Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij buster

Het is bekend dat de hidepid-aankoppeloptie voor /proc voor problemen zorgt bij de huidige versies van systemd. Door de ontwikkelaars van systemd wordt deze als niet-ondersteunde configuratie beschouwd. Gebruikers die /etc/fstab aangepast hebben om deze optie te activeren, worden aangeraden om deze voor de opwaardering te deactiveren om ervoor te zorgen dat loginsessies werken in buster. (Een mogelijke weg om deze opnieuw te activeren wordt uitgelegd op de pagina Hardening van de wiki.)

De standaardopties van ypbind werden gewijzigd. Indien u echter dit bestand wijzigde, zal de oude standaard niet bijgewerkt worden en moet u ervoor zorgen dat de optie YPBINDARGS= in /etc/default/nis niet -no-dbus bevat. Met de optie -no-dbus zal ypbind niet starten en zult u niet in staat zijn in te loggen. Zie bug bug #906436 voor meer informatie.

The default behavior of rpcbind has changed to no longer answer remote calls from NIS clients. On NIS servers you will need to add the (Debian-specific) -r flag to the command line options of rpcbind, otherwise users will not be able to log into your NIS client machines. For more info see bug #935492.

De semantiek van de optie PubkeyAcceptedKeyTypes voor sshd evenals van de soortgelijke optie HostbasedAcceptedKeyTypes is gewijzigd. Deze specificeren nu ondertekeningsalgoritmes die worden geaccepteerd voor hun respectieve authenticatiemechanismes, waar zij voorheen sleuteltypes specificeerden. Dit verschil is van belang bij het gebruik van de RSA/SHA2-ondertekeningsalgoritmes rsa-sha2-256 en rsa-sha2-512 en hun bijbehorende certificaten. Configuraties die de opties overschrijven, maar de algoritmenamen achterwege laten, kunnen onverwachte authenticatiefouten veroorzaken.

Er is geen actie vereist voor configuraties welke voor deze opties de standaardinstellingen aanvaarden.

Omdat systemd tijdens het opstarten entropie nodig heeft en de kernel dergelijke aanroepen als blokkerende aanroepen behandelt wanneer de beschikbare entropie laag is, kan het systeem minuten tot uren lang blijven hangen tot het deelsysteem met willekeurige gegevens voldoende geïnitialiseerd is (random: crng init done). Voor amd64-systemen die de instructie RDRAND ondersteunen, wordt dit probleem vermeden, omdat de Debian kernel deze instructie standaard gebruikt (CONFIG_RANDOM_TRUST_CPU).

Niet-amd64-systemen en bepaalde types virtuele machines moeten een andere bron van entropie voorzien om snel te blijven opstarten. In het project voor het Debian installatiesysteem werd voor dit doel gekozen voor haveged en als er op het systeem geen hardware-entropie beschikbaar is, kan dit een valabele oplossing zijn. Denk voor virtuele machines eventueel aan het doorsturen van entropie naar de virtuele machines via virtio_rng.

Indien u dit leest nadat u vanop afstand een systeem heeft opgewaardeerd naar buster, doet u er goed aan het systeem voortdurend over het netwerk te pingen, omdat dit entropie toevoegt aan de pot willekeurige gegevens en uiteindelijk zal het systeem opnieuw bereikbaar worden via ssh.

Zie de wiki en het door DLange gemaakte overzicht van het probleem voor andere opties.

Indien uw systeem opgewaardeerd werd van een vroegere release en nog steeds gebruik maakt van de oude benaming voor netwerkinterfaces (zoals eth0 of wlan0), die sinds Stretch verouderd zijn, moet u zich ervan bewust zijn dat udev in Buster officieel niet langer ondersteuning biedt voor het herdefiniëren van deze namen via /etc/udev/rules.d/70-persistent-net.rules (hoewel het in sommige gevallen nog steeds kan werken). Om te voorkomen dat uw machine het gevaar loopt zijn netwerkfunctie te verliezen na de opwaardering naar Buster, wordt aangeraden om vooraf over te schakelen naar het nieuwe naamgevingsschema (dit houdt gewoonlijk namen in zoals enp0s1 en wlp2s5, die PCI-bus- en slot-nummers bevatten). Zorg er ook voor om alle interfacenamen bij te werken welke mogelijk vermeld staan in de configuratie van een firewall, van ifupdown, enzovoort.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

Om de naam nieuwe-stijl te kennen die gebruikt zullen worden, moet u eerst de huidige namen vinden van de betrokken interfaces:

$ echo /sys/class/net/[ew]*
    

Controleer voor elk van deze namen of deze gebruikt wordt in configuratiebestanden en welke naam udev er bij voorkeur voor gebruikt:

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

This should give enough information to devise a migration plan. (If the udevadm output includes an “onboard” or “slot” name, that takes priority; MAC-based names are normally treated as a fallback, but may be needed for USB network hardware.)

Zodra u klaar bent om de omschakeling uit te voeren, moet u 70-persistent-net.rules deactiveren door dit ofwel te hernoemen of door afzonderlijke regels erin uit te commentariëren. Op virtuele machines zult u de bestanden /etc/systemd/network/99-default.link en (als u virtio netwerkapparaten gebruikt) /etc/systemd/network/50-virtio-kernel-names.link moeten verwijderen. Daarna moet u initrd opnieuw bouwen:

$ sudo update-initramfs -u
    

en opnieuw opstarten. Daarna zou uw systeem over de netwerkinterfacenamen nieuwe-stijl moeten beschikken. Pas eventueel resterende configuratiebestanden aan en test uw systeem uit.

See the wiki, upstream documentation, and the udev README.Debian for further information.

Systemen die gebruik maken van kanaalbinding (channel bonding) en/of dummy-interfaces, bijvoorbeeld om een machine als router te configureren, kunnen problemen ondervinden om naar buster op te waarderen. Recente versies van systemd installeren een bestand /lib/modprobe.d/systemd.conf (bedoeld om de configuratie via systemd-networkd te vereenvoudigen) waarin volgende regels voorkomen:

 options bonding max_bonds=0
 options dummy numdummies=0
    

Systeembeheerders die van andere waarden afhankelijk zijn, zullen er moeten voor zorgen dat ze op de correcte wijze ingesteld zijn om voorrang te krijgen. Een bestand in /etc/modprobe.d zal een bestand met dezelfde naam onder /lib/modprobe.d overschrijven, maar de namen worden in alfabetische volgorde verwerkt, zodat /lib/modprobe.d/systemd.conf na (bijvoorbeeld) /etc/modprobe.d/dummy.conf komt en dat overschrijft. Zorg ervoor dat elk lokaal configuratiebestand een naam heeft die alfabetisch na “systemd.conf” komt, zoals “/etc/modprobe.d/zz-local.conf”.

In navolging van verschillende veiligheidsaanbevelingen, werd de standaard minimumversie van TLS opgetrokken van TLSv1 naar TLSv1.2.

Ook het standaard beveiligingsniveau van TLS-verbindingen werd verhoogd van niveau 1 naar niveau 2. Dit betekent een verschuiving van het 80-bits beveiligingsniveau naar het 112-bits beveiligingsniveau en vereist 2048-bits of grotere RSA- en DHE-sleutels, 224-bits of grotere ECC-sleutels, en SHA-2.

De instellingen voor het hele systeem kunnen gewijzigd worden in /etc/ssl/openssl.cnf. Toepassingen kunnen ook een toepassingsspecifieke manier gebruiken om de standaardinstellingen aan te passen.

In de standaardversie van het bestand /etc/ssl/openssl.cnf is er een regel met MinProtocol en een regel met CipherString. Met de regel CipherString kan ook het beveiligingsniveau ingesteld worden. Informatie over beveiligingsniveaus is te vinden in de man-pagina SSL_CTX_set_security_level(3ssl). De lijst van geldige tekenreeksen voor de minimum protocolversie is te vinden in SSL_CONF_cmd(3ssl). Andere informatie is te vinden in ciphers(1ssl) en in config(5ssl).

De standaardinstellingen voor het hele systeem in /etc/ssl/openssl.cnf terugzetten naar hun vroegere waarden kan gebeuren door het instellen van:

        MinProtocol = None
        CipherString = DEFAULT
      

Het wordt aanbevolen om de externe site te contacteren als de standaardinstellingen voor problemen zorgen.

In Buster heeft GNOME zijn standaard grafische server gewijzigd van Xorg naar Wayland (zie Paragraaf 2.2.11, “GNOME heeft Wayland als standaard”). Sommige toepassingen, waaronder het populaire programma voor pakketbeheer synaptic, de standaard invoermethode voor het Vereenvoudigd Chinees, fcitx en de meeste toepassingen voor schermopname, zijn echter niet opgewaardeerd om behoorlijk te werken met Wayland. Om deze pakketten te kunnen gebruiken moet men inloggen bij een sessie GNOME op Xorg.

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

Met de volgende uitgave van Debian 11 (codenaam bullseye) zullen sommige functionaliteiten verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 11.

Daaronder vallen de volgende functionaliteiten:

Wanneer apt full-upgrade beëindigd is, is de opwaardering “formeel” afgerond. Bij de opwaardering naar buster zijn er geen speciale acties meer nodig voordat u de computer herstart.

	Opmerking
	Dit gedeelte is niet van toepassing indien u ervoor koos om sysvinit-core te blijven gebruiken.

Na de overschakeling op systemd als standaard init-systeem in Jessie en de verbetering daarvan in Stretch, zijn verscheidene aan SysV gerelateerde pakketten niet langer vereist en zij kunnen nu veilig verwijderd worden met

apt purge initscripts sysv-rc insserv startpar

Debian 10 bevat verscheidene browser-engines die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun engines te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop de engines WebKit en KHTML^[6] wel opgenomen in buster maar niet gedekt door de beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare websites moeten bezoeken. Het broncodepakket webkit2gtk wordt wel gedekt door de beveiligingsondersteuning.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

De infrastructuur van Debian maakt het momenteel niet mogelijk om op een passende manier pakketten opnieuw te compileren die op grote schaal delen van andere pakketten statisch linken. Tot Buster stelde dat in de praktijk geen problemen, maar door het groeiend Go-ecosysteem wil dit zeggen dat op Go gebaseerde pakketten niet gedekt zullen worden door de reguliere beveiligingsondersteuning, totdat de infrastructuur zodanig verbeterd werd dat dit op een haalbare manier kan gebeuren.

Als updates gerechtvaardigd zijn, kunnen die er enkel komen via een gewone tussenrelease, wat tijd in beslag kan nemen.

Vanaf versie 2.26 van glibc is Linux-kernel 3.2 of een recentere versie vereist. Om te vermijden dat een systeem helemaal defect raakt, voert het script preinst van libc6 een controle uit. Als die mislukt zal de installatie van het pakket afgebroken worden, waardoor de opwaardering onafgewerkt zal blijven. Indien het systeem een oudere kernel dan versie 3.2 gebruikt, moet u die opwaarderen voordat u begint met het opwaarderen van de distributie.

De semantiek van su is gewijzigd in buster. Ook worden de gebruikersomgevingsvariabelen DISPLAY en XAUTHORITY van su niet langer behouden. Als het nodig is grafische toepassingen uit te voeren met su, dan moet u deze omgevingsvariabelen expliciet instellen om toegang te verlenen tot uw scherm. Zie bug #905409 voor een uitvoerige bespreking.

Bij het opwaarderen van Stretch naar Buster worden de taaldefinitiegegevens van glibc bijgewerkt. In het bijzonder wijzigt dit de wijze waarop PostgreSQL in tekstindexen gegevens sorteert. Om gegevensbeschadiging te vermijden, moeten deze indexen onmiddellijk opnieuw geïndexeerd worden (met REINDEX) na het opwaarderen van het pakket locales of het pakket locales-all en voor u de databank weer in gebruik neemt.

Voorgesteld commando:

sudo -u postgres reindexdb --all

Een alternatief is de databanken opwaarderen naar PostgreSQL 11 met pg_upgradecluster. (Dit maakt standaard gebruik van pg_dump dat alle indexen opnieuw opbouwt. Gebruik maken van -m upgrade of pg_upgrade is niet veilig, omdat dit de voortaan foute indexeordening behoudt.)

Raadpleeg de PostgreSQL Wiki voor meer informatie.

In stretch werden in het pakket mutt patches toegepast die afkomstig waren uit de broncode van https://neomutt.org. Met ingang van buster is het pakket dat /usr/bin/mutt ter beschikking stelt, zuiver gebaseerd op de originele broncode van http://www.mutt.org en een apart pakket neomutt biedt /usr/bin/neomutt aan.

Dit betekent dat bepaalde functionaliteit die vroeger beschikbaar was in mutt, dat nu niet meer is. Indien dit uw configuratie onklaar maakt, kunt u in de plaats daarvan neomutt installeren.

Zonder muis is er geen rechtstreekse manier om instellingen te wijzigen in de app GNOME-Instellingen (GNOME Settings) die beschikbaar gesteld wordt door gnome-control-center. Als mogelijke oplossing kunt u navigeren van de zijbalk naar de hoofdinhoud door tweemaal op de Rechterpijltoets te drukken. Om naar de zijbalk terug te keren, kunt u een zoekbewerking starten met Ctrl+F, iets intypen en dan op Esc drukken om de zoekbewerking af te breken. Nu kunt u gebruik maken van Pijl omhoog en Pijl omlaag om in de zijbalk te navigeren. Het is niet mogelijk om met het toetsenbord zoekresultaten te selecteren.

Users of the initial buster release images should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster had a very nasty bug (#928893) when used to change the LUKS password: it deleted the old password but failed to correctly set the new one, making all data on the disk inaccessible. This has been fixed in the first point release.

Gebruikers die evolution gebruiken als e-mailprogramma en die met de plug-in evolution-ews verbinding maken met een server die Exchange, Office365 of Outlook gebruikt, zouden niet mogen opwaarderen naar buster zonder vooraf een reservekopie te maken van hun gegevens en een alternatieve oplossing te zoeken, vermits men evolution-ews laten vallen heeft omwille van bug #926712. Hun Postvakken In, kalender, contactlijsten en taken zullen verwijderd worden en niet langer toegankelijk zijn met Evolution.

The evolution-ews package has been reintroduced via buster-backports. Users upgrading from stretch to buster can enable buster-backports after the upgrade and then they will be able to reinstall evolution-ews.

Indien u Debian installeert van live-media met het installatieprogramma Calamares (Paragraaf 2.2.13, “Nieuws van het Debian Live team”) en kiest voor de functie volledige schijf encrypteren, wordt de sleutel om de schijf te ontgrendelen opgeslagen in het initramfis waartoe iedereen leestoegang heeft. Dit stelt gebruikers die toegang hebben tot het lokale bestandssysteem, in staat de private sleutel te lezen en zo later opnieuw toegang te krijgen tot het bestandssysteem.

Dit probleem kan omzeild worden door UMASK=0077 toe te voegen aan /etc/initramfs-tools/conf.d/initramfs-permissions en daarna update-initramfs -u uit te voeren. Dit zal het initramfs opnieuw aanmaken en ditmaal zonder dat iedereen er leestoegang toe heeft.

Er is een reparatie van het installatieprogramma gepland (zie bug #931373) en deze zal geüpload worden naar debian-security. In afwachting zouden gebruikers die encryptie op de volledige schijf toepassen, bovenstaande oplossing moeten gebruiken.

When using s3ql with Amazon S3 buckets, the configuration needs updating for a change in the URL. The new format is:

s3://<region>/<bucket>/<prefix>

The shipped configurations for /var/log/btmp and /var/log/wtmp have been split from the main configuration file (/etc/logrotate.conf) into separate standalone files (/etc/logrotate.d/btmp and /etc/logrotate.d/wtmp).

If you have modified /etc/logrotate.conf in this regard, make sure to re-adjust the two new files to your needs and drop any references to (b|w)tmp from the main file, since duplicate definitions can cause errors.