Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij buster

Inhoudsopgave

5.1. Opwaarderingsspecifieke zaken voor buster
5.1.1. Hidepid-aankoppeloptie voor procfs niet ondersteund
5.1.2. Gebruikt met de optie -no-dbus, start ypbind niet
5.1.3. NIS server does not answer NIS client requests by default
5.1.4. Authenticatie kan mislukken bij sshd
5.1.5. Achtergronddiensten starten niet op of het systeem lijkt te hangen tijdens het opstarten
5.1.6. Vervangen van verouderde benamingen voor netwerkinterfaces
5.1.7. Moduleconfiguratie voor bonding en dummy-interfaces
5.1.8. De standaardversie en het beveiligingsniveau van OpenSSL werden verhoogd
5.1.9. In GNOME werken sommige toepassingen niet met Wayland
5.1.10. Vermeldenswaardige uitgefaseerde pakketten
5.1.11. Verouderde componenten van buster
5.1.12. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren
5.1.13. Pakketten die verband houden met SysV init zijn niet langer vereist
5.2. Beperkingen inzake beveiligingsondersteuning
5.2.1. Veiligheidstoestand van webbrowsers en hun render-engines
5.2.2. Op Go gebaseerde pakketten
5.3. Pakketspecifieke kwesties
5.3.1. De semantiek voor het gebruik van omgevingsvariabelen voor su werd gewijzigd
5.3.2. Bestaande PostgreSQL-databanken moeten opnieuw geïndexeerd worden
5.3.3. mutt en neomutt
5.3.4. Toegang tot de app GNOME-Instellingen zonder muis
5.3.5. gnome-disk-utility fails to change LUKS password causing permanent data loss (buster 10.0 only)
5.3.6. Men heeft evolution-ews laten vallen en Postvakken In die een Exchange, Office365 of Outlook server gebruiken zullen verwijderd worden
5.3.7. Het installatieprogramma Calamares maakt de sleutels voor schijfencryptie niet onleesbaar
5.3.8. S3QL URL changes for Amazon S3 buckets
5.3.9. Split in configuration for logrotate
5.3.10. The rescue boot option is unusable without a root password

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.

5.1. Opwaarderingsspecifieke zaken voor buster

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van stretch naar buster.

5.1.1. Hidepid-aankoppeloptie voor procfs niet ondersteund

Het is bekend dat de hidepid-aankoppeloptie voor /proc voor problemen zorgt bij de huidige versies van systemd. Door de ontwikkelaars van systemd wordt deze als niet-ondersteunde configuratie beschouwd. Gebruikers die /etc/fstab aangepast hebben om deze optie te activeren, worden aangeraden om deze voor de opwaardering te deactiveren om ervoor te zorgen dat loginsessies werken in buster. (Een mogelijke weg om deze opnieuw te activeren wordt uitgelegd op de pagina Hardening van de wiki.)

5.1.2. Gebruikt met de optie -no-dbus, start ypbind niet

De standaardopties van ypbind werden gewijzigd. Indien u echter dit bestand wijzigde, zal de oude standaard niet bijgewerkt worden en moet u ervoor zorgen dat de optie YPBINDARGS= in /etc/default/nis niet -no-dbus bevat. Met de optie -no-dbus zal ypbind niet starten en zult u niet in staat zijn in te loggen. Zie bug bug #906436 voor meer informatie.

5.1.3. NIS server does not answer NIS client requests by default

The default behavior of rpcbind has changed to no longer answer remote calls from NIS clients. On NIS servers you will need to add the (Debian-specific) -r flag to the command line options of rpcbind, otherwise users will not be able to log into your NIS client machines. For more info see bug #935492.

5.1.4. Authenticatie kan mislukken bij sshd

De semantiek van de optie PubkeyAcceptedKeyTypes voor sshd evenals van de soortgelijke optie HostbasedAcceptedKeyTypes is gewijzigd. Deze specificeren nu ondertekeningsalgoritmes die worden geaccepteerd voor hun respectieve authenticatiemechanismes, waar zij voorheen sleuteltypes specificeerden. Dit verschil is van belang bij het gebruik van de RSA/SHA2-ondertekeningsalgoritmes rsa-sha2-256 en rsa-sha2-512 en hun bijbehorende certificaten. Configuraties die de opties overschrijven, maar de algoritmenamen achterwege laten, kunnen onverwachte authenticatiefouten veroorzaken.

Er is geen actie vereist voor configuraties welke voor deze opties de standaardinstellingen aanvaarden.

5.1.5. Achtergronddiensten starten niet op of het systeem lijkt te hangen tijdens het opstarten

Omdat systemd tijdens het opstarten entropie nodig heeft en de kernel dergelijke aanroepen als blokkerende aanroepen behandelt wanneer de beschikbare entropie laag is, kan het systeem minuten tot uren lang blijven hangen tot het deelsysteem met willekeurige gegevens voldoende geïnitialiseerd is (random: crng init done). Voor amd64-systemen die de instructie RDRAND ondersteunen, wordt dit probleem vermeden, omdat de Debian kernel deze instructie standaard gebruikt (CONFIG_RANDOM_TRUST_CPU).

Niet-amd64-systemen en bepaalde types virtuele machines moeten een andere bron van entropie voorzien om snel te blijven opstarten. In het project voor het Debian installatiesysteem werd voor dit doel gekozen voor haveged en als er op het systeem geen hardware-entropie beschikbaar is, kan dit een valabele oplossing zijn. Denk voor virtuele machines eventueel aan het doorsturen van entropie naar de virtuele machines via virtio_rng.

Indien u dit leest nadat u vanop afstand een systeem heeft opgewaardeerd naar buster, doet u er goed aan het systeem voortdurend over het netwerk te pingen, omdat dit entropie toevoegt aan de pot willekeurige gegevens en uiteindelijk zal het systeem opnieuw bereikbaar worden via ssh.

Zie de wiki en het door DLange gemaakte overzicht van het probleem voor andere opties.

5.1.6. Vervangen van verouderde benamingen voor netwerkinterfaces

Indien uw systeem opgewaardeerd werd van een vroegere release en nog steeds gebruik maakt van de oude benaming voor netwerkinterfaces (zoals eth0 of wlan0), die sinds Stretch verouderd zijn, moet u zich ervan bewust zijn dat udev in Buster officieel niet langer ondersteuning biedt voor het herdefiniëren van deze namen via /etc/udev/rules.d/70-persistent-net.rules (hoewel het in sommige gevallen nog steeds kan werken). Om te voorkomen dat uw machine het gevaar loopt zijn netwerkfunctie te verliezen na de opwaardering naar Buster, wordt aangeraden om vooraf over te schakelen naar het nieuwe naamgevingsschema (dit houdt gewoonlijk namen in zoals enp0s1 en wlp2s5, die PCI-bus- en slot-nummers bevatten). Zorg er ook voor om alle interfacenamen bij te werken welke mogelijk vermeld staan in de configuratie van een firewall, van ifupdown, enzovoort.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

Om de naam nieuwe-stijl te kennen die gebruikt zullen worden, moet u eerst de huidige namen vinden van de betrokken interfaces:

$ echo /sys/class/net/[ew]*
    

Controleer voor elk van deze namen of deze gebruikt wordt in configuratiebestanden en welke naam udev er bij voorkeur voor gebruikt:

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

This should give enough information to devise a migration plan. (If the udevadm output includes an onboard or slot name, that takes priority; MAC-based names are normally treated as a fallback, but may be needed for USB network hardware.)

Zodra u klaar bent om de omschakeling uit te voeren, moet u 70-persistent-net.rules deactiveren door dit ofwel te hernoemen of door afzonderlijke regels erin uit te commentariëren. Op virtuele machines zult u de bestanden /etc/systemd/network/99-default.link en (als u virtio netwerkapparaten gebruikt) /etc/systemd/network/50-virtio-kernel-names.link moeten verwijderen. Daarna moet u initrd opnieuw bouwen:

$ sudo update-initramfs -u
    

en opnieuw opstarten. Daarna zou uw systeem over de netwerkinterfacenamen nieuwe-stijl moeten beschikken. Pas eventueel resterende configuratiebestanden aan en test uw systeem uit.

See the wiki, upstream documentation, and the udev README.Debian for further information.

5.1.7. Moduleconfiguratie voor bonding en dummy-interfaces

Systemen die gebruik maken van kanaalbinding (channel bonding) en/of dummy-interfaces, bijvoorbeeld om een machine als router te configureren, kunnen problemen ondervinden om naar buster op te waarderen. Recente versies van systemd installeren een bestand /lib/modprobe.d/systemd.conf (bedoeld om de configuratie via systemd-networkd te vereenvoudigen) waarin volgende regels voorkomen:

 options bonding max_bonds=0
 options dummy numdummies=0
    

Systeembeheerders die van andere waarden afhankelijk zijn, zullen er moeten voor zorgen dat ze op de correcte wijze ingesteld zijn om voorrang te krijgen. Een bestand in /etc/modprobe.d zal een bestand met dezelfde naam onder /lib/modprobe.d overschrijven, maar de namen worden in alfabetische volgorde verwerkt, zodat /lib/modprobe.d/systemd.conf na (bijvoorbeeld) /etc/modprobe.d/dummy.conf komt en dat overschrijft. Zorg ervoor dat elk lokaal configuratiebestand een naam heeft die alfabetisch na systemd.conf komt, zoals /etc/modprobe.d/zz-local.conf.

5.1.8. De standaardversie en het beveiligingsniveau van OpenSSL werden verhoogd

In navolging van verschillende veiligheidsaanbevelingen, werd de standaard minimumversie van TLS opgetrokken van TLSv1 naar TLSv1.2.

Ook het standaard beveiligingsniveau van TLS-verbindingen werd verhoogd van niveau 1 naar niveau 2. Dit betekent een verschuiving van het 80-bits beveiligingsniveau naar het 112-bits beveiligingsniveau en vereist 2048-bits of grotere RSA- en DHE-sleutels, 224-bits of grotere ECC-sleutels, en SHA-2.

De instellingen voor het hele systeem kunnen gewijzigd worden in /etc/ssl/openssl.cnf. Toepassingen kunnen ook een toepassingsspecifieke manier gebruiken om de standaardinstellingen aan te passen.

In de standaardversie van het bestand /etc/ssl/openssl.cnf is er een regel met MinProtocol en een regel met CipherString. Met de regel CipherString kan ook het beveiligingsniveau ingesteld worden. Informatie over beveiligingsniveaus is te vinden in de man-pagina SSL_CTX_set_security_level(3ssl). De lijst van geldige tekenreeksen voor de minimum protocolversie is te vinden in SSL_CONF_cmd(3ssl). Andere informatie is te vinden in ciphers(1ssl) en in config(5ssl).

De standaardinstellingen voor het hele systeem in /etc/ssl/openssl.cnf terugzetten naar hun vroegere waarden kan gebeuren door het instellen van:

        MinProtocol = None
        CipherString = DEFAULT
      

Het wordt aanbevolen om de externe site te contacteren als de standaardinstellingen voor problemen zorgen.

5.1.9. In GNOME werken sommige toepassingen niet met Wayland

In Buster heeft GNOME zijn standaard grafische server gewijzigd van Xorg naar Wayland (zie Paragraaf 2.2.11, “GNOME heeft Wayland als standaard”). Sommige toepassingen, waaronder het populaire programma voor pakketbeheer synaptic, de standaard invoermethode voor het Vereenvoudigd Chinees, fcitx en de meeste toepassingen voor schermopname, zijn echter niet opgewaardeerd om behoorlijk te werken met Wayland. Om deze pakketten te kunnen gebruiken moet men inloggen bij een sessie GNOME op Xorg.

5.1.10. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket mcelog wordt niet langer ondersteund door kernels met een hogere versie dan 4.12. rasdaemon kan als vervanging gebruikt worden.

  • Het pakket revelation, dat gebruikt wordt om wachtwoorden op te slaan, is niet opgenomen in buster. keepass2 kan middels een XML-bestand de wachtwoorden importeren die eerder door revelation geëxporteerd werden. Zorg ervoor de gegevens van revelation te exporteren voordat u de opwaardering uitvoert, om te voorkomen dat u de toegang tot uw wachtwoorden verliest.

  • Het pakket phpmyadmin is niet opgenomen in buster.

  • ipsec-tools en racoon werden uit buster verwijderd, omdat de broncode ervan achtergebleven is met het zich aanpassen aan nieuwe bedreigingen.

    Gebruikers wordt aangeraden om over te schakelen op libreswan, dat een bredere protocolcompatibiliteit heeft en dat door actief onderhouden wordt door zijn ontwikkelaar.

    libreswan zou volledig compatibel moeten zijn in termen van communicatieprotocollen omdat het een uitbreiding biedt van de door racoon onderdteunde protocollen.

  • De eenvoudige MTA ssmtp werd weggelaten uit buster. De reden ervoor is dat het TLS-certificaten momenteel niet valideert. Zie bug #662960.

  • Het pakket ecryptfs-utils maakt geen deel uit van Buster door een niet gerepareerde ernstige bug (#765854). Toen deze paragraaf geschreven werd, was er geen duidelijk advies beschikbaar voor gebruikers van eCryptfs, tenzij niet opwaarderen.

5.1.11. Verouderde componenten van buster

Met de volgende uitgave van Debian 11 (codenaam bullseye) zullen sommige functionaliteiten verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 11.

Daaronder vallen de volgende functionaliteiten:

  • Python 2 zal door de ontwikkelaars ervan na 1 januari 2020 niet langer ondersteund worden. Debian hoopt python-2.7 te kunnen weglaten uit Debian 11. Gebruikers die functionaliteit nodig hebben die op python steunt, moeten zich voorbereiden op een overschakeling naar python3.

  • Voor de ontwikkelaars ervan heeft Icinga 1.x op 31-12-2018 het einde van zijn ondersteuning bereikt. Hoewel het pakket icinga nog steeds aanwezig is, zouden gebruikers de Stable-levensfase van Buster moeten gebruiken om over te schakelen naar Icinga 2 (pakket icinga2) en Icinga Web 2 (pakket icingaweb2). Het pakket icinga2-classicui is nog steeds aanwezig om de CGI-webinterface van Icinga 1.x te gebruiken met Icinga 2, maar in Icinga 2.11 zal ondersteuning ervoor weggelaten worden. In plaats daarvan moet Icinga Web 2 gebruikt worden.

  • Versie 3 van de mailinglijstbeheersuite Mailman is nieuw in deze release. Mailman werd in verschillende componenten opgesplitst. De kernfunctionaliteiten zijn te vinden in het pakket mailman3 en de volledige suite kan geïnstalleerd worden met het metapakket mailman3-full.

    De verouderde versie 2.1 van Mailman blijft beschikbaar in deze release middels het pakket mailman. Hierdoor hoeft u bestaande installaties pas te vervangen als u daarvoor een keer de tijd heeft. In de nabije toekomst zal het pakket met Mailman 2.1 in goede staat behouden blijven, maar er zullen geen belangrijke wijzigingen of verbeteringen meer aangebracht worden. Het pakket zal weggelaten worden uit de eerstvolgende stabiele release van Debian, welke plaats vindt nadat de ontwikkelaars van Mailman de ondersteuning voor deze versie hebben beëindigd.

    Iedereen wordt aangeraden op te waarderen naar Mailman 3, de moderne release die actief ontwikkeld wordt.

  • De pakketten spf-milter-python en dkim-milter-python worden niet langer actief ontwikkeld door hun ontwikkelaars, maar de vervangende pakketten pyspf-milter en dkimpy-milter, die meer mogelijkheden bieden, zijn beschikbaar in Buster. Gebruikers zouden moeten overschakelen op de nieuwe pakketten voordat de oude pakketten bij de release van Bullseye verwijderd worden.

5.1.12. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering formeel afgerond. Bij de opwaardering naar buster zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.1.13. Pakketten die verband houden met SysV init zijn niet langer vereist

[Opmerking]Opmerking

Dit gedeelte is niet van toepassing indien u ervoor koos om sysvinit-core te blijven gebruiken.

Na de overschakeling op systemd als standaard init-systeem in Jessie en de verbetering daarvan in Stretch, zijn verscheidene aan SysV gerelateerde pakketten niet langer vereist en zij kunnen nu veilig verwijderd worden met

apt purge initscripts sysv-rc insserv startpar

5.2. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

[Opmerking]Opmerking

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.1. Veiligheidstoestand van webbrowsers en hun render-engines

Debian 10 bevat verscheidene browser-engines die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun engines te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop de engines WebKit en KHTML[6] wel opgenomen in buster maar niet gedekt door de beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare websites moeten bezoeken. Het broncodepakket webkit2gtk wordt wel gedekt door de beveiligingsondersteuning.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

5.2.2. Op Go gebaseerde pakketten

De infrastructuur van Debian maakt het momenteel niet mogelijk om op een passende manier pakketten opnieuw te compileren die op grote schaal delen van andere pakketten statisch linken. Tot Buster stelde dat in de praktijk geen problemen, maar door het groeiend Go-ecosysteem wil dit zeggen dat op Go gebaseerde pakketten niet gedekt zullen worden door de reguliere beveiligingsondersteuning, totdat de infrastructuur zodanig verbeterd werd dat dit op een haalbare manier kan gebeuren.

Als updates gerechtvaardigd zijn, kunnen die er enkel komen via een gewone tussenrelease, wat tijd in beslag kan nemen.

5.3. Pakketspecifieke kwesties

In de meeste gevallen kunnen pakketten probleemloos opgewaardeerd worden van stretch naar buster. In een klein aantal gevallen kan enige tussenkomst nodig zijn, voor of tijdens het opwaarderingsproces. Hierna wordt dit per pakket besproken.

5.3.1. De semantiek voor het gebruik van omgevingsvariabelen voor su werd gewijzigd

De semantiek van su is gewijzigd in buster. Ook worden de gebruikersomgevingsvariabelen DISPLAY en XAUTHORITY van su niet langer behouden. Als het nodig is grafische toepassingen uit te voeren met su, dan moet u deze omgevingsvariabelen expliciet instellen om toegang te verlenen tot uw scherm. Zie bug #905409 voor een uitvoerige bespreking.

5.3.2. Bestaande PostgreSQL-databanken moeten opnieuw geïndexeerd worden

Bij het opwaarderen van Stretch naar Buster worden de taaldefinitiegegevens van glibc bijgewerkt. In het bijzonder wijzigt dit de wijze waarop PostgreSQL in tekstindexen gegevens sorteert. Om gegevensbeschadiging te vermijden, moeten deze indexen onmiddellijk opnieuw geïndexeerd worden (met REINDEX) na het opwaarderen van het pakket locales of het pakket locales-all en voor u de databank weer in gebruik neemt.

Voorgesteld commando:

sudo -u postgres reindexdb --all

Een alternatief is de databanken opwaarderen naar PostgreSQL 11 met pg_upgradecluster. (Dit maakt standaard gebruik van pg_dump dat alle indexen opnieuw opbouwt. Gebruik maken van -m upgrade of pg_upgrade is niet veilig, omdat dit de voortaan foute indexeordening behoudt.)

Raadpleeg de PostgreSQL Wiki voor meer informatie.

5.3.3. mutt en neomutt

In stretch werden in het pakket mutt patches toegepast die afkomstig waren uit de broncode van https://neomutt.org. Met ingang van buster is het pakket dat /usr/bin/mutt ter beschikking stelt, zuiver gebaseerd op de originele broncode van http://www.mutt.org en een apart pakket neomutt biedt /usr/bin/neomutt aan.

Dit betekent dat bepaalde functionaliteit die vroeger beschikbaar was in mutt, dat nu niet meer is. Indien dit uw configuratie onklaar maakt, kunt u in de plaats daarvan neomutt installeren.

5.3.4. Toegang tot de app GNOME-Instellingen zonder muis

Zonder muis is er geen rechtstreekse manier om instellingen te wijzigen in de app GNOME-Instellingen (GNOME Settings) die beschikbaar gesteld wordt door gnome-control-center. Als mogelijke oplossing kunt u navigeren van de zijbalk naar de hoofdinhoud door tweemaal op de Rechterpijltoets te drukken. Om naar de zijbalk terug te keren, kunt u een zoekbewerking starten met Ctrl+F, iets intypen en dan op Esc drukken om de zoekbewerking af te breken. Nu kunt u gebruik maken van Pijl omhoog en Pijl omlaag om in de zijbalk te navigeren. Het is niet mogelijk om met het toetsenbord zoekresultaten te selecteren.

5.3.5. gnome-disk-utility fails to change LUKS password causing permanent data loss (buster 10.0 only)

Users of the initial buster release images should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster had a very nasty bug (#928893) when used to change the LUKS password: it deleted the old password but failed to correctly set the new one, making all data on the disk inaccessible. This has been fixed in the first point release.

5.3.6. Men heeft evolution-ews laten vallen en Postvakken In die een Exchange, Office365 of Outlook server gebruiken zullen verwijderd worden

Gebruikers die evolution gebruiken als e-mailprogramma en die met de plug-in evolution-ews verbinding maken met een server die Exchange, Office365 of Outlook gebruikt, zouden niet mogen opwaarderen naar buster zonder vooraf een reservekopie te maken van hun gegevens en een alternatieve oplossing te zoeken, vermits men evolution-ews laten vallen heeft omwille van bug #926712. Hun Postvakken In, kalender, contactlijsten en taken zullen verwijderd worden en niet langer toegankelijk zijn met Evolution.

The evolution-ews package has been reintroduced via buster-backports. Users upgrading from stretch to buster can enable buster-backports after the upgrade and then they will be able to reinstall evolution-ews.

5.3.7. Het installatieprogramma Calamares maakt de sleutels voor schijfencryptie niet onleesbaar

Indien u Debian installeert van live-media met het installatieprogramma Calamares (Paragraaf 2.2.13, “Nieuws van het Debian Live team”) en kiest voor de functie volledige schijf encrypteren, wordt de sleutel om de schijf te ontgrendelen opgeslagen in het initramfis waartoe iedereen leestoegang heeft. Dit stelt gebruikers die toegang hebben tot het lokale bestandssysteem, in staat de private sleutel te lezen en zo later opnieuw toegang te krijgen tot het bestandssysteem.

Dit probleem kan omzeild worden door UMASK=0077 toe te voegen aan /etc/initramfs-tools/conf.d/initramfs-permissions en daarna update-initramfs -u uit te voeren. Dit zal het initramfs opnieuw aanmaken en ditmaal zonder dat iedereen er leestoegang toe heeft.

Er is een reparatie van het installatieprogramma gepland (zie bug #931373) en deze zal geüpload worden naar debian-security. In afwachting zouden gebruikers die encryptie op de volledige schijf toepassen, bovenstaande oplossing moeten gebruiken.

5.3.8. S3QL URL changes for Amazon S3 buckets

When using s3ql with Amazon S3 buckets, the configuration needs updating for a change in the URL. The new format is:

s3://<region>/<bucket>/<prefix>

5.3.9. Split in configuration for logrotate

The shipped configurations for /var/log/btmp and /var/log/wtmp have been split from the main configuration file (/etc/logrotate.conf) into separate standalone files (/etc/logrotate.d/btmp and /etc/logrotate.d/wtmp).

If you have modified /etc/logrotate.conf in this regard, make sure to re-adjust the two new files to your needs and drop any references to (b|w)tmp from the main file, since duplicate definitions can cause errors.

5.3.10. The rescue boot option is unusable without a root password

With the implementation of sulogin now used, booting with the rescue option always requires the root password. If one has not been set, this makes the rescue mode effectively unusable. However it is still possible to boot using the kernel parameter init=/sbin/sulogin --force

To configure systemd to do the equivalent of this whenever it boots into rescue mode (also known as single mode: see systemd(1)), run sudo systemctl edit rescue.service and create a file saying just:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
    

It might also (or instead) be useful to do this for the emergency.service unit, which is started automatically in the case of certain errors (see systemd.special(7)), or if emergency is added to the kernel command line (e.g. if the system can't be recovered by using the rescue mode).

For background and a discussion on the security implications see #802211.



[6] Deze engines worden in een aantal verschillende broncodepakketten beschikbaar gesteld en de bezorgdheid betreft alle pakketten die ze beschikbaar stellen. De bezorgdheid betreft ook de render-engines die hier niet expliciet vermeld worden, met uitzondering van webkit2gtk.