Capitolo 2. Cosa c'è di nuovo in Debian 10

Indice

2.1. Architetture supportate
2.2. Cosa c'è di nuovo nella distribuzione?
2.2.1. UEFI Secure Boot
2.2.2. AppArmor abilitato in modo predefinito
2.2.3. Hardening opzionale di APT
2.2.4. Aggiornamenti non presidiati ("unattended-upgrades") per rilasci minori di stable
2.2.5. Pagine di manuale sostanzialmente migliorate per gli utenti di lingua tedesca
2.2.6. Filtraggio di rete basato in modo predefinito sull'infrastruttura nftables
2.2.7. Cryptsetup usa in modo predefinito il formato LUKS2 su disco
2.2.8. Stampa senza driver con CUPS 2.2.10
2.2.9. Supporto di base per i dispositivi basati su Allwinner A64
2.2.10. Novità dal Blend Debian Med
2.2.11. GNOME usa in modo predefinito Wayland
2.2.12. /usr unificata nelle nuove installazioni
2.2.13. Novità dal Team Debian Live

Il Wiki contiene ulteriori informazioni su questo argomento.

2.1. Architetture supportate

Le seguenti architetture sono ufficialmente supportate da Debian 10:

  • PC a 32 bit (i386) e PC a 64 bit (amd64)

  • ARM a 64 bit (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI hard-float ABI, armhf)

  • MIPS (mips (big-endian) e mipsel (little-endian))

  • MIPS little-endian a 64 bit (mips64el)

  • PowerPC little-endian a 64 bit (ppc64el)

  • IBM System z (s390x)

Maggiori informazioni sullo stato dei port e informazioni specifiche sul port per la propria architettura sono disponibili nelle pagine web relative ai port di Debian.

2.2. Cosa c'è di nuovo nella distribuzione?

Ancora una volta la nuova versione di Debian contiene molto più software rispetto alla precedente, stretch; la distribuzione include più di 13370 nuovi pacchetti, per un totale di oltre 57703 pacchetti. La maggior parte del software nella distribuzione è stata aggiornata: più di 35532 pacchetti software (corrispondenti al 62% di tutti i pacchetti in stretch). Inoltre, un notevole numero di pacchetti (oltre 7278, il 13% dei pacchetti in stretch) è stato rimosso dalla distribuzione per diversi motivi. Non ci saranno aggiornamenti per questi pacchetti ed essi saranno marcati come «obsoleti» nelle interfacce dei programmi di gestione dei pacchetti; vedere Sezione 4.8, «Pacchetti obsoleti».

Debian viene ancora una volta fornita con molti ambienti e applicazioni desktop. Fra l'altro include ora gli ambienti desktop GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20 e Xfce 4.12.

Anche le applicazioni per la produttività sono state aggiornate, incluse le suite per l'ufficio:

  • LibreOffice viene aggiornato alla versione 6.1;

  • Calligra viene aggiornato a 3.1.

  • GNUcash viene aggiornato a 3.4;

Con buster Debian per la prima volta fornisce un'infrastruttura di controllo degli accessi obbligatorio abilitata in modo predefinito. Le nuove installazioni di Debian buster avranno installato AppArmor che sarà abilitato in modo predefinito. Vedere più avanti per ulteriori informazioni.

Inoltre buster è il primo rilascio Debian ad essere fornito con programmi basati su Rust come Firefox, ripgrep, fd, exa, ecc. e un significativo numero di librerie basate su Rust (più di 450). Buster viene fornito con Rustc 1.34.

Tra gli aggiornamenti di altre applicazioni per il desktop è incluso l'aggiornamento di Evolution a 3.30.

Fra i molti altri, questa versione include anche i seguenti aggiornamenti software:

PacchettoVersione in 9 (stretch)Versione in 10 (buster)
Apache2.4.252.4.38
BIND Server DNS9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 e 25.126.1
Exim, server predefinito per la posta elettronica4.894.92
GNU Compiler Collection come compilatore predefinito6.37.4 e 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
la libreria C GNU2.242.28
lighttpd1.4.451.4.53
Immagine del kernel Linuxserie 4.9serie 4.19
Insieme di strumenti LLVM/Clang3.76.0.1 e 7.0.1 (predefinito)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
MTA Postfix3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI Secure Boot

Il Secure Boot è una funzionalità abilitata nella maggior parte dei PC che evita che venga caricato codice non firmato, proteggendo da alcuni tipi di bootkit e rootkit.

Debian può ora essere installata ed eseguita sulla maggior parte dei PC con abilitato il Secure Boot

È possibile abilitare il Secure Boot in un sistema che ha una installazione di Debian esistente, se fa già l'avvio usando UEFI. Prima di farlo è necessario installare shim-signed, grub-efi-amd64-signed o grub-efi-ia32-signed e un pacchetto del kernel Linux da buster.

Alcune funzionalità di GRUB e Linux sono limitate con la modalità Secure Boot, per evitare modifiche del loro codice.

Ulteriori informazioni si possono trovare sul wiki Debian alla pagina SecureBoot.

2.2.2. AppArmor abilitato in modo predefinito

Debian buster ha AppArmor abilitato in modo predefinito. AppArmor è un'infrastruttura di controllo degli accessi obbligatorio per limitare le capacità dei programmi (come permessi di montaggio, ptrace e segnali, o accesso a file in lettura, scrittura ed esecuzione) definendo profili per ciascun programma.

Il pacchetto apparmor viene fornito con profili AppArmor per svariati programmi. Alcuni altri pacchetti, come evince, includono profili per i programmi che forniscono. Ulteriori profili possono essere trovati nel pacchetto apparmor-profiles-extra.

AppArmor viene richiamato per l'installazione a causa di una voce Recommends (Raccomanda) del pacchetto del kernel Linux di buster. Nei sistemi che sono configurati per non installare in modo predefinito i pacchetti raccomandati, il pacchetto apparmor può essere installato manualmente per abilitare AppArmor.

2.2.3. Hardening opzionale di APT

Tutti i metodi forniti da APT (es. http e https), tranne cdrom, gpgv e rsh, possono fare uso delle sandbox seccomp-BPF come fornite dal kernel Linux, per restringere la lista delle chiamate di sistema permesse e intrappolare tutte le altre con un segnale SIGSYS. Questo uso delle sandbox è attualmente attivo solo se lo si attiva appositamente e deve essere abilitato con:

      APT::Sandbox::Seccomp che è un valore booleano per attivarlo/disattivarlo
    

Due opzioni possono essere utilizzate per configurarlo ulteriormente:

      APT::Sandbox::Seccomp::Trap è un elenco di nomi di altre chiamate di sistema da intrappolare
      APT::Sandbox::Seccomp::Allow è un elenco di nomi di altre chiamate di sistema da permettere
    

2.2.4. Aggiornamenti non presidiati ("unattended-upgrades") per rilasci minori di stable

Le versioni precedenti di unattended-upgrades in modo predefinito installavano solo gli aggiornamenti provenienti dalla suite di sicurezza. In buster ora aggiorna automaticamente al rilascio minore di stable più recente. Per i dettagli vedere il file NEWS.Debian del pacchetto.

2.2.5. Pagine di manuale sostanzialmente migliorate per gli utenti di lingua tedesca

La documentazione (pagine man) per svariati progetti come systemd, util-linux e mutt è stata sostanzialmente ampliata. Installare manpages-de per sfruttare i miglioramenti. Durante la vita di buster verranno forniti ulteriori miglioramenti / traduzioni all'interno dell'archivio backports.

2.2.6. Filtraggio di rete basato in modo predefinito sull'infrastruttura nftables

A partire da iptables v1.8.2 il pacchetto binario include iptables-nft e iptables-legacy, due varianti dell'interfaccia a riga di comando di iptables. La variante basata su nftables, che usa il sottosistema nf_tables del kernel Linux, è quella predefinita in buster. Quella vecchia usa il sottosistema x_tables del kernel Linux. Il sistema update-alternatives può essere utilizzato per selezionare una variante o l'altra.

Ciò è vero per tutte gli strumenti e le utilità correlate:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

Anche tutti questi hanno acquisito le varianti -nft e -legacy. L'opzione -nft è per gli utenti che non possono, o non desiderano, migrare all'interfaccia a riga di comando nativa nftables. Tuttavia gli utenti sono fortemente incoraggiati a passare all'interfaccia nftables invece di usare la vecchia interfaccia iptables.

nftables fornisce un rimpiazzo completo per iptables con prestazioni molto migliori, una sintassi rinnovata, migliore supporto per firewall IPv4/IPv6 dual-stack, operazioni completamente atomiche per aggiornamenti dinamici dell'insieme di regole, un'API Netlink per applicazioni di terze parti, classificazione dei pacchetti più veloce attraverso infrastrutture generiche migliorate per insiemi e mappe e molti altri miglioramenti.

Questo cambiamento è in linea con ciò che stanno facendo altre popolari distribuzioni Linux, come RedHat, che ora usa nftables come suo strumento predefinito per firewall.

Inoltre, è da notare che tutti i binari iptables sono ora installati in /usr/sbin invece di /sbin. Viene creato un collegamento simbolico di compatibilità, ma verrà abbandonato dopo il ciclo di rilascio di buster. I percorsi di binari specificati in maniera fissa in script dovranno essere corretti ed è meglio evitarli.

Una documentazione esaustiva è disponibile nei file README e NEWS del pacchetto e nel Wiki Debian.

2.2.7. Cryptsetup usa in modo predefinito il formato LUKS2 su disco

La versione di cryptsetup fornita con Debian buster usa il nuovo formato su disco LUKS2. I nuovi volumi LUKS useranno in modo predefinito tale formato.

A differenza del precedente formato LUKS1, LUKS2 fornisce ridondanza dei metadati, rilevazione di corruzione dei metadati e algoritmi PBKDF configurabili. Anche la cifratura autenticata è gestita, ma marcata ancora come sperimentale.

I volumi LUKS1 esistenti non saranno aggiornati automaticamente. Possono essere convertiti ma non tutte le funzionalità di LUKS2 saranno disponibili a causa di incompatibilità nella dimensione delle intestazioni. Vedere la pagina di manuale di cryptsetup per maggiori informazioni.

Notare che il bootloader GNU GRUB non gestisce ancora il formato . Vedere la documentazione corrispondente per ulteriori informazioni su come installare Debian 10 con boot cifrato.

2.2.8. Stampa senza driver con CUPS 2.2.10

Debian 10 fornisce CUPS 2.2.10 e cups-filters 1.21.6. Insieme forniscono all'utente tutto ciò di cui ha bisogno per sfruttare la stampa senza driver. Il requisito principale è che la coda di stampa di rete o la stampante offra un servizio AirPrint. Una stampante IPP moderna molto probabilmente è compatibile con AirPrint; una coda di stampa CUPS di Debian è sempre compatibile con AirPrint.

In sostanza il DNS-SD (Bonjour) fa il broadcasting da un server CUPS pubblicizzando una coda o quelle da stampanti IPP sono in grado di essere visualizzate nei dialoghi di stampa delle applicazioni senza che sia necessaria alcuna azione da parte dell'utente. Un beneficio aggiuntivo è che ci si può disfare dell'uso di driver di stampa e plugin non liberi dei produttori.

Un'installazione predefinita del pacchetto cups installa anche il pacchetto cups-browsed; le code di stampa e le stampanti IPP saranno così automaticamente impostate e gestite da questa utilità. Questo è il modo raccomandato agli utenti per avere un'esperienza di stampa senza driver che sia diretta e senza problemi.

2.2.9. Supporto di base per i dispositivi basati su Allwinner A64

Grazie agli sforzi della comunità linux-sunxi, Debian buster ha un supporto di base per molti dispositivi basati sul SoC Allwinner A64. Ciò include FriendlyARM NanoPi A64; Olimex A64-OLinuXino e TERES-A64, PINE64 PINE A64/A64+/A64-LTS, SOPINE e Pinebook; SINOVOIP Banana Pi BPI-M64; e Xunlong Orange Pi Win (Plus).

Le funzionalità essenziali di questi dispositivi (es. console seriale, ethernet, porte USB e output video di base) dovrebbero funzionare con il kernel di buster. Ulteriori funzionalità avanzate (es. audio o accelerazione video) sono incluse o ne è programmata l'inclusione in kernel successivi che saranno resi disponibili come di consueto attraverso l'archivio dei backport. Vedere anche la pagina di stato per lo sforzo di mainlining di Linux.

2.2.10. Novità dal Blend Debian Med

Il team Debian Med ha aggiunto svariati nuovi pacchetti e aggiornamenti per il software mirato alle scienze naturali e alla medicina. È proseguito e proseguirà lo sforzo per aggiungere il supporto per l'integrazione continua (Continuous Integration) per i pacchetti in questo campo.

Per installare i pacchetti mantenuti dal team Debian Med, installare i metapacchetti chiamati med-* che sono alla versione 3.3 per Debian buster. Visitare le pagine delle attività Debian Med per vedere l'intera gamma del software per biologia e medicina disponibile in Debian.

2.2.11. GNOME usa in modo predefinito Wayland

Seguendo gli autori originali, in buster GNOME usa in modo predefinito il server di display Wayland invece di Xorg. Wayland ha un disegno progettuale più semplice e moderno, che ha vantaggi dal punto di vista della sicurezza.

Il server di display Xorg è ancora installato in modo predefinito e il gestore di display predefinito permette comunque di sceglierlo come server di display per la sessione successiva, e ciò potrebbe essere necessario se si desiderano usare alcune applicazioni (vedere Sezione 5.1.8, «Alcune applicazioni non funzionano in GNOME con Wayland»).

A coloro che richiedono funzionalità di accessibilità per il server di display, ad esempio scorciatoie da tastiera globali, è raccomandato l'uso di Xorg invece di Wayland.

2.2.12. /usr unificata nelle nuove installazioni

Nelle nuove installazioni, il contenuto di /bin, /sbin e /lib viene installato in modo predefinito nelle loro controparti /usr. /bin, /sbin e /lib sono collegamenti simbolici che puntano alle rispettive directory controparti in /usr/. In forma grafica:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

Quando si aggiorna a buster, i sistemi vengono lasciati come sono, anche se esiste il pacchetto usrmerge per fare la conversione, se lo si desidera. Il progetto freedesktop.org ospita un Wiki con spiegate gran parti delle motivazioni.

Questo cambiamento non dovrebbe avere effetti per gli utenti normali che eseguono solo i pacchetti forniti da Debian, ma può essere una cosa di cui deve essere informato chi usa o compila software di terze parti.

2.2.13. Novità dal Team Debian Live

Il team Debian Live è orgoglioso di introdurre le ISO live con LXQt come nuova tipologia. LXQt è un ambiente desktop Qt leggero. Non è invadente. Non si blocca o rallenta il sistema. Si focalizza sull'essere un desktop classico con un aspetto e stile moderni.

L'ambiente desktop LXQt offerto dal progetto Debian Live LXQt è puro, non modificati, perciò si ottiene l'esperienza desktop standard che gli sviluppatori di LXQt hanno creato per il loro popolare sistema operativo. Agli utenti viene presentata una disposizione LXQt standard formata da un singolo pannello (barra delle attività) posizionata all'estremità in basso dello schermo che include varie applet utili, come il menu principale, il gestore delle attività, l'avviatore delle applicazioni, l'area del vassoio di sistema e il calendario integrato.

Le immagini live di buster sono fornite con qualcosa di nuovo che è stato adottato anche da moltissime altre distribuzioni, cioè l'installatore Calamares. Calamares è un progetto di installatore indipendente (viene chiamato «L'infrastruttura universale per installatore»? che offre un'interfaccia basata su Qt per installare un sistema. Non sostituisce l'installatore Debian nelle immagini live; piuttosto è per un pubblico diverso.

Calamares è veramente facile da usare, con partizionamento guidato facile e un'impostazione veramente semplice della cifratura dell'intero disco. Non copre tutte le funzionalità avanzate dell'installatore Debian (anche se ha proprio di recente aggiunto il supporto per RAID) né ha una modalità di installazione non presidiata. Tuttavia per più del 95% degli utenti di desktop e portatili, Calamares è un modo molto più semplice di installare un sistema, il che lo rende molto adatto ai sistemi live. Per tutti coloro che necessitano di qualcosa di più complicato, o che devono fare un'installazione in massa, l'installatore Debian è sempre disponibile in forma sia testuale sia con GUI.

Debian Live Buster reintroduce l'immagine live standard. Questa è un'immagine Debian di base che contiene un sistema Debian di base, senza alcuna interfaccia utente grafica. Dato che installa da un'immagine squashfs, invece di installare i file di sistema usando dpkg, i tempi di installazione sono molto più veloci rispetto ad installare da un'immagine di installazione Debian minimale.