5. Что нужно знать о trixie
Иногда изменения, внесённые в новый выпуск, приводят к побочным эффектам, которых нельзя избежать без появления ошибок где-то ещё. Этот раздел описывает проблемы, которые уже известны нам. Прочитайте также список известных ошибок, соответствующую документацию на пакеты, отчёты об ошибках и другую информацию, указанную в Что ещё можно прочитать.
5.1. Конкретные шаги обновления для trixie
В данном разделе описываются шаги обновления с bookworm до trixie.
5.1.1. openssh-server no longer reads ~/.pam_environment
The Secure Shell (SSH) daemon provided in the openssh-server package,
which allows logins from remote systems, no longer reads the user's
~/.pam_environment
file by default; this feature has a history of
security problems and has been
deprecated in current versions of the Pluggable Authentication Modules (PAM)
library. If you used this feature, you should switch from setting variables
in ~/.pam_environment
to setting them in your shell initialization files
(e.g. ~/.bash_profile
or ~/.bashrc
) or some other similar mechanism
instead.
Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Подготовка к восстановлению.
5.1.2. OpenSSH no longer supports DSA keys
Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell
(SSH) protocol, are inherently weak: they are limited to 160-bit private
keys and the SHA-1 digest. The SSH implementation provided by the
openssh-client and openssh-server packages has disabled support for
DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9
("stretch"), although it could still be enabled using the
HostKeyAlgorithms
and PubkeyAcceptedAlgorithms
configuration options
for host and user keys respectively.
The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.
As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with
the above configuration options. If you have a device that you can only
connect to using DSA, then you can use the ssh1
command provided by the
openssh-client-ssh1 package to do so.
In the unlikely event that you are still using DSA keys to connect to a
Debian server (if you are unsure, you can check by adding the -v
option
to the ssh
command line you use to connect to that server and looking
for the "Server accepts key:" line), then you must generate replacement keys
before upgrading. For example, to generate a new Ed25519 key and enable
logins to a server using it, run this on the client, replacing
username@server
with the appropriate user and host names:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.2. То, что следует сделать после обновления и до перезагрузки
Когда будет завершено выполнение команды apt full-upgrade
, "формальная" процедура обновления будет завершена. Для обновления до trixie не требуется выполнять каких-либо специальных действий до выполнения перезагрузки.
5.2.1. Элементы, не ограничивающиеся процессом обновления
5.2.2. Ограничения поддержки безопасности
Для некоторых пакетов Debian не может обещать даже минимальной поддержки исправлений безопасности. Они рассматриваются ниже.
Примечание
Пакет debian-security-support помогает отслеживать состояние поддержки безопасности установленных пакетов.
5.2.2.1. Состояние безопасности веб-браузеров и их движков отрисовки (rendering engines)
В Debian 13 включено несколько браузерных движков (browser engines), в которых постоянно находят большое количество уязвимостей безопасности. Высокий уровень угроз и частичное отсутствие авторской поддержки в виде долгосрочных веток очень затрудняют поддержку этих браузеров и движков с помощью переноса исправлений безопасности в старые версии. Также из-за взаимозависимости библиотек невозможно произвести обновление до новых версий. Поэтому приложения, использующие пакет исходного кода webkit2gtk (например epiphany) имеют поддержку безопасности, но приложения, использующие qtwebkit (пакет исходного кода qtwebkit-opensource-src), - нет.
Для типичного использования веб-браузера рекомендуем Firefox или Chromium. Они будут поддерживаться в актуальном состоянии путем сборки текущих выпусков ESR для стабильного (stable) выпуска. Та же стратегия будет применена и к Thunderbird.
Как только выпуск становится oldstable
, официально поддерживаемые браузеры могут перестать получать обновления в течение стандартного периода действия. Например, Chromium получит поддержку безопасности только на 6 месяцев в oldstable
вместо обычных 12 месяцев.
5.2.2.2. Пакеты на основе Go и Rust
Инфраструктура Debian в настоящее время имеет проблемы со сборкой пакетов типов, которые систематически используют статическое связывание. С ростом экосистем Go и Rust это означает, что на эти пакеты будет распространяться ограниченная поддержка безопасности до тех пор, пока инфраструктура не будет улучшена для обеспечения их обслуживания.
В большинстве случаев, если требуются обновления для библиотек разработки Go или Rust, они будут выпущены только в регулярных корректирующих выпусках.
5.3. Устаревание и нецелесообразность
5.3.1. Заслуживающие внимания устаревшие пакеты
Ниже приводится список заслуживающих внимания устаревших пакетов (описание см. в Устаревшие пакеты).
В список устаревших пакетов входят следующие пакеты:
To be added, as below:
Пакет libnss-ldap был удален из trixie. Его функциональность теперь обеспечивают libnss-ldapd и libnss-sss.
5.3.2. Устаревшие компоненты trixie
В следующем выпуске Debian 14 (кодовое имя forky) некоторые возможности устарели. Пользователям требуется перейти на использование других альтернатив, чтобы избежать проблем с обновлением до Debian 14.
Изменения коснулись следующих возможностей:
To be added, as below:
Разработка службы NSS
gw_name
была остановлена в 2015 году. Связанный с ней пакет libnss-gw-name может быть удален в будущих выпусках Debian. Автор (upstream) предлагает вместо этого использовать libnss-myhostname.The openssh-client and openssh-server packages currently support GSS-API authentication and key exchange, which is usually used to authenticate to Kerberos services. This has caused some problems, especially on the server side where it adds new pre-authentication attack surface, and Debian's main OpenSSH packages will therefore stop supporting it starting with forky.
If you are using GSS-API authentication or key exchange (look for options starting with
GSSAPI
in your OpenSSH configuration files) then you should install the openssh-client-gssapi (on clients) or openssh-server-gssapi (on servers) package now. On trixie, these are empty packages depending on openssh-client and openssh-server respectively; on forky, they will be built separately.
5.4. Известные серьезные ошибки
Хотя Debian выпускается, когда он готов, это, к сожалению, не означает, что известных ошибок нет. В рамках процесса выпуска все ошибки степени серьезности serious или выше активно отслеживаются командой разработчиков, поэтому обзор этих ошибок, которые были помечены как игнорируемые в последней части выпуска trixie, можно найти в Системе отслеживания ошибок Debian. Следующие ошибки влияли на trixie на момент выпуска и заслуживают упоминания в этом документе:
Номер ошибки |
Пакет (исходного кода или двоичный) |
Описание |
---|---|---|
akonadi-backend-mysql |
сервер akonadi не запускается, так как он не может подключиться к базе данных mysql |
|
faketime |
faketime не подделывает время (на i386) |
|
src:fuse3 |
укажите путь обновления fuse -> fuse3 для bookworm |
|
g++-12 |
tree-vectorize: неверный код на уровне O2 (-fno-tree-vectorize работает) |
|
git-daemon-run |
не удается выполнить очистку: deluser -f: Неизвестный параметр: f |
|
git-daemon-run |
сбой с сообщением "предупреждение: git-daemon: не удается открыть supervise/ok: файл не существует" |
|
src:gluegen2 |
встраивает несвободные заголовки |