Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij buster

Inhoudsopgave

5.1. Opwaarderingsspecifieke zaken voor buster
5.1.1. Hidepid-aankoppeloptie voor procfs niet ondersteund
5.1.2. Gebruikt met de optie -no-dbus, start ypbind niet
5.1.3. Authenticatie kan mislukken bij sshd
5.1.4. Achtergronddiensten starten niet op of het systeem lijkt te hangen tijdens het opstarten
5.1.5. Vervangen van verouderde benamingen voor netwerkinterfaces
5.1.6. Module configuration for bonding and dummy interfaces
5.1.7. De standaardversie en het beveiligingsniveau van OpenSSL werden verhoogd
5.1.8. In GNOME werken sommige toepassingen niet met Wayland
5.1.9. Vermeldenswaardige uitgefaseerde pakketten
5.1.10. Verouderde componenten van buster
5.1.11. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren
5.1.12. Pakketten die verband houden met SysV init zijn niet langer vereist
5.2. Beperkingen inzake beveiligingsondersteuning
5.2.1. Veiligheidstoestand van webbrowsers en hun render-engines
5.2.2. Op Go gebaseerde pakketten
5.3. Pakketspecifieke kwesties
5.3.1. De semantiek voor het gebruik van omgevingsvariabelen voor su werd gewijzigd
5.3.2. Bestaande PostgreSQL-databanken moeten opnieuw geïndexeerd worden
5.3.3. mutt en neomutt
5.3.4. Accessing GNOME Settings app without mouse
5.3.5. gnome-disk-utility fails to change LUKS password causing permanent data loss
5.3.6. evolution-ews has been dropped, and email inboxes using Exchange, Office365 or Outlook server will be removed
5.3.7. Calamares installer leaves disk encryption keys readable

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.

5.1. Opwaarderingsspecifieke zaken voor buster

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van stretch naar buster.

5.1.1. Hidepid-aankoppeloptie voor procfs niet ondersteund

Het is bekend dat de hidepid-aankoppeloptie voor /proc voor problemen zorgt bij de huidige versies van systemd. Door de ontwikkelaars van systemd wordt deze als niet-ondersteunde configuratie beschouwd. Gebruikers die /etc/fstab aangepast hebben om deze optie te activeren, worden aangeraden om deze voor de opwaardering te deactiveren om ervoor te zorgen dat loginsessies werken in buster. (Een mogelijke weg om deze opnieuw te activeren wordt uitgelegd op de pagina Hardening van de wiki.)

5.1.2. Gebruikt met de optie -no-dbus, start ypbind niet

De standaardopties van ypbind werden gewijzigd. Indien u echter dit bestand wijzigde, zal de oude standaard niet bijgewerkt worden en moet u ervoor zorgen dat de optie YPBINDARGS= in /etc/default/nis niet -no-dbus bevat. Met de optie -no-dbus zal ypbind niet starten en zult u niet in staat zijn in te loggen. Zie bug bug #906436 voor meer informatie.

5.1.3. Authenticatie kan mislukken bij sshd

De semantiek van de optie PubkeyAcceptedKeyTypes voor sshd evenals van de soortgelijke optie HostbasedAcceptedKeyTypes is gewijzigd. Deze specificeren nu ondertekeningsalgoritmes die worden geaccepteerd voor hun respectieve authenticatiemechanismes, waar zij voorheen sleuteltypes specificeerden. Dit verschil is van belang bij het gebruik van de RSA/SHA2-ondertekeningsalgoritmes rsa-sha2-256 en rsa-sha2-512 en hun bijbehorende certificaten. Configuraties die de opties overschrijven, maar de algoritmenamen achterwege laten, kunnen onverwachte authenticatiefouten veroorzaken.

Er is geen actie vereist voor configuraties welke voor deze opties de standaardinstellingen aanvaarden.

5.1.4. Achtergronddiensten starten niet op of het systeem lijkt te hangen tijdens het opstarten

Omdat systemd tijdens het opstarten entropie nodig heeft en de kernel dergelijke aanroepen als blokkerende aanroepen behandelt wanneer de beschikbare entropie laag is, kan het systeem minuten tot uren lang blijven hangen tot het deelsysteem met willekeurige gegevens voldoende geïnitialiseerd is (random: crng init done). Voor amd64-systemen die de instructie RDRAND ondersteunen, wordt dit probleem vermeden, omdat de Debian kernel deze instructie standaard gebruikt (CONFIG_RANDOM_TRUST_CPU).

Niet-amd64-systemen en bepaalde types virtuele machines moeten een andere bron van entropie voorzien om snel te blijven opstarten. In het project voor het Debian installatiesysteem werd voor dit doel gekozen voor haveged en als er op het systeem geen hardware-entropie beschikbaar is, kan dit een valabele oplossing zijn. Denk voor virtuele machines eventueel aan het doorsturen van entropie naar de virtuele machines via virtio_rng.

Indien u dit leest nadat u vanop afstand een systeem heeft opgewaardeerd naar buster, doet u er goed aan het systeem voortdurend over het netwerk te pingen, omdat dit entropie toevoegt aan de pot willekeurige gegevens en uiteindelijk zal het systeem opnieuw bereikbaar worden via ssh.

Zie de wiki en het door DLange gemaakte overzicht van het probleem voor andere opties.

5.1.5. Vervangen van verouderde benamingen voor netwerkinterfaces

If your system was upgraded from an earlier release, and still uses the old-style network interface names that were deprecated with stretch (such as eth0 or wlan0), you should be aware that the mechanism of defining their names via /etc/udev/rules.d/70-persistent-net.rules is officially not supported by udev in buster (while it may still work in some cases). To avoid the danger of your machine losing networking after the upgrade to buster, it is recommended that you migrate in advance to the new naming scheme (usually meaning names like enp0s1 or wlp2s5, which incorporate PCI bus- and slot-numbers). Take care to update any interface names hard-coded in configuration for firewalls, ifupdown, and so on.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

Om de naam nieuwe-stijl te kennen die gebruikt zullen worden, moet u eerst de huidige namen vinden van de betrokken interfaces:

$ echo /sys/class/net/[ew]*
    

Controleer voor elk van deze namen of deze gebruikt wordt in configuratiebestanden en welke naam udev er bij voorkeur voor gebruikt:

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

Dit zou voldoende informatie moeten geven voor het bedenken van een omschakelingsplan. (Indien de uitvoer van udevadm een ingebouwde naam geeft, heeft die voorrang; een op het MAC-adres gebaseerde wordt gewoonlijk als terugvalmogelijkheid beschouwd, maar is soms nodig voor USB-netwerkhardware.)

Zodra u klaar bent om de omschakeling uit te voeren, moet u 70-persistent-net.rules deactiveren door dit ofwel te hernoemen of door afzonderlijke regels erin uit te commentariëren. Op virtuele machines zult u de bestanden /etc/systemd/network/99-default.link en (als u virtio netwerkapparaten gebruikt) /etc/systemd/network/50-virtio-kernel-names.link moeten verwijderen. Daarna moet u initrd opnieuw bouwen:

$ sudo update-initramfs -u
    

en opnieuw opstarten. Daarna zou uw systeem over de netwerkinterfacenamen nieuwe-stijl moeten beschikken. Pas eventueel resterende configuratiebestanden aan en test uw systeem uit.

Raadpleeg de documentatie van de ontwikkelaars en het bestand README.Debian van udev voor verdere informatie.

5.1.6. Module configuration for bonding and dummy interfaces

Systems using channel bonding and/or dummy interfaces, for instance to configure a machine as a router, may encounter problems upgrading to buster. New versions of systemd install a file /lib/modprobe.d/systemd.conf (intended to simplify configuration via systemd-networkd) which contains the lines

 options bonding max_bonds=0
 options dummy numdummies=0
    

Admins who were depending on different values will need to ensure they are set in the correct way to take precedence. A file in /etc/modprobe.d will override one with the same name under /lib/modprobe.d, but the names are processed in alphabetical order, so /lib/modprobe.d/systemd.conf follows and overrides (for instance) /etc/modprobe.d/dummy.conf. Make sure that any local configuration file has a name that sorts after systemd.conf, such as /etc/modprobe.d/zz-local.conf.

5.1.7. De standaardversie en het beveiligingsniveau van OpenSSL werden verhoogd

In navolging van verschillende veiligheidsaanbevelingen, werd de standaard minimumversie van TLS opgetrokken van TLSv1 naar TLSv1.2.

Ook het standaard beveiligingsniveau van TLS-verbindingen werd verhoogd van niveau 1 naar niveau 2. Dit betekent een verschuiving van het 80-bits beveiligingsniveau naar het 112-bits beveiligingsniveau en vereist 2048-bits of grotere RSA- en DHE-sleutels, 224-bits of grotere ECC-sleutels, en SHA-2.

De instellingen voor het hele systeem kunnen gewijzigd worden in /etc/ssl/openssl.cnf. Toepassingen kunnen ook een toepassingsspecifieke manier gebruiken om de standaardinstellingen aan te passen.

In the default /etc/ssl/openssl.cnf there is a MinProtocol and CipherString line. The CipherString can also set the security level. Information about the security levels can be found in the SSL_CTX_set_security_level(3ssl) manpage. The list of valid strings for the minimum protocol version can be found in SSL_CONF_cmd(3ssl). Other information can be found in ciphers(1ssl) and config(5ssl).

De standaardinstellingen voor het hele systeem in /etc/ssl/openssl.cnf terugzetten naar hun vroegere waarden kan gebeuren door het instellen van:

        MinProtocol = None
        CipherString = DEFAULT
      

Het wordt aanbevolen om de externe site te contacteren als de standaardinstellingen voor problemen zorgen.

5.1.8. In GNOME werken sommige toepassingen niet met Wayland

In Buster heeft GNOME zijn standaard grafische server gewijzigd van Xorg naar Wayland (zie Paragraaf 2.2.11, “GNOME defaults to Wayland”). Sommige toepassingen, waaronder het populaire programma voor pakketbeheer synaptic, de standaard invoermethode voor het Vereenvoudigd Chinees, fcitx en de meeste toepassingen voor schermopname, zijn echter niet opgewaardeerd om behoorlijk te werken met Wayland. Om deze pakketten te kunnen gebruiken moet men inloggen bij een sessie GNOME op Xorg.

5.1.9. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket mcelog wordt niet langer ondersteund door kernels met een hogere versie dan 4.12. rasdaemon kan als vervanging gebruikt worden.

  • Het pakket revelation, dat gebruikt wordt om wachtwoorden op te slaan, is niet opgenomen in buster. keepass2 kan middels een XML-bestand de wachtwoorden importeren die eerder door revelation geëxporteerd werden. Zorg ervoor de gegevens van revelation te exporteren voordat u de opwaardering uitvoert, om te voorkomen dat u de toegang tot uw wachtwoorden verliest.

  • Het pakket phpmyadmin is niet opgenomen in buster.

  • ipsec-tools en racoon werden uit buster verwijderd, omdat de broncode ervan achtergebleven is met het zich aanpassen aan nieuwe bedreigingen.

    Gebruikers wordt aangeraden om over te schakelen op libreswan, dat een bredere protocolcompatibiliteit heeft en dat door actief onderhouden wordt door zijn ontwikkelaar.

    libreswan zou volledig compatibel moeten zijn in termen van communicatieprotocollen omdat het een uitbreiding biedt van de door racoon onderdteunde protocollen.

  • De eenvoudige MTA ssmtp werd weggelaten uit buster. De reden ervoor is dat het TLS-certificaten momenteel niet valideert. Zie bug #662960.

  • Het pakket ecryptfs-utils maakt geen deel uit van Buster door een niet gerepareerde ernstige bug (#765854). Toen deze paragraaf geschreven werd, was er geen duidelijk advies beschikbaar voor gebruikers van eCryptfs, tenzij niet opwaarderen.

5.1.10. Verouderde componenten van buster

Met de volgende uitgave van Debian 11 (codenaam bullseye) zullen sommige functionaliteiten verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 11.

Daaronder vallen de volgende functionaliteiten:

  • Python 2 zal door de ontwikkelaars ervan na 1 januari 2020 niet langer ondersteund worden. Debian hoopt python-2.7 te kunnen weglaten uit Debian 11. Gebruikers die functionaliteit nodig hebben die op python steunt, moeten zich voorbereiden op een overschakeling naar python3.

  • Voor de ontwikkelaars ervan heeft Icinga 1.x op 31-12-2018 het einde van zijn ondersteuning bereikt. Hoewel het pakket icinga nog steeds aanwezig is, zouden gebruikers de Stable-levensfase van Buster moeten gebruiken om over te schakelen naar Icinga 2 (pakket icinga2) en Icinga Web 2 (pakket icingaweb2). Het pakket icinga2-classicui is nog steeds aanwezig om de CGI-webinterface van Icinga 1.x te gebruiken met Icinga 2, maar in Icinga 2.11 zal ondersteuning ervoor weggelaten worden. In plaats daarvan moet Icinga Web 2 gebruikt worden.

  • Versie 3 van de mailinglijstbeheersuite Mailman is nieuw in deze release. Mailman werd in verschillende componenten opgesplitst. De kernfunctionaliteiten zijn te vinden in het pakket mailman3 en de volledige suite kan geïnstalleerd worden met het metapakket mailman3-full.

    De verouderde versie 2.1 van Mailman blijft beschikbaar in deze release middels het pakket mailman. Hierdoor hoeft u bestaande installaties pas te vervangen als u daarvoor een keer de tijd heeft. In de nabije toekomst zal het pakket met Mailman 2.1 in goede staat behouden blijven, maar er zullen geen belangrijke wijzigingen of verbeteringen meer aangebracht worden. Het pakket zal weggelaten worden uit de eerstvolgende stabiele release van Debian, welke plaats vindt nadat de ontwikkelaars van Mailman de ondersteuning voor deze versie hebben beëindigd.

    Iedereen wordt aangeraden op te waarderen naar Mailman 3, de moderne release die actief ontwikkeld wordt.

  • De pakketten spf-milter-python en dkim-milter-python worden niet langer actief ontwikkeld door hun ontwikkelaars, maar de vervangende pakketten pyspf-milter en dkimpy-milter, die meer mogelijkheden bieden, zijn beschikbaar in Buster. Gebruikers zouden moeten overschakelen op de nieuwe pakketten voordat de oude pakketten bij de release van Bullseye verwijderd worden.

5.1.11. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering formeel afgerond. Bij de opwaardering naar buster zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.1.12. Pakketten die verband houden met SysV init zijn niet langer vereist

[Opmerking]Opmerking

Dit gedeelte is niet van toepassing indien u ervoor koos om sysvinit-core te blijven gebruiken.

Na de overschakeling op systemd als standaard init-systeem in Jessie en de verbetering daarvan in Stretch, zijn verscheidene aan SysV gerelateerde pakketten niet langer vereist en zij kunnen nu veilig verwijderd worden met

apt purge initscripts sysv-rc insserv startpar

5.2. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

[Opmerking]Opmerking

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.1. Veiligheidstoestand van webbrowsers en hun render-engines

Debian 10 bevat verscheidene browser-engines die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun engines te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop de engines WebKit en KHTML[6] wel opgenomen in buster maar niet gedekt door de beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare websites moeten bezoeken. Het broncodepakket webkit2gtk wordt wel gedekt door de beveiligingsondersteuning.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

5.2.2. Op Go gebaseerde pakketten

De infrastructuur van Debian maakt het momenteel niet mogelijk om op een passende manier pakketten opnieuw te compileren die op grote schaal delen van andere pakketten statisch linken. Tot Buster stelde dat in de praktijk geen problemen, maar door het groeiend Go-ecosysteem wil dit zeggen dat op Go gebaseerde pakketten niet gedekt zullen worden door de reguliere beveiligingsondersteuning, totdat de infrastructuur zodanig verbeterd werd dat dit op een haalbare manier kan gebeuren.

Als updates gerechtvaardigd zijn, kunnen die er enkel komen via een gewone tussenrelease, wat tijd in beslag kan nemen.

5.3. Pakketspecifieke kwesties

In de meeste gevallen kunnen pakketten probleemloos opgewaardeerd worden van stretch naar buster. In een klein aantal gevallen kan enige tussenkomst nodig zijn, voor of tijdens het opwaarderingsproces. Hierna wordt dit per pakket besproken.

5.3.1. De semantiek voor het gebruik van omgevingsvariabelen voor su werd gewijzigd

De semantiek van su is gewijzigd in buster. Ook worden de gebruikersomgevingsvariabelen DISPLAY en XAUTHORITY van su niet langer behouden. Als het nodig is grafische toepassingen uit te voeren met su, dan moet u deze omgevingsvariabelen expliciet instellen om toegang te verlenen tot uw scherm. Zie bug #905409 voor een uitvoerige bespreking.

5.3.2. Bestaande PostgreSQL-databanken moeten opnieuw geïndexeerd worden

Bij het opwaarderen van Stretch naar Buster worden de taaldefinitiegegevens van glibc bijgewerkt. In het bijzonder wijzigt dit de wijze waarop PostgreSQL in tekstindexen gegevens sorteert. Om gegevensbeschadiging te vermijden, moeten deze indexen onmiddellijk opnieuw geïndexeerd worden (met REINDEX) na het opwaarderen van het pakket locales of het pakket locales-all en voor u de databank weer in gebruik neemt.

Voorgesteld commando:

sudo -u postgres reindexdb --all

Een alternatief is de databanken opwaarderen naar PostgreSQL 11 met pg_upgradecluster. (Dit maakt standaard gebruik van pg_dump dat alle indexen opnieuw opbouwt. Gebruik maken van -m upgrade of pg_upgrade is niet veilig, omdat dit de voortaan foute indexeordening behoudt.)

Raadpleeg de PostgreSQL Wiki voor meer informatie.

5.3.3. mutt en neomutt

In stretch werden in het pakket mutt patches toegepast die afkomstig waren uit de broncode van https://neomutt.org. Met ingang van buster is het pakket dat /usr/bin/mutt ter beschikking stelt, zuiver gebaseerd op de originele broncode van http://www.mutt.org en een apart pakket neomutt biedt /usr/bin/neomutt aan.

Dit betekent dat bepaalde functionaliteit die vroeger beschikbaar was in mutt, dat nu niet meer is. Indien dit uw configuratie onklaar maakt, kunt u in de plaats daarvan neomutt installeren.

5.3.4. Accessing GNOME Settings app without mouse

Without a pointing device, there is no direct way to change settings in the GNOME Settings app provided by gnome-control-center. As a work-around, you can navigate from the sidebar to the main content by pressing the Right Arrow twice. To get back to the sidebar, you can start a search with Ctrl+F, type something, then hit Esc to cancel the search. Now you can use the Up Arrow and Down Arrow to navigate the sidebar. It is not possible to select search results with the keyboard.

5.3.5. gnome-disk-utility fails to change LUKS password causing permanent data loss

Users should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster has a very nasty bug (#928893) when used to change the LUKS password: it deletes the old password but fails to correctly set the new one, making all data on the disk inaccessible.

5.3.6. evolution-ews has been dropped, and email inboxes using Exchange, Office365 or Outlook server will be removed

Users using evolution as their email client and connecting to a server running Exchange, Office365 or Outlook using the evolution-ews plugin should not upgrade to buster without backing up data and finding an alternative solution beforehand, as evolution-ews has been dropped due to bug #926712 and their email inboxes, calendar, contact lists and tasks will be removed and will no longer be accessible with Evolution.

The evolution-ews package has been reintroduced via buster-backports. Users upgrading from stretch to buster can enable buster-backports after the upgrade and then they will be able to reinstall evolution-ews.

5.3.7. Calamares installer leaves disk encryption keys readable

When installing Debian from live media using the Calamares installer (Paragraaf 2.2.13, “News from Debian Live team”) and selecting the full disk encryption feature, the disk's unlock key is stored in the initramfs which is world readable. This allows users with local filesystem access to read the private key and gain access to the filesystem again in the future.

This can be worked around by adding UMASK=0077 to /etc/initramfs-tools/conf.d/initramfs-permissions and running update-initramfs -u. This will recreate the initramfs without world-readable permissions.

A fix for the installer is being planned (see bug #931373) and will be uploaded to debian-security. In the meantime users of full disk encryption should apply the above workaround.



[6] Deze engines worden in een aantal verschillende broncodepakketten beschikbaar gesteld en de bezorgdheid betreft alle pakketten die ze beschikbaar stellen. De bezorgdheid betreft ook de render-engines die hier niet expliciet vermeld worden, met uitzondering van webkit2gtk.