Kapitel 2. Vad är nytt i Debian 10

Secure Boot är en funktion som är aktiverad på de flesta datorer och används för att förhindra att osignerad kod laddas vilket skyddar mot så kallade bootkit eller rootkit.

Debian kan från och med nu installeras och köras på de flesta datorer där Secure Boot är aktiverat.

Det går att aktivera Secure Boot på ett system som redan har Debian installerat, så vida det startar med UEFI. Innan detta görs måste shim-signed, grub-efi-amd64-signed eller grub-efi-ia32-signed och ett paket med Linuxkärnan för Buster installeras.

Vissa funktioner i Linux är begränsade i Secure Boot för att förindra förändringar i koden.

Mer information om Secure Boot kan hittas i Debians wiki på sidan om SecureBoot.

Debian har AppArmor aktiverat som standard. AppArmor är ett ramverk för att begränsa vad applikationer kan göra i systemet (exempelvis rättigheter för mount, ptrace och signal eller tillgång till att läsa, skriva eller köra filer) genom att definiera programprofiler.

Paketet apparmor innehåller profiler för ett flertal program. Vissa andra paket, exempelvis evince, tillhandhåller profiler för respektive applikation. Fler profiler kan hittas i paketet apparmor-profiles-extra.

AppArmor installeras genom att paketet för Linuxkärnan i buster har flaggan Recommends satt på AppArmor. För system som inte installerar paket i kategorin Recommends som standard måste paketet apparmor installeras manuellt för att aktivera AppArmor.

Alla metoder som tillhandahålls av APT (exempelvis http och https) förutom cdrom, gpv och rsh kan använda instängning i sanlåda med seccomp-BPF som tillhandahålls av Linuxkärnan för att begränsa vilka systemanrop som kan göras och låser in alla andra i signalen SIGSYS. Sandlåde-hanteringen är förnärvarande något som måste väljas aktivt genom följande inställning:

      APT::Sandbox::Seccomp är ett boolskt värde som sätts till on eller off
    

Två ytterligare inställningar kan användas för djupare kontroll:

      APT::Sandbox::Seccomp::Trap är en lista med namn på de systemanrop som ska låsas in
      APT::Sandbox::Seccomp::Allow är en lista med namn på de systemanrop som är tillåtna
    

Tidigare versioner av unattended-upgrades var konfigurerat på sådant sätt att endast uppdateringar från säkerhetsarkivet installerades som standard. I buster automatiserar den dessutom uppgraderingen till senaste stabila punktutgåvan. Läs mer om detta i paketets NEWS.Debian-fil.

Dokumentationen (man-sidorna) för ett antal projekt, exempelvis systemd, util-linux och mutt har utökats markant. Installera manpages-de för att ta del av förbättringarna. Genom att använda backports-arkivet för buster kommer ytterligare nya och förbättrade översättningar att bli tillgängliga i systemet.

Från och med iptables v1.8.2 tillhandahåller binärpaketet iptables-nft och iptables-legacy - två varianter av kommandoradsgränssnittet iptables. Varianten som är baserad på nftables använder Linuxkärnans undersystem nf_tables och är standard i buster. Den äldre varianten använder undersystemet x_tables i Linuxkärnan. Via update-alternatives-systemet kan föredragen variant väljas.

Detta gäller alla närliggande verktyg och nyttoprogram:

Alla dessa har också fått varianter med suffixen -nft och -legacy. De som har -nft som suffix är till för alla de som inte kan eller inte vill byta till nftables-kommandot direkt. Användare uppmuntras starkt att byta till nftables-gränssnittet istället för att använda iptables.

nftables tillhandahåller en komplett ersättare till iptables med mycket bättre prestanda, ny syntax, bättre stöd för brandväggar för både IPv4 och IPv6, helt atomära operationer för dynamiska uppdateringar av regelverket, Netlink API för applikationsintegration, snabbare paketklassificering och mycket mera.

Denna ändring är i linje med vad andra stora Linux-distributioner gör, exempelvis RedHat som numera använder nftables som standard för brandväggshantering.

Observera dessutom att alla iptables-binärer installeras numera i /usr/sbin istället för /sbin. En kompatabilitetslänk finns på plats men kommer att tas bort efter buster. Hårdkodade sökvägar till binärer i skript kommer att behöva justeras och det är värt att undvika dessa helt.

Utförlig dokumentation finns i paketets README- och NEWS-filer och på Debians Wiki.

cryptsetup-versionen som tillhandahålls i Debian buster använder det nya diskkrypteringsformatet LUKS2. Nya LUKS-volymer kommer att använda detta format som standard.

Till skillnad från det äldre formatet, LUKS1, tillhandahåller LUKS2 redundant metadata, upptäcker korrupt metadata och har justerbara PBKDF-algoritmer. Autentiserad avkryptering stöds men är experimentiell.

Existerande LUKS1-volumer kommer inte att uppdateras automatiskt. De kan konverteras men alla LUKS2-funktioner kan inte användas på grund av att begränsningar i hur LUKS1-volymer installerades på disk. Läs mer i manualsidan för cryptsetup för vidare information.

Observera att Gnu Grub inte kan starta frn LUKS2-volymer ännu. Läs mer i den medföljande dokumentationen för information om installation av Debian 10 med krypterad uppstart.

Debian 10 tillhandahåller Cups 2.2.10 och cups-filters 1.21.6. Tillsammans innebär detta att alla delar som behövs för att användare ska kunna dra fördel av utskrifter utan drivrutiner(engelska). Det grundläggande kravet är att en utskriftskö på nätverket eller en skrivare tillhandahåller en AirPrint-tjänst. En modern IPP-skrivare är med största sannolikhet AirPrint-kapabel, en Debian-baserad utskriftskö harr alltid AirPrint aktiverat.

I korthet så fungerar det som så att DNS-SD (Bonjour) utsändningar från en Cups-server om att det finns en utskriftskö, eller från IPP-skrivare, kan visas i utskriftsdialoger i applikationer utan att någon särskild åtgärd behöver utföras av användaren. Som extra bonus betyder detta att användandet av icke-fria tillverkarspecifika instick och drivrutiner inte längre behöver användas.

En standardinstallation av cups-paketet installerar också paketet cups-browsed; utskriftsköer och IPP-skrivare kommer nu att hanteras och installeras automatiskt. Detta är den QuickPrintQueuesCUPS">rekommenderade lösningen för en användare att uppleva sömlös och problemfria utskrifter utan att använda drivrutiner.

Tack vare insatser från linux-sunix så kommer Debian buster ha grundläggande stöd för många enheter som baserad på Allwinner A64 SoC (enkortsdatorer). Dessa inkluderar FriendlyARM NanoPi A64, Olimex A64-OLinuXino, Olimex TERES-A64, PINE64 PINE A64/A64/A64-LTS, PINE64 SOPINE, PINE64 Pinebook, SINOVOIP Banana Pi BPI-M64 och Xunlong Orange Pi Win(Plus).

De grunläggande funktionerna för dessa enheterna (exempelvis seriellkonsoll, ethernet, USB-portar och grundläggande video ut) ska fungera med kärnan i buster. Mer avancerade funktioner (exempelvis ljud och accelererad video) finns inkluderad eller ska inkluderas i senare kärnor. Dessa kommer att tillgängliggöras som vanligt via backport-arkiven. Mer information finns på statussidan för arbetet med att få in detta i huvudkärnan.

Debian Med-gruppen har lagt till ett stort antal uppdaterade eller nya paket med mjukvara som inriktar sig på life science och medicin. Arbetet med att lägga till automatiserad integrationstestning har inletts och kommer fortsatt att vara prioriterat.

För att installera paket som hanteras av Debian Med-teamet ska metapaket som börjar med med-* användas, detta har version 3.3 för Debian buster. Läs gärna mer på Debian Med tasks pages (engelska) för en komplett lista med mjukvaror för biologi och medicin som finns tillgänglig i Debian.

Utveklargruppen bakom Gnome förordar att använda Wayland istället för Xorg för att hantera visning på skärm. Wayland har en enklare och mer modern desing vilket bland annat ger fördlar i säkerhetsområdet.

Xorg installeras som standard och det går att välja att använda den som standardhanterare för nästkommande session vilket kan vara ett krav fär att vissa applikationer ska fungera, läs mer i Avsnitt 5.1.10, ”Vissa applikationer fungerar inte i Gnome på Wayland”.

De som behöver vissa tillgänglighetsaspekter som exempelvis globala tangentbordsgenvägar bör använda Xorg istället för Wayland.

På nya installationer kommer innehållet i /bin, /sbin och /lib installeras i respektive katalog under /usr som standard. /bin, /sbin och /lib kommer att länkas till respektive katalog under /usr/. Grafiskt representerat:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

Vid uppgradering till buster lämnas systemet i det läget det befinner sig. Paketet usrmerge utför justeringen om så önskas. freedesktop.org wiki har en en sida som beskriver det mesta av bakgrunden till denna ändring.

För normal användning av systemet där endast paket från Debians arkiv används ska detta inte innebär några besvär alls. De som däremot installerar paket från tredjepart eller bygger mjukvara själv kan behöva känna till denna förändring.

Debian Live kommer nu med en ny utgåva baserad på LXQt. LXQt är en lättviktig Qt-baserad skrivbordsmiljö. Den ska vara ur vägen för dig, stannar inte upp eller upplevs som långsam. Den är helt och hållet fokuserad på att vara en klassisk skrivbordsmiljö med modernt utseende och känsla.

Skrivbordsmiljön i Debian Live LXQt är ren och utan justeringar jämfört med standardupplägget från LXQts utvecklargrupp. Användaren får tillgång till LXQts standardupplägget med en enkel panel (aktivitetsfält) i nederkant av skärmen - inklusive huvudmeny, aktivitetshantering, applikationsstartare, systembricka och integrerad kalender.

Buster live kör dessutom något som många andra distributioner valt att köra, installationssytemet Calamares. Calamares är en generell installerare som tillverkas fristående från Debian, de kallar projektet för ”det universiella installationsramverket”. Det grafiska gränssnittet under installationen baseras på Qt. Det ersätter inte debian-installer för live-avbildningar, detta är ett alternativ för en en annan målgrupp.

Calamares är mycket enkelt att använda med användarvänlig assisterad partitioner av hårddisken och enkel installation av krypterad hårddisk. Det kan inte hantera alla de avancerade delarna som debian-installer hanterar idag (dock tillkom nyligen stöd för Raid). Det finns t.ex. inget stöd för installation utan interaktion. För de allra flesta användare av arbetsstationer eller bärbara datorer så kommer Calamares att göra installationen mycket enklare, vilket är en god anledning till att använda den i Debian Live. För den som gör mer avancerade saker eller massinstallationer så är valet förstås fortsatt att använda debian-installer som fungerar utmäkrt både i grafiskt läge och textläge.

Debian Live Buster återintroducerar standardavbildningen för live-system. Detta är ett rent och enkelt system som bara innehåller basinstallationen av Debian utan några grafiska gränssnitt. I och med att den använder en squashfs-avbildning vid installation istället för att gå via dpkg betyder det att installationstiden blir mycket snabbare än att installera från en minimal Debian installations-avbildning.