Kapitel 5. Dinge, die Sie über Buster wissen sollten

Die mount-Option hidepid für /proc ist bekannt dafür, Probleme mit aktuellen Versionen von systemd zu verursachen, und wird von den Systemd-Autoren als nicht unterstützte Konfiguration angesehen. Benutzer, die ihre /etc/fstab-Datei modifiziert haben, um diese Option zu aktivieren, werden aufgefordert, diese vor dem Upgrade zu deaktivieren, um sicherzustellen, dass Login-Sitzungen mit Buster funktionieren. (Ein möglicher Weg, um dies wieder zu aktivieren, wird auf der Hardening-Seite im Wiki erklärt.)

Die Standardoptionen von ypbind wurden geändert. Wenn Sie selbst jedoch diese Datei verändert haben, werden die alten Optionen nicht aktualisiert und Sie müssen sicherstellen, dass die Option YPBINDARGS= in /etc/default/nis nicht mehr -no-dbus enthält. Falls -no-dbus enthalten ist, wird der Start von ypbind fehlschlagen, und Sie können sich möglicherweise nicht mehr anmelden. Weitere Informationen finden Sie im Fehlerbericht #906436.

The default behavior of rpcbind has changed to no longer answer remote calls from NIS clients. On NIS servers you will need to add the (Debian-specific) -r flag to the command line options of rpcbind, otherwise users will not be able to log into your NIS client machines. For more info see bug #935492.

Die Semantik von PubkeyAcceptedKeyTypes sowie die verwandten HostbasedAcceptedKeyTypes-Optionen für sshd wurden geändert. Sie legen jetzt Signatur-Algorithmen fest, die für die jeweiligen Authentifizierungsmechanismen akzeptiert werden. Früher hingegen wurden dort die akzeptierten Schlüsseltypen angegeben. Dieser Unterschied ist relevant, wenn die RSA/SHA2-Signatur-Algorithmen rsa-sha2-256, rsa-sha2-512 sowie deren Zertifikats-Gegenstücke verwendet werden. Konfigurationen, die diese Optionen überschreiben, aber dabei diese Algorithmus-Bezeichnungen nicht enthalten, können zu unerwarteten Fehlern bei der Authentifizierung führen.

Bei Konfigurationen, die den Standardwert für diese Optionen verwenden, besteht kein Handlungsbedarf.

Da systemd für den Boot-Vorgang eine gewisse Menge an Entropy benötigt und der Kernel entsprechende Aufrufe blockiert, wenn nicht genügend Entropy zur Verfügung steht, kann das System während des Bootens hängen bleiben, bis das Randomness-Subsystem korrekt initialisiert ist (random: crng init done). Auf amd64-Systemen, die die RDRAND-Anweisung unterstützen, wird dieses Problem durch den Debian-Kernel umgangen, indem diese Anweisung standardmäßig verwendet wird (CONFIG_RANDOM_TRUST_CPU).

Auf Nicht-amd64-Systemen und einigen Arten virtueller Maschinen muss eine andere Entropy-Quelle bereitgestellt werden, um weiterhin schnell booten zu können. Hierfür wurde innerhalb des Debian-Projekts haveged ausgewählt; es kann eine gute Option sein, wenn Hardware-Entropy auf dem System nicht verfügbar ist. Auf virtuellen Maschinen können Sie in Erwägung ziehen, Entropy mittels virtio_rng vom Host an die virtuelle Maschine durchzureichen.

Falls Sie dies erst lesen, nachdem das Upgrade eines fernen Systems auf buster bereits durchgeführt wurde, pingen Sie das System über das Netzwerk fortwährend an, da hierdurch Entropy zum Randomness-Pool des Systems hinzugefügt wird und das System dann eventuell wieder per SSH erreichbar wird.

Weitere Details finden Sie im Wiki; für zusätzliche verfügbare Optionen besuchen Sie DLange's overview of the issue.

If your system was upgraded from an earlier release, and still uses the old-style network interface names that were deprecated with stretch (such as eth0 or wlan0), you should be aware that the mechanism of defining their names via /etc/udev/rules.d/70-persistent-net.rules is officially not supported by udev in buster (while it may still work in some cases). To avoid the danger of your machine losing networking after the upgrade to buster, it is recommended that you migrate in advance to the new naming scheme (usually meaning names like enp0s1 or wlp2s5, which incorporate PCI bus- and slot-numbers). Take care to update any interface names hard-coded in configuration for firewalls, ifupdown, and so on.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

Um die neuen Namen zu erfahren, die nach der Migration verwendet würden, suchen Sie zunächst die alten Namen der entsprechenden Schnittstellen heraus:

$ echo /sys/class/net/[ew]*
    

Prüfen Sie jeden dieser Namen, ob er in irgendwelchen Konfigurationsdateien verwendet wird, und welchen Namen das udev-System dafür vergeben würde:

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

This should give enough information to devise a migration plan. (If the udevadm output includes an „onboard“ or „slot“ name, that takes priority; MAC-based names are normally treated as a fallback, but may be needed for USB network hardware.)

Sobald sie bereit sind für die Umstellung, deaktivieren Sie 70-persistent-net.rules, entweder indem Sie diese Datei umbenennen oder entsprechende Zeilen darin auskommentieren. Bei virtuellen Maschinen müssen Sie die Datei /etc/systemd/network/99-default.link und (falls Sie virtio-Netzwerkgeräte benutzen) /etc/systemd/network/50-virtio-kernel-names.link entfernen. Bauen Sie danach die initrd neu mit

$ sudo update-initramfs -u
    

und starten Sie das System neu. Es sollte nun Netzwerk-Schnittstellen-Namen nach dem neuen Namensschema nutzen. Passen Sie verbleibende Konfigurationsdateien an und testen Sie Ihr System.

See the wiki, upstream documentation, and the udev README.Debian for further information.

Systems using channel bonding and/or dummy interfaces, for instance to configure a machine as a router, may encounter problems upgrading to buster. New versions of systemd install a file /lib/modprobe.d/systemd.conf (intended to simplify configuration via systemd-networkd) which contains the lines

 options bonding max_bonds=0
 options dummy numdummies=0
    

Admins who were depending on different values will need to ensure they are set in the correct way to take precedence. A file in /etc/modprobe.d will override one with the same name under /lib/modprobe.d, but the names are processed in alphabetical order, so /lib/modprobe.d/systemd.conf follows and overrides (for instance) /etc/modprobe.d/dummy.conf. Make sure that any local configuration file has a name that sorts after „systemd.conf“, such as „/etc/modprobe.d/zz-local.conf“.

Verschiedenen Sicherheitsempfehlungen folgend, wurde die standardmäßig als Minimum erforderliche TLS-Version von TLSv1 auf TSLv1.2 erhöht.

Das als Standard eingestellte Sicherheits-Level für TLS-Verbindungen wurde ebenfalls von Level 1 auf Level 2 erhöht. Dies bedeutet einen Umstieg vom 80-Bit Sicherheits-Level auf ein 112-Bit Sicherheits-Level und erfordert RSA- und DHE-Schlüssel mit mindestens 2048 Bit Länge, ECC-Schlüssel mit mindestens 224 Bit Länge sowie SHA-2.

Die systemweiten Einstellungen können in /etc/ssl/openssl.cnf geändert werden. Anwendungen können auch spezielle Möglichkeiten verwenden, um die Standardeinstellungen zu überschreiben.

In the default /etc/ssl/openssl.cnf there is a MinProtocol and CipherString line. The CipherString can also set the security level. Information about the security levels can be found in the SSL_CTX_set_security_level(3ssl) manpage. The list of valid strings for the minimum protocol version can be found in SSL_CONF_cmd(3ssl). Other information can be found in ciphers(1ssl) and config(5ssl).

Die systemweiten Standardeinstellungen in /etc/ssl/openssl.cnf können mittels folgender Einträge auf die vorherigen Werte zurückgestellt werden:

        MinProtocol = None
        CipherString = DEFAULT
      

Es wird empfohlen, dass Sie die Verantwortlichen der anderen, fernen Seite der Verbindung kontaktieren, falls diese Standardwerte Probleme verursachen.

GNOME in Debian Buster verwendet als Standard-Display-Server jetzt nicht mehr Xorg, sondern Wayland (siehe Abschnitt 2.2.11, „GNOME defaults to Wayland“). Einige Anwendungen (wie der populäre Paketmanager synaptic, die Standard-Eingabemethode für vereinfachtes Chinesisch fcitx, sowie die meisten Programme zur Aufzeichnung von Bildschirminhalten wurden noch nicht passend aktualisiert, so dass sie noch nicht korrekt mit Wayland funktionieren. Um solche Pakete nutzen zu können, müssen Sie sich mit einer GNOME on Xorg-Sitzung anmelden.

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

Mit der nächsten Veröffentlichung von Debian 11 (Codename Bullseye) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 11 zu vermeiden.

Dazu gehören folgende Funktionalitäten:

Wenn apt full-upgrade beendet ist, sollte das „formale“ Upgrade abgeschlossen sein. Nach dem Upgrade auf Buster gibt es keine besonderen Aktionen, die vor dem nächsten Neustart erledigt werden müssen.

	Anmerkung
	Dieser Abschnitt betrifft Sie nicht, wenn Sie sich entschieden haben, sysvinit-core zu verwenden.

Nach dem Umstieg auf systemd als Standard-init-System in Jessie und weiteren Anpassungen in Stretch sind verschiedene SysV-betreffende Pakete jetzt nicht mehr erforderlich und können gefahrlos entfernt werden; verwenden Sie dazu

apt purge initscripts sysv-rc insserv startpar

Debian 10 enthält mehrere Browser-Engines, die einem ständigen Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von Anfälligkeiten und die teilweise fehlende Unterstützung seitens der Originalautoren in Form von langfristig gepflegten Programmversionen machen es sehr schwierig, für diese Browser und Engines Sicherheitsunterstützung auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen es Abhängigkeiten zwischen beteiligten Bibliotheken extrem schwierig, auf neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf Engines wie „webkit“, „qtwebkit“ und „khtml“^[6] aufbauen, sind daher in Buster zwar enthalten, es besteht jedoch für sie keine Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu Websites verwendet werden, denen Sie nicht vertrauen. Das Quellpaket webkit2gtk ist jedoch von der Sicherheitsunterstützung abgedeckt.

Generell empfehlen wir als Webbrowser Firefox oder Chromium. Sie werden für Stable aktuell gehalten, indem Sie auf Basis der neuesten ESR-Versionen jeweils neu gebaut werden. Die gleiche Strategie wird auch für Thunderbird angewandt.

The Debian infrastructure currently doesn't properly enable rebuilding packages that statically link parts of other packages on a large scale. Until buster that hasn't been a problem in practice, but with the growth of the Go ecosystem it means that Go based packages won't be covered by regular security support until the infrastructure is improved to deal with them maintainably.

If updates are warranted, they can only come via regular point releases, which may be slow in arriving.

su hat mit der Version in Buster die Semantik geändert und behält nicht mehr die Umgebungsvariablen DISPLAY und XAUTHORITY. Sie müssen sie explizit setzen und so bewußt den Zugriff auf Ihr Display erlauben, wenn Sie grafische Anwendungen mit su nutzen möchten. Im Fehlerbericht #905409 finden Sie eine umfangreiche Diskussion zu diesem Thema.

Wenn Sie von Debian Stretch auf Buster hochrüsten, werden dabei die glibc-Locale-Daten aktualisiert. Im speziellen ändert sich dabei die Art, wie PostgreSQL die Daten in Text-Index-Beständen sortiert. Um Beschädigungen zu vermeiden, müssen solche Indexe mit REINDEX neu generiert werden, unmittelbar nachdem das locales- oder locales-all-Paket aktualisiert wurde und bevor die Datenbank zurück in den Produktionsstatus geht.

Empfohlener Befehl:

sudo -u postgres reindexdb --all

Alternativ können Sie die Datenbanken mit pg_upgradecluster auf PostgreSQL 11 hochrüsten. (Dabei wird standardmäßig pg_dump verwendet, was zu einer Neuindexierung aller Indexe führt. Die Verwendung von -m upgrade oder pg_upgrade ist nicht sicher, da dabei die jetzt inkorrekte Sortierreihenfolge erhalten bleibt.)

Lesen Sie das PostgreSQL Wiki, wenn Sie weitere Informationen benötigen.

In Debian Stretch enthielt mutt Patches aus dem Quellcode von https://neomutt.org. Ab Debian Buster wird das Paket, welches /usr/bin/mutt bereitstellt, jedoch wieder auf dem reinen Mutt-Quellcode von http://www.mutt.org beruhen, und ein separates neomutt-Paket wird zur Verfügung gestellt, welches /usr/bin/neomutt enthält.

Dies bedeutet, dass einige Funktionalitäten, die bisher in mutt enthalten waren, jetzt nicht mehr verfügbar sind. Falls dies Ihre Konfiguration unbrauchbar macht, können Sie stattdessen neomutt installieren.

Without a pointing device, there is no direct way to change settings in the GNOME Settings app provided by gnome-control-center. As a work-around, you can navigate from the sidebar to the main content by pressing the Right Arrow twice. To get back to the sidebar, you can start a search with Ctrl+F, type something, then hit Esc to cancel the search. Now you can use the Up Arrow and Down Arrow to navigate the sidebar. It is not possible to select search results with the keyboard.

Users of the initial buster release images should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster had a very nasty bug (#928893) when used to change the LUKS password: it deleted the old password but failed to correctly set the new one, making all data on the disk inaccessible. This has been fixed in the first point release.

Users using evolution as their email client and connecting to a server running Exchange, Office365 or Outlook using the evolution-ews plugin should not upgrade to buster without backing up data and finding an alternative solution beforehand, as evolution-ews has been dropped due to bug #926712 and their email inboxes, calendar, contact lists and tasks will be removed and will no longer be accessible with Evolution.

The evolution-ews package has been reintroduced via buster-backports. Users upgrading from stretch to buster can enable buster-backports after the upgrade and then they will be able to reinstall evolution-ews.

When installing Debian from live media using the Calamares installer (Abschnitt 2.2.13, „News from Debian Live team“) and selecting the full disk encryption feature, the disk's unlock key is stored in the initramfs which is world readable. This allows users with local filesystem access to read the private key and gain access to the filesystem again in the future.

This can be worked around by adding UMASK=0077 to /etc/initramfs-tools/conf.d/initramfs-permissions and running update-initramfs -u. This will recreate the initramfs without world-readable permissions.

A fix for the installer is being planned (see bug #931373) and will be uploaded to debian-security. In the meantime users of full disk encryption should apply the above workaround.

When using s3ql with Amazon S3 buckets, the configuration needs updating for a change in the URL. The new format is:

s3://<region>/<bucket>/<prefix>

The shipped configurations for /var/log/btmp and /var/log/wtmp have been split from the main configuration file (/etc/logrotate.conf) into separate standalone files (/etc/logrotate.d/btmp and /etc/logrotate.d/wtmp).

If you have modified /etc/logrotate.conf in this regard, make sure to re-adjust the two new files to your needs and drop any references to (b|w)tmp from the main file, since duplicate definitions can cause errors.

With the implementation of sulogin now used, booting with the rescue option always requires the root password. If one has not been set, this makes the rescue mode effectively unusable. However it is still possible to boot using the kernel parameter init=/sbin/sulogin --force

To configure systemd to do the equivalent of this whenever it boots into rescue mode (also known as single mode: see systemd(1)), run sudo systemctl edit rescue.service and create a file saying just:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
    

It might also (or instead) be useful to do this for the emergency.service unit, which is started automatically in the case of certain errors (see systemd.special(7)), or if emergency is added to the kernel command line (e.g. if the system can't be recovered by using the rescue mode).

For background and a discussion on the security implications see #802211.