第2章 Debian 10 の最新情報

目次

2.1. サポートするアーキテクチャ
2.2. ディストリビューションの最新情報
2.2.1. UEFI セキュアブート
2.2.2. AppArmorの有効化
2.2.3. APTへのセキュリティ強化オプションの追加
2.2.4. stable ポイントリリースに対する Unattended-upgrades の挙動
2.2.5. ドイツ語話者用 man ページの飛躍的な改善
2.2.6. ネットワークフィルタリングの nftables への変更
2.2.7. Cryptsetup の on-disk LUKS2への変更
2.2.8. CUPS 2.2.10 でのドライバーレス印刷機能
2.2.9. Allwinner A64 ベースのデバイスでの基本機能サポート
2.2.10. Debian Med Blend からのお知らせ
2.2.11. GNOMEは標準で Wayland を利用します
2.2.12. 新規インストールでは merged /usr が標準になります。
2.2.13. Debian Live チームからのお知らせ

この章のより詳しい情報は Wiki を参照してください。

2.1. サポートするアーキテクチャ

Debian buster で公式にサポートされているアーキテクチャは以下のとおりです。

  • 32 ビット PC (i386) および 64 ビット PC (amd64)

  • 64 ビット ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI 浮動小数点ハードウェア ABI, armhf)

  • MIPS (mips (ビッグエンディアン) および mipsel (リトルエンディアン))

  • 64 ビットリトルエンディアン MIPS (mips64el)

  • 64 ビットリトルエンディアン PowerPC (ppc64el)

  • IBM System z (s390x)

移植状況の詳細や、お使いの移植版に特有の情報については、Debian の移植版に関するウェブページで読むことができます。

2.2. ディストリビューションの最新情報

Debian のこの新しいリリースには、一つ前のリリースである stretch に含まれていたよりさらに多くのソフトウェアが含まれています。このディストリビューションには、13370 以上の新しいパッケージが含まれており、全体のパッケージ数は 57703 以上になりました。ディストリビューション中のほとんどのソフトウェア、すなわち約 35532 ものソフトウェアパッケージ (これは stretch のパッケージ全体の 62% にあたります) が更新されました。また、かなりの数のパッケージ (stretch のパッケージの 13% にあたる 7278 以上) が、様々な理由でディストリビューションから取り除かれました。これらのパッケージは更新されることはなく、パッケージ管理用のフロントエンドでは 'obsolete' というマークが付けられます。これについては 「利用されなくなったパッケージ」 を参照してください。

Debian は今回も複数のデスクトップアプリケーションとデスクトップ環境をサポートしています。中でも GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20, Xfce 4.12 があります。

事務用アプリケーションもオフィススイートを含めてアップグレードされています:

  • LibreOffice が 6.1 へアップグレードされました;

  • Calligra が 3.1 へアップグレードされました。

  • GNUcash が 3.4 へアップグレードされました。

buster では、Debianとしてはじめて強制アクセスコントロール機能を有効化しました。Debian buster の新規インストールでは AppArmor がインストールされ有効化されます。詳細については後述しています。

また buster は Debian 初の Rust を基盤としたプログラムを含むリリースになります。例として Firefox、ripgrep、fd、exaなどがあり、他にも Rust 関連のライブラリが多く含まれています(450以上です)。Buster では Rustc 1.34 を使っています。

他のデスクトップアプリケーションの更新としては、Evolution 3.30 へのアップグレードが含まれます。

またこのリリースには、特に挙げるなら、以下のソフトウェアの更新も含まれています:

パッケージ9 (stretch) でのバージョン10 (buster) でのバージョン
Apache2.4.252.4.38
BIND DNS サーバ9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 および 25.126.1
Exim 標準の電子メールサーバ4.894.92
GNU Compiler Collection (デフォルトのコンパイラ)6.37.4 および 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
GNU C ライブラリ2.242.28
lighttpd1.4.451.4.53
Linux カーネルイメージ4.9 シリーズ4.19 シリーズ
LLVM/Clang ツールチェイン3.76.0.1 および 7.0.1 (デフォルト)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI セキュアブート

セキュアブートは署名されていないコードを防止する機能で、ほとんどのPCで利用できます。セキュアブートは bootkit や rootkit などからPCを保護します。

本リリースから Debian はセキュアブートが有効化されたPCへのインストールと利用が可能になりました。

既存の Debian であっても、UEFI を用いた起動方法の場合はセキュアブートが利用できます。ただし、事前に shim-signed と、grub-efi-amd64-signed あるいは grub-efi-ia32-signed、そして Linux カーネルパッケージを buster からインストールする必要があります。

コード改ざんを抑止するため、GRUB と Linux はセキュアブート下では機能が制限されます。

詳細は Debian wiki の SecureBoot をご覧になってください。

2.2.2. AppArmorの有効化

Debian buster では AppArmor が有効化されました。AppArmor はプログラムごとにプロファイルを定義することで、プログラムの権限を制約できる強制アクセスコントロールシステムです。例として mount、ptrace、シグナルの送受信、ファイルの読み書きや実行を制限できます。

apparmor パッケージ自体はいくつかのプログラム用の AppArmor プロファイルしか含みません。evince パッケージのような、それ自身に必要なプロファイルを含むものものあります。その他のプロファイルは apparmor-profiles-extra パッケージに含まれています。

AppArmor は buster Linux カーネルパッケージの 推奨 (Recommends) 依存設定によって引っ張られています。推奨 (Recommends) パッケージをインストールしないよう設定されているシステムでは、apparmor パッケージを手動でインストールすることで AppArmor を有効にできます。

2.2.3. APTへのセキュリティ強化オプションの追加

APT は Linux カーネルが提供する seccomp-BPF サンドボックス機能(システムコールやその他の SIGSYS シグナルをトラップできるものです)をほとんどのアクセス手段( http や https )で利用できるようになりました。例外は cdrom、gpgv、rsh です。このサンドボックス機能はオプトイン形式なので、有効にするには次の設定が必要です:

      APT::Sandbox::Seccomp を on か off に設定します。
    

さらに次の2つのオプションも設定できます:

      APT::Sandbox::Seccomp::Trap はトラップするシステムコール名のリストです
      APT::Sandbox::Seccomp::Allow は許可するシステムコール名のリストです
    

2.2.4. stable ポイントリリースに対する Unattended-upgrades の挙動

これまでの unattended-upgrades はセキュリティ更新のみをインストール対象にしていました。buster では stable ポイントリリースへの自動更新も行うようになりました。詳細はパッケージの NEWS.Debian を参照ください。

2.2.5. ドイツ語話者用 man ページの飛躍的な改善

systemd, util-linux, mutt などのドキュメント (manページ) では、かなりの追加翻訳があります。manpages-de をインストールして頂ければご利用になれます。buster が安定版である間には、追加の新規翻訳や改善は backports アーカイブで提供されます。

2.2.6. ネットワークフィルタリングの nftables への変更

iptables バイナリパッケージの v1.8.2 からは iptables-nftiptables-legacy の2種類のiptables コマンドラインインターフェイスの追加がありました。buster では nf_tables Linux カーネルサブシステムを利用する nftables ベースのものが標準になります。以前ものは x_tables Linux カーネルサブシステムを用います。update-alternatives システムを用いていずれかを利用するかを選択できます。

この変更点は以下のツールと関連ソフトに影響します:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

これらの全てで -nft 系か -legacy 系を利用できます。-nft系は、ネイティブな nftables コマンドラインインターフェイスに移行できない・したくないユーザー向けです。ただし、このユーザーには iptables を利用するより nftables への移行が強く推奨されます。

nftablesiptables の完全な代替となりえ、かつパフォーマンスの改善、一新された文法、IPv4/IPv6 混在ファイヤーウォールでの使いやすさ、動的なルールセット更新時の完全にアトミックな処理、サードパーティ向けの Netlink API、拡張された汎用 set と map によるより高速なパケットクラス分類、更にその他の改善を含みます。

この変更は RedHat のような他の大手Linuxディストリビューションでも行われているもので、nftablesdefault firewalling tool となっています。

更に iptables バイナリファイルは /usr/sbin にインストールされることにもご注意ください( /sbin からの変更です)。互換性のためのシンボリックリンクはありますが、将来的な buster リリースサイクルで無くなる予定です。それらのパスをハードコードしているスクリプトは修正が必要ですし、以前のパスを利用するのは避けてください。

より詳細な情報はパッケージの README と NEWS ファイル、そして Debian Wiki でご確認ください。

2.2.7. Cryptsetup の on-disk LUKS2への変更

cryptsetup の Debian buster バージョンは新しい on-disk LUKS2 フォーマットを用います。新規の LUKS ボリュームにはそれが標準で適用されます。

以前の LUKS1 フォーマットとの違いとして、LUKS2 はメタデータの冗長化と破損検知、そして PBKDF アルゴリズムの設定があります。認証つき暗号化はサポートされてはいますが、まだ experimental 扱いです。

既存の LUKS1 が自動的に更新されることはありません。変換は可能ですが LUKS2 の全機能は利用できません。ヘッダーサイズが異なるためです。詳細は cryptsetup マニュアルページをご確認ください。

GNU GRUB ブートローダーはまだ LUKS2 フォーマットをサポートしてない点に注意ください。Debian 10 をどのようにして暗号化した boot 領域にインストールするかについてのさらなる情報は関連する ドキュメント を参照してください。

2.2.8. CUPS 2.2.10 でのドライバーレス印刷機能

Debian 10 は CUPS 2.2.10 と cups-filters 1.21.6 を提供しています。これらの組み合わせで、ユーザーにはドライバーレス印刷機能を活かすのに必要な全てが与えられています。第一に必要なのはネットワーク印刷キューやプリンター自体が AirPrint サービスに対応していることです。最近の IPP プリンターであれば大抵 AirPrint に対応していることでしょう。また Debian CUPS 印刷キューは AirPrint が常に有効になっています。

ユーザーの印刷ダイアログでは、なんの追加操作もなしで印刷キューやプリンターが表示されます。これは DNS-SD (Bonjour) ブロードキャストでの CUPS サーバーの印刷キューや IPP プリンターの情報共有によって実現されています。付随して non-free なプリンタードライバーやプラグインの利用は必要でなくなります。

cups はデフォルトで cups-browsed もインストールします。印刷キューや IPP プリンターは、このユーティリティによって自動で設定管理されます。ユーザーがシームレスで問題ないドライバーレス印刷を体験するには、これが推奨される設定方法です。

2.2.9. Allwinner A64 ベースのデバイスでの基本機能サポート

linux-sunxi community コミュニティの貢献により、Debian buster は Allwinner A64 SoC デバイスの基本的な機能がサポートされています。これには FriendlyARM NanoPi A64、Olimex A64-OLinuXino および TERES-A64、PINE64 PINE A64/A64/A64-LTS、SOPINE と Pinebook、SINOVOIP Banana Pi BPI-M64、Xunlong Orange Pi Win(Plus) が含まれます。

これらのデバイスでの基本的な機能 (シリアルコンソール、イーサネット、USB、基本的なビデオ出力など) は buster のカーネルで動作するはずです。さらなる機能 (音声やビデオアクセラレーション) はそれ以降のカーネルに含まれており、いつものように backports アーカイブ 経由で提供される予定です。Linux のメインライン化の作業状況については the status page も参照ください。

2.2.10. Debian Med Blend からのお知らせ

Debian Med チームは、生命科学および医療分野を対象としたソフトウエアについて、いくつもの新規パッケージと更新を追加しています。この分野のパッケージに対する継続的インテグレーションのサポートを追加する努力が続けられています。

Debian Med チームによってメンテナンスされているパッケージのインストールを行うには、med-* という名前のメタパッケージをインストールして下さい。Debian buster 用にはバージョン 3.3 が用意されています。遠慮なく Debian Med tasks pages を訪れて、Debian で利用可能な様々な生物学・医学関連ソフトウェアを眺めてみてください。

2.2.11. GNOMEは標準で Wayland を利用します

開発元に従い、buster での GNOME は Xorg ではなく Wayland ディスプレイサーバーがデフォルトで利用されます。Waylandはシンプルでよりモダンなデザインであり、セキュリティ面での利点があります。

Xorg ディスプレイサーバーは引き続き標準でインストールされますし、デフォルトのディスプレイマネージャーでは次のセッションでどのディスプレイサーバーを利用するのかが選択可能です。これはいくつかのアプリケーションで必要になることがあるためです (「Waylandで動作するGNOMEの一部アプリケーションの不具合について」 参照)。

ディスプレイマネージャーのアクセシビリティ機能 (例: グローバルキーボードショートカット)が必要な人は Wayland ではなく Xorg の利用が推奨されます。

2.2.12. 新規インストールでは merged /usr が標準になります。

新規インストールでは、/bin, /sbin, /lib の中身は標準で /usr 以下の対となるディレクトリにインストールされます。/bin, /sbin, /lib/usr/ 以下の対のディレクトリを指すソフトリンクになります。図示するとこんな感じです:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

buster へのアップグレード時、システムは変更無くそのままですが、望むのであれば usrmerge パッケージが変換を行うために存在しています。freedesktop.org プロジェクトで、この変更の根拠の多くについて Wiki が提供されています。

この変更は、Debian によって提供されているパッケージだけを使っている一般ユーザーには影響はないはずですが、サードパーティ製のソフトウェアを利用あるいはビルドしている人は注意したほうが良いかもしれません。

2.2.13. Debian Live チームからのお知らせ

Debian Live チームは LXQt ライブ ISO を新しいフレーバーとして紹介できることを喜ばしく思います。LXQt は軽量な Qt デスクトップ環境です。邪魔になりません。システムを停止させたり遅くしたりしません。モダンなルック&フィールを旧来のデスクトップで提供することにフォーカスしています。

Debian Live LXQt プロジェクトで提供される LXQt デスクトップ環境は純粋で何も手を加えられていないため、LXQt の開発者らが彼らの人気オペレーシングシステムのために作り上げた標準的なデスクトップ体験を得られます。メインメニュー、タスクマネージャ、アプリケーションランチャー、システムトレイ領域、統合されたカレンダーなどのさまざまな便利なアプレットを含む、画面下端の単一パネル(タスクバー)で構成される標準の LXQt レイアウトがユーザーに表示されます。

buster の live イメージは、他の多くのディストリビューションも導入している新たな機能と共に提供されます − Calamares インストーラーです。Calamares は独立したインストーラープロジェクトで (彼らは The universal installer framework と呼んでいます)、インストールシステム用に Qt ベースのインターフェイスを提供します。live イメージの debian-installer を置き換えるものではありません。置き換えと言うよりも、別の利用者層に役立つのです。

Calamares は非常に簡単に使える、使いやすいガイド付きのパーティション作成機能と非常にシンプルなディスク暗号化設定機能を備えています。debian-installer が持つ高度な機能を全てカバーしておらず (ごく最近 RAID をサポートしました)、自動インストールモードも存在しません。ですが、 デスクトップおよびラップトップユーザーの 95% 以上にとって Calamares はより手軽にシステムをインストールできる手段であり、live システムに非常に適しています。もっと複雑なことをしたい、あるいは大量のシステムへのインストールを実施したい人には、debian-installer がテキスト・GUIモードの両方で依然として選択肢たり得るでしょう。

Debian Live Buster では「standard」ライブイメージを再度導入しました。これは「base」システムを含むが GUI を含まないベーシックな Debian イメージです。dpkg を使ってシステムファイルをインストールするのではなく squashft イメージからインストールするので、最小限の Debian インストールイメージからインストールするよりもインストール時間はずっと短くなります。