Cap. 2. Noutăți în Debian 10

Cuprins

2.1. Arhitecturi suportate
2.2. Noutăți în distribuție
2.2.1. UEFI Secure Boot
2.2.2. AppArmor este activat în mod implicit
2.2.3. Întărire opțională pentru APT
2.2.4. Unattended-upgrades pentru versiuni stabile intermediare
2.2.5. Îmbunătățire substanțială a paginilor de man pentru vorbitorii de limbă germană
2.2.6. Filtrarea rețelei este bazată în mod implicit pe platforma nftables
2.2.7. Cryptsetup folosește implicit formatul LUKS2
2.2.8. Tipărire fără drivere cu CUPS 2.2.10
2.2.9. Suport de bază pentru dispozitive bazate pe Allwinner A64
2.2.10. Noutăți de la Blend-ul Debian Med
2.2.11. GNOME folosește implicit Wayland
2.2.12. /usr unificat la instalări noi
2.2.13. Noutăți de la echipa Debian Live

Pagina Wiki are mai multe informații despre acest subiect.

2.1. Arhitecturi suportate

Următoarele arhitecturi sunt suportate oficial în Debian 10:

  • PC pe 32 de biți (i386) și PC pe 64 de biți (amd64)

  • ARM pe 64 de biți (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI hard-float ABI, armhf)

  • MIPS (mips (big-endian) și mipsel (little-endian))

  • MIPS little-endian pe 64 de biți (mips64el)

  • PowerPC little-endian pe 64 de biți (ppc64el)

  • IBM System z (s390x)

Puteți să citiți mai multe despre starea portărilor și să aflați detalii specifice arhitecturii dumneavoastră din paginile web ale portărilor Debian.

2.2. Noutăți în distribuție

Această nouă versiune Debian aduce din nou mult mai mult software decât versiunea precedentă, stretch. Distribuția include peste 13370 de pachete noi, ajungând la un total de peste 57703 de pachete. Mare parte din software-ul din distribuție a fost actualizat: peste 35532 de pachete software (adică 62% din numărul de pachete din stretch). De asemenea, din diverse motive, un număr semnificativ de pachete (peste 7278, 13% din pachetele din stretch) au fost scoase din distribuție. Pentru aceste pachete nu veți mai vedea actualizări, acestea fiind marcate ca „învechite” în interfețele de administrare a pachetelor. Consultați Secțiune 4.8, „Pachete învechite”.

Debian aduce din nou mai multe aplicații și medii de birou. Printre altele, acum include mediile de birou GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20 și Xfce 4.12.

Aplicațiile de productivitate au fost de asemenea actualizate, inclusiv suitele de birou:

  • LibreOffice este actualizat la versiunea 6.1.

  • Calligra este actualizat la 3.1.

  • GNUCash este actualizat la 3.4.

O dată cu buster, Debian aduce pentru prima dată o platformă de control obligatoriu al accesului activată implicit. Noile instalări de Debian buster vor avea AppArmor instalat și activat în mod implicit. Consultați informațiile de mai jos pentru mai multe detalii.

În afară de acestea, buster este prima lansare Debian care conține programe bazate pe Rust cum ar fi Firefox, ripgrep, fd, exa, etc. și un număr significant de biblioteci bazate pe Rust (mai mult de 450). Buster conține Rustc 1.34.

Actualizările altor aplicații pentru mediul de birou includ actualizarea lui Evolution la 3.30.

Această versiune conține, printre multe altele, și următoarele actualizări:

PachetVersiunea în 9 (stretch)Versiunea în 10 (buster)
Apache2.4.252.4.38
Serverul DNS BIND9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 și 25.126.1
Serverul implicit de poștă electronică Exim4.894.92
GNU Compiler Collection drept compilator implicit6.37.4 și 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
biblioteca GNU C2.242.28
lighttpd1.4.451.4.53
Imagine de nucleu LinuxSeria 4.9Seria 4.19
Ansamblul de unelte LLVM/Clang3.76.0.1 și 7.0.1 (implicit)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI Secure Boot

Secure Boot (n. trad. inițializare securizată a sistemului) este o funcție activată pe majoritatea sistemelor PC. Aceasta previne încărcarea de cod nesemnat pentru a proteja împotriva unor programe de tip bootkit sau rootkit.

Debian poate fi instalat și rulat acum pe majoriatatea sistemelor PC cu Secure Boot activat.

Este posibil să activați Secure Boot pe un sistem care are deja o instalare Debian dacă inițializează cu UEFI. Înainte de a face acest lucru este necesar să instalați shim-signed, grub-efi-amd64-signed sau grub-efi-ia32-signed, precum și un pachet de nucleu Linux din buster.

Anumite facilități din GRUB și Linux sunt restricționate în modul Secure Boot, pentru a preveni modificările codului lor.

Mai multe informații pot fi găsite în wiki-ul Debian la SecureBoot.

2.2.2. AppArmor este activat în mod implicit

Debian buster are AppArmor activat în mod implicit. AppArmor este o platformă de control obligatoriu al accesului folosită pentru restricționarea capacităților programelor (cum ar fi permisiunile de „mount”, „ptrace” și „signal”, sau accesul de citire, scriere și execuție) prin definirea profilelor dedicate pentru programe.

Pachetul apparmor conține profile AppArmor pentru mai multe programe. Alte pachete, cum ar fi evince, includ profile pentru programele pe care le fac disponibile. Mai multe profile pot fi găsite în pachetul apparmor-profiles-extra.

AppArmor este instalat ca urmare a unui Recommend (n. trad. recomandă) a pachetului de nucleu Linux, buster. Pe sisteme care sunt configurate să nu instaleze implicit pachete recomandate pachetul apparmor poate fi instalat manual pentru a activa AppArmor.

2.2.3. Întărire opțională pentru APT

Toate metodele oferite de APT (de ex. http și https) exceptând cdrom, gpgv și rsh pot utiliza izolare (n. trad. „sandboxing”) seccomp-BPF furnizată de nucleul Linux pentru a restricționa lista de apeluri de sistem (n. trad. system calls) permise și să le oprească pe toate celelalte cu un semnal SIGSYS. Această izolare trebuie activată explicit cu:

      APT::Sandbox::Seccomp este directiva cu care poate fi activată/dezactivată
    

Două opțiuni pot fi folosite pentru mai multă configurare:

      APT::Sandbox::Seccomp::Trap este o listă cu apeluri syscall suplimentare de oprit
      APT::Sandbox::Seccomp::Allow este o listă cu apeluri syscalls suplimentare permise
    

2.2.4. Unattended-upgrades pentru versiuni stabile intermediare

Versiunile precedente unattended-upgrades instalau implicit doar actualizări din arhiva de securitate. În buster va automatiza și actualizarea la cea mai recentă versiune intermediară (n. trad „point release”). Pentru detalii consultați fișierul NEWS.Debian al pachetului.

2.2.5. Îmbunătățire substanțială a paginilor de man pentru vorbitorii de limbă germană

Documentația (pagini man) pentru mai multe proiecte cum ar fi systemd, util-linux și mutt a fost extinsă substanțial. Instalați manpages-de pentru a beneficia de îmbunătățiri. Pe timpul duratei de viață a versiunii buster mai multe traduceri noi/îmbunătățite vor fi furnizate prin intermediul arhivei backports.

2.2.6. Filtrarea rețelei este bazată în mod implicit pe platforma nftables

Începând cu iptables v1.8.2 pachetul binar include iptables-nft și iptables-legacy, două variante ale interfeței pentru linia de comandă iptables. Varianta bazată pe nftables, folosind subsistemul nf_tables al nucleului Linux, este implicită în buster. Varianta învechită folosește subsistemul x_tables al nucleului Linux. Sistemul update-alternatives poate fi folosit pentru a selecta una dintre variante.

Aceasta se aplică tuturor uneltelor și utilitarelor:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

Toate acestea au acum și variante -nft și -legacy. Varianta -nft este pentru utilizatori care nu pot sau nu doresc să migreze la interfața nativă pentru linia de comandă nftables. În orice caz, utilizatorii sunt încurajați să utilizeze interfața nftables în loc să utilizeze iptables.

nftables oferă un înlocuitor complet pentru iptables, cu performanță mult mai bună, o sintaxă reîmprospătată, suport mai bun pentru firewall-uri dual-stack IPv4/IPv6, operațiuni complet atomice pentru actualizări dinamice ale seturilor de reguli, un API Netlink pentru aplicații terțe, clasificarea pachetelor mai rapidă prin infrastructuri îmbunătățite de seturi generice și hărți, și multe alte îmbunătățiri.

Această schimbare este aliniată la ce aplică alte distribuții majore de Linux cum ar fi RedHat, care folosește acum nftables ca utilitar implicit de firewall.

De asemenea, țineți cont că toate binarele iptables sunt instalate acum în /usr/sbin în loc de /sbin. Există și o legătură simbolică pentru compatibilitate, dar aceasta va fi eliminată după ciclul de lansare buster. În consecință căile fixe către binare din scripturi vor trebui corectate și merită evitate cu totul.

Documentație amplă se găsește de obicei în fișierele README și NEWS și pe Wiki-ul Debian.

2.2.7. Cryptsetup folosește implicit formatul LUKS2

Versiunea lui cryptsetup distribuită cu Debian buster folosește noul format LUKS2. Noile volume LUKS vor folosi acest format în mod implicit.

Spre deosebire de formatul anterior LUKS1, LUKS2 oferă redundanța metadatelor, detectarea coruperii metadatelor, și algoritmi configurabili PBKDF. De asemenea este suportată și criptarea autentificată, dar este încă marcată ca fiind experimentală.

Volumele LUKS1 existente nu vor fi înnoite automat. Ele pot fi convertite, dar nu toate funcționalitățile din LUKS2 vor fi disponibile din cauza incompatibilităților de dimensiune a antetelor. Consultați pagina de manual cryptsetup pentru mai multe informații.

Țineți cont că încărcătorul de sistem GNU GRUB încă nu suportă formatul LUKS2. Vedeți documentația respectivă pentru mai multe informații despre instalarea Debian 10 cu partiție de inițializare (n. trad. „boot”) criptată.

2.2.8. Tipărire fără drivere cu CUPS 2.2.10

Debian 10 conține CUPS 2.2.10 și cups-filters 1.21.6. Împreună acestea conțin componentele necesare pentru a beneficia de tipărire fără drivere. Principala cerință este ca o coadă de tipărire în rețea sau o imprimantă să ofere serviciul AirPrint. O imprimantă IPP modernă foarte probabil are funcția AirPrint. O coadă de tipărire Debian CUPS are întotdeauna funcția AirPrint disponibilă.

În esență difuzările DNS-SD (Bonjour) de la un server CUPS care oferă o coadă de tipărire sau cele de la imprimante IPP pot fi afișate în fereastra de tipărire a aplicațiilor fără a fi necesară vreo acțiune din partea utilizatorului. Un avantaj suplimentar este că se poate renunța la drivere și module non-libere de la producători.

O instalare implicită a pachetului cups va instala și pachetul cups-browsed. Cozile de tipărire și imprimantele IPP vor fi adăugate automat și gestionate de acest utilitar. Aceasta este metoda recomandată pentru ca un utilizator să aibă parte de tipărire fără drivere care funcționează fără probleme.

2.2.9. Suport de bază pentru dispozitive bazate pe Allwinner A64

Datorită eforturilor comunității linux-sunxi Debian buster va avea suport de bază pentru multe dispozitive bazate pe SoC-ul Allwinner A64. Acestea includ FriendlyARM NanoPi A64; Olimex A64-OLinuXino și TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE și Pinebook; SINOVOIP Banana Pi BPI-M64; și Xunlong Orange Pi Win(Plus).

Facilitățile esențiale ale acestor dispozitive (de ex. consola serială, ethernet, porturi USB și ieșirea video) ar trebui să funcționeze cu nucleul din buster. Facilități avansate (de ex. audio sau video accelerat) sunt incluse sau programate să fie incluse în nuclee ulterioare, care vor fi puse la dispoziție ca de obicei prin arhiva backports. Vedeți și pagina de stare pentru efortul de integrare în versiunea oficială Linux.

2.2.10. Noutăți de la Blend-ul Debian Med

Echipa Debian Med a adăugat mai multe pachete noi și actualizări pentru software specializat pentru biologie și medicină. Efortul de a adăuga suport pentru Integrare Continuă pentru pachetele din acest domeniu a fost (și va fi) continuat.

Pentru a instala pachetele întreținute de echipa Debian Med instalați metapachetele denumite med-*, care în Debian buster sunt la versiunea 3.3. Puteți vizita paginile Debian Med pentru a vedea întreaga gamă de software pentru biologie și medicină disponibil în Debian.

2.2.11. GNOME folosește implicit Wayland

În concordanță cu sursa GNOME în buster folosește implicit serverul de afișare Wayland în loc de Xorg. Wayland are un design mai simplu și mai modern, ceea ce aduce avantaje de securitate.

Serverul de afișare Xorg este în continuare instalat, iar managerul de display implicit permite selectarea acestuia ca server de afișare pentru următoarea sesiune. Acest lucru ar putea fi necesar pentru a utiliza anumite aplicații (vedeți Secțiune 5.1.8, „Anumite aplicații nu funcționează în GNOME pe Wayland”).

Pentru persoanele care necesită funcții de accesibilitate ale serverului de afișare, de ex. combinații de taste globale, se recomandă utilizarea Xorg în loc de Wayland.

2.2.12. /usr unificat la instalări noi

La instalări noi conținutul /bin, /sbin și /lib va fi instalat implicit în echivalentele lor din /usr. /bin, /sbin și /lib vor fi legături simbolice către directorul echivalent din /usr/. În formă grafică:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

În cadrul actualizării la buster sistemele sunt lăsate așa cum sunt. În cazul în case doriți să faceți conversia există pachetul usrmerge. Proiectul freedesktop.org găzduiește un Wiki cu rațiunile acestei unificări.

Această schimbare nu ar trebui să aibă impact asupra utilizatorilor care folosesc doar pachete furnizate de Debian, dar este un detaliu de reținut pentru cei care folosesc sau compilează software din surse terțe.

2.2.13. Noutăți de la echipa Debian Live

Echipa Debian Live prezintă noua variantă LXQt a imaginilor ISO live. LXQt este un mediu de birou „ușor” bazat pe Qt. Nu vă va încurca. Nu vă va „agăța” sau încetini sistemul. Țintește spre a fi un spațiu de lucru clasic cu un aspect modern.

Mediul de birou LXQt oferit în proiectul Debian Live LXQt este pur, nemodificat. Astfel veți obține experiența standard creată de dezvoltatorii LXQt pentru sistemul lor de operare popular. Utilizatorilor le este prezentat un aranjament standard LXQt, constând dintr-o singură bară la marginea de jos a ecranului, care include diverse applet-uri utile, cum ar fi un meniu principal, un manager de sarcini, un lansator de aplicații, o zonă de notificări (n. trad. „system tray”) și un calendar integrat.

Imaginile live buster conțin programul de instalare Calamares, care a fost adoptat și de alte distribuții. Calamares este un proiect independent pentru un program de instalare (denumit de ei The universal installer framework (n. trad. platforma universală de instalare)) care oferă o interfață bazată pe Qt pentru a instala un sistem. Acesta nu înlocuiește programul de instalare Debian pe imaginile live, în schimb se adresează unei audiențe diferite.

Calamares este foarte ușor de folosit cu partiționare ghidată prietenoasă și configurare foarte simplă pentru criptare a întregului disc. Acesta nu acoperă toate funcțiile avansate ale debian-installer (n. trad. Programul de instalare Debian) (deși foarte recent a obținut suport pentru RAID) și nu are un mod de instalare nesupravegheat. Cu toate acestea Calamares este o metodă mult mai simplă de instalare pentru mai mult de 95% din utilizatorii obișnuiți de sisteme desktop sau laptop, ceea ce-l face foarte potrivit pentru sisteme live. Pentru oricine are nevoie de ceva mai complicat sau instalează multe sisteme în același timp debian-installer este în continuare disponibil în ambele forme, text sau grafică.

Debian Live Buster reintroduce imaginea live standard. Aceasta este o imagine Debian care conține un sistem Debian de bază, fără interfață grafică. Pentru că instalează dintr-o imagine squashfs în loc să instaleze fișierele de sistem cu dpkg timpii de instalare sunt reduși substanțial comparat cu instalarea de pe o imagine Debian minimală.