Capítulo 2. O que há de novo em Debian 10

Índice

2.1. Arquitecturas suportadas
2.2. O que há de novo na distribuição?
2.2.1. UEFI Secure Boot
2.2.2. AppArmor ativo por omissão
2.2.3. Hardening opcional para APT
2.2.4. Unattended-upgrades para lançamentos stable pontuais
2.2.5. Man pages substancialmente melhoradas para utilizadores que falam Alemão
2.2.6. Filtragem de rede baseada na framework nftables por predefinição
2.2.7. Cryptsetup tem predefinido o formato LUKS2 no disco
2.2.8. Impressão sem drivers com CUPS 2.2.10
2.2.9. Suporte básico para dispositivos baseados em Allwinner A64
2.2.10. Notícias do Blend Debian Med
2.2.11. GNOME com predefinição para Wayland
2.2.12. /usr fundido em novas instalações
2.2.13. Notícias da equipa Debian Live

O Wiki tem mais informação acerca deste tópico.

2.1. Arquitecturas suportadas

As seguintes são as arquitecturas suportadas oficialmente em Debian 10:

  • PC de 32-bit (i386) e PC de 64-bit (amd64)

  • 64-bit ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI hard-float ABI, armhf)

  • MIPS (mips (big-endian) e mipsel (little-endian))

  • 64-bit little-endian MIPS (mips64el)

  • 64-bit little-endian PowerPC (ppc64el)

  • IBM System z (s390x)

Pode ler mais acerca do estado do port, bem como informação específica do port para a sua arquitectura nas páginas web dos ports Debian.

2.2. O que há de novo na distribuição?

Este novo lançamento de Debian vem mais uma vez com muito mais software do que o seu predecessor stretch; a distribuição inclui mais de 13370 novos pacotes, num total de mais de 57703 pacotes. A maior parte do software na distribuição foi actualizado: mais de 35532 pacotes de software (isto é 62% de todos os pacotes na stretch). Além disso, um número significativo de pacotes (mais de 7278, 13% dos pacotes na stretch) foram removidos da distribuição por várias razões. Não verá quaisquer actualizações a estes pacotes e estes serão marcados como obsoletos nos programas de gestão de pacotes; veja Secção 4.8, “Pacotes obsoletos”.

Debian é mais uma vez lançado com vários ambientes de trabalho e aplicações. Entre outros agora inclui os ambientes de trabalho GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE, 1.20 eXfce 4.12.

As aplicações de produtividade também foram actualizadas, incluindo os conjuntos de ofimática:

  • O LibreOffice foi actualizado para a versão 6.1;

  • Calligra foi actualizado para 3.1.

  • O GNUcash foi actualizado para 3.4;

Com buster, Debian pela primeira vez traz uma framework de controlo de acesso mandatório ativa por predefinição. As novas instalações de Debian buster terão AppArmor instalado por predefinição. Veja abaixo para mais informação.

Além disso, buster é o primeiro lançamento de Debian a ser lançado com programas baseados em Rust, tais como Firefox, ripgrep, fd, exa, etc e um número significativo de bibliotecas baseadas em Rust (mais de 450). Buster é lançado com Rustc 1.34.

As actualizações de outras aplicações de desktop incluem a actualização para o Evolution 3.30.

Entre muitas outras, este lançamento também inclui, as seguintes actualizações de software:

PacoteVersão em 9 (stretch)Versão em 10 (buster)
Apache2.4.252.4.38
BIND Servidor DNS9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 e 25.126.1
Exim servidor predefinido de e-mail4.894.92
GNU Compiler Collection como compilador predefinido 6.37.4 e 8.3
PHP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
a GNU biblioteca C2.242.28
lighttpd1.4.451.4.53
Imagem de kernel Linuxsérie 4.9série 4.19
LLVM/Clang toolchain3.76.0.1 e 7.0.1 (predefinido)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim88888888.08.1

2.2.1. UEFI Secure Boot

Secure Boot é uma funcionalidade ativada na maioria dos PCs que previne que seja carregado código não assinado, protegendo contra alguns tipos de bootkit e rootkit.

Debian pode agora ser instalado e correr na maioria dos PCs com Secure Boot ativo.

É possível ativar o Secure Boot num sistema que já tenha uma instalação de Debian se já estiver a arrancar utilizando UEFI. Antes de fazer isto, é necessário instalar shim-signed, grub-efi-amd64-signed ou grub-efi-ia32-signed e um pacote de kernel Linux de buster.

Algumas funcionalidades de GRUB e Linux são restringidas no modo Secure Boot, para prevenir modificações ao seu código.

Pode ser encontrada mais informação no wiki Debian em SecureBoot.

2.2.2. AppArmor ativo por omissão

Debian buster tem AppArmor ativo por predefinição. AppArmor é uma framework de controlo de acesso mandatório para restringir as capacidades dos programas com permissões (tais como mount, ptrace, permissões de sinais, ou leitura de ficheiros, escrita, e acesso de execução) ao definir perfis por programa.

O pacote apparmor é lançado com perfis AppArmor para vários programas. Alguns outros pacotes, tais como o evince, incluem perfis para os programas que incluem. Podem ser encontrados mais perfis no pacote apparmor-profiles-extra.

AppArmor é puxado devido a Recommends no pacote de kernel Linux em buster. Em sistemas que estão configurados para não instalar Recommends por omissão, o pacote apparmor pode ser instalado manualmente para ativar o AppArmor.

2.2.3. Hardening opcional para APT

Todos os métodos disponibilizados pelo APT (e.g. http e https) excepto para cdrom, gpgv e rsh podem fazer uso de sandboxing seccomp-BPF conforme é disponibilizado pelo kernel Linux para restringir a lista de chamadas ao sistema permitidas, e caçar todas as outras com um sinal SIGSYS. Este sandboxing é atualmente opcional e necessita ser ativado com:

      APT::Sandbox::Seccomp is a boolean to turn it on/off
    

Podem ser utilizadas duas opções para configurar ainda mais além:

      APT::Sandbox::Seccomp::Trap é uma lista de nomes de mais syscall a caçar
      APT::Sandbox::Seccomp::Allow é uma lista de nomes de mais syscalls a permitir
    

2.2.4. Unattended-upgrades para lançamentos stable pontuais

As versões anteriores de unattended-upgrades tinham como predefinição fazer apenas atualizações do conjunto de segurança. Em buster agora também automatiza a atualização para o último lançamento pontual. Para detalhes, veja o ficheiro NEWS.Debian do pacote.

2.2.5. Man pages substancialmente melhoradas para utilizadores que falam Alemão

A documentação (man-pages) para vários projectos, tais como systemd, util-linux e mutt foram substancialmente aumentadas. Para beneficiar destas melhorias, por favor instale manpages-de. Durante o tempo de vida de buster serão disponibilizados mais traduções e mais recentes no arquivo backports.

2.2.6. Filtragem de rede baseada na framework nftables por predefinição

A partir de iptables v1.8.2 o pacote binário inclui iptables-nft e iptables-legacy, as duas variantes da interface de linha de comandos do iptables. A variante baseada em nftables, que utiliza o subsistema nf_tables do kernel Linux, é a predefinida em buster. A variante antiga utiliza o subsistema x_tables do kernel Linux. Pode ser utilizado o sistema update-alternatives para escolher uma variante ou outra.

Isto aplica-se a todas as ferramentas e utilitários relacionados:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

Todos estes também ganharam as variantes -nft e -legacy. A opção -nft é para utilizadores que não podem ou não querem migrar para o comando nftables da interface de linha de comandos nativa. No entanto, os utilizadores são fortemente encorajados a mudar para a interface nftables em vez de utilizar iptables.

nftables disponibiliza uma substituição completa de iptables, com muito melhor performance, uma sintaxe renovada, melhor suporte para firewalls dual-stack IPv4/IPv6, operações totalmente atómicas para atualizações de conjuntos de regras dinâmicas, uma API Netlink para aplicações de terceiros, classificação de pacotes mais rápida através de infraestruturas de conjuntos genéricos melhorados e mapeamento, e muitas mais melhorias.

Este alteração está em linha com o que outras distribuições de Linux maiores estão a fazer, tal como a RedHat, que agora utiliza nftables como ferramenta de firewall predefinida.

Além disso, por favor note que todos os binários de iptables são agora instalados em /usr/sbin em vez de /sbin. Existe um symlink para compatibilidade, mas será abandonado após o ciclo de lançamentos buster. Os caminhos fixos em scripts para os binários terão de ser corrigidos e vale a pena serem evitados.

Está disponível documentação extensa nos ficheiros README e NEWS do pacote e no Debian Wiki.

2.2.7. Cryptsetup tem predefinido o formato LUKS2 no disco

A versão de cryptsetup lançada com Debian buster utiliza o novo formato LUKS2. Os novos volumes LUKS utilizarão este formato por predefinição.

Ao contrário do formato anterior LUKS1, LUKS2 disponibiliza redundância de metadados, deteção de corrupção de metadados e algoritmos PBKDF configuráveis. A encriptação autenticada também é suportada, mas ainda está marcada como experimental.

Os volumes LUKS1 existentes não serão atualizados automaticamente. Podem ser convertidos, mas nem todas as funcionalidades LUKS2 estarão disponíveis devido a incompatibilidades do tamanho do cabeçalho. Para mais informação veja a manpage de cryptsetup.

Por favor note que o gestor de arranque GNU GRUB não suporta ainda o formato LUKS2. Para mais informação, veja a documentação correspondente acerca de como instalar Debian 10 com o arranque encriptado.

2.2.8. Impressão sem drivers com CUPS 2.2.10

Debian 10 disponibiliza CUPS 2.2.10 e cups-filters 1.21.6. Em conjunto estes dão ao utilizador tudo o que é necessário para tomar vantagem da impressão sem drivers. O principal requisito é que uma fila de impressão de rede ou impressora de rede ofereça um serviço AirPrint. Uma impressora moderna de IPP é provavelmente capaz de AirPrint; uma fila de impressão de Debian CUPS tem sempre ativo AirPrint.

Em resumo, o DNS-SD (Bonjour) faz broadcast a partir de um servidor CUPS publicitando uma fila, ou a partir de impressoras IPP, são capazes de ser mostrados nas janelas de impressão das aplicações sem ser necessária qualquer ação por parte do utilizador. Um beneficio adicional é que pode ser dispensada a utilização de drivers de impressão não-livres.

A instalação predefinida do pacote cups também instala o pacote cups-browsed; as filas de impressão e impressoras IPP irão agora ser automaticamente configuradas e geridas a partir deste utilitário. Esta é a forma recomendada para um utilizador usufruir de uma experiência sem problemas de impressão sem drivers.

2.2.9. Suporte básico para dispositivos baseados em Allwinner A64

Graças aos esforços da comunidade linux-sunxi Debian buster irá ter suporte básico para muitos dispositivos baseados no SOC Allwinner A64. Isto inclui o FriendlyARM NanoPi A64; Olimex A64-OLinuXino e TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE, e Pinebook; SINOVOIP Banana Pi BPI-M64; e Xunlong Orange Pi Win(Plus).

As funcionalidades essenciais destes dispositivos (e.g. consola série, ethernet, portas USB e saída básica de video) devem funcionar com o kernel de buster. Funcionalidades mais avançadas (e.g. audio ou video com aceleração) são incluidos ou agendados para serem incluidos em kernels posteriores, os quais irão estar disponiveis como normalmente no arquivo backports. Veja também a página de estado para o esforço de o incluir no mainline Linux.

2.2.10. Notícias do Blend Debian Med

A equipa Debian Med acrescentou vários novos pacotes e atualizações para software direcionado para as ciências da vida e medicina. Foi continuado (e continuará a ser) o esforço para acrescentar suporte de Continuous Integration para os pacotes deste campo.

Para instalar os pacotes mantidos pela equipa Debian Med, instale os metapacotes chamados med-*, que estão na versão 3.3 em Debian buster. Sinta-se à vontade para visitar as páginas das tarefas Debian Med para ver toda a gama de software de biologia e de medicina disponível em Debian.

2.2.11. GNOME com predefinição para Wayland

Seguindo os autores originais, o GNOME em buster tem predefinido utilizar o servidor de display Wayland em vez de Xorg. Wayland tem um design mais simples e mais moderno, o qual tem vantagens de segurança.

O Servidor de display Xorg ainda é instalado por predefinição e o gestor de dislay predefinido ainda deixa escolher o servidor de display para a próxima sessão, que poderá ser necessário se quiser algumas aplicações (veja Secção 5.1.8, “Algumas aplicações não funcionam em GNOME com Wayland”).

As pessoas que necessitem de funcionalidades de acessibilidade do gestor de display, e.g. atalhos de teclado globais, é recomendado que utilizem Xorg em vez de Wayland.

2.2.12. /usr fundido em novas instalações

Em novas instalações, o conteúdo de /bin, /sbin e /lib serão instalados por defeito em /usr. /bin, /sbin e /lib serão soft-links a apontar para o seu directório em /usr/. Na forma gráfica:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

Ao atualizar para buster, os sistemas são deixados como estão, apesar do pacote usrmerge existir para fazer a conversão se for desejado. O projecto freedesktop.org aloja a Wiki com uma explicação.

Esta alteração não deverá impactar os utilizadores normais que apenas correm pacotes disponibilizados por Debian, mas poderá ser algo que quem utiliza ou compila software de terceiros deve estar ciente.

2.2.13. Notícias da equipa Debian Live

A equipa Debian Live está orgulhosa de introduzir os ISOs LXQt live como novo flavour. LXQt é um ambiente de desktop leve baseado em Qt. Não se atravessará no seu caminho. Não irá parar ou tornar lento o seu sistema. É focado em ser um ambiente clássico com um visual e comportamentos modernos.

O ambiente de trabalho LXQt oferecido no projecto Debian Live LXQt é puro, não modificado, por isso irá obter a experiência standard de desktop que os autores de LXQt criaram para o seu popular sistema operativo. É apresentado aos utilizadores o layout LXQt standard composto por um único painel (taskbar) localizado no fundo do ecrã, o qual inclui várias applets úteis, tais como Menu Principal, gestor de tarefas, lançador de aplicações, área de system tray e calenrário integrado.

As imagens live de buster vêm com algo novo que muitas distribuições também adoptaram, que é o instalador Calamares. Calamares é um projecto de instalador independente (chamam-no de The universal installer framework) o qual oferece um interface baseado em Qt para instalar um sistema. Não substitui o debian-installer nas imagens live; em vez disso, serve um público diferente.

Calamares é mesmo fácil de utilizar, com particionamento guiado amigável e configuração mesmo fácil de encriptação completa. Não cobre todas as funcionalidades avançadadas do debian-installer (apesar de recentemente ter passado a suportar RAID) e também não ter um modo de instalação desacompanhada. No entanto, para 95%+ dos utilizadores de computadores desktop e de portáteis, Calamares é uma forma muito mais fácil de instalar o sistema, o que o torna muito apropriado para sistemas live. Para quem necessitar de algo mais complicado, ou que queira fazer instalações em massa, o debian-installer ainda está disponível nas formas de texto e GUI.

Debian Live Buster reintroduz a imagem live standard. Esta é uma imagem Debian básica que contém um sistema Debian sem qualquer interface gráfico. Como instala a partir de uma imagem squashfs em vez de instalar o sistema utilizando o dpkg, o tempo de instalação é muito mais rápido do que instalar a partir de uma imagem de instalação Debian mínima.