Hoofdstuk 2. Nieuwigheden in Debian 10

Inhoudsopgave

2.1. Ondersteunde architecturen
2.2. Nieuwigheden in de distributie
2.2.1. UEFI Secure Boot
2.2.2. AppArmor wordt standaard geactiveerd
2.2.3. Facultatieve versterking van APT
2.2.4. Unattended-upgrades voor tussenreleases van stable
2.2.5. Een substantiële verbetering van de man-pagina's voor Duitstalige gebruikers
2.2.6. Standaard netwerkfiltering, gebaseerd op het nftables-raamwerk
2.2.7. Cryptsetup past standaard op schijf de indeling LUKS2 toe
2.2.8. Driverless printing with CUPS 2.2.10
2.2.9. Basisondersteuning voor op Allwinner A64 gebaseerde apparaten
2.2.10. Nieuws van Debian Med Blend - de op de medische wereld gerichte uitgave
2.2.11. GNOME defaults to Wayland
2.2.12. Merged /usr on fresh installs
2.2.13. News from Debian Live team

De Wiki-pagina bevat meer informatie over dit onderwerp.

2.1. Ondersteunde architecturen

Dit zijn de officieel ondersteunde architecturen voor Debian 10:

  • 32-bits PC (i386) en 64-bits PC (amd64)

  • 64-bits ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI hard-float ABI, armhf)

  • MIPS (mips (big-endian) en mipsel (little-endian))

  • 64-bits little-endian MIPS (mips64el)

  • 64-bits little-endian PowerPC (ppc64el)

  • IBM System z (s390x)

U vindt meer over de status van de voor een bepaalde architectuur geschikt gemaakte versies van Debian (ports genoemd in het taalgebruik van ingewijden) en port-specifieke informatie voor uw architectuur op de Webpagina's van de Debian ports.

2.2. Nieuwigheden in de distributie

Deze nieuwe uitgave van Debian bevat opnieuw veel meer software dan zijn voorganger stretch; de distributie bevat meer dan 13370 nieuwe pakketten, en in totaal meer dan 57703 pakketten. De meeste software in de distributie is bijgewerkt: meer dan 35532 softwarepakketten (dit is 62% van alle pakketten in stretch). Er is ook een significant aantal pakketten (meer dan 7278, 13% van de pakketten in stretch) verwijderd uit de distributie om diverse redenen. Deze pakketten zullen niet meer worden bijgewerkt en ze zullen als 'achterhaald' of 'verouderd' worden gemarkeerd in de frontends voor pakketbeheer. Zie Paragraaf 4.8, “Verouderde pakketten”.

Debian wordt weer geleverd met verscheidene desktoptoepassingen en -omgevingen. Het bevat nu onder andere de desktopomgevingen GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20 en Xfce 4.12.

Ook de productiviteitstoepassingen zijn opgewaardeerd, waaronder de kantoorsoftware:

  • LibreOffice werd opgewaardeerd naar versie 6.1;

  • Calligra werd opgewaardeerd naar 3.1.

  • GNUcash werd opgewaardeerd naar 3.4;

Met buster wordt in Debian voor het eerst standaard een raamwerk voor verplichte toegangscontrole (mandatory access control framework) geactiveerd. Bij een nieuwe installatie van Debian buster zal standaard AppArmor geïnstalleerd en geactiveerd worden. Zie hieronder voor meer informatie.

Daarnaast is buster de eerste release van Debian waarin op Rust gebaseerde programma's, zoals Firefox, ripgrep, fd, exa, enz., en een belangrijk aantal op Rust gebaseerde bibliotheken (meer dan 450) aangeboden worden. Buster komt met Rustc 1.34.

Onder de bijgewerkte desktoptoepassingen vermelden we de opwaardering naar Evolution 3.30.

Deze uitgave bevat daarnaast onder meer de volgende bijgewerkte software:

PakketVersie in 9 (stretch)Versie in 10 (buster)
Apache2.4.252.4.38
BIND DNS-server9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 en 25.126.1
Exim standaard e-mailserver4.894.92
GNU Compiler Collection als standaard-compiler6.37.4 en 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
de GNU C-bibliotheek2.242.28
lighttpd1.4.451.4.53
Linux kernel-image4.9-reeks4.19-reeks
LLVM/Clang-gereedschapsset3.76.0.1 en 7.0.1 (standaard)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI Secure Boot

Secure Boot (veilig opstarten) is een functie die op de meeste PC's geactiveerd is en die voorkomt dat niet-ondertekende code geladen wordt, hetgeen bescherming biedt tegen sommige vormen van bootkit en rootkit.

Debian kan nu op de meeste pc's geïnstalleerd en uitgevoerd worden met een geactiveerde Secure Boot.

Het is mogelijk om Secure Boot te activeren op een systeem waarop een bestaande Debian installatie staat, als dit reeds met UEFI opstart. Voor u dit doet, is het noodzakelijk om shim-signed, grub-efi-amd64-signed of grub-efi-ia32-signed te installeren, evenals een Linux kernelpakket van buster.

Bepaalde functionaliteit van GRUB en Linux wordt in de Secure Boot modus ingeperkt om wijzigingen aan hun code te voorkomen.

Meer informatie vindt u op de wiki-pagina van Debian over SecureBoot.

2.2.2. AppArmor wordt standaard geactiveerd

In Debian buster wordt AppArmor standaard geactiveerd. AppArmor is een raamwerk voor verplichte toegangscontrole (mandatory access control framework) dat toelaat om de mogelijkheden van programma's, (zoals het recht om schijven aan te koppelen, processen te traceren of signalen te verwerken, of het recht op lees- of schrijftoegang tot bestanden, of het recht om uitvoerbare bestanden uit te voeren) in te perken door het definiëren van programmaspecifieke profielen.

The apparmor package ships with AppArmor profiles for several programs. Some other packages, such as evince, include profiles for the programs they ship. More profiles can be found in the apparmor-profiles-extra package.

AppArmor is pulled in due to a Recommends by the buster Linux kernel package. On systems that are configured to not install recommended packages by default, the apparmor package can be installed manually in order to enable AppArmor.

2.2.3. Facultatieve versterking van APT

Alle methodes waarin APT voorziet (bijv. http en https), behalve de methodes cdrom, gpgv en rsh, kunnen gebruik maken van de functionaliteit 'seccomp-BPF sandboxing' die voorzien wordt door de Linux-kernel om de lijst van toegestane systeemaanroepen te beperken en om alle andere af te vangen met een SIGSYS-signaal. Om deze sandboxing (creatie van een afgesloten virtuele ruimte) aan te zetten moet u er momenteel actief voor kiezen en deze activeren met:

      APT::Sandbox::Seccomp en met deze booleaanse operator wordt dit aan/uit-gezet
    

Er zijn twee opties waarmee dit verder geconfigureerd kan worden:

      APT::Sandbox::Seccomp::Trap en dit is een lijst met de namen van systeemaanroepen die extra afgevangen moeten worden
      APT::Sandbox::Seccomp::Allow en dit is een lijst met de namen van extra toe te laten systeemaanroepen
    

2.2.4. Unattended-upgrades voor tussenreleases van stable

Eerdere versies van unattended-upgrades installeerden standaard enkel opwaarderingen die afkomstig waren van de beveiligingssuite. In Buster automatiseert het pakket ook opwaarderingen naar de laatste tussenrelease. Raadpleeg voor details het bestand NEWS.Debian van het pakket.

2.2.5. Een substantiële verbetering van de man-pagina's voor Duitstalige gebruikers

De documentatie (man-pagina's) van verschillende projecten, zoals systemd, util-linux en mutt, werd substantieel uitgebreid en toegevoegd. U moet het pakket manpages-de installeren om van deze verbeteringen te profiteren. Gedurende de levenscyclus van buster zullen backports-pakketten (voor een volgende release bedoelde pakketten die geschikt gemaakt werden voor de eraan voorafgaande uitgave) met nog meer verbeteringen /vertalingen beschikbaar gesteld worden via het backports-archief.

2.2.6. Standaard netwerkfiltering, gebaseerd op het nftables-raamwerk

Starting with iptables v1.8.2 the binary package includes iptables-nft and iptables-legacy, two variants of the iptables command line interface. The nftables-based variant, using the nf_tables Linux kernel subsystem, is the default in buster. The legacy variant uses the x_tables Linux kernel subsystem. The update-alternatives system can be used to select one variant or the other.

Dit geldt voor alle gerelateerde gereedschappen en hulpprogramma's:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

All these have also gained -nft and -legacy variants. The -nft option is for users who can't or don't want to migrate to the native nftables command line interface. However, users are strongly enouraged to switch to the nftables interface rather than using iptables.

nftables is een volledige vervanging voor iptables, met veel betere prestaties, een opgefriste syntaxis, betere ondersteuning voor IPv4/IPv6 dual-stack firewalls, volledige atomaire bewerkingen voor dynamische regelsetupdates, een Netlink API voor toepassingen van derden, een snellere classificatie van pakketten via een verbeterde generieke set- en kaartinfrastructuur en veel andere verbeteringen.

Deze aanpassing ligt in de lijn van wat andere belangrijke Linux-distributies, zoals RedHat, doen. Deze laatste gebruikt nu nftables als standaard firewall-gereedschap.

Merk ook op dat alle uitvoerbare programma's van iptables nu geïnstalleerd worden in /usr/sbin in plaats van in /sbin. Met het oog op compatibiliteit wordt er een symbolische koppeling geplaatst, maar na de uitgavecyclus van buster zal deze wegvallen. Scripts met een vast pad naar deze programma's zullen gecorrigeerd moeten worden en het loont de moeite om dit soort gebruik te vermijden.

Uitgebreide documentatie is beschikbaar in de bestanden README en NEWS van het pakket en op de Wiki-pagina van Debian.

2.2.7. Cryptsetup past standaard op schijf de indeling LUKS2 toe

De versie van cryptsetup welke in Debian buster beschikbaar is, past standaard de nieuwe LUKS2-schijfindeling toe. Voor nieuwe LUKS-schijven zal standaard de LUKS2-indeling gebruikt worden.

In tegenstelling tot de vroegere LUKS1-indeling, biedt LUKS2 metadataredundantie, het opsporen van metadatabeschadigingen en configureerbare PBKDF-algoritmes. Ook geauthenticeerde versleuteling wordt ondersteund, maar dit zit nog in de experimentele fase.

Existing LUKS1 volumes will not be updated automatically. They can be converted, but not all LUKS2 features will be available due to header size incompatibilities. See the cryptsetup manpage for more information.

Please note that the GNU GRUB bootloader doesn't support the LUKS2 format yet. See the corresponding documentation for further information on how to install Debian 10 with encrypted boot.

2.2.8. Driverless printing with CUPS 2.2.10

Debian 10 voorziet in CUPS 2.2.10 en in cups-filters 1.21.6. Samen bieden die een gebruiker alles wat deze nodig heeft om te profiteren van stuurprogrammaloos printen. De belangrijkste vereiste is dat een netwerkafdrukwachtrij of een printer een AirPrint-dienst aanbiedt. Een moderne IPP-printer is hoogstwaarschijnlijk geschikt voor AirPrint. AirPrint is steeds ingeschakeld bij een CUPS afdrukwachtrij in Debian.

In essentie komt het erop neer dat de DNS-SD (Bonjour) uitzendingen afkomstig van een CUPS-server, waarmee die een wachtrij aankondigt, of deze afkomstig van IPP-printers, weergegeven kunnen worden in de afdrukvensters van toepassingen zonder dat er van de kant van de gebruiker enige actie vereist is. Een bijkomend voordeel is dat afgezien kan worden van het gebruik van niet-vrije fabrieksstuurprogramma's en -plug-ins voor printers.

Bij een standaardinstallatie van het pakket cups wordt ook het pakket cups-browsed geïnstalleerd. Printerwachtrijen en IPP-printers zullen nu automatisch opgezet en beheerd worden door dit hulpprogramma. Dit is de aanbevolen manier voor een gebruiker om naadloos en probleemloos afdrukken zonder stuurprogramma te ervaren.

2.2.9. Basisondersteuning voor op Allwinner A64 gebaseerde apparaten

Thanks to the efforts of the linux-sunxi community Debian buster will have basic suport for many devices based on the Allwinner A64 SoC. This includes FriendlyARM NanoPi A64; Olimex A64-OLinuXino and TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE, and Pinebook; SINOVOIP Banana Pi BPI-M64; and Xunlong Orange Pi Win(Plus).

The essential features of these devices (e.g. serial console, ethernet, USB ports and basic video output) should work with the kernel from buster. More advanced features (e.g. audio or accelerated video) are included or scheduled to be included in later kernels, which will be made available as usual through the backports archive. See also the status page for the Linux mainlining effort.

2.2.10. Nieuws van Debian Med Blend - de op de medische wereld gerichte uitgave

The Debian Med team has added several new packages and updates for software targeting life sciences and medicine. The effort to add Continuous Integration support for the packages in this field was (and will be) continued.

Om de pakketten te installeren die door het Debian Med team onderhouden worden, moet u de metapakketen installeren die als naam med-* hebben. In Debian buster hebben die versie 3.3. Het volledige gamma van biologische en medische software die in Debian aanwezig is, wordt vermeld op de webpagina's van Debian Med over hun in taken gegroepeerde software.

2.2.11. GNOME defaults to Wayland

Following upstream, GNOME in buster defaults to using the Wayland display server instead of Xorg. Wayland has a simpler and more modern design, which has advantages for security.

The Xorg display server is still installed by default and the default display manager still allows you to choose it as the display server for the next session, which may be needed if you want to use some applications (see Paragraaf 5.1.8, “In GNOME werken sommige toepassingen niet met Wayland”).

People requiring accessibility features of the display server, e.g. global keyboard shortcuts, are recommended to use Xorg instead of Wayland.

2.2.12. Merged /usr on fresh installs

On fresh installs, the content of /bin, /sbin and /lib will be installed into their /usr counterpart by default. /bin, /sbin and /lib will be soft-links pointing at their directory counterpart under /usr/. In graphical form:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

When upgrading to buster, systems are left as they are, although the usrmerge package exists to do the conversion if desired. The freedesktop.org project hosts a Wiki with most of the rationale.

This change shouldn't impact normal users that only run packages provided by Debian, but it may be something that people that use or build third party software want to be aware of.

2.2.13. News from Debian Live team

The Debian Live team is proud to introduce LXQt live ISOs as a new flavor. LXQt is a lightweight Qt desktop environment. It will not get in your way. It will not hang or slow down your system. It is focused on being a classic desktop with a modern look and feel.

The LXQt desktop environment offered in the Debian Live LXQt project is pure, unmodified, so you will get the standard desktop experience that the LXQt developers created for their popular operating system. Users are presented with the standard LXQt layout comprised of a single panel (taskbar) located on the bottom edge of the screen, which includes various useful applets, such as the Main Menu, task manager, app launcher, system tray area, and integrated calendar.

The buster live images come with something new that a bunch of other distributions have also adopted, which is the Calamares installer. Calamares is an independent installer project (they call it The universal installer framework) which offers a Qt based interface for installing a system. It doesn't replace debian-installer on the live images; rather, it serves a different audience.

Calamares is really easy to use, with friendly guided partitioning and really simple full-disk encryption setup. It doesn't cover all the advanced features of debian-installer (although it very recently got RAID support) and it doesn't have an unattended install mode either. However, for 95%+ of desktop and laptop users, Calamares is a much easier way to get a system installed, which makes it very appropriate for live systems. For anyone who needs anything more complicated, or who's doing a mass-install, debian-installer is still available in both text and GUI forms.

Debian Live Buster re-introduces the standard live image. This is a basic Debian image that contains a base Debian system without any graphical user interface. Because it installs from a squashfs image rather than installing the system files using dpkg, installation times are a lot faster than installing from a minimal Debian installation image.