Hoofdstuk 2. Nieuwigheden in Debian 10

Inhoudsopgave

2.1. Ondersteunde architecturen
2.2. Nieuwigheden in de distributie
2.2.1. UEFI Secure Boot
2.2.2. AppArmor wordt standaard geactiveerd
2.2.3. Facultatieve versterking van APT
2.2.4. Unattended-upgrades voor tussenreleases van stable
2.2.5. Een substantiële verbetering van de man-pagina's voor Duitstalige gebruikers
2.2.6. Standaard netwerkfiltering, gebaseerd op het nftables-raamwerk
2.2.7. Cryptsetup past standaard op schijf de indeling LUKS2 toe
2.2.8. Stuurprogrammaloos printen met CUPS 2.2.10
2.2.9. Basisondersteuning voor op Allwinner A64 gebaseerde apparaten
2.2.10. Nieuws van Debian Med Blend - de op de medische wereld gerichte uitgave
2.2.11. GNOME heeft Wayland als standaard
2.2.12. Samengevoegde /usr op nieuwe installaties
2.2.13. Nieuws van het Debian Live team

De Wiki-pagina bevat meer informatie over dit onderwerp.

2.1. Ondersteunde architecturen

Dit zijn de officieel ondersteunde architecturen voor Debian 10:

  • 32-bits PC (i386) en 64-bits PC (amd64)

  • 64-bits ARM (arm64)

  • ARM EABI (armel)

  • ARMv7 (EABI hard-float ABI, armhf)

  • MIPS (mips (big-endian) en mipsel (little-endian))

  • 64-bits little-endian MIPS (mips64el)

  • 64-bits little-endian PowerPC (ppc64el)

  • IBM System z (s390x)

U vindt meer over de status van de voor een bepaalde architectuur geschikt gemaakte versies van Debian (ports genoemd in het taalgebruik van ingewijden) en port-specifieke informatie voor uw architectuur op de Webpagina's van de Debian ports.

2.2. Nieuwigheden in de distributie

Deze nieuwe uitgave van Debian bevat opnieuw veel meer software dan zijn voorganger stretch; de distributie bevat meer dan 13370 nieuwe pakketten, en in totaal meer dan 57703 pakketten. De meeste software in de distributie is bijgewerkt: meer dan 35532 softwarepakketten (dit is 62% van alle pakketten in stretch). Er is ook een significant aantal pakketten (meer dan 7278, 13% van de pakketten in stretch) verwijderd uit de distributie om diverse redenen. Deze pakketten zullen niet meer worden bijgewerkt en ze zullen als 'achterhaald' of 'verouderd' worden gemarkeerd in de frontends voor pakketbeheer. Zie Paragraaf 4.8, “Verouderde pakketten”.

Debian wordt weer geleverd met verscheidene desktoptoepassingen en -omgevingen. Het bevat nu onder andere de desktopomgevingen GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20 en Xfce 4.12.

Ook de productiviteitstoepassingen zijn opgewaardeerd, waaronder de kantoorsoftware:

  • LibreOffice werd opgewaardeerd naar versie 6.1;

  • Calligra werd opgewaardeerd naar 3.1.

  • GNUcash werd opgewaardeerd naar 3.4;

Met buster wordt in Debian voor het eerst standaard een raamwerk voor verplichte toegangscontrole (mandatory access control framework) geactiveerd. Bij een nieuwe installatie van Debian buster zal standaard AppArmor geïnstalleerd en geactiveerd worden. Zie hieronder voor meer informatie.

Daarnaast is buster de eerste release van Debian waarin op Rust gebaseerde programma's, zoals Firefox, ripgrep, fd, exa, enz., en een belangrijk aantal op Rust gebaseerde bibliotheken (meer dan 450) aangeboden worden. Buster komt met Rustc 1.34.

Onder de bijgewerkte desktoptoepassingen vermelden we de opwaardering naar Evolution 3.30.

Deze uitgave bevat daarnaast onder meer de volgende bijgewerkte software:

PakketVersie in 9 (stretch)Versie in 10 (buster)
Apache2.4.252.4.38
BIND DNS-server9.109.11
Cryptsetup1.72.1
Dovecot MTA2.2.272.3.4
Emacs24.5 en 25.126.1
Exim standaard e-mailserver4.894.92
GNU Compiler Collection als standaard-compiler6.37.4 en 8.3
GIMP2.8.182.10.8
GnuPG2.12.2
Inkscape0.92.10.92.4
de GNU C-bibliotheek2.242.28
lighttpd1.4.451.4.53
Linux kernel-image4.9-reeks4.19-reeks
LLVM/Clang-gereedschapsset3.76.0.1 en 7.0.1 (standaard)
MariaDB10.110.3
Nginx1.101.14
OpenJDK811
OpenSSH7.4p17.9p1
Perl5.245.28
PHP7.07.3
Postfix MTA3.1.83.3.2
PostgreSQL9.611
Python 33.5.33.7.3
Rustc 1.34
Samba4.54.9
Vim8.08.1

2.2.1. UEFI Secure Boot

Secure Boot (veilig opstarten) is een functie die op de meeste PC's geactiveerd is en die voorkomt dat niet-ondertekende code geladen wordt, hetgeen bescherming biedt tegen sommige vormen van bootkit en rootkit.

Debian kan nu op de meeste pc's geïnstalleerd en uitgevoerd worden met een geactiveerde Secure Boot.

Het is mogelijk om Secure Boot te activeren op een systeem waarop een bestaande Debian installatie staat, als dit reeds met UEFI opstart. Voor u dit doet, is het noodzakelijk om shim-signed, grub-efi-amd64-signed of grub-efi-ia32-signed te installeren, evenals een Linux kernelpakket van buster.

Bepaalde functionaliteit van GRUB en Linux wordt in de Secure Boot modus ingeperkt om wijzigingen aan hun code te voorkomen.

Meer informatie vindt u op de wiki-pagina van Debian over SecureBoot.

2.2.2. AppArmor wordt standaard geactiveerd

In Debian buster wordt AppArmor standaard geactiveerd. AppArmor is een raamwerk voor verplichte toegangscontrole (mandatory access control framework) dat toelaat om de mogelijkheden van programma's, (zoals het recht om schijven aan te koppelen, processen te traceren of signalen te verwerken, of het recht op lees- of schrijftoegang tot bestanden, of het recht om uitvoerbare bestanden uit te voeren) in te perken door het definiëren van programmaspecifieke profielen.

Het pakket apparmor stelt AppArmor-profielen ter beschikking voor verschillende programma's. Sommige andere pakketten, zoals evince, bevatten profielen voor de programma's welke zij zelf ter beschikking stellen. Bijkomende profielen zijn te vinden in het pakket apparmor-profiles-extra.

AppArmor wordt geïnstalleerd omdat het buster-pakket met de Linux-kernel het aanbeveelt (Recommends). Op systemen welke geconfigureerd werden om Recommends (pakketten die door een ander pakket aanbevolen worden) niet standaard te installeren, kan het apparmor-pakket handmatig geïnstalleerd worden om AppArmor te activeren.

2.2.3. Facultatieve versterking van APT

Alle methodes waarin APT voorziet (bijv. http en https), behalve de methodes cdrom, gpgv en rsh, kunnen gebruik maken van de functionaliteit 'seccomp-BPF sandboxing' die voorzien wordt door de Linux-kernel om de lijst van toegestane systeemaanroepen te beperken en om alle andere af te vangen met een SIGSYS-signaal. Om deze sandboxing (creatie van een afgesloten virtuele ruimte) aan te zetten moet u er momenteel actief voor kiezen en deze activeren met:

      APT::Sandbox::Seccomp en met deze booleaanse operator wordt dit aan/uit-gezet
    

Er zijn twee opties waarmee dit verder geconfigureerd kan worden:

      APT::Sandbox::Seccomp::Trap en dit is een lijst met de namen van systeemaanroepen die extra afgevangen moeten worden
      APT::Sandbox::Seccomp::Allow en dit is een lijst met de namen van extra toe te laten systeemaanroepen
    

2.2.4. Unattended-upgrades voor tussenreleases van stable

Eerdere versies van unattended-upgrades installeerden standaard enkel opwaarderingen die afkomstig waren van de beveiligingssuite. In Buster automatiseert het pakket ook opwaarderingen naar de laatste tussenrelease. Raadpleeg voor details het bestand NEWS.Debian van het pakket.

2.2.5. Een substantiële verbetering van de man-pagina's voor Duitstalige gebruikers

De documentatie (man-pagina's) van verschillende projecten, zoals systemd, util-linux en mutt, werd substantieel uitgebreid en toegevoegd. U moet het pakket manpages-de installeren om van deze verbeteringen te profiteren. Gedurende de levenscyclus van buster zullen backports-pakketten (voor een volgende release bedoelde pakketten die geschikt gemaakt werden voor de eraan voorafgaande uitgave) met nog meer verbeteringen /vertalingen beschikbaar gesteld worden via het backports-archief.

2.2.6. Standaard netwerkfiltering, gebaseerd op het nftables-raamwerk

Vanaf versie 1.8.2 van iptables bevat het binaire pakket iptables-nft en iptables-legacy, twee varianten van de commandoregelinterface van iptables. De variant welke op nftables gebaseerd is en werkt met het subsysteem nf_tables van de Linux-kernel, is standaard in buster. De 'legacy'-variant gebruikt het subsysteem x_tables van de Linux-kernel. Het systeem update-alternatives kan gebruikt worden om de ene of de andere variant te selecteren.

Dit geldt voor alle gerelateerde gereedschappen en hulpprogramma's:

  • iptables

  • iptables-save

  • iptables-restore

  • ip6tables

  • ip6tables-save

  • ip6tables-restore

  • arptables

  • arptables-save

  • arptables-restore

  • ebtables

  • ebtables-save

  • ebtables-restore

Ook al deze kregen de varianten -nft en -legacy mee. De optie -nft is bedoeld voor gebruikers welke niet willen of kunnen overschakelen naar het systeemeigen nftables als commandoregelinterface. Gebruikers worden evenwel echt aangemoedigd om over te schakelen naar de nftables-interface in plaats van de iptables-interface te blijven gebruiken.

nftables is een volledige vervanging voor iptables, met veel betere prestaties, een opgefriste syntaxis, betere ondersteuning voor IPv4/IPv6 dual-stack firewalls, volledige atomaire bewerkingen voor dynamische regelsetupdates, een Netlink API voor toepassingen van derden, een snellere classificatie van pakketten via een verbeterde generieke set- en kaartinfrastructuur en veel andere verbeteringen.

Deze aanpassing ligt in de lijn van wat andere belangrijke Linux-distributies, zoals RedHat, doen. Deze laatste gebruikt nu nftables als standaard firewall-gereedschap.

Merk ook op dat alle uitvoerbare programma's van iptables nu geïnstalleerd worden in /usr/sbin in plaats van in /sbin. Met het oog op compatibiliteit wordt er een symbolische koppeling geplaatst, maar na de uitgavecyclus van buster zal deze wegvallen. Scripts met een vast pad naar deze programma's zullen gecorrigeerd moeten worden en het loont de moeite om dit soort gebruik te vermijden.

Uitgebreide documentatie is beschikbaar in de bestanden README en NEWS van het pakket en op de Wiki-pagina van Debian.

2.2.7. Cryptsetup past standaard op schijf de indeling LUKS2 toe

De versie van cryptsetup welke in Debian buster beschikbaar is, past standaard de nieuwe LUKS2-schijfindeling toe. Voor nieuwe LUKS-schijven zal standaard de LUKS2-indeling gebruikt worden.

In tegenstelling tot de vroegere LUKS1-indeling, biedt LUKS2 metadataredundantie, het opsporen van metadatabeschadigingen en configureerbare PBKDF-algoritmes. Ook geauthenticeerde versleuteling wordt ondersteund, maar dit zit nog in de experimentele fase.

Bestaande LUKS1-schijven zullen niet automatisch bijgewerkt worden. Deze kunnen geconverteerd worden, maar niet alle LUKS2-functionaliteit zal beschikbaar zijn ten gevolge van een incompatibele header-grootte. Raadpleeg de man-pagina van cryptsetup voor extra informatie.

Merk op dat de GNU GRUB opstartlader de LUKS2-indeling nog niet ondersteunt. Raadpleeg de betreffende documentatie voor bijkomende informatie over hoe u Debian 10 met geëncrypteerde boot-partitie moet installeren.

2.2.8. Stuurprogrammaloos printen met CUPS 2.2.10

Debian 10 voorziet in CUPS 2.2.10 en in cups-filters 1.21.6. Samen bieden die een gebruiker alles wat deze nodig heeft om te profiteren van stuurprogrammaloos printen. De belangrijkste vereiste is dat een netwerkafdrukwachtrij of een printer een AirPrint-dienst aanbiedt. Een moderne IPP-printer is hoogstwaarschijnlijk geschikt voor AirPrint. AirPrint is steeds ingeschakeld bij een CUPS afdrukwachtrij in Debian.

In essentie komt het erop neer dat de DNS-SD (Bonjour) uitzendingen afkomstig van een CUPS-server, waarmee die een wachtrij aankondigt, of deze afkomstig van IPP-printers, weergegeven kunnen worden in de afdrukvensters van toepassingen zonder dat er van de kant van de gebruiker enige actie vereist is. Een bijkomend voordeel is dat afgezien kan worden van het gebruik van niet-vrije fabrieksstuurprogramma's en -plug-ins voor printers.

Bij een standaardinstallatie van het pakket cups wordt ook het pakket cups-browsed geïnstalleerd. Printerwachtrijen en IPP-printers zullen nu automatisch opgezet en beheerd worden door dit hulpprogramma. Dit is de aanbevolen manier voor een gebruiker om naadloos en probleemloos afdrukken zonder stuurprogramma te ervaren.

2.2.9. Basisondersteuning voor op Allwinner A64 gebaseerde apparaten

Dankzij de inspanningen van de linux-sunxi-gemeenschap zal Debian buster basisondersteuning genieten voor veel apparaten die gebaseerd zijn op de Allwinner A64 SoC. Daartoe behoren FriendlyARM NanoPi A64; Olimex A64-OLinuXino en TERES-A64; PINE64 PINE A64/A64+/A64-LTS, SOPINE en Pinebook; SINOVOIP Banana Pi BPI-M64; en Xunlong Orange Pi Win(Plus).

De essentiële functies van deze apparaten (bijv. seriële console, ethernet, USB-poorten en basale video-output) zouden mogelijk moeten zijn met de kernel uit buster. Meer geavanceerde functies (bijv. audio en geaccelereerde video) worden opgenomen in of gepland voor latere kernels, welke zoals gewoonlijk beschikbaar gesteld zullen worden via het backports-archief. Zie ook de statuspagina over het werk dat op de Linux hoofdlijn geleverd wordt.

2.2.10. Nieuws van Debian Med Blend - de op de medische wereld gerichte uitgave

Het Debian Med-team voegde verschillende nieuwe pakketten en software-updates toe, gericht op de biowetenschappen en de geneeskunde. De inspanningen om ondersteuning uit te bouwen voor Continue Integratie voor de pakketten uit dit gebied werden voortgezet (en dat zal in de toekomst zo blijven).

Om de pakketten te installeren die door het Debian Med team onderhouden worden, moet u de metapakketen installeren die als naam med-* hebben. In Debian buster hebben die versie 3.3. Het volledige gamma van biologische en medische software die in Debian aanwezig is, wordt vermeld op de webpagina's van Debian Med over hun in taken gegroepeerde software.

2.2.11. GNOME heeft Wayland als standaard

In navolging van bovenstroomse ontwikkelingen gebruikt GNOME in buster standaard de Wayland beeldschermserver in plaats van Xorg. Wayland heeft een eenvoudiger en moderner design, wat op het gebied van veiligheid voordelen biedt.

De beeldschermserver Xorg wordt nog steeds standaard geïnstalleerd en de standaard beeldschermbeheerder laat u nog steeds toe om deze te kiezen als beeldschermserver voor de volgende sessie, hetgeen nodig kan zijn als u bepaalde toepassingen wilt gebruiken (zie Paragraaf 5.1.8, “In GNOME werken sommige toepassingen niet met Wayland”).

Mensen die toegankelijkheidsfuncties van de beeldschermserver nodig hebben, bijv. globale sneltoetsen, wordt aangeraden om Xorg in plaats van Wayland te gebruiken.

2.2.12. Samengevoegde /usr op nieuwe installaties

Op nieuwe installaties wordt de inhoud van /bin, /sbin en /lib standaard geïnstalleerd in hun /usr-tegenhanger. /bin, /sbin and /lib worden symbolische koppelingen die verwijzen naar hun tegenhanger-map onder /usr/. In grafische vorm:

/bin → /usr/bin
/sbin → /usr/sbin
/lib → /usr/lib
    

Bij een opwaardering naar buster worden systemen gelaten zoals ze zijn, hoewel er een pakket usrmerge bestaat om de conversie uit te voeren als dat gewenst wordt. Het project freedesktop.org houdt een Wiki bij met de meeste redenen.

Deze wijziging zou geen impact mogen hebben op gewone gebruikers die enkel pakketten die door Debian geleverd worden, gebruiken, maar het kan iets zijn waarvan mensen die software van of voor derden gebruiken of compileren, op de hoogte willen zijn.

2.2.13. Nieuws van het Debian Live team

Het Debian Live-team is fier LXQt live-ISO's te kunnen voorstellen als nieuwe variant. LXQt is een lichtgewicht Qt grafische werkomgeving. Zij loopt u niet voor de voeten en loopt niet vast of vertraagt uw systeem niet. Ze beoogt een klassieke grafische werkomgeving te zijn met een moderne uitstraling.

De LXQt grafische werkomgeving die in het LXQt-project van Debian Live aangeboden wordt is zuiver en ongewijzigd, zodat u de standaard desktopervaring zult krijgen die de ontwikkelaars van LXQt creëerden voor hun populair besturingssysteem. Gebruikers krijgen de standaard LXQt-opmaak die bestaat uit één paneel (taakbalk) aan de onderkant van het scherm met daarin verschillende nuttige applets, zoals Hoofdmenu, taakbeheer, toepassingsstarter, systeemvak en geïntegreerde kalender.

De buster live-images hebben iets nieuws dat een aantal andere distributies ook geïntegreerd heeft. Het betreft het Calamares installatiesysteem. Calamares is een onafhankelijk installatiesysteemproject (zelf noemen zij het het universele installatiesysteemraamwerk) dat een op Qt gebaseerde interface biet voor het installeren van een systeem. Het vervangt het Debian installatiesysteem niet op de live-images. Het bedient eerder een ander publiek.

Calamares is echt eenvoudig in gebruik met een aangename begeleide schijfindeling en een echt eenvoudig opzet voor encryptie van de volledige schijf. Het heeft niet al de geavanceerde functies van het installatiesysteem van Debian (hoewel er onlangs RAID-ondersteuning aan toegevoegd werd) en het kent ook het onbeheerd installeren niet als installatiewijze. Nochtans is Calamares voor 95%+ van de desktop- en laptopgebruikers een veel makkelijker manier om een systeem te installeren, wat het zeer geschikt maakt voor live-systemen. Voor al wie iets nodig heeft dat meer gecompliceerd is, of massa-installaties uitvoert, is ook debian-installer nog beschikbaar, zowel in de tekst- als in de grafische uitvoering.

Met Debian Live buster wordt ook het standaard live-image opnieuw geïntroduceerd. Dit is een basaal Debian image dat een basaal Debian systeem bevat zonder enige grafische werkomgeving. Omdat de installatie gebeurt van een squashfs-image, in plaats van de systeembestanden te installeren met dpkg, is de installatietijd veel korter dan bij een installatie van een minimaal Debian installatie-image.