Inhaltsverzeichnis
hidepid
für procfs nicht mehr unterstütztManchmal haben Änderungen, die in einer neuen Veröffentlichung eingebracht werden, Nebeneffekte, die wir ohne größeren Aufwand nicht vermeiden können, oder dies würde Fehler an anderen Stellen verursachen. Dieses Kapitel dokumentiert die uns bekannten Probleme. Bitte lesen Sie auch die Errata, die relevanten Paketdokumentationen, Fehlerberichte und weitere Informationen in Abschnitt 6.1, „Weitere Lektüre“.
Dieser Abschnitt behandelt Themen, die für ein Upgrade von Stretch auf Buster relevant sind.
Die mount-Option hidepid
für /proc
ist bekannt dafür, Probleme mit aktuellen Versionen von systemd zu
verursachen, und wird von den Systemd-Autoren als nicht unterstützte
Konfiguration angesehen. Benutzer, die ihre
/etc/fstab
-Datei modifiziert haben, um diese Option zu
aktivieren, werden aufgefordert, diese vor dem Upgrade zu deaktivieren, um
sicherzustellen, dass Login-Sitzungen mit Buster funktionieren. (Ein
möglicher Weg, um dies wieder zu aktivieren, wird auf der Hardening-Seite
im Wiki erklärt.)
Die Standardoptionen von ypbind
wurden geändert. Wenn Sie selbst jedoch diese Datei verändert haben, werden
die alten Optionen nicht aktualisiert und Sie müssen sicherstellen, dass die
Option YPBINDARGS=
in
/etc/default/nis
nicht mehr -no-dbus
enthält. Falls -no-dbus
enthalten ist, wird der Start von
ypbind fehlschlagen, und Sie können sich möglicherweise
nicht mehr anmelden. Weitere Informationen finden Sie im Fehlerbericht #906436.
The default behavior of rpcbind
has
changed to no longer answer remote calls from NIS clients. On NIS servers
you will need to add the (Debian-specific) -r
flag to the
command line options of rpcbind, otherwise users will not
be able to log into your NIS client machines. For more info see bug #935492.
Die Semantik von PubkeyAcceptedKeyTypes
sowie die
verwandten HostbasedAcceptedKeyTypes
-Optionen für
sshd
wurden geändert. Sie legen
jetzt Signatur-Algorithmen fest, die für die jeweiligen
Authentifizierungsmechanismen akzeptiert werden. Früher hingegen wurden dort
die akzeptierten Schlüsseltypen angegeben. Dieser Unterschied ist relevant,
wenn die RSA/SHA2-Signatur-Algorithmen rsa-sha2-256
,
rsa-sha2-512
sowie deren Zertifikats-Gegenstücke
verwendet werden. Konfigurationen, die diese Optionen überschreiben, aber
dabei diese Algorithmus-Bezeichnungen nicht enthalten, können zu
unerwarteten Fehlern bei der Authentifizierung führen.
Bei Konfigurationen, die den Standardwert für diese Optionen verwenden, besteht kein Handlungsbedarf.
Da systemd
für den Boot-Vorgang eine
gewisse Menge an Entropy benötigt und der Kernel entsprechende Aufrufe
blockiert, wenn nicht genügend Entropy zur Verfügung steht, kann das System
während des Bootens hängen bleiben, bis das Randomness-Subsystem korrekt
initialisiert ist (random: crng init done
). Auf
amd64
-Systemen, die die
RDRAND
-Anweisung unterstützen, wird dieses Problem durch
den Debian-Kernel umgangen, indem diese Anweisung standardmäßig verwendet
wird (CONFIG_RANDOM_TRUST_CPU
).
Auf Nicht-amd64
-Systemen und einigen Arten virtueller
Maschinen muss eine andere Entropy-Quelle bereitgestellt werden, um
weiterhin schnell booten zu können. Hierfür wurde innerhalb des
Debian-Projekts haveged
ausgewählt;
es kann eine gute Option sein, wenn Hardware-Entropy auf dem System nicht
verfügbar ist. Auf virtuellen Maschinen können Sie in Erwägung ziehen,
Entropy mittels virtio_rng
vom Host an die virtuelle
Maschine durchzureichen.
Falls Sie dies erst lesen, nachdem das Upgrade eines fernen Systems auf buster bereits durchgeführt wurde, pingen Sie das System über das Netzwerk fortwährend an, da hierdurch Entropy zum Randomness-Pool des Systems hinzugefügt wird und das System dann eventuell wieder per SSH erreichbar wird.
Weitere Details finden Sie im Wiki; für zusätzliche verfügbare Optionen besuchen Sie DLange's overview of the issue.
If your system was upgraded from an earlier release, and still uses the
old-style network interface names that were deprecated with stretch (such as
eth0
or wlan0
), you should be aware
that the mechanism of defining their names via
/etc/udev/rules.d/70-persistent-net.rules
is officially
not supported by udev
in buster
(while it may still work in some cases). To avoid the danger of your machine
losing networking after the upgrade to buster, it is recommended that you
migrate in advance to the new naming scheme (usually meaning names like
enp0s1
or wlp2s5
, which incorporate
PCI bus- and slot-numbers). Take care to update any interface names
hard-coded in configuration for firewalls, ifupdown
, and so on.
The alternative is to switch to a supported mechanism for enforcing the old
naming scheme, such as a systemd .link
file (see systemd.link(5)). The
net.ifnames=0
kernel commandline option might also work
for systems with only one network interface (of a given type).
Um die neuen Namen zu erfahren, die nach der Migration verwendet würden, suchen Sie zunächst die alten Namen der entsprechenden Schnittstellen heraus:
$ echo /sys/class/net/[ew]*
Prüfen Sie jeden dieser Namen, ob er in irgendwelchen Konfigurationsdateien
verwendet wird, und welchen Namen das udev
-System dafür vergeben würde:
$ sudo rgrep -weth0
/etc $ udevadm test-builtin net_id /sys/class/net/eth0
2>/dev/null
This should give enough information to devise a migration plan. (If the
udevadm
output includes an „onboard“ or
„slot“ name, that takes priority; MAC-based names are normally
treated as a fallback, but may be needed for USB network hardware.)
Sobald sie bereit sind für die Umstellung, deaktivieren Sie
70-persistent-net.rules
, entweder indem Sie diese Datei
umbenennen oder entsprechende Zeilen darin auskommentieren. Bei virtuellen
Maschinen müssen Sie die Datei
/etc/systemd/network/99-default.link
und (falls Sie
virtio-Netzwerkgeräte benutzen)
/etc/systemd/network/50-virtio-kernel-names.link
entfernen. Bauen Sie danach die initrd
neu mit
$ sudo update-initramfs -u
und starten Sie das System neu. Es sollte nun Netzwerk-Schnittstellen-Namen nach dem neuen Namensschema nutzen. Passen Sie verbleibende Konfigurationsdateien an und testen Sie Ihr System.
See the wiki, upstream
documentation, and the udev
README.Debian
for further information.
Systems using channel bonding and/or dummy interfaces, for instance to
configure a machine as a router, may encounter problems upgrading to
buster. New versions of systemd
install a file /lib/modprobe.d/systemd.conf
(intended
to simplify configuration via systemd-networkd) which
contains the lines
options bonding max_bonds=0 options dummy numdummies=0
Admins who were depending on different values will need to ensure they are
set in the correct way to take precedence. A file in
/etc/modprobe.d
will override one with the same name
under /lib/modprobe.d
, but the names are processed in
alphabetical order, so /lib/modprobe.d/systemd.conf
follows and overrides (for instance)
/etc/modprobe.d/dummy.conf
. Make sure that any local
configuration file has a name that sorts after
„systemd.conf
“, such as
„/etc/modprobe.d/zz-local.conf
“.
Verschiedenen Sicherheitsempfehlungen folgend, wurde die standardmäßig als Minimum erforderliche TLS-Version von TLSv1 auf TSLv1.2 erhöht.
Das als Standard eingestellte Sicherheits-Level für TLS-Verbindungen wurde ebenfalls von Level 1 auf Level 2 erhöht. Dies bedeutet einen Umstieg vom 80-Bit Sicherheits-Level auf ein 112-Bit Sicherheits-Level und erfordert RSA- und DHE-Schlüssel mit mindestens 2048 Bit Länge, ECC-Schlüssel mit mindestens 224 Bit Länge sowie SHA-2.
Die systemweiten Einstellungen können in
/etc/ssl/openssl.cnf
geändert werden. Anwendungen
können auch spezielle Möglichkeiten verwenden, um die Standardeinstellungen
zu überschreiben.
In the default /etc/ssl/openssl.cnf
there is a
MinProtocol
and CipherString
line. The
CipherString
can also set the security level. Information
about the security levels can be found in the SSL_CTX_set_security_level(3ssl)
manpage. The list of valid strings for the minimum protocol version can be
found in SSL_CONF_cmd(3ssl). Other
information can be found in ciphers(1ssl) and config(5ssl).
Die systemweiten Standardeinstellungen in
/etc/ssl/openssl.cnf
können mittels folgender Einträge
auf die vorherigen Werte zurückgestellt werden:
MinProtocol = None CipherString = DEFAULT
Es wird empfohlen, dass Sie die Verantwortlichen der anderen, fernen Seite der Verbindung kontaktieren, falls diese Standardwerte Probleme verursachen.
GNOME in Debian Buster verwendet als Standard-Display-Server jetzt nicht
mehr Xorg, sondern Wayland (siehe Abschnitt 2.2.11, „GNOME defaults to Wayland“). Einige Anwendungen (wie der
populäre Paketmanager synaptic
, die
Standard-Eingabemethode für vereinfachtes Chinesisch fcitx
, sowie die meisten Programme zur
Aufzeichnung von Bildschirminhalten wurden noch nicht passend aktualisiert,
so dass sie noch nicht korrekt mit Wayland funktionieren. Um solche Pakete
nutzen zu können, müssen Sie sich mit einer GNOME on
Xorg
-Sitzung anmelden.
Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).
Zu diesen Paketen gehören:
Das Paket mcelog
wird von
Kernel-Versionen über 4.12 nicht mehr unterstützt. Stattdessen kann
rasdaemon
verwendet werden.
Revelation
, das verwendet wird, um
Passwörter zu speichern, ist in Debian Buster nicht mehr
enthalten. Wenn Sie Ihre Passwörter vorher mit revelation
in eine XML-Dateien exportiert haben,
kann keepass2
diese
importieren. Bitte stellen Sie sicher, dass Sie vor dem Upgrade Ihre Daten
in solch eine Datei exportieren, um den Verlust Ihrer Passwörter zu
vermeiden.
ipsec-tools
und racoon
wurden aus Buster entfernt, da ihr
Quellcode weit hinterher hing bei der Adaption neuer Bedrohungsmuster.
Benutzern wird empfohlen, zu libreswan
zu migrieren, da es eine breitere
Protokollkompatibilität bietet und von den Originalautoren aktiv
weiterentwickelt wird.
libreswan
sollte bezüglich der
Kommunikationsprotokolle vollständig kompatibel sein, da es die Obermenge
der von racoon
unterstützten
Protokolle ebenfalls implementiert hat.
Der einfache MTA ssmtp
wurde aus
buster entfernt. Der Grund hierfür ist, dass er derzeit keine
TLS-Zertifikate validiert; Näheres im Fehlerbericht #662960.
The ecryptfs-utils
package is not
part of buster due to an unfixed serious bug (#765854). At the time of writing this
paragraph, there was no clear advice for users of eCryptfs, except not to
upgrade.
Mit der nächsten Veröffentlichung von Debian 11 (Codename Bullseye) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 11 zu vermeiden.
Dazu gehören folgende Funktionalitäten:
debianPython 2 wird von den Originalautoren ab dem 01. Januar 2020
nicht mehr unterstützt. Debian hofft, das python-2.7
-Paket in Debian 11
entfernen zu können. Falls Nutzer Funktionalitäten haben, die auf
python beruhen, sollten sie sich darauf vorbereiten, auf
python3 zu migrieren.
Icinga 1.x hat am 31.12.2018 bei den Upstream-Autoren sein Lebensende
erreicht. In Debian ist das icinga
-Paket zwar noch enthalten, Nutzer sollten
aber während des Lebenszyklus von Debian Buster nach Icinga 2 (im
icinga2
-Paket) und Icinga Web 2 (im
icingaweb2
-Paket) migrieren. Das
icinga2-classicui
-Paket kann genutzt
werden, um das Icinga-CGI-Web-Interface der Version 1.x mit Icinga 2 zu
verwenden, aber dies wird mit der Icinga-Version 2.11 entfallen. Stattdessen
sollte Icinga Web 2 eingesetzt werden.
Die Version 3 des Mailinglilsten-Managers Mailman ist in dieser
Veröffentlichung neu verfügbar. Mailman wurde in mehrere Komponenten
aufgesplittet; der Kern ist im mailman3
-Paket enthalten, während über das
Metapaket mailman3-full
die
komplette Suite installiert werden kann.
Die alte Version Mailman 2.1 bleibt in dieser Debian-Veröffentlichung im
Paket mailman
enthalten, so dass Sie
vorhandene Installationen nach eigenem Ermessen auf die neue Version
migrieren können. Mailman 2.1 wird für absehbare Zeit funktionsfähig
gehalten, allerdings keine größeren Änderungen oder Verbesserungen mehr
bekommen. Sobald die Upstream-Autoren diesen Zweig nicht mehr unterstützen,
wird er mit der nächsten darauf folgenden Debian-Veröffentlichung auch aus
Debian verschwinden.
Alle werden aufgefordert, auf die moderne und in aktueller Entwicklung stehende Version Mailman 3 hochzurüsten.
Die Pakete spf-milter-python
und
dkim-milter-python
werden von den
Originalautoren nicht mehr aktiv weiterentwickelt, aber die Nachfolgepakete
pyspf-milter
und dkimpy-milter
(die auch neue zusätzliche
Funktionalitäten enthalten), sind in Debian Buster enthalten. Nutzer sollten
auf die neuen Pakete migrieren, bevor die alten in Debian Bullseye entfernt
werden.
Wenn apt full-upgrade
beendet ist, sollte das
„formale“ Upgrade abgeschlossen sein. Nach dem Upgrade auf
Buster gibt es keine besonderen Aktionen, die vor dem nächsten
Neustart erledigt werden müssen.
![]() | Anmerkung |
---|---|
Dieser Abschnitt betrifft Sie nicht, wenn Sie sich entschieden haben, sysvinit-core zu verwenden. |
Nach dem Umstieg auf systemd als Standard-init-System in Jessie und weiteren Anpassungen in Stretch sind verschiedene SysV-betreffende Pakete jetzt nicht mehr erforderlich und können gefahrlos entfernt werden; verwenden Sie dazu
apt purge initscripts sysv-rc insserv startpar
Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass zur Behebung von Sicherheitslücken nicht minimale Rückportierungen in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.
![]() | Anmerkung |
---|---|
Das Paket |
Debian 10 enthält mehrere Browser-Engines, die einem ständigen
Ansturm von Sicherheitsproblemen ausgesetzt sind. Die hohe Rate von
Anfälligkeiten und die teilweise fehlende Unterstützung seitens der
Originalautoren in Form von langfristig gepflegten Programmversionen machen
es sehr schwierig, für diese Browser und Engines Sicherheitsunterstützung
auf Basis von rückportierten Fehlerkorrekturen anzubieten. Zusätzlich machen
es Abhängigkeiten zwischen beteiligten Bibliotheken extrem schwierig, auf
neuere Upstream-(Orignal-)Versionen hochzurüsten. Browser, die auf Engines
wie „webkit“, „qtwebkit“ und
„khtml“[6] aufbauen, sind
daher in Buster zwar enthalten, es besteht jedoch für sie keine
Sicherheitsunterstützung. Diese Browser sollten nicht für Verbindungen zu
Websites verwendet werden, denen Sie nicht vertrauen. Das Quellpaket
webkit2gtk
ist jedoch von der
Sicherheitsunterstützung abgedeckt.
Generell empfehlen wir als Webbrowser Firefox oder Chromium. Sie werden für Stable aktuell gehalten, indem Sie auf Basis der neuesten ESR-Versionen jeweils neu gebaut werden. Die gleiche Strategie wird auch für Thunderbird angewandt.
The Debian infrastructure currently doesn't properly enable rebuilding packages that statically link parts of other packages on a large scale. Until buster that hasn't been a problem in practice, but with the growth of the Go ecosystem it means that Go based packages won't be covered by regular security support until the infrastructure is improved to deal with them maintainably.
If updates are warranted, they can only come via regular point releases, which may be slow in arriving.
In den meisten Fällen sollten Pakete problemlos von Stretch nach Buster aktualisiert werden. Es gibt jedoch eine kleine Anzahl von Paketen, bei denen manuelle Eingriffe erforderlich sein könnten, entweder vor oder während dem Upgrade; hier eine detaillierte Liste solcher Pakete.
Beginnend mit glibc
2.26 ist ein
Linux-Kernel der Version 3.2 oder höher erforderlich. Um eine Beschädigung
des Systems zu vermeiden, führt das preinst-Skript des libc6
-Pakets eine Überprüfung durch. Schlägt
diese fehl, wird die Paketinstallation abgebrochen, was zu einem
unvollständigen Upgrade führt. Falls das System mit einem Kernel vor 3.2
läuft, sollten Sie diesen aktualisieren, bevor Sie das Debian-Upgrade
starten.
su
hat mit der Version in Buster die Semantik
geändert und behält nicht mehr die Umgebungsvariablen
DISPLAY
und XAUTHORITY
. Sie müssen sie
explizit setzen und so bewußt den Zugriff auf Ihr Display erlauben, wenn Sie
grafische Anwendungen mit su
nutzen möchten. Im Fehlerbericht #905409 finden Sie eine
umfangreiche Diskussion zu diesem Thema.
Wenn Sie von Debian Stretch auf Buster hochrüsten, werden dabei die
glibc
-Locale-Daten aktualisiert. Im
speziellen ändert sich dabei die Art, wie PostgreSQL die Daten in
Text-Index-Beständen sortiert. Um Beschädigungen zu vermeiden, müssen solche
Indexe mit REINDEX
neu generiert werden, unmittelbar
nachdem das locales
- oder
locales-all
-Paket aktualisiert wurde
und bevor die Datenbank zurück in den Produktionsstatus geht.
Empfohlener Befehl:
sudo -u postgres reindexdb --all
Alternativ können Sie die Datenbanken mit
pg_upgradecluster auf PostgreSQL 11 hochrüsten. (Dabei
wird standardmäßig pg_dump verwendet, was zu einer
Neuindexierung aller Indexe führt. Die Verwendung von -m
upgrade
oder pg_upgrade ist
nicht sicher, da dabei die jetzt inkorrekte
Sortierreihenfolge erhalten bleibt.)
Lesen Sie das PostgreSQL Wiki, wenn Sie weitere Informationen benötigen.
In Debian Stretch enthielt mutt
Patches aus dem Quellcode von https://neomutt.org. Ab Debian Buster wird
das Paket, welches /usr/bin/mutt
bereitstellt, jedoch
wieder auf dem reinen Mutt-Quellcode von http://www.mutt.org beruhen, und ein
separates neomutt
-Paket wird zur
Verfügung gestellt, welches /usr/bin/neomutt
enthält.
Dies bedeutet, dass einige Funktionalitäten, die bisher in mutt
enthalten waren, jetzt nicht mehr verfügbar
sind. Falls dies Ihre Konfiguration unbrauchbar macht, können Sie
stattdessen neomutt
installieren.
Without a pointing device, there is no direct way to change settings in the
GNOME Settings app provided by gnome-control-center
. As a work-around, you can
navigate from the sidebar to the main content by pressing the Right
Arrow twice. To get back to the sidebar, you can start a search
with Ctrl+F, type
something, then hit Esc to cancel the search. Now you can
use the Up Arrow and Down Arrow to
navigate the sidebar. It is not possible to select search results with the
keyboard.
Users of the initial buster release images should not change the LUKS
password of encrypted disks with the GNOME graphical interface for disk
management. The gnome-disk-utility
package in buster had a very nasty bug
(#928893) when used to change the LUKS password: it deleted the old
password but failed to correctly set the new one, making all data on the
disk inaccessible. This has been fixed in the first point release.
Users using evolution
as their email
client and connecting to a server running Exchange, Office365 or Outlook
using the evolution-ews
plugin
should not upgrade to buster without backing up data and finding an
alternative solution beforehand, as evolution-ews has been dropped due to
bug #926712 and their email inboxes,
calendar, contact lists and tasks will be removed and will no longer be
accessible with Evolution.
The evolution-ews
package has been
reintroduced via buster-backports. Users upgrading from stretch to buster
can enable buster-backports after the upgrade and then they will be able to
reinstall evolution-ews
.
When installing Debian from live media using the Calamares installer (Abschnitt 2.2.13, „News from Debian Live team“) and selecting the full disk encryption feature, the disk's unlock key is stored in the initramfs which is world readable. This allows users with local filesystem access to read the private key and gain access to the filesystem again in the future.
This can be worked around by adding UMASK=0077
to
/etc/initramfs-tools/conf.d/initramfs-permissions
and
running update-initramfs -u. This will recreate the
initramfs without world-readable permissions.
A fix for the installer is being planned (see bug #931373) and will be uploaded to debian-security. In the meantime users of full disk encryption should apply the above workaround.
When using s3ql
with Amazon S3
buckets, the configuration needs updating for a change in the URL. The new
format is:
s3://<region>/<bucket>/<prefix>
The shipped configurations for /var/log/btmp
and
/var/log/wtmp
have been split from the main
configuration file (/etc/logrotate.conf
) into separate
standalone files (/etc/logrotate.d/btmp
and
/etc/logrotate.d/wtmp
).
If you have modified /etc/logrotate.conf
in this
regard, make sure to re-adjust the two new files to your needs and drop any
references to (b|w)tmp from the main file, since duplicate definitions can
cause errors.
[6] Diese Engines sind in einer ganzen Reihe von Quellpaketen enthalten und die
aufgeführten Bedenken gelten für all diese Pakete. Sie gelten auch für
solche Pakete, die die Engine enthalten, aber hier nicht explizit aufgeführt
sind (mit Ausnahme von webkit2gtk
).