第2章 Debian 10 の最新情報

目次

2.1. サポートするアーキテクチャ
2.2. ディストリビューションの最新情報
2.2.1. UEFI セキュアブート
2.2.2. AppArmorの有効化
2.2.3. APTへのセキュリティ強化オプションの追加
2.2.4. Unattended-upgrades と stable リリースの関係について
2.2.5. ドイツ語マニュアルページの大幅な改善
2.2.6. ネットワークフィルタリングの nftables への変更
2.2.7. Cryptsetup の on-disk LUKS2への変更
2.2.8. Driverless printing with CUPS 2.2.10
2.2.9. Basic support for Allwinner A64 based devices
2.2.10. Debian Med Blend からのニュース
2.2.11. GNOME defaults to Wayland
2.2.12. Merged /usr on fresh installs
2.2.13. News from Debian Live team

この章のより詳しい情報は Wiki をご覧ください。

2.1. サポートするアーキテクチャ

Debian buster で公式にサポートされているアーキテクチャは以下のとおりです。

  • 32 ビット PC (i386) および 64 ビット PC (amd64)

  • 64 ビット ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI 浮動小数点ハードウェア ABI, armhf)

  • MIPS (mips (ビッグエンディアン) および mipsel (リトルエンディアン))

  • 64 ビットリトルエンディアン MIPS (mips64el)

  • 64 ビットリトルエンディアン PowerPC (ppc64el)

  • IBM System z (s390x)

移植状況の詳細や、お使いの移植版に特有の情報については、Debian の移植版に関するウェブページで読むことができます。

2.2. ディストリビューションの最新情報

Debian のこの新しいリリースには、一つ前のリリースである stretch に含まれていたよりさらに多くのソフトウェアが含まれています。このディストリビューションには、13370 以上の新しいパッケージが含まれており、全体のパッケージ数は 57703 以上になりました。ディストリビューション中のほとんどのソフトウェア、すなわち約 35532 ものソフトウェアパッケージ (これは stretch のパッケージ全体の 62% にあたります) が更新されました。また、かなりの数のパッケージ (stretch のパッケージの 13% にあたる 7278 以上) が、様々な理由でディストリビューションから取り除かれました。これらのパッケージは更新されることはなく、パッケージ管理用のフロントエンドでは 'obsolete' というマークが付けられます。これについては 「利用されなくなったパッケージ」 を参照してください。

Debian again ships with several desktop applications and environments. Among others it now includes the desktop environments GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20, and Xfce 4.12.

事務用アプリケーションもオフィススイートを含めてアップグレードされています:

  • LibreOffice が 6.1 へアップグレードされました;

  • Calligra が 3.1 へアップグレードされました。

  • GNUcash が 3.4 へアップグレードされました。

buster では、Debianとしてはじめて強制アクセスコントロール機能を有効化しました。Debian buster の新規インストールでは AppArmor がインストールされ有効化されます。詳細については後述しています。

また buster は Debian 初の Rust を基盤としたプログラムを含むリリースになります。例として Firefox、ripgrep、fd、exaなどがあり、他にも Rust 関連のライブラリが多く含まれています(450以上です)。Buster では Rustc 1.34 を使っています。

他のデスクトップアプリケーションの更新としては、Evolution 3.30 へのアップグレードが含まれます。

またこのリリースには、特に挙げるなら、以下のソフトウェアの更新も含まれています:

パッケージ9 (stretch) でのバージョン10 (buster) でのバージョン
Apache2.4.252.4.38
BIND DNS サーバ9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 および 25.126.1
Exim 標準の電子メールサーバ4.894.92
GNU Compiler Collection (デフォルトのコンパイラ)6.37.4 and 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
GNU C ライブラリ2.242.28
lighttpd1.4.451.4.53
Linux カーネルイメージ4.9 シリーズ4.19 シリーズ
LLVM/Clang ツールチェイン3.76.0.1 and 7.0.1 (default)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI セキュアブート

セキュアブートは署名されていないコードを防止する機能で、ほとんどのPCで利用できます。セキュアブートは bootkit や rootkit などからPCを保護します。

本リリースから Debian はセキュアブートが有効化されたPCへのインストールと利用が可能になりました。

既存の Debian であっても、UEFI を用いた起動方法の場合はセキュアブートが利用できます。ただし、事前に shim-signed と、grub-efi-amd64-signed あるいは grub-efi-ia32-signed、そして Linux カーネルパッケージを buster からインストールする必要があります。

コード改ざんを抑止するため、GRUB と Linux はセキュアブート下では機能が制限されます。

詳細は Debian wiki の SecureBoot をご覧になってください。

2.2.2. AppArmorの有効化

Debian buster では AppArmor が有効化されました。AppArmor はプログラムごとにプロファイルを定義することで、プログラムの権限を制約できる強制アクセスコントロールシステムです。例として mount、ptrace、シグナルの送受信、ファイルの読み書きや実行を制限できます。

The apparmor package ships with AppArmor profiles for several programs. Some other packages, such as evince, include profiles for the programs they ship. More profiles can be found in the apparmor-profiles-extra package.

AppArmor is pulled in due to a Recommends by the buster Linux kernel package. On systems that are configured to not install recommended packages by default, the apparmor package can be installed manually in order to enable AppArmor.

2.2.3. APTへのセキュリティ強化オプションの追加

APT は Linux カーネルが提供する seccomp-BPF サンドボックス機能(システムコールやその他の SIGSYS シグナルをトラップできるものです)をほとんどのアクセス手段( http や https )で利用できるようになりました。例外は cdrom、gpgv、rsh です。このサンドボックス機能はオプトイン形式なので、有効にするには次の設定が必要です:

      APT::Sandbox::Seccomp を on か off に設定します。
    

さらに次の2つのオプションも設定できます:

      APT::Sandbox::Seccomp::Trap はトラップ対象システムコールの名前のリストです。
      APT::Sandbox::Seccomp::Allow は追加で許可するシステムコールの名前のリストです。
    

2.2.4. Unattended-upgrades と stable リリースの関係について

これまでの unattended-upgrades はセキュリティ関連の更新のみインストール対象にしていました。buster では stable リリースからの自動更新も行います。詳細はパッケージの NEWS.Debian をご覧になってください。

2.2.5. ドイツ語マニュアルページの大幅な改善

systemdutil-linuxmuttなどの文書(manページ)ではかなりのドイツ語追加翻訳があります。manpages-deをインストールして頂ければご利用になれます。buster の有効期間中には、さらなるドイツ語翻訳の追加や改善は backports 系に追加される予定です。

2.2.6. ネットワークフィルタリングの nftables への変更

Starting with iptables v1.8.2 the binary package includes iptables-nft and iptables-legacy, two variants of the iptables command line interface. The nftables-based variant, using the nf_tables Linux kernel subsystem, is the default in buster. The legacy variant uses the x_tables Linux kernel subsystem. The update-alternatives system can be used to select one variant or the other.

この変更点は以下のツールと関連ソフトに影響します:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

All these have also gained -nft and -legacy variants. The -nft option is for users who can't or don't want to migrate to the native nftables command line interface. However, users are strongly enouraged to switch to the nftables interface rather than using iptables.

nftablesiptables の完全な代替となりえ、かつパフォーマンスの改善、一新された文法、IPv4/IPv6 混在ファイヤーウォールでの使いやすさ、動的なルールセット更新時の完全にアトミックな処理、サードパーティ向けの Netlink API、拡張された汎用 set と map によるより高速なパケットクラス分類、更にその他の改善を含みます。

この変更は RedHat のような他の大手Linuxディストリビューションでも行われているもので、nftablesdefault firewalling tool となっています。

更に iptables バイナリファイルは /usr/sbin にインストールされることにもご注意ください( /sbin からの変更です)。互換性のためのシンボリックリンクはありますが、将来的な buster リリースサイクルで無くなる予定です。それらのパスをハードコードしているスクリプトは修正が必要ですし、以前のパスを利用するのは避けてください。

より詳細な情報はパッケージの README と NEWS ファイル、そして Debian Wiki でご確認ください。

2.2.7. Cryptsetup の on-disk LUKS2への変更

cryptsetup の Debian buster バージョンは新しい on-disk LUKS2 フォーマットを用います。新規の LUKS ボリュームにはそれが標準で適用されます。

以前の LUKS1 フォーマットとの違いとして、LUKS2 はメタデータの冗長化と破損検知、そして PBKDF アルゴリズムの設定があります。認証つき暗号化はサポートされてはいますが、まだ experimental 扱いです。

Existing LUKS1 volumes will not be updated automatically. They can be converted, but not all LUKS2 features will be available due to header size incompatibilities. See the cryptsetup manpage for more information.

Please note that the GNU GRUB bootloader doesn't support the LUKS2 format yet. See the corresponding documentation for further information on how to install Debian 10 with encrypted boot.

2.2.8. Driverless printing with CUPS 2.2.10

Debian 10 は CUPS 2.2.10 と cups-filters 1.21.6 を提供します。この2つで driverless printing に必要なものは揃っています。重要なのはネットワーク印刷キューやプリンター自体が AirPrint サービスに対応していることです。最近の IPP プリンターなら大抵は AirPrint に対応しています。また Debian CUPS 印刷キューもAirPrint に対応しています。

ユーザーの印刷ダイアログでは、なんの追加操作もなしで印刷キューやプリンターが表示されます。これは DNS-SD (Bonjour) ブロードキャストでの CUPS サーバーの印刷キューや IPP プリンターの情報共有によって実現されています。付随して non-free なプリンタードライバーやプラグインの利用は必要でなくなります。

cups は標準で cups-browsed もインストールします。これにより印刷キューや IPP プリンターは自動で設定管理されます。この方法が recommended way 問題なくドライバーなしでの印刷を実現するための推奨となります。

2.2.9. Basic support for Allwinner A64 based devices

Thanks to the efforts of the linux-sunxi community Debian buster will have basic suport for many devices based on the Allwinner A64 SoC. This includes FriendlyARM NanoPi A64; Olimex A64-OLinuXino and TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE, and Pinebook; SINOVOIP Banana Pi BPI-M64; and Xunlong Orange Pi Win(Plus).

The essential features of these devices (e.g. serial console, ethernet, USB ports and basic video output) should work with the kernel from buster. More advanced features (e.g. audio or accelerated video) are included or scheduled to be included in later kernels, which will be made available as usual through the backports archive. See also the status page for the Linux mainlining effort.

2.2.10. Debian Med Blend からのニュース

The Debian Med team has added several new packages and updates for software targeting life sciences and medicine. The effort to add Continuous Integration support for the packages in this field was (and will be) continued.

To install packages maintained by the Debian Med team, install the metapackages named med-*, which are at version 3.3 for Debian buster. Feel free to visit the Debian Med tasks pages to see the full range of biological and medical software available in Debian.

2.2.11. GNOME defaults to Wayland

Following upstream, GNOME in buster defaults to using the Wayland display server instead of Xorg. Wayland has a simpler and more modern design, which has advantages for security.

The Xorg display server is still installed by default and the default display manager still allows you to choose it as the display server for the next session, which may be needed if you want to use some applications (see 「Waylandで動作するGNOMEの一部アプリケーションの不具合について」).

People requiring accessibility features of the display server, e.g. global keyboard shortcuts, are recommended to use Xorg instead of Wayland.

2.2.12. Merged /usr on fresh installs

On fresh installs, the content of /bin, /sbin and /lib will be installed into their /usr counterpart by default. /bin, /sbin and /lib will be soft-links pointing at their directory counterpart under /usr/. In graphical form:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

When upgrading to buster, systems are left as they are, although the usrmerge package exists to do the conversion if desired. The freedesktop.org project hosts a Wiki with most of the rationale.

This change shouldn't impact normal users that only run packages provided by Debian, but it may be something that people that use or build third party software want to be aware of.

2.2.13. News from Debian Live team

The Debian Live team is proud to introduce LXQt live ISOs as a new flavor. LXQt is a lightweight Qt desktop environment. It will not get in your way. It will not hang or slow down your system. It is focused on being a classic desktop with a modern look and feel.

The LXQt desktop environment offered in the Debian Live LXQt project is pure, unmodified, so you will get the standard desktop experience that the LXQt developers created for their popular operating system. Users are presented with the standard LXQt layout comprised of a single panel (taskbar) located on the bottom edge of the screen, which includes various useful applets, such as the Main Menu, task manager, app launcher, system tray area, and integrated calendar.

The buster live images come with something new that a bunch of other distributions have also adopted, which is the Calamares installer. Calamares is an independent installer project (they call it The universal installer framework) which offers a Qt based interface for installing a system. It doesn't replace debian-installer on the live images; rather, it serves a different audience.

Calamares is really easy to use, with friendly guided partitioning and really simple full-disk encryption setup. It doesn't cover all the advanced features of debian-installer (although it very recently got RAID support) and it doesn't have an unattended install mode either. However, for 95%+ of desktop and laptop users, Calamares is a much easier way to get a system installed, which makes it very appropriate for live systems. For anyone who needs anything more complicated, or who's doing a mass-install, debian-installer is still available in both text and GUI forms.

Debian Live Buster re-introduces the standard live image. This is a basic Debian image that contains a base Debian system without any graphical user interface. Because it installs from a squashfs image rather than installing the system files using dpkg, installation times are a lot faster than installing from a minimal Debian installation image.