Глава 5. Что нужно знать о bookworm

Как описано в Раздел 2.2, «Разделы репозитория», пакеты несвободных прошивок (firmware) теперь находятся в выделенном разделе репозитория non-free-firmware. Для получения необходимых обновлений установленных несвободных пакетов прошивок, надо изменить конфигурацию APT. Если раздел non-free-firmware был добавлен в список источников APT только для установки прошивок, обновленная запись в списке источников APT (sources-list) будет такой:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Если apt указал вам на эту главу, можно запретить ему постоянно уведомлять об этом изменении, создав файл apt.conf(5) с именем /etc/apt/apt.conf.d/no-bookworm-firmware.conf и таким содержимым:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

Пакет ntp, который раньше был способом по умолчанию установки системных часов с сервера протокола сетевого времени (NTP), был заменен на ntpsec.

Большинству пользователей не нужно предпринимать никаких действий для перехода с ntp на ntpsec.

В bookworm также есть несколько других пакетов, предоставляющих подобную функцию. По умолчанию в Debian теперь используется systemd-timesyncd, достаточный для пользователей, которым нужен только клиент ntp для установки своих часов. bookworm также включает в себя chrony и openntpd, которые поддерживают более продвинутые возможности, такие как управление вашим собственным NTP-сервером.

Puppet была обновлена с версии 5 до 7, пропуская Puppet 6 версии. Это вносит серьезные изменения в экосистему Puppet.

Классическое приложение Puppet Master 5.5.x на базе Ruby устарело и больше недоступно в Debian. Оно заменено Puppet Server 7.x, предоставляемым пакетом puppetserver. Пакет автоматически устанавливается как зависимость от переходного пакета puppet-master.

Обычно Puppet Server является заменой Puppet Master, но следует просмотреть файлы конфигурации, доступные в разделе /etc/puppet/puppetserver, чтобы убедиться, что новые значения по умолчанию подходят для вашего развертывания. В частности, старый формат файла auth.conf устарел, подробности смотрите в документации auth.conf.

Рекомендуемый подход заключается в обновлении сначала сервера, а потом клиентов. Сервер Puppet 7 обратно совместим со старыми клиентами; сервер Puppet 5 все еще может обрабатывать обновленные агенты, но не может зарегистрировать новые агенты Puppet 7. Таким образом, если развернете новые агенты Puppet 7 до обновления сервера, то не сможете добавить их в парк.

Пакет puppet был заменен пакетом puppet-agent и теперь является переходным пакетом для обеспечения плавного обновления.

Наконец, пакет puppetdb был удален в bullseye, но вновь введен в bookworm.

Популярный инструмент youtube-dl для загрузки видео с большого количества веб-сайтов (в том числе YouTube), больше не включен в Debian. Вместо этого он был заменен пустым переходным пакетом, который вместо этого использует пакет yt-dlp. yt-dlp является ответвлением youtube-dl, в котором сейчас ведётся активная разработка.

Обёрток совместимости не предусмотрено, поэтому нужно будет изменить свои скрипты и команды, вызывая yt-dlp вместо youtube-dl. Функциональность должна быть в основном такой же, хотя некоторые параметры и поведение изменились. Обязательно проверьте справочную страницу yt-dlp для получения подробной информации, в частности раздел Различия в поведении по умолчанию.

Пакеты fcitx и fcitx5 предоставляют версии 4 и 5 популярного фреймворка методов ввода Fcitx. Следуя рекомендации авторов (upstream), их больше нельзя устанавливать совместно в одной операционной системе. Пользователи должны определить, какую версию Fcitx следует сохранить, если ранее они совместно устанавливали fcitx и fcitx5.

Перед обновлением пользователям настоятельно рекомендуется удалить все связанные пакеты для нежелательной версии Fcitx (fcitx-* для Fcitx 4 и fcitx5-* для Fcitx 5). Когда обновление будет завершено, возможно стоит повторно выполнить im-config, чтобы выбрать желаемый фреймворк метода ввода, который будет использоваться в системе.

Вы можете прочитать дополнительную справочную информацию в объявлении, размещенном в списке рассылки (текст написан на упрощенном китайском).

В отличие от bullseye, у которого версия MariaDB была указана в именах пакетов (например, mariadb-server-10.5 и mariadb-client-10.5), в bookworm эквивалентные имена пакетов MariaDB 10.11 не имеют версии (например, mariadb-server или mariadb-client). Версия MariaDB по-прежнему видна в метаданных версии пакета.

Существует по крайней мере один известный сценарий обновления (Ошибка #1035949), при котором переход к именам пакетов без версий завершается неудачей: при исполнении

apt-get install default-mysql-server

может произойти сбой, когда mariadb-client-10.5 и файл /usr/bin/mariadb-admin в нем удалены до того, как служба инициализации SysV сервера MariaDB выполнила завершение работы, которая использует mariadb-admin. Обходное решение заключается в запуске

apt upgrade

перед запуском

apt full-upgrade

.

Дополнительные сведения об изменениях имени пакета в MariaDB см. в разделе /usr/share/doc/mariadb-server/NEWS.Debian.gz.

Пакет rsyslog больше не нужен в большинстве систем, и его можно удалить.

Многие программы создают сообщения журнала (log messages), информирующие пользователя о том, что происходит. Этими сообщениями можно управлять с помощью «журнала» systemd или «демона системного журнала», такого как ``rsyslog``.

В bullseye по умолчанию был установлен rsyslog, и журнал systemd был настроен для пересылки сообщений журнала в rsyslog, который записывает сообщения в различные текстовые файлы, такие как /var/log/syslog.

В bookworm, rsyslog больше не устанавливается по умолчанию. Если не хотите продолжать использовать rsyslog, то после обновления можно пометить его как автоматически установленный командой

apt-mark auto rsyslog

, а затем выполнить

apt autoremove

что удалит его, если это возможно. Если обновляетесь с более старых версий Debian и не приняли настройки конфигурации по умолчанию, журнал, возможно, не был настроен для сохранения сообщений в постоянное хранилище: инструкции по включению этого находятся в journald.conf(5).

Если решите отказаться от rsyslog, можете использовать команду journalctl для чтения сообщений журнала, которые хранятся в двоичном формате в /var/log/journal. Например,

journalctl -e

отображает самые последние сообщения журнала в journal и

journalctl -ef

показывает новые сообщения по мере их записи (аналогично команде

tail -f /var/log/syslog

).

В rsyslog теперь по умолчанию используются «временные метки высокой точности», что может повлиять на другие программы, анализирующие системные журналы. Дополнительная информация о том, как настроить этот параметр, содержится в rsyslog.conf(5).

Изменение временных меток (timestamp) может потребовать обновления локально созданных правил logcheck. logcheck проверяет сообщения в системном журнале (создаваемом systemd-journald или rsyslog) на соответствие настраиваемой базе данных регулярных выражений, известных как правила. Правила, соответствующие времени создания сообщения, необходимо будет обновить, чтобы они соответствовали новому формату rsyslog. Правила по умолчанию, которые предоставляются пакетом logcheck-database, были обновлены, но для распознавания нового формата может потребоваться обновление других правил, в том числе созданных локально. Смотрите /usr/share/doc/logcheck-database/NEWS.Debian.gz для скрипта, помогающего обновлять локальные правила logcheck.

Изменились файлы журналов, которые создает rsyslog, и некоторые файлы в /var/log могут быть удалены.

Если продолжите использовать rsyslog (см. Раздел 5.1.7, «Изменения в системном протоколировании (логи)»), некоторые файлы журнала в /var/log больше не будут создаваться по умолчанию. Сообщения, которые были записаны в эти файлы, также находятся в /var/log/syslog, но больше не создаются по умолчанию. Все, что раньше записывалось в эти файлы, по-прежнему будет доступно в /var/log/syslog.

Файлы, которые больше не создаются:

OpenLDAP 2.5 является крупным новым выпуском и включает в себя несколько несовместимых изменений, как описано в анонсе upstream выпуска. В зависимости от конфигурации служба slapd может оставаться остановленной после обновления до тех пор, пока не будут завершены необходимые обновления конфигурации.

Ниже приведены некоторые из известных несовместимых изменений:

Инструкции по завершению обновления и возобновлению работы службы slapd можно найти в файле /usr/share/doc/slapd/README.Debian.gz. Также следует ознакомиться с примечаниями к последующему обновлению.

В течение длительного времени grub использовал пакет os-prober для обнаружения других операционных систем, установленных на компьютере, чтобы добавить их в меню загрузки. К сожалению, в некоторых случаях это может быть проблематично (например, при запуске гостевых виртуальных машин), поэтому теперь это отключено по умолчанию в последней авторской (upstream) версии.

Если используете GRUB для загрузки своей системы и хотите, чтобы в меню загрузки по-прежнему отображались другие операционные системы, можно изменить это. Либо отредактируйте файл /etc/default/grub, установив настройка GRUB_DISABLE_OS_PROBER=false и повторно запустите update-grub. Либо запустите

dpkg-reconfigure <GRUB_PACKAGE>

чтобы изменить эту и другие настройки GRUB более удобным для пользователя способом.

Многие приложения GNOME перешли с графической библиотеки GTK3 на GTK4. К сожалению, это сделало многие приложения для чтения с экрана (например, orca) гораздо менее удобными.

Если программы чтения с экрана очень нужны, стоит подумать о переходе на другой рабочий стол, например, Mate, который имеет лучшую поддержку специальных возможностей. Это можно сделать, установив пакет mate-desktop-environment. Информация о том, как использовать Orca в Mate, доступна здесь. (прим. пер.: рекомендую так и сделать, так как на данный момент Mate практически во всём лучше GNOME)

Для согласованности с авторами (upstream) и другими дистрибутивами служба polkit (ранее PolicyKit), которая позволяет непривилегированным программам получать доступ к привилегированным системным службам, изменила синтаксис и расположение правил локальной политики. Теперь вам следует написать локальные правила для настройки политики безопасности на JavaScript и поместить их в /etc/polkit-1/rules.d/*.rules. Примеры правил, использующих новый формат, можно найти в /usr/share/doc/polkitd/examples/, а polkit(8) содержит дополнительную информацию.

Ранее правила могли быть написаны в формате pkla и размещены в подкаталогах /etc/polkit-1/localauthority или /var/lib/polkit-1/localauthority. Однако файлы .pkla теперь должны считаться устаревшими и будут продолжать работать только в том случае, если установлен пакет polkitd-pkla. Обычно этот пакет устанавливается автоматически при обновлении до bookworm, но, скорее всего, он не будет включен в будущие выпуски Debian, поэтому любые переопределения локальной политики необходимо будет перенести в формат JavaScript.

Debian принял компоновку (layout) файловой системы, называемый «объединенный-/usr», который больше не включает устаревшие каталоги /bin, /sbin, /lib или необязательные варианты, такие как /lib64. В новой компоновке устаревшие каталоги заменены символическими ссылками на соответствующие каталоги /usr/bin, /usr/sbin, /usr/lib и /usr/lib64. Это означает, что, например, как /bin/bash, так и /usr/bin/bash запустят bash.

Для систем, установленных из buster или bullseye, изменений не будет, поскольку новая компоновка файловой системы уже была по умолчанию в этих версиях. Однако старая компоновка больше не поддерживается, и системы, использующие его, будут преобразованы в новую компоновку при обновлении до bookworm.

Преобразование в новое устройство не должно повлиять на большинство пользователей. Все файлы автоматически перемещаются в свои новые местоположения, даже если они были установлены локально или получены из пакетов, не предоставленных Debian, и жестко заданные пути, такие как /bin/sh, продолжают работать. Однако существуют некоторые потенциальные проблемы:

Для получения дополнительной информации смотрите Аргументы в пользу слияния и решение Технического комитета Debian. (прим. пер.: для русскоязычного пользователя лучше обсуждение на ЛОРе)

Debian официально поддерживает обновления только с одной стабильной версии на следующую, например, с bullseye до bookworm. Обновления с buster до bookworm не поддерживаются и завершатся ошибкой из-за Ошибки #993755 со следующей ошибкой:

Setting up libc6: (2.36-9) ...
/usr/bin/perl: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
dpkg: error processing package libc6: (--configure):
installed libc6: package post-installation script subprocess returned error exit status 127
        

Однако из этой конкретной ситуации можно выйти вручную, принудительно установив новый libcrypt1:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install
        

Когда будет завершено выполение команды apt full-upgrade, «формальная» процедура обновления будет завершена. Для обновления до bookworm не требуется выполнять каких-либо специальных действий до выполнения перезагрузки.

Для некоторых пакетов Debian не может гарантировать какой-либо минимальной поддержки исправлений безопасности. О таких пакетах написано в следующих разделах.

	Примечание
	Пакет debian-security-support помогает отслеживать статус поддержки безопасности установленных пакетов.

Предоставленные Debian пакеты интерпретатора python3 (python3.11 и pypy3) теперь помечены как сопровождаемые извне (externally-managed), следуя PEP-668. Версия python3-pip, представленная в Debian, следует этому и отказывается вручную устанавливать пакеты в Debian'овских интерпретаторах python, если не указана опция --break-system-packages.

Если вам нужно установить приложение (или версию) на Python, которое не упаковано в Debian, рекомендуем установить его с помощью pipx (из пакета pipx Debian). pipx настроит среду, изолированную от других приложений и системных модулей Python, и установит в неё приложение и его зависимости.

Если вам нужно установить модуль библиотеки Python (или версию), который не упакован в Debian, рекомендуем установить его в виртуальное окружение (virtualenv), где это возможно. Можно создавать virtualenv с помощью модуля venv стандартной библиотеки Python (из пакета python3-venv Debian) или сторонний инструмент Python virtualenv (из пакета virtualenv Debian). Например, вместо запуска pip install --user foo выполните: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo , чтобы установить его в выделенное virtualenv.

Смотрите /usr/share/doc/python3.11/README.venv для получения более подробной информации.

Видеоплеер VLC поддерживает аппаратное ускорение декодирования и кодирования видео через VA-API и VDPAU. Однако поддержка VA-API в VLC тесно связана с версией FFmpeg. Поскольку FFmpeg был обновлен до версии 5.x, поддержка VA-API в VLC была отключена. Пользователи графических процессоров с встроенной поддержкой VA-API (например, графические процессоры Intel и AMD) могут испытывать высокую загрузку процессора во время воспроизведения и кодирования видео.

Эта проблема не затрагивает пользователей графических процессоров, предлагающих встроенную поддержку VDPAU (например, NVIDIA с несвободными драйверами).

Поддержку VA-API и VDPAU можно проверить с помощью vainfo и vdpauinfo (каждый предоставляется в одноименном пакете Debian).

Новый пакет systemd-resolved не будет устанавливаться автоматически при обновлениях. Если использовали системную службу systemd-resolved, пожалуйста, установите новый пакет вручную после обновления и обратите внимание, что до тех пор, пока он не будет установлен, разрешение DNS может больше не работать, поскольку служба не будет присутствовать в системе. Установка этого пакета автоматически предоставит systemd-resolved управление /etc/resolv.conf. Для получения дополнительной информации о systemd-resolved обратитесь к официальной документации. Обратите внимание, что systemd-resolved не был и не является средством разрешения DNS по умолчанию в Debian. Если вы не настроили свой компьютер на использование systemd-resolved в качестве средства разрешения DNS, никаких действий не требуется.

Новый пакет systemd-boot не будет устанавливаться автоматически при обновлениях. Если использовали systemd-boot, установите этот новый пакет вручную и обратите внимание, что до тех пор, пока это не сделано, в качестве загрузчика будет использоваться более старая версия systemd-boot. Установка этого пакета автоматически настроит systemd-boot в качестве загрузчика компьютера. Загрузчиком по умолчанию в Debian по-прежнему является GRUB. Если вы не настроили компьютер на использование systemd-boot в качестве загрузчика, никаких действий не требуется.

Необязательные службы systemd-journal-gatewayd и systemd-journal-remote теперь создаются без поддержки GnuTLS, что означает, что опция --trust больше не предоставляется ни одной из программ, и будет выдана ошибка, если она указана.

В adduser было внесено несколько изменений. Наиболее заметным изменением является то, что --disabled-password и --disabled-login теперь функционально идентичны. Для получения дополнительной информации, пожалуйста, ознакомьтесь с /usr/share/doc/adduser/NEWS.Debian.gz.

Предсказуемая логика присвоения имен в systemd для сетевых интерфейсов была расширена для создания стабильных имен из информации об устройстве Xen netfront. Это означает, что вместо прежней системы имен, назначаемых ядром, интерфейсы теперь имеют стабильные имена вида enX#. Подготовьте вашу систему перед перезагрузкой после обновления. Дополнительную информацию можно найти на вики-странице NetworkInterfaceNames.

dash, который по умолчанию предоставляет системную оболочку /bin/sh в Debian, переключился на обработку циркумфлекса (^) как буквального символа, что всегда было предполагаемым поведением, совместимым с POSIX. Это означает, что в bookworm [^0-9] больше не означает «не от 0 до 9», а «от 0 до 9 и ^». (прим. пер.: тут у авторов ошибка. Символ ^ — это карет (caret), а не циркумфлекс (circumflex). Отличие в том, что циркумфлекс — это диакритический знак, а карет — самостоятельный символ)

Утилита netcat для чтения и записи данных через сетевые подключения поддерживает абстрактные сокеты и использует их по умолчанию в некоторых случаях.

По умолчанию netcat предоставляется netcat-traditional. Однако, если netcat предоставляется пакетом netcat-openbsd и вы используете сокет AF_UNIX, тогда применяется это новое значение по умолчанию. В этом случае параметр -U для nc теперь будет интерпретировать аргумент, начинающийся с @, как запрос абстрактного сокета, а не как имя файла, начинающееся с @ в текущем каталоге. Это может иметь последствия для безопасности, поскольку разрешения файловой системы больше нельзя использовать для управления доступом к абстрактному сокету. Можно продолжать использовать имя файла, начинающееся с @, добавив к имени префикс ./ или указав абсолютный путь.

Ниже приводится список заслуживающих внимания устаревших пакетов (описание см. в Раздел 4.8, «Устаревшие пакеты»).

В список устаревших пакетов входят следующие пакеты:

В следующем выпуске Debian 13 (кодовое имя trixie) некоторые возможности устарели. Пользователям требуется перейти на использование других альтернатив, чтобы избежать проблем с обновлением до Debian 13.

Изменения коснулись следующих возможностей: