Capítulo 2. O que há de novo em Debian 10

Secure Boot é uma funcionalidade ativada na maioria dos PCs que previne que seja carregado código não assinado, protegendo contra alguns tipos de bootkit e rootkit.

Debian pode agora ser instalado e correr na maioria dos PCs com Secure Boot ativo.

É possível ativar o Secure Boot num sistema que já tenha uma instalação de Debian se já estiver a arrancar utilizando UEFI. Antes de fazer isto, é necessário instalar shim-signed, grub-efi-amd64-signed ou grub-efi-ia32-signed e um pacote de kernel Linux de buster.

Algumas funcionalidades de GRUB e Linux são restringidas no modo Secure Boot, para prevenir modificações ao seu código.

Pode ser encontrada mais informação no wiki Debian em SecureBoot.

Debian buster tem AppArmor ativo por predefinição. AppArmor é uma framework de controlo de acesso mandatório para restringir as capacidades dos programas com permissões (tais como mount, ptrace, permissões de sinais, ou leitura de ficheiros, escrita, e acesso de execução) ao definir perfis por programa.

O pacote apparmor é lançado com perfis AppArmor para vários programas. Alguns outros pacotes, tais como o evince, incluem perfis para os programas que incluem. Podem ser encontrados mais perfis no pacote apparmor-profiles-extra.

AppArmor é puxado devido a Recommends no pacote de kernel Linux em buster. Em sistemas que estão configurados para não instalar Recommends por omissão, o pacote apparmor pode ser instalado manualmente para ativar o AppArmor.

Todos os métodos disponibilizados pelo APT (e.g. http e https) excepto para cdrom, gpgv e rsh podem fazer uso de sandboxing seccomp-BPF conforme é disponibilizado pelo kernel Linux para restringir a lista de chamadas ao sistema permitidas, e caçar todas as outras com um sinal SIGSYS. Este sandboxing é atualmente opcional e necessita ser ativado com:

      APT::Sandbox::Seccomp is a boolean to turn it on/off
    

Podem ser utilizadas duas opções para configurar ainda mais além:

      APT::Sandbox::Seccomp::Trap é uma lista de nomes de mais syscall a caçar
      APT::Sandbox::Seccomp::Allow é uma lista de nomes de mais syscalls a permitir
    

As versões anteriores de unattended-upgrades tinham como predefinição fazer apenas atualizações do conjunto de segurança. Em buster agora também automatiza a atualização para o último lançamento pontual. Para detalhes, veja o ficheiro NEWS.Debian do pacote.

A documentação (man-pages) para vários projectos, tais como systemd, util-linux e mutt foram substancialmente aumentadas. Para beneficiar destas melhorias, por favor instale manpages-de. Durante o tempo de vida de buster serão disponibilizados mais traduções e mais recentes no arquivo backports.

A partir de iptables v1.8.2 o pacote binário inclui iptables-nft e iptables-legacy, as duas variantes da interface de linha de comandos do iptables. A variante baseada em nftables, que utiliza o subsistema nf_tables do kernel Linux, é a predefinida em buster. A variante antiga utiliza o subsistema x_tables do kernel Linux. Pode ser utilizado o sistema update-alternatives para escolher uma variante ou outra.

Isto aplica-se a todas as ferramentas e utilitários relacionados:

Todos estes também ganharam as variantes -nft e -legacy. A opção -nft é para utilizadores que não podem ou não querem migrar para o comando nftables da interface de linha de comandos nativa. No entanto, os utilizadores são fortemente encorajados a mudar para a interface nftables em vez de utilizar iptables.

nftables disponibiliza uma substituição completa de iptables, com muito melhor performance, uma sintaxe renovada, melhor suporte para firewalls dual-stack IPv4/IPv6, operações totalmente atómicas para atualizações de conjuntos de regras dinâmicas, uma API Netlink para aplicações de terceiros, classificação de pacotes mais rápida através de infraestruturas de conjuntos genéricos melhorados e mapeamento, e muitas mais melhorias.

Este alteração está em linha com o que outras distribuições de Linux maiores estão a fazer, tal como a RedHat, que agora utiliza nftables como ferramenta de firewall predefinida.

Além disso, por favor note que todos os binários de iptables são agora instalados em /usr/sbin em vez de /sbin. Existe um symlink para compatibilidade, mas será abandonado após o ciclo de lançamentos buster. Os caminhos fixos em scripts para os binários terão de ser corrigidos e vale a pena serem evitados.

Está disponível documentação extensa nos ficheiros README e NEWS do pacote e no Debian Wiki.

A versão de cryptsetup lançada com Debian buster utiliza o novo formato LUKS2. Os novos volumes LUKS utilizarão este formato por predefinição.

Ao contrário do formato anterior LUKS1, LUKS2 disponibiliza redundância de metadados, deteção de corrupção de metadados e algoritmos PBKDF configuráveis. A encriptação autenticada também é suportada, mas ainda está marcada como experimental.

Os volumes LUKS1 existentes não serão atualizados automaticamente. Podem ser convertidos, mas nem todas as funcionalidades LUKS2 estarão disponíveis devido a incompatibilidades do tamanho do cabeçalho. Para mais informação veja a manpage de cryptsetup.

Por favor note que o gestor de arranque GNU GRUB não suporta ainda o formato LUKS2. Para mais informação, veja a documentação correspondente acerca de como instalar Debian 10 com o arranque encriptado.

Debian 10 disponibiliza CUPS 2.2.10 e cups-filters 1.21.6. Em conjunto estes dão ao utilizador tudo o que é necessário para tomar vantagem da impressão sem drivers. O principal requisito é que uma fila de impressão de rede ou impressora de rede ofereça um serviço AirPrint. Uma impressora moderna de IPP é provavelmente capaz de AirPrint; uma fila de impressão de Debian CUPS tem sempre ativo AirPrint.

Em resumo, o DNS-SD (Bonjour) faz broadcast a partir de um servidor CUPS publicitando uma fila, ou a partir de impressoras IPP, são capazes de ser mostrados nas janelas de impressão das aplicações sem ser necessária qualquer ação por parte do utilizador. Um beneficio adicional é que pode ser dispensada a utilização de drivers de impressão não-livres.

A instalação predefinida do pacote cups também instala o pacote cups-browsed; as filas de impressão e impressoras IPP irão agora ser automaticamente configuradas e geridas a partir deste utilitário. Esta é a forma recomendada para um utilizador usufruir de uma experiência sem problemas de impressão sem drivers.

Graças aos esforços da comunidade linux-sunxi Debian buster irá ter suporte básico para muitos dispositivos baseados no SOC Allwinner A64. Isto inclui o FriendlyARM NanoPi A64; Olimex A64-OLinuXino e TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE, e Pinebook; SINOVOIP Banana Pi BPI-M64; e Xunlong Orange Pi Win(Plus).

As funcionalidades essenciais destes dispositivos (e.g. consola série, ethernet, portas USB e saída básica de video) devem funcionar com o kernel de buster. Funcionalidades mais avançadas (e.g. audio ou video com aceleração) são incluidos ou agendados para serem incluidos em kernels posteriores, os quais irão estar disponiveis como normalmente no arquivo backports. Veja também a página de estado para o esforço de o incluir no mainline Linux.

A equipa Debian Med acrescentou vários novos pacotes e atualizações para software direcionado para as ciências da vida e medicina. Foi continuado (e continuará a ser) o esforço para acrescentar suporte de Continuous Integration para os pacotes deste campo.

Para instalar os pacotes mantidos pela equipa Debian Med, instale os metapacotes chamados med-*, que estão na versão 3.3 em Debian buster. Sinta-se à vontade para visitar as páginas das tarefas Debian Med para ver toda a gama de software de biologia e de medicina disponível em Debian.

Seguindo os autores originais, o GNOME em buster tem predefinido utilizar o servidor de display Wayland em vez de Xorg. Wayland tem um design mais simples e mais moderno, o qual tem vantagens de segurança.

O Servidor de display Xorg ainda é instalado por predefinição e o gestor de dislay predefinido ainda deixa escolher o servidor de display para a próxima sessão, que poderá ser necessário se quiser algumas aplicações (veja Secção 5.1.9, “Algumas aplicações não funcionam em GNOME com Wayland”).

As pessoas que necessitem de funcionalidades de acessibilidade do gestor de display, e.g. atalhos de teclado globais, é recomendado que utilizem Xorg em vez de Wayland.

Em novas instalações, o conteúdo de /bin, /sbin e /lib serão instalados por defeito em /usr. /bin, /sbin e /lib serão soft-links a apontar para o seu directório em /usr/. Na forma gráfica:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

Ao atualizar para buster, os sistemas são deixados como estão, apesar do pacote usrmerge existir para fazer a conversão se for desejado. O projecto freedesktop.org aloja a Wiki com uma explicação.

Esta alteração não deverá impactar os utilizadores normais que apenas correm pacotes disponibilizados por Debian, mas poderá ser algo que quem utiliza ou compila software de terceiros deve estar ciente.

A equipa Debian Live está orgulhosa de introduzir os ISOs LXQt live como novo flavour. LXQt é um ambiente de desktop leve baseado em Qt. Não se atravessará no seu caminho. Não irá parar ou tornar lento o seu sistema. É focado em ser um ambiente clássico com um visual e comportamentos modernos.

O ambiente de trabalho LXQt oferecido no projecto Debian Live LXQt é puro, não modificado, por isso irá obter a experiência standard de desktop que os autores de LXQt criaram para o seu popular sistema operativo. É apresentado aos utilizadores o layout LXQt standard composto por um único painel (taskbar) localizado no fundo do ecrã, o qual inclui várias applets úteis, tais como Menu Principal, gestor de tarefas, lançador de aplicações, área de system tray e calenrário integrado.

As imagens live de buster vêm com algo novo que muitas distribuições também adoptaram, que é o instalador Calamares. Calamares é um projecto de instalador independente (chamam-no de “The universal installer framework”) o qual oferece um interface baseado em Qt para instalar um sistema. Não substitui o debian-installer nas imagens live; em vez disso, serve um público diferente.

Calamares é mesmo fácil de utilizar, com particionamento guiado amigável e configuração mesmo fácil de encriptação completa. Não cobre todas as funcionalidades avançadadas do debian-installer (apesar de recentemente ter passado a suportar RAID) e também não ter um modo de instalação desacompanhada. No entanto, para 95%+ dos utilizadores de computadores desktop e de portáteis, Calamares é uma forma muito mais fácil de instalar o sistema, o que o torna muito apropriado para sistemas live. Para quem necessitar de algo mais complicado, ou que queira fazer instalações em massa, o debian-installer ainda está disponível nas formas de texto e GUI.

Debian Live Buster reintroduz a imagem live standard. Esta é uma imagem Debian básica que contém um sistema Debian sem qualquer interface gráfico. Como instala a partir de uma imagem squashfs em vez de instalar o sistema utilizando o dpkg, o tempo de instalação é muito mais rápido do que instalar a partir de uma imagem de instalação Debian mínima.