dispositivos como: FriendlyARM NanoPi A64; Olimex A64-OLinuXino y TERES-A64; PINE64 PINE A64/A64/A64-LTS, SOPINE, y Pinebook; SINOVOIP Banana Pi BPI-M64; y Xunlong Orange Pi Win(Plus).

Las funciones esenciales de estos dispositivos (p.ej. consola serie, red ethernet, puertos USB y salida de vídeo básica) deberían funcionar con el núcleo de buster. Algunas funcionalidades más avanzadas (p.ej. audio o vídeo acelerado) están incluídas o se espera incuirlas en núcleos posteriores, que se ofrecerán de la forma habitual a través del archivo backports. Consulte la página de estado para conocer más detalles de esta iniciativa.

2.2.10. Noticias de la mezcla Debian Med

El equipo de Debian Med ha añadido algunos paquetes nuevos y actualizaciones a los paquetes dirigidos a las ciencias de la vida y a la medicina. Se continua realizando un esfuerzo para dar soporte para la integración continua de paquetes en estos campos.

Para instalar paquetes mantenidos por el grupo Debian Med, instale los paquetes que comienzan por med-*, que están en la versión 3.3 para Debian buster. Puede consultar en las páginas de las tareas de Debian Med la amplia variedad de programas biológicos y médicos disponible en Debian.

2.2.11. GNOME utiliza Wayland por omisión

Igual que lo hace el desarrollo principal, GNOME en buster utiliza el servidor de visualización Wayland en lugar de Xorg. Wayland tiene un diseño más sencillo y más moderno, lo que tiene ciertas ventajas desde el punto de vista de la seguridad.

El servidor de visualización Xorg se sigue instalando por omisión y el gestor de pantalla por omisión le permite elegirlo como servidor de visualización para la siguiente sesión, lo cual puede ser necesario si quiere utilizar algunas aplicaciones (consulte Sección 5.1.9, “Algunas aplicaciones no funcionan con GNOME en Wayland”).

Se recomienda a aquellas personas que requieran las funcionalidades para accesibilidad del servidor de visualización, p.ej. los atajos globales de teclado, que utilicen Xorg en lugar de Wayland.

2.2.12. Fusión de /usr en nuevas instalaciones

En las nuevas instalaciones, los contenidos de /bin, /sbin y /lib se instalarán en sus respectivas ubicaciones en /usr por omisión. Se creará un enlace /bin, /sbin y /lib apuntándolas hacia sus directorios equivalentes bajo /usr/. De forma gráfica:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

Los sistemas se quedan como están cuando se actualizan a buster, aunque se puede utilizar el paquete usrmerge para hacer la conversión si se desea. El proyecto freedesktop.org proporciona un Wiki que describe la mayoría de las razones.

Este cambio no debería impactar a los usuarios normales que sólo ejecutan paquetes que provienen de Debian, pero es algo que tienen que tener presente los usuarios que utilizan o construyen paquetes o programas de terceros.

2.2.13. Noticias del grupo Debian Live

El equipo de Debian Live se enorgullece de introducir las ISOs «live» de LXQt como una nueva variante. LXQt es un entorno de escritorio de QT ligero. No se introducirá en su camino. No se colgará o ralentizará su sistema. Su foco es proporcionar un entorno de escritorio clásico con una apariencia moderna.

El entorno de escritorio LXQt ofrecido por el proyecto Debian Live es una versión pura y sin modificaciones. Se ofrece la experiencia de entorno de escritorio estándar que los desarrolladores de LXQt crearon para este sistema operativo popular. Los usuarios que lo utilizan pueden experimentar la organización estándar de LXQt que está formado por un único panel (barra de tareas) que se encuentra en la parte inferior de la pantalla. Este panel incluye componentes básicos como el Menú Principal, el gestor de tareas, el lanzador de aplicaciones, el área de notificaciones del sistema y el calendario integrado.

Las imágenes «live» de buster proporcionan funcionalidades que otras distribuciones han adoptado, como es el instalador Calamares. Calamares es un proyecto de instalador independiente (lo llaman la plataforma de instalador universal) que ofrece un interfaz basado en Qt para instalar el sistema. No reemplaza al programa debian-installer en las imágenes «live». En realidad sirve a una audiencia distinta.

Calamares es muy fácil de utilizar, con un sistema de particionado guiado amistoso y una configuración muy sencilla para establecer discos cifrados. No cobre todas las funcionalidades avanzadas del instalador de Debian debian-installer (aunque recientemente incorporó soporte de RAID) y no ofrece tampoco un modo de instalación desatendido. Sin embargo, el interfaz de Calamares es mucho más sencillo para instalar un sistema para el 95%+ de los usuarios de entornos de escritorio y portátiles. Calamares es una forma mucho más fácil para instalar un sistema, lo que le hace apropiado para los sistemas «live». El programa «debian-installer» sigue estando disponible tanto en versión GUI como de interfaz de texto, para aquellos que necesitan un sistema de instalación más complicado, o que están haciendo instalaciones masivas.

Debian Live Buster vuelve a introducir la imagen «live» estándar. Esta es una imagen básica de Debian que contiene un sistema de Debian base sin ningún interfaz de usuario gráfico. El tiempo de instalación es mucho más rápido que si se utiliza una imagen de instalación mínima de Debian. Esto se debe a que se instala desde una imagen squashfs en lugar de instalar los archivos del sistema utilizando dpkg.