Chapitre 2. Nouveautés de Debian 10

Table des matières

2.1. Architectures prises en charge
2.2. Quoi de neuf dans la distribution ?
2.2.1. Secure Boot avec UEFI
2.2.2. AppArmor activé par défaut
2.2.3. Renforcement optionnel de la sécurité de APT
2.2.4. Unattended-upgrades pour les publications intermédiaires
2.2.5. Amélioration notable des pages de manuel en allemand
2.2.6. Filtrage réseau basé sur le cadriciel nftables
2.2.7. Format LUKS2 « on-disk » par défaut pour cryptsetup
2.2.8. Driverless printing with CUPS 2.2.10
2.2.9. Prise en charge initiale des périphériques basés sur Allwinner A64
2.2.10. Nouveautés du mélange Debian Med
2.2.11. GNOME utilise Wayland par défaut
2.2.12. /usr fusionné pour les nouvelles installations
2.2.13. Nouveautés de l'équipe Debian Live

Le wiki contient plus de renseignements à ce sujet.

2.1. Architectures prises en charge

Voici ci-dessous la liste des architectures officiellement prises en charge par Debian 10 :

  • PC 32 bits (i386) et PC 64 bits (amd64)

  • ARM 64 bits (arm64)

  • ARM EABI (armel)

  • ARMv7 (ARM avec unité de calcul flottant, armhf)

  • MIPS (mips (gros-boutiste — big endian en anglais) et mipsel (petit-boutiste — little endian en anglais))

  • MIPS 64 bits petit-boutiste (mips64el)

  • PowerPC 64 bits petit-boutiste (ppc64el)

  • IBM System z (s390x)

Vous pouvez en savoir plus sur l'état des portages et les renseignements spécifiques en consultant les pages web sur les portages Debian.

2.2. Quoi de neuf dans la distribution ?

Cette nouvelle version de Debian propose plus de logiciels que la version précédente, Stretch ; la distribution inclut plus de 13370 nouveaux paquets, pour un total de plus de 57703 paquets. La plupart des logiciels de la distribution ont été mis à jour : plus de 35532 paquets logiciels (ce qui représente 62 % des paquets de la distribution Stretch). Un nombre significatif de paquets (plus de 7278, soit 13 % des paquets de Stretch) ont également été supprimés de la distribution pour diverses raisons. Vous ne verrez pas de mise à jour pour ces paquets et ils seront indiqués comme « obsolètes » dans les interfaces de gestion des paquets ; consultez pour cela Section 4.8, « Paquets obsolètes ».

Debian fournit à nouveau plusieurs applications et environnements de bureau. Entre autres, sont maintenant inclus GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20, et Xfce 4.12.

Des applications ont également été mises à jour comme les suites bureautiques :

  • LibreOffice est mis à jour vers la version 6.1 ;

  • Calligra est mis à jour vers la version 3.1.

  • GNUcash est mis à jour vers la version 3.4 ;

Avec Buster, Debian fournit pour la première fois un cadre de contrôle d'accès activé par défaut. Les nouvelles installations de Debian Buster auront AppArmor installé et activé par défaut. Voyez ci-dessous pour plus d'information.

De plus, Buster est la première publication de Debian livrée avec des programmes qui utilisent Rust, comme firefox, ripgrep, fd, exa, et un grand nombre de bibliothèques pour Rust (plus de 450). Buster est livré avec Rustc 1.34.

Les mises à jour des autres applications de bureau incluent la mise à niveau vers Evolution 3.30.

Parmi de nombreuses autres mises à jour, cette publication inclut également celles des logiciels suivants :

PaquetVersion dans Stretch (Debian 9)Version dans Buster (Debian 10)
Apache2.4.252.4.38
Serveur DNS BIND9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 et 25.126.1
Serveur de messagerie Exim4.894.92
Collection de compilateurs GNU comme compilateur par défaut6.37.4 et 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
Bibliothèque C GNU2.242.28
lighttpd1.4.451.4.53
Image du noyau LinuxSérie 4.9Série 4.19
Chaîne de compilation LLVM/Clang3.76.0.1 et 7.0.1 (par défaut)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. Secure Boot avec UEFI

L'amorçage sécurisé avec UEFI est une fonctionnalité présente sur un grand nombre de PC récents. Il empêche le chargement de code non signé numériquement, et ainsi protège de certains types de virus bootkit et rootkit.

Debian peut maintenant être installée et fonctionner sur la plupart des PC avec la fonction « Secure Boot » activée.

Il est possible d'activer l'amorçage sécurisé sur une installation Debian existante, si celle-ci utilise déjà l'UEFI. Avant tout, il faut installer les paquets shim-signed, grub-efi-amd64-signed ou grub-efi-ia32-signed, ainsi qu'un noyau Linux depuis Buster.

Certaines fonctionnalités de GRUB et Linux sont restreintes dans le mode Secure Boot, pour empêcher la modification de leur code.

Plus d'information est disponible sur le wiki de Debian à la page SecureBoot.

2.2.2. AppArmor activé par défaut

AppArmor est activé par défaut dans Debian Buster. AppArmor est un cadre de contrôle d'accès pour limiter les possibilités des programmes (comme les permissions de mount, ptrace et signal, ainsi que les droits de lecture, écriture et exécution) en définissant des profils propres à chaque programme.

The apparmor package ships with AppArmor profiles for several programs. Some other packages, such as evince, include profiles for the programs they ship. More profiles can be found in the apparmor-profiles-extra package.

AppArmor is pulled in due to a Recommends by the buster Linux kernel package. On systems that are configured to not install recommended packages by default, the apparmor package can be installed manually in order to enable AppArmor.

2.2.3. Renforcement optionnel de la sécurité de APT

Toutes les méthodes de APT (par exemple http et https) sauf cdrom, gpgv et rsh utilisent le bac à sable seccomp-BPF fourni par le noyau Linux pour limiter la liste des appels système autorisés, et intercepter les autres grâce à un signal SIGSYS. Ce bac à sable est actuellement désactivé par défaut mais peut être activé avec :

      APT::Sandbox::Seccomp est un booléen pour activer ou désactiver
    

Deux options peuvent être utilisées pour affiner la configuration :

      APT::Sandbox::Seccomp::Trap est une liste de noms de syscalls à intercepter
      APT::Sandbox::Seccomp::Allow est une liste de noms de syscalls à autoriser
    

2.2.4. Unattended-upgrades pour les publications intermédiaires

Dans la configuration par défaut des versions précédentes de unattended-upgrades, seules les mises à jour de sécurité étaient installées. Dans Buster, les mises à jour vers les publications intermédiaires (« point releases ») sont aussi effectuées. Pour plus de détails, consultez le fichier NEWS.Debian du paquet unattended-upgrades.

2.2.5. Amélioration notable des pages de manuel en allemand

La documentation (man-pages) de plusieurs projets comme systemd, util-linux et mutt a été grandement améliorée. Pour en profiter, installez le paquet manpages-de. Durant le cycle de Buster, les améliorations seront rétroportées et fournies dans l'archive backports.

2.2.6. Filtrage réseau basé sur le cadriciel nftables

Starting with iptables v1.8.2 the binary package includes iptables-nft and iptables-legacy, two variants of the iptables command line interface. The nftables-based variant, using the nf_tables Linux kernel subsystem, is the default in buster. The legacy variant uses the x_tables Linux kernel subsystem. The update-alternatives system can be used to select one variant or the other.

Cela s'applique aux outils et utilitaires suivants :

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

All these have also gained -nft and -legacy variants. The -nft option is for users who can't or don't want to migrate to the native nftables command line interface. However, users are strongly enouraged to switch to the nftables interface rather than using iptables.

nftables est un remplaçant complet pour iptables, avec de meilleures performances, une syntaxe réécrite, une meilleure prise en charge des pare-feux double couche IPv4/IPv6, des opérations atomiques, une classification plus rapide des paquets grâce à un set générique amélioré et des infrastructures de routage, et beaucoup d'autres améliorations.

Cette migration est en phase avec les autres distributions, comme Red Hat, qui utilisent maintenant nftables comme pare-feu par défaut.

Veuillez noter que tous les binaires iptables sont maintenant installés dans /usr/sbin à la place de /sbin. Un lien symbolique, pour la compatibilité, est en place, mais sera supprimé après le cycle de Buster. Ainsi, veillez à ne pas utiliser de chemins explicites dans les scripts, ou pensez à les mettre à jour manuellement.

Une documentation plus complète est disponible dans les fichiers README et NEWS du paquet, ainsi que sur le Wiki Debian.

2.2.7. Format LUKS2 « on-disk » par défaut pour cryptsetup

La version de cryptsetup fournie dans Debian Buster utilise le nouveau format LUKS2. Les nouveaux volumes LUKS utiliseront désormais ce format par défaut.

Contrairement au format précédent LUKS1, LUKS2 permet la redondance des méta-données, la détection des corruptions de méta-données et des algorithmes PKDF configurables. Le chiffrement authentifié est aussi pris en charge, mais encore marqué comme expérimental.

Existing LUKS1 volumes will not be updated automatically. They can be converted, but not all LUKS2 features will be available due to header size incompatibilities. See the cryptsetup manpage for more information.

Veuillez noter que le chargeur d'amorçage GNU GRUB ne prend pas encore en charge le format LUKS2. Consultez la documentation en anglais pour plus d'informations sur la manière d'installer Debian 10 avec une partition /boot chiffrée.

2.2.8. Driverless printing with CUPS 2.2.10

Debian 10 fournit CUPS 2.2.10 et cups-filters 1.21.6. Cet ensemble permet de profiter pleinement de l'impression sans pilote. Le principal requis est une file d'attente d'impression réseau, ou une imprimante fournissant un service AirPrint. Les imprimantes IPP modernes ont souvent ces capacités, et une file d'attente d'impression avec CUPS de Debian est maintenant activée pour AirPrint.

Dans le principe, les transmissions DNS-SD (Bonjour) d'un serveur CUPS annonçant une file d'attente, ou celles des imprimantes IPP, peuvent être affichées dans les boîtes de dialogue des applications sans aucune action de l'utilisateur. Un des avantages est que l'utilisation des pilotes et greffons non libres n'est plus nécessaire.

Une installation par défaut du paquet cups installe aussi cups-browsed. Les files d'attente et les imprimantes IPP seront maintenant automatiquement installées et configurées par cet utilitaire. Cela est la méthode recommandée pour profiter facilement de l'impression sans pilote.

2.2.9. Prise en charge initiale des périphériques basés sur Allwinner A64

Thanks to the efforts of the linux-sunxi community Debian buster will have basic suport for many devices based on the Allwinner A64 SoC. This includes FriendlyARM NanoPi A64; Olimex A64-OLinuXino and TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE, and Pinebook; SINOVOIP Banana Pi BPI-M64; and Xunlong Orange Pi Win(Plus).

The essential features of these devices (e.g. serial console, ethernet, USB ports and basic video output) should work with the kernel from buster. More advanced features (e.g. audio or accelerated video) are included or scheduled to be included in later kernels, which will be made available as usual through the backports archive. See also the status page for the Linux mainlining effort.

2.2.10. Nouveautés du mélange Debian Med

L'équipe Debian Med a ajouté plusieurs nouveaux paquets et des mises à jour pour les logiciels à visée scientifique et médicale. Le travail pour ajouter l'intégration continue a été (et sera) maintenu.

Pour installer les paquets maintenus par l'équipe Debian Med, il suffit d'installer les méta-paquets appelés med-*. Ceux-ci sont en version 3.3 pour Debian Buster. Vous pouvez aussi consulter les pages des métapaquets Debian Med pour avoir un aperçu de l'étendue des logiciels de médecine et de biologie dans Debian.

2.2.11. GNOME utilise Wayland par défaut

Comme l'équipe amont, GNOME utilise par défaut le serveur d'affichage Wayland à la place de Xorg dans Buster. Wayland est de conception plus simple et moderne, ce qui est avantageux en terme de sécurité.

Le serveur d'affichage Xorg est toujours installé par défaut et le gestionnaire de session par défaut offre le choix du serveur d'affichage. Cela peut être nécessaire pour utiliser certaines applications (consultez la Section 5.1.8, « Certaines applications ne fonctionnent pas dans GNOME avec Wayland »).

Ceux qui auraient besoin de certaines fonctionnalités d'accessibilité du serveur d'affichage, par exemple des raccourcis globaux, sont invités à utiliser Xorg à la place de Wayland.

2.2.12. /usr fusionné pour les nouvelles installations

Sur les nouvelles installations, les contenus de /bin, /sbin et /lib seront installés, par défaut, dans leur équivalent sous /usr./bin, /sbin et /lib seront des liens symboliques pointant vers leur équivalent sous /usr/. En d'autres termes :

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

When upgrading to buster, systems are left as they are, although the usrmerge package exists to do the conversion if desired. The freedesktop.org project hosts a Wiki with most of the rationale.

This change shouldn't impact normal users that only run packages provided by Debian, but it may be something that people that use or build third party software want to be aware of.

2.2.13. Nouveautés de l'équipe Debian Live

L'équipe Debian Live est fière d'annoncer une nouvelle image autonome basée sur LXQt. LXQt est un environnement de bureau léger, basé sur la bibliothèque Qt, qui ne vous déroutera pas. Il ne ralentira ni ne bloquera votre système. C'est un environnement qui utilise la métaphore classique du bureau, avec une apparence moderne.

L'environnement de bureau fourni dans l'image autonome LXQt est « pure », c'est-à-dire non modifiée par rapport à la version amont de LXQt. Ainsi vous pourrez profiter de l'expérience telle que l'ont conçue les développeurs de LXQt pour leur système d'exploitation. L'agencement standard de LXQt contient un unique panneau (barre des tâches) situé en bas de l'écran, avec plusieurs appliquettes utiles, telles que le menu principal, un gestionnaire de tâches, un lanceur d'applications, une zone de notification et un calendrier intégré.

The buster live images come with something new that a bunch of other distributions have also adopted, which is the Calamares installer. Calamares is an independent installer project (they call it « The universal installer framework ») which offers a Qt based interface for installing a system. It doesn't replace debian-installer on the live images; rather, it serves a different audience.

Calamares is really easy to use, with friendly guided partitioning and really simple full-disk encryption setup. It doesn't cover all the advanced features of debian-installer (although it very recently got RAID support) and it doesn't have an unattended install mode either. However, for 95%+ of desktop and laptop users, Calamares is a much easier way to get a system installed, which makes it very appropriate for live systems. For anyone who needs anything more complicated, or who's doing a mass-install, debian-installer is still available in both text and GUI forms.

Debian Live Buster réintroduit l'image autonome standard. C'est une image Debian qui contient un système Debian de base, sans interface graphique. Puisque l'installation se fait depuis une image squashfs, plutôt que d'installer les fichiers avec dpkg, l'installation est beaucoup plus rapide que depuis une image d'installation minimale Debian.