Cap. 2. Noutăți în Debian 10

Secure Boot (n. trad. inițializare securizată a sistemului) este o funcție activată pe majoritatea sistemelor PC. Aceasta previne încărcarea de cod nesemnat pentru a proteja împotriva unor programe de tip bootkit sau rootkit.

Debian poate fi instalat și rulat acum pe majoriatatea sistemelor PC cu Secure Boot activat.

Este posibil să activați Secure Boot pe un sistem care are deja o instalare Debian dacă inițializează cu UEFI. Înainte de a face acest lucru este necesar să instalați shim-signed, grub-efi-amd64-signed sau grub-efi-ia32-signed, precum și un pachet de nucleu Linux din buster.

Anumite facilități din GRUB și Linux sunt restricționate în modul Secure Boot, pentru a preveni modificările codului lor.

Mai multe informații pot fi găsite în wiki-ul Debian la SecureBoot.

Debian buster are AppArmor activat în mod implicit. AppArmor este o platformă de control obligatoriu al accesului folosită pentru restricționarea capacităților programelor (cum ar fi permisiunile de „mount”, „ptrace” și „signal”, sau accesul de citire, scriere și execuție) prin definirea profilelor dedicate pentru programe.

Pachetul apparmor conține profile AppArmor pentru mai multe programe. Alte pachete, cum ar fi evince, includ profile pentru programele pe care le fac disponibile. Mai multe profile pot fi găsite în pachetul apparmor-profiles-extra.

AppArmor este instalat ca urmare a unui Recommend (n. trad. recomandă) a pachetului de nucleu Linux, buster. Pe sisteme care sunt configurate să nu instaleze implicit pachete recomandate pachetul apparmor poate fi instalat manual pentru a activa AppArmor.

Toate metodele oferite de APT (de ex. http și https) exceptând cdrom, gpgv și rsh pot utiliza izolare (n. trad. „sandboxing”) seccomp-BPF furnizată de nucleul Linux pentru a restricționa lista de apeluri de sistem (n. trad. system calls) permise și să le oprească pe toate celelalte cu un semnal SIGSYS. Această izolare trebuie activată explicit cu:

      APT::Sandbox::Seccomp este directiva cu care poate fi activată/dezactivată
    

Două opțiuni pot fi folosite pentru mai multă configurare:

      APT::Sandbox::Seccomp::Trap este o listă cu apeluri syscall suplimentare de oprit
      APT::Sandbox::Seccomp::Allow este o listă cu apeluri syscalls suplimentare permise
    

Versiunile precedente unattended-upgrades instalau implicit doar actualizări din arhiva de securitate. În buster va automatiza și actualizarea la cea mai recentă versiune intermediară (n. trad „point release”). Pentru detalii consultați fișierul NEWS.Debian al pachetului.

Documentația (pagini man) pentru mai multe proiecte cum ar fi systemd, util-linux și mutt a fost extinsă substanțial. Instalați manpages-de pentru a beneficia de îmbunătățiri. Pe timpul duratei de viață a versiunii buster mai multe traduceri noi/îmbunătățite vor fi furnizate prin intermediul arhivei backports.

Începând cu iptables v1.8.2 pachetul binar include iptables-nft și iptables-legacy, două variante ale interfeței pentru linia de comandă iptables. Varianta bazată pe nftables, folosind subsistemul nf_tables al nucleului Linux, este implicită în buster. Varianta învechită folosește subsistemul x_tables al nucleului Linux. Sistemul update-alternatives poate fi folosit pentru a selecta una dintre variante.

Aceasta se aplică tuturor uneltelor și utilitarelor:

Toate acestea au acum și variante -nft și -legacy. Varianta -nft este pentru utilizatori care nu pot sau nu doresc să migreze la interfața nativă pentru linia de comandă nftables. În orice caz, utilizatorii sunt încurajați să utilizeze interfața nftables în loc să utilizeze iptables.

nftables oferă un înlocuitor complet pentru iptables, cu performanță mult mai bună, o sintaxă reîmprospătată, suport mai bun pentru firewall-uri dual-stack IPv4/IPv6, operațiuni complet atomice pentru actualizări dinamice ale seturilor de reguli, un API Netlink pentru aplicații terțe, clasificarea pachetelor mai rapidă prin infrastructuri îmbunătățite de seturi generice și hărți, și multe alte îmbunătățiri.

Această schimbare este aliniată la ce aplică alte distribuții majore de Linux cum ar fi RedHat, care folosește acum nftables ca utilitar implicit de firewall.

De asemenea, țineți cont că toate binarele iptables sunt instalate acum în /usr/sbin în loc de /sbin. Există și o legătură simbolică pentru compatibilitate, dar aceasta va fi eliminată după ciclul de lansare buster. În consecință căile fixe către binare din scripturi vor trebui corectate și merită evitate cu totul.

Documentație amplă se găsește de obicei în fișierele README și NEWS și pe Wiki-ul Debian.

Versiunea lui cryptsetup distribuită cu Debian buster folosește noul format LUKS2. Noile volume LUKS vor folosi acest format în mod implicit.

Spre deosebire de formatul anterior LUKS1, LUKS2 oferă redundanța metadatelor, detectarea coruperii metadatelor, și algoritmi configurabili PBKDF. De asemenea este suportată și criptarea autentificată, dar este încă marcată ca fiind experimentală.

Volumele LUKS1 existente nu vor fi înnoite automat. Ele pot fi convertite, dar nu toate funcționalitățile din LUKS2 vor fi disponibile din cauza incompatibilităților de dimensiune a antetelor. Consultați pagina de manual cryptsetup pentru mai multe informații.

Țineți cont că încărcătorul de sistem GNU GRUB încă nu suportă formatul LUKS2. Vedeți documentația respectivă pentru mai multe informații despre instalarea Debian 10 cu partiție de inițializare (n. trad. „boot”) criptată.

Debian 10 conține CUPS 2.2.10 și cups-filters 1.21.6. Împreună acestea conțin componentele necesare pentru a beneficia de tipărire fără drivere. Principala cerință este ca o coadă de tipărire în rețea sau o imprimantă să ofere serviciul AirPrint. O imprimantă IPP modernă foarte probabil are funcția AirPrint. O coadă de tipărire Debian CUPS are întotdeauna funcția AirPrint disponibilă.

În esență difuzările DNS-SD (Bonjour) de la un server CUPS care oferă o coadă de tipărire sau cele de la imprimante IPP pot fi afișate în fereastra de tipărire a aplicațiilor fără a fi necesară vreo acțiune din partea utilizatorului. Un avantaj suplimentar este că se poate renunța la drivere și module non-libere de la producători.

O instalare implicită a pachetului cups va instala și pachetul cups-browsed. Cozile de tipărire și imprimantele IPP vor fi adăugate automat și gestionate de acest utilitar. Aceasta este metoda recomandată pentru ca un utilizator să aibă parte de tipărire fără drivere care funcționează fără probleme.

Datorită eforturilor comunității linux-sunxi Debian buster va avea suport de bază pentru multe dispozitive bazate pe SoC-ul Allwinner A64. Acestea includ FriendlyARM NanoPi A64; Olimex A64-OLinuXino și TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE și Pinebook; SINOVOIP Banana Pi BPI-M64; și Xunlong Orange Pi Win(Plus).

Facilitățile esențiale ale acestor dispozitive (de ex. consola serială, ethernet, porturi USB și ieșirea video) ar trebui să funcționeze cu nucleul din buster. Facilități avansate (de ex. audio sau video accelerat) sunt incluse sau programate să fie incluse în nuclee ulterioare, care vor fi puse la dispoziție ca de obicei prin arhiva backports. Vedeți și pagina de stare pentru efortul de integrare în versiunea oficială Linux.

Echipa Debian Med a adăugat mai multe pachete noi și actualizări pentru software specializat pentru biologie și medicină. Efortul de a adăuga suport pentru Integrare Continuă pentru pachetele din acest domeniu a fost (și va fi) continuat.

Pentru a instala pachetele întreținute de echipa Debian Med instalați metapachetele denumite med-*, care în Debian buster sunt la versiunea 3.3. Puteți vizita paginile Debian Med pentru a vedea întreaga gamă de software pentru biologie și medicină disponibil în Debian.

În concordanță cu sursa GNOME în buster folosește implicit serverul de afișare Wayland în loc de Xorg. Wayland are un design mai simplu și mai modern, ceea ce aduce avantaje de securitate.

Serverul de afișare Xorg este în continuare instalat, iar managerul de display implicit permite selectarea acestuia ca server de afișare pentru următoarea sesiune. Acest lucru ar putea fi necesar pentru a utiliza anumite aplicații (vedeți Secțiune 5.1.9, „Anumite aplicații nu funcționează în GNOME pe Wayland”).

Pentru persoanele care necesită funcții de accesibilitate ale serverului de afișare, de ex. combinații de taste globale, se recomandă utilizarea Xorg în loc de Wayland.

La instalări noi conținutul /bin, /sbin și /lib va fi instalat implicit în echivalentele lor din /usr. /bin, /sbin și /lib vor fi legături simbolice către directorul echivalent din /usr/. În formă grafică:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

În cadrul actualizării la buster sistemele sunt lăsate așa cum sunt. În cazul în case doriți să faceți conversia există pachetul usrmerge. Proiectul freedesktop.org găzduiește un Wiki cu rațiunile acestei unificări.

Această schimbare nu ar trebui să aibă impact asupra utilizatorilor care folosesc doar pachete furnizate de Debian, dar este un detaliu de reținut pentru cei care folosesc sau compilează software din surse terțe.

Echipa Debian Live prezintă noua variantă LXQt a imaginilor ISO live. LXQt este un mediu de birou „ușor” bazat pe Qt. Nu vă va încurca. Nu vă va „agăța” sau încetini sistemul. Țintește spre a fi un spațiu de lucru clasic cu un aspect modern.

Mediul de birou LXQt oferit în proiectul Debian Live LXQt este pur, nemodificat. Astfel veți obține experiența standard creată de dezvoltatorii LXQt pentru sistemul lor de operare popular. Utilizatorilor le este prezentat un aranjament standard LXQt, constând dintr-o singură bară la marginea de jos a ecranului, care include diverse applet-uri utile, cum ar fi un meniu principal, un manager de sarcini, un lansator de aplicații, o zonă de notificări (n. trad. „system tray”) și un calendar integrat.

Imaginile live buster conțin programul de instalare Calamares, care a fost adoptat și de alte distribuții. Calamares este un proiect independent pentru un program de instalare (denumit de ei „The universal installer framework” (n. trad. platforma universală de instalare)) care oferă o interfață bazată pe Qt pentru a instala un sistem. Acesta nu înlocuiește programul de instalare Debian pe imaginile live, în schimb se adresează unei audiențe diferite.

Calamares este foarte ușor de folosit cu partiționare ghidată prietenoasă și configurare foarte simplă pentru criptare a întregului disc. Acesta nu acoperă toate funcțiile avansate ale debian-installer (n. trad. Programul de instalare Debian) (deși foarte recent a obținut suport pentru RAID) și nu are un mod de instalare nesupravegheat. Cu toate acestea Calamares este o metodă mult mai simplă de instalare pentru mai mult de 95% din utilizatorii obișnuiți de sisteme desktop sau laptop, ceea ce-l face foarte potrivit pentru sisteme live. Pentru oricine are nevoie de ceva mai complicat sau instalează multe sisteme în același timp debian-installer este în continuare disponibil în ambele forme, text sau grafică.

Debian Live Buster reintroduce imaginea live standard. Aceasta este o imagine Debian care conține un sistem Debian de bază, fără interfață grafică. Pentru că instalează dintr-o imagine squashfs în loc să instaleze fișierele de sistem cu dpkg timpii de instalare sunt reduși substanțial comparat cu instalarea de pe o imagine Debian minimală.