Inhoudsopgave
Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Paragraaf 6.1, “Literatuurverwijzingen”.
Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van stretch naar buster.
Het is bekend dat de hidepid
-aankoppeloptie voor
/proc
voor problemen zorgt bij de huidige versies van
systemd. Door de ontwikkelaars van systemd wordt deze als niet-ondersteunde
configuratie beschouwd. Gebruikers die /etc/fstab
aangepast hebben om deze optie te activeren, worden aangeraden om deze voor
de opwaardering te deactiveren om ervoor te zorgen dat loginsessies werken
in buster. (Een mogelijke weg om deze opnieuw te activeren wordt
uitgelegd op de pagina Hardening
van de wiki.)
De standaardopties van ypbind
werden
gewijzigd. Indien u echter dit bestand wijzigde, zal de oude standaard niet
bijgewerkt worden en moet u ervoor zorgen dat de optie
YPBINDARGS=
in /etc/default/nis
niet
-no-dbus
bevat. Met de optie -no-dbus
zal ypbind niet starten en zult u niet in staat zijn in
te loggen. Zie bug bug #906436 voor
meer informatie.
The default behavior of rpcbind
has
changed to no longer answer remote calls from NIS clients. On NIS servers
you will need to add the (Debian-specific) -r
flag to the
command line options of rpcbind, otherwise users will not
be able to log into your NIS client machines. For more info see bug #935492.
De semantiek van de optie PubkeyAcceptedKeyTypes
voor
sshd
evenals van de soortgelijke
optie HostbasedAcceptedKeyTypes
is gewijzigd. Deze
specificeren nu ondertekeningsalgoritmes die worden geaccepteerd voor hun
respectieve authenticatiemechanismes, waar zij voorheen sleuteltypes
specificeerden. Dit verschil is van belang bij het gebruik van de
RSA/SHA2-ondertekeningsalgoritmes rsa-sha2-256
en
rsa-sha2-512
en hun bijbehorende
certificaten. Configuraties die de opties overschrijven, maar de
algoritmenamen achterwege laten, kunnen onverwachte authenticatiefouten
veroorzaken.
Er is geen actie vereist voor configuraties welke voor deze opties de standaardinstellingen aanvaarden.
Omdat systemd
tijdens het opstarten
entropie nodig heeft en de kernel dergelijke aanroepen als blokkerende
aanroepen behandelt wanneer de beschikbare entropie laag is, kan het systeem
minuten tot uren lang blijven hangen tot het deelsysteem met willekeurige
gegevens voldoende geïnitialiseerd is (random: crng init
done
). Voor amd64
-systemen die de instructie
RDRAND
ondersteunen, wordt dit probleem vermeden, omdat
de Debian kernel deze instructie standaard gebruikt
(CONFIG_RANDOM_TRUST_CPU
).
Niet-amd64
-systemen en bepaalde types virtuele machines
moeten een andere bron van entropie voorzien om snel te blijven
opstarten. In het project voor het Debian installatiesysteem werd voor dit
doel gekozen voor haveged
en als er
op het systeem geen hardware-entropie beschikbaar is, kan dit een valabele
oplossing zijn. Denk voor virtuele machines eventueel aan het doorsturen van
entropie naar de virtuele machines via virtio_rng
.
Indien u dit leest nadat u vanop afstand een systeem heeft opgewaardeerd naar buster, doet u er goed aan het systeem voortdurend over het netwerk te pingen, omdat dit entropie toevoegt aan de pot willekeurige gegevens en uiteindelijk zal het systeem opnieuw bereikbaar worden via ssh.
Zie de wiki en het door DLange gemaakte overzicht van het probleem voor andere opties.
Indien uw systeem opgewaardeerd werd van een vroegere release en nog steeds
gebruik maakt van de oude benaming voor netwerkinterfaces (zoals
eth0
of wlan0
), die sinds Stretch
verouderd zijn, moet u zich ervan bewust zijn dat udev
in Buster officieel niet langer
ondersteuning biedt voor het herdefiniëren van deze namen via
/etc/udev/rules.d/70-persistent-net.rules
(hoewel het
in sommige gevallen nog steeds kan werken). Om te voorkomen dat uw machine
het gevaar loopt zijn netwerkfunctie te verliezen na de opwaardering naar
Buster, wordt aangeraden om vooraf over te schakelen naar het nieuwe
naamgevingsschema (dit houdt gewoonlijk namen in zoals
enp0s1
en wlp2s5
, die PCI-bus- en
slot-nummers bevatten). Zorg er ook voor om alle interfacenamen bij te
werken welke mogelijk vermeld staan in de configuratie van een firewall, van
ifupdown
, enzovoort.
The alternative is to switch to a supported mechanism for enforcing the old
naming scheme, such as a systemd .link
file (see systemd.link(5)). The
net.ifnames=0
kernel commandline option might also work
for systems with only one network interface (of a given type).
Om de naam nieuwe-stijl te kennen die gebruikt zullen worden, moet u eerst de huidige namen vinden van de betrokken interfaces:
$ echo /sys/class/net/[ew]*
Controleer voor elk van deze namen of deze gebruikt wordt in
configuratiebestanden en welke naam udev
er bij voorkeur voor gebruikt:
$ sudo rgrep -weth0
/etc $ udevadm test-builtin net_id /sys/class/net/eth0
2>/dev/null
This should give enough information to devise a migration plan. (If the
udevadm
output includes an “onboard” or
“slot” name, that takes priority; MAC-based names are normally
treated as a fallback, but may be needed for USB network hardware.)
Zodra u klaar bent om de omschakeling uit te voeren, moet u
70-persistent-net.rules
deactiveren door dit ofwel te
hernoemen of door afzonderlijke regels erin uit te commentariëren. Op
virtuele machines zult u de bestanden
/etc/systemd/network/99-default.link
en (als u virtio
netwerkapparaten gebruikt)
/etc/systemd/network/50-virtio-kernel-names.link
moeten
verwijderen. Daarna moet u initrd
opnieuw bouwen:
$ sudo update-initramfs -u
en opnieuw opstarten. Daarna zou uw systeem over de netwerkinterfacenamen nieuwe-stijl moeten beschikken. Pas eventueel resterende configuratiebestanden aan en test uw systeem uit.
See the wiki, upstream
documentation, and the udev
README.Debian
for further information.
Systemen die gebruik maken van kanaalbinding (channel bonding) en/of
dummy-interfaces, bijvoorbeeld om een machine als router te configureren,
kunnen problemen ondervinden om naar buster op te waarderen. Recente versies
van systemd
installeren een bestand
/lib/modprobe.d/systemd.conf
(bedoeld om de
configuratie via systemd-networkd te vereenvoudigen)
waarin volgende regels voorkomen:
options bonding max_bonds=0 options dummy numdummies=0
Systeembeheerders die van andere waarden afhankelijk zijn, zullen er moeten
voor zorgen dat ze op de correcte wijze ingesteld zijn om voorrang te
krijgen. Een bestand in /etc/modprobe.d
zal een bestand
met dezelfde naam onder /lib/modprobe.d
overschrijven,
maar de namen worden in alfabetische volgorde verwerkt, zodat
/lib/modprobe.d/systemd.conf
na (bijvoorbeeld)
/etc/modprobe.d/dummy.conf
komt en dat
overschrijft. Zorg ervoor dat elk lokaal configuratiebestand een naam heeft
die alfabetisch na “systemd.conf
” komt,
zoals “/etc/modprobe.d/zz-local.conf
”.
In navolging van verschillende veiligheidsaanbevelingen, werd de standaard minimumversie van TLS opgetrokken van TLSv1 naar TLSv1.2.
Ook het standaard beveiligingsniveau van TLS-verbindingen werd verhoogd van niveau 1 naar niveau 2. Dit betekent een verschuiving van het 80-bits beveiligingsniveau naar het 112-bits beveiligingsniveau en vereist 2048-bits of grotere RSA- en DHE-sleutels, 224-bits of grotere ECC-sleutels, en SHA-2.
De instellingen voor het hele systeem kunnen gewijzigd worden in
/etc/ssl/openssl.cnf
. Toepassingen kunnen ook een
toepassingsspecifieke manier gebruiken om de standaardinstellingen aan te
passen.
In de standaardversie van het bestand
/etc/ssl/openssl.cnf
is er een regel met
MinProtocol
en een regel met
CipherString
. Met de regel
CipherString
kan ook het beveiligingsniveau ingesteld
worden. Informatie over beveiligingsniveaus is te vinden in de man-pagina
SSL_CTX_set_security_level(3ssl).
De lijst van geldige tekenreeksen voor de minimum protocolversie is te
vinden in SSL_CONF_cmd(3ssl). Andere
informatie is te vinden in ciphers(1ssl) en in config(5ssl).
De standaardinstellingen voor het hele systeem in
/etc/ssl/openssl.cnf
terugzetten naar hun vroegere
waarden kan gebeuren door het instellen van:
MinProtocol = None CipherString = DEFAULT
Het wordt aanbevolen om de externe site te contacteren als de standaardinstellingen voor problemen zorgen.
In Buster heeft GNOME zijn standaard grafische server gewijzigd van Xorg
naar Wayland (zie Paragraaf 2.2.11, “GNOME heeft Wayland als standaard”). Sommige
toepassingen, waaronder het populaire programma voor pakketbeheer
synaptic
, de standaard invoermethode
voor het Vereenvoudigd Chinees, fcitx
en de meeste toepassingen voor
schermopname, zijn echter niet opgewaardeerd om behoorlijk te werken met
Wayland. Om deze pakketten te kunnen gebruiken moet men inloggen bij een
sessie GNOME op Xorg
.
Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).
Tot de uitgefaseerde pakketten behoren:
Het pakket mcelog
wordt niet langer
ondersteund door kernels met een hogere versie dan 4.12. rasdaemon
kan als vervanging gebruikt worden.
Het pakket revelation
, dat gebruikt
wordt om wachtwoorden op te slaan, is niet opgenomen in buster.
keepass2
kan middels een XML-bestand
de wachtwoorden importeren die eerder door revelation
geëxporteerd werden. Zorg ervoor de
gegevens van revelation te exporteren voordat u de opwaardering uitvoert, om
te voorkomen dat u de toegang tot uw wachtwoorden verliest.
ipsec-tools
en racoon
werden uit buster verwijderd, omdat de
broncode ervan achtergebleven is met het zich aanpassen aan nieuwe
bedreigingen.
Gebruikers wordt aangeraden om over te schakelen op libreswan
, dat een bredere
protocolcompatibiliteit heeft en dat door actief onderhouden wordt door zijn
ontwikkelaar.
libreswan
zou volledig compatibel
moeten zijn in termen van communicatieprotocollen omdat het een uitbreiding
biedt van de door racoon
onderdteunde protocollen.
De eenvoudige MTA ssmtp
werd
weggelaten uit buster. De reden ervoor is dat het TLS-certificaten
momenteel niet valideert. Zie bug
#662960.
Het pakket ecryptfs-utils
maakt geen
deel uit van Buster door een niet gerepareerde ernstige bug (#765854). Toen deze paragraaf geschreven werd,
was er geen duidelijk advies beschikbaar voor gebruikers van eCryptfs,
tenzij niet opwaarderen.
Met de volgende uitgave van Debian 11 (codenaam bullseye) zullen sommige functionaliteiten verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 11.
Daaronder vallen de volgende functionaliteiten:
Python 2 zal door de ontwikkelaars ervan na 1 januari 2020 niet
langer ondersteund worden. Debian hoopt python-2.7
te kunnen weglaten uit Debian
11. Gebruikers die functionaliteit nodig hebben die op
python steunt, moeten zich voorbereiden op een
overschakeling naar python3.
Voor de ontwikkelaars ervan heeft Icinga 1.x op 31-12-2018 het einde van
zijn ondersteuning bereikt. Hoewel het pakket icinga
nog steeds aanwezig is, zouden gebruikers
de Stable-levensfase van Buster moeten gebruiken om over te schakelen naar
Icinga 2 (pakket icinga2
) en Icinga
Web 2 (pakket icingaweb2
). Het
pakket icinga2-classicui
is nog
steeds aanwezig om de CGI-webinterface van Icinga 1.x te gebruiken met
Icinga 2, maar in Icinga 2.11 zal ondersteuning ervoor weggelaten worden. In
plaats daarvan moet Icinga Web 2 gebruikt worden.
Versie 3 van de mailinglijstbeheersuite Mailman is nieuw in deze
release. Mailman werd in verschillende componenten opgesplitst. De
kernfunctionaliteiten zijn te vinden in het pakket mailman3
en de volledige suite kan geïnstalleerd
worden met het metapakket mailman3-full
.
De verouderde versie 2.1 van Mailman blijft beschikbaar in deze release
middels het pakket mailman
. Hierdoor
hoeft u bestaande installaties pas te vervangen als u daarvoor een keer de
tijd heeft. In de nabije toekomst zal het pakket met Mailman 2.1 in goede
staat behouden blijven, maar er zullen geen belangrijke wijzigingen of
verbeteringen meer aangebracht worden. Het pakket zal weggelaten worden uit
de eerstvolgende stabiele release van Debian, welke plaats vindt nadat de
ontwikkelaars van Mailman de ondersteuning voor deze versie hebben
beëindigd.
Iedereen wordt aangeraden op te waarderen naar Mailman 3, de moderne release die actief ontwikkeld wordt.
De pakketten spf-milter-python
en
dkim-milter-python
worden niet
langer actief ontwikkeld door hun ontwikkelaars, maar de vervangende
pakketten pyspf-milter
en
dkimpy-milter
, die meer
mogelijkheden bieden, zijn beschikbaar in Buster. Gebruikers zouden moeten
overschakelen op de nieuwe pakketten voordat de oude pakketten bij de
release van Bullseye verwijderd worden.
Wanneer apt full-upgrade
beëindigd is, is de opwaardering
“formeel” afgerond. Bij de opwaardering naar buster zijn
er geen speciale acties meer nodig voordat u de computer herstart.
![]() | Opmerking |
---|---|
Dit gedeelte is niet van toepassing indien u ervoor koos om sysvinit-core te blijven gebruiken. |
Na de overschakeling op systemd als standaard init-systeem in Jessie en de verbetering daarvan in Stretch, zijn verscheidene aan SysV gerelateerde pakketten niet langer vereist en zij kunnen nu veilig verwijderd worden met
apt purge initscripts sysv-rc insserv startpar
Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.
![]() | Opmerking |
---|---|
Het pakket |
Debian 10 bevat verscheidene browser-engines die te maken hebben met
een gestage stroom van veiligheidsproblemen. De hoge frequentie van
kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning
in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en
hun engines te ondersteunen met beveiligingsoplossingen die aan nieuwere
versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken
maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies
op te waarderen. Daarom zijn bijvoorbeeld browsers die gebouwd zijn bovenop
de engines WebKit en KHTML[6] wel
opgenomen in buster maar niet gedekt door de
beveiligingsondersteuning. Met deze browsers zou u geen onbetrouwbare
websites moeten bezoeken. Het broncodepakket webkit2gtk
wordt wel gedekt door de
beveiligingsondersteuning.
Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.
De infrastructuur van Debian maakt het momenteel niet mogelijk om op een passende manier pakketten opnieuw te compileren die op grote schaal delen van andere pakketten statisch linken. Tot Buster stelde dat in de praktijk geen problemen, maar door het groeiend Go-ecosysteem wil dit zeggen dat op Go gebaseerde pakketten niet gedekt zullen worden door de reguliere beveiligingsondersteuning, totdat de infrastructuur zodanig verbeterd werd dat dit op een haalbare manier kan gebeuren.
Als updates gerechtvaardigd zijn, kunnen die er enkel komen via een gewone tussenrelease, wat tijd in beslag kan nemen.
In de meeste gevallen kunnen pakketten probleemloos opgewaardeerd worden van stretch naar buster. In een klein aantal gevallen kan enige tussenkomst nodig zijn, voor of tijdens het opwaarderingsproces. Hierna wordt dit per pakket besproken.
Vanaf versie 2.26 van glibc
is
Linux-kernel 3.2 of een recentere versie vereist. Om te vermijden dat een
systeem helemaal defect raakt, voert het script preinst van libc6
een controle uit. Als die mislukt zal de
installatie van het pakket afgebroken worden, waardoor de opwaardering
onafgewerkt zal blijven. Indien het systeem een oudere kernel dan versie 3.2
gebruikt, moet u die opwaarderen voordat u begint met het opwaarderen van de
distributie.
De semantiek van su
is gewijzigd in buster. Ook
worden de gebruikersomgevingsvariabelen DISPLAY
en
XAUTHORITY
van su
niet langer
behouden. Als het nodig is grafische toepassingen uit te voeren met
su
, dan moet u deze omgevingsvariabelen expliciet
instellen om toegang te verlenen tot uw scherm. Zie bug #905409 voor een uitvoerige bespreking.
Bij het opwaarderen van Stretch naar Buster worden de taaldefinitiegegevens
van glibc
bijgewerkt. In het
bijzonder wijzigt dit de wijze waarop PostgreSQL in tekstindexen gegevens
sorteert. Om gegevensbeschadiging te vermijden, moeten deze indexen
onmiddellijk opnieuw geïndexeerd worden (met REINDEX
) na
het opwaarderen van het pakket locales
of het pakket locales-all
en voor u de databank weer in
gebruik neemt.
Voorgesteld commando:
sudo -u postgres reindexdb --all
Een alternatief is de databanken opwaarderen naar PostgreSQL 11 met
pg_upgradecluster. (Dit maakt standaard gebruik van
pg_dump dat alle indexen opnieuw opbouwt. Gebruik maken
van -m upgrade
of pg_upgrade is
niet veilig, omdat dit de voortaan foute indexeordening
behoudt.)
Raadpleeg de PostgreSQL Wiki voor meer informatie.
In stretch werden in het pakket mutt
patches toegepast die afkomstig waren uit de broncode van https://neomutt.org. Met ingang van buster
is het pakket dat /usr/bin/mutt
ter beschikking stelt,
zuiver gebaseerd op de originele broncode van http://www.mutt.org en een apart pakket
neomutt
biedt
/usr/bin/neomutt
aan.
Dit betekent dat bepaalde functionaliteit die vroeger beschikbaar was in
mutt
, dat nu niet meer is. Indien
dit uw configuratie onklaar maakt, kunt u in de plaats daarvan neomutt
installeren.
Zonder muis is er geen rechtstreekse manier om instellingen te wijzigen in
de app GNOME-Instellingen (GNOME Settings) die beschikbaar gesteld wordt
door gnome-control-center
. Als
mogelijke oplossing kunt u navigeren van de zijbalk naar de hoofdinhoud door
tweemaal op de Rechterpijltoets te drukken. Om naar de
zijbalk terug te keren, kunt u een zoekbewerking starten met Ctrl+F, iets
intypen en dan op Esc drukken om de zoekbewerking af te
breken. Nu kunt u gebruik maken van Pijl omhoog en
Pijl omlaag om in de zijbalk te navigeren. Het is niet
mogelijk om met het toetsenbord zoekresultaten te selecteren.
Users of the initial buster release images should not change the LUKS
password of encrypted disks with the GNOME graphical interface for disk
management. The gnome-disk-utility
package in buster had a very nasty bug
(#928893) when used to change the LUKS password: it deleted the old
password but failed to correctly set the new one, making all data on the
disk inaccessible. This has been fixed in the first point release.
Gebruikers die evolution
gebruiken
als e-mailprogramma en die met de plug-in evolution-ews
verbinding maken met een server
die Exchange, Office365 of Outlook gebruikt, zouden niet mogen opwaarderen
naar buster zonder vooraf een reservekopie te maken van hun gegevens en een
alternatieve oplossing te zoeken, vermits men evolution-ews laten vallen
heeft omwille van bug #926712. Hun
Postvakken In, kalender, contactlijsten en taken zullen verwijderd worden en
niet langer toegankelijk zijn met Evolution.
The evolution-ews
package has been
reintroduced via buster-backports. Users upgrading from stretch to buster
can enable buster-backports after the upgrade and then they will be able to
reinstall evolution-ews
.
Indien u Debian installeert van live-media met het installatieprogramma Calamares (Paragraaf 2.2.13, “Nieuws van het Debian Live team”) en kiest voor de functie volledige schijf encrypteren, wordt de sleutel om de schijf te ontgrendelen opgeslagen in het initramfis waartoe iedereen leestoegang heeft. Dit stelt gebruikers die toegang hebben tot het lokale bestandssysteem, in staat de private sleutel te lezen en zo later opnieuw toegang te krijgen tot het bestandssysteem.
Dit probleem kan omzeild worden door UMASK=0077
toe te
voegen aan
/etc/initramfs-tools/conf.d/initramfs-permissions
en
daarna update-initramfs -u uit te voeren. Dit zal het
initramfs opnieuw aanmaken en ditmaal zonder dat iedereen er leestoegang toe
heeft.
Er is een reparatie van het installatieprogramma gepland (zie bug #931373) en deze zal geüpload worden naar debian-security. In afwachting zouden gebruikers die encryptie op de volledige schijf toepassen, bovenstaande oplossing moeten gebruiken.
When using s3ql
with Amazon S3
buckets, the configuration needs updating for a change in the URL. The new
format is:
s3://<region>/<bucket>/<prefix>
The shipped configurations for /var/log/btmp
and
/var/log/wtmp
have been split from the main
configuration file (/etc/logrotate.conf
) into separate
standalone files (/etc/logrotate.d/btmp
and
/etc/logrotate.d/wtmp
).
If you have modified /etc/logrotate.conf
in this
regard, make sure to re-adjust the two new files to your needs and drop any
references to (b|w)tmp from the main file, since duplicate definitions can
cause errors.
[6] Deze engines worden in een aantal verschillende broncodepakketten
beschikbaar gesteld en de bezorgdheid betreft alle pakketten die ze
beschikbaar stellen. De bezorgdheid betreft ook de render-engines die hier
niet expliciet vermeld worden, met uitzondering van webkit2gtk
.