Kapitel 5. Problemområden att känna till för buster

Användandet av monteringsflaggan hidepid för /proc har kända problem tillsammans med nuvarande version av systemd och anses inte vara en korrekt intällning enligt utvecklagruppen bakom systemd. Användare som har justerat /etc/fstab för att aktivera denna inställning bör avaktivera det före uppgradering. Detta för att säkerställa att inloggningen fortsätter fungera på buster. (På Debians wiki om härdning(engelska) finns en möjlig väg för att aktivera det igen.)

Standardinställningen för ypbind har ändrats. Om du har justerat standardinställningarna kommer inställningsfilen inte automatiskt att justeras från de gamla standardinställningarna till de nya. Säkerställ att YPBINDARGS= i /etc/default/nis inte innehåller -no-dbus. -no-dbus leder till att ypbind inte kan starta och du kan förmodligen inte logga in. Se vidare info i felrapport #906436.

The default behavior of rpcbind has changed to no longer answer remote calls from NIS clients. On NIS servers you will need to add the (Debian-specific) -r flag to the command line options of rpcbind, otherwise users will not be able to log into your NIS client machines. For more info see bug #935492.

Innebörden av intällningarna PubkeyAcceptedKeyTypes och den närliggande HostbasedAcceptedKeyTypes för sshd har ändrats. Dessa listar nu de signatur-algoritmer som accepteras i respektive autentiseringsmekanism. Tidigare angav de vilka nyckeltyper som accepterades. Skillnaden är viktig vid använding av RSA/SHA2-signaturalgoritmer (rsa-sha2-256 och rsa-sha2-512) och deras certifikatmotsvarigheter. Kombinationer av inställningar som överlagrar dessa värden men utelämnar dessa algoritmer kan leda till oväntade autentiseringsfel.

Ingen åtgärd krävs för att ange standardinställningarna för dessa alternativ.

Eftersom systemd behöver entropi vid uppstart och att kärnan anser dessa anrop vara blockerande när entropinivån är låg så kan det upplevas som att systemet hänger sig vid uppstart. Detta kan pågå i allt från minuter till timmar tills undersystemet för slumpmässighet är tillräckligt igångsatt (random: crng initone). För amd64-system som stöder RDRAND-instruktioner har Debians kärna undvikit detta besvär genom att använda dessa instruktioner som standard (CONFIG_RANDOM_TRUST_CPU).

System utöver amd64 och vissa type av virtuella maskiner behöver tillhandahålla en alternativ källa för att bygga entropi för att kunna starta fort. haveged har pekats ut för detta inom projektet som utvecklar Debians installationsmjukvara och bör genom detta vara ett gott alternativ när hårdvaruentropi saknas. För virtuella system bör vidareförmedling av entropi från värdsystem övervägas, exempelvis via virtio_rng.

Om du läser detta efter uppgraderingen av ett fjärrsystem till buster så kan ping-paket skickas till systemet eftersom detta leder till att entropi kan byggas upp snabbare och till slut blir systemet tillgängligt via SSH igen.

Läs mer (på engelska) i wikin och DLanges genomgång av problemet för fler alternativ.

Om ditt system är uppgraderat från en tidigare utgåva och fortfarande använder de äldre namnen på nätverksgränssnitten som fasades ut med stretch (exempelvis eth0 eller wlan0) så är det viktigt att veta att udev i buster inte har stöd för att sätta namn via /etc/udev/rules.d/70-persistent-net.rules (det finns tillfällen då det fungerar att göra så dock). För att undvika risken för att din maskin tappar anslutningen till nätverket efter uppgraderingen till buster rekommenderas att du byter till det nya namnschemat i förväg (innebär vanligen att namnen blir t.ex. enp0s1 eller wlp2s5 - dessa innehåller PCI-buss och slot-nummer). Kontrollera dessutom även inställningar i brandväggar, ifupdown och dylikt.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

För att utröna vilka de nya namnen blir behöver först uvarande namn för gränssnittet bestämmas:

$ echo /sys/class/net/[ew]*
    

För vart och ett av dessa behöver sedan kontrolleras om de används i inställningsfiler samt vad udev hade kallet det.

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

This should give enough information to devise a migration plan. (If the udevadm output includes an ”onboard” or ”slot” name, that takes priority; MAC-based names are normally treated as a fallback, but may be needed for USB network hardware.)

När du är redo att skifta ska 70-persistent-net.rules avaktiveras antingen genom att byta namn på den eller genom att kommentera bort enskilda rader. På virtuella maskiner behöver du radera filerna /etc/systemd/network/99-default.link och (om du använder virtio-baserade nätverksenheter) /etc/systemd/network/50-virtio-kernel-names.link. Bygg sedan om initrd:

$ sudo update-initramfs -u
    

och starta om. Ditt system ska nu ha den nya typen av namn på nätverksgränssnitten. Justera övriga kvarvarande inställningsfiler och testa av ditt system.

See the wiki, upstream documentation, and the udev README.Debian for further information.

System som använder kanalsammanslagning (channel bonding) eller dummy-gränssnitt, exemplevis för att använda maskinen som en router, kan stöta på besvär med uppgraderingen till buster. Nya versioner av systemd installerar en fil /lib/modprobe.d/systemd.conf (vars syfte är att förenkla inställningarna via systemd-networkd) som ser ut på följande sätt

 options bonding max_bonds=0
 options dummy numdummies=0
    

Systemadminstratörer som förlitar sig på andra värden behöver tillse att de är korrekt installerade. En fil i /etc/modprobe.d har företräde över en fil med samma namn i /lib/modprobe.d men filerna läses in i alfabetisk ordning. Detta innebär att /lib/modprobe.d/systemd.conf följer och skriver över (exempelvis) värden satta i /etc/modprobe.d/dummy.conf. Säkerställ att eventuella lokala förändringar sparas i en fil med ett namn som sorterar efter ”systemd.conf”, exempelvis på formen ”/etc/modprobe.d/zz-lokal.conf”.

I samklang med olika säkerhetsrekommendationer är lägsta TLS-versionen ändrad från TLSv1 till TLSv1.2 som standard.

Säkerhetsnivån för TLS-asnlutningar har också äkats från nivå 1 till nivå 2 som standard. Detta innebär en flytt från 80 bitars säkerhetsnivå till 112 bitars säkerhetsnivå och kommer att kräva 2048 bitar eller mer för RSA- och DHE-nycklar, 224 bitar eller mer för för ECC-nyklar och SHA-2.

Systemets inställning kan justeras i /etc/ssl/openssl.cnf. Enskilda applikationer kan ändå ha egna sätt att justera inställningarna så att det skiljer sig från standardinställningen.

Standardinställningarna i /etc/ssl/openssl.cnf har rader för MinProtocol och CipherString. Just CipherString kan användas för att sätta säkerhetsnivå. Information om säkerhetsnivå kan hittas i manualsidan SSL_CTX_set_security_level(3ssl) (engelska). Listan med tillåtna strängar för lägsta protokollversion kan hittas i manualsidan SSL_CONF_cmd(3ssl) (engelska). Övrig information finns på sidorna ciphers(1ssl) och config(5ssl).

Att återställa systemets standardinställning kan göras genom att sätta följande värden:

        MinProtocol = None
        CipherString = DEFAULT
      

Rekommendationen är förstås att du kontaktar fjärrsystemets ägare om standardinställningen inte fungerar ihop med det systemet.

Gnome på buster har bytt standardhantering för uppritningen till skärm från Xorg till Wayland (läs mer i Avsnitt 2.2.11, ”Gnome använder Wayland som standard”). Vissa applikationer, inklusive den populära pakethanteraren synaptic, standardhanteringen för förenklad kinesisk skriftmetod, fcitx och de flesta skärminspelningsapplikationer, har inte uppdaterats så att de fungerar fullt ut med Wayland. För att dessa ska fungera krävs att sessionen startas specifik med GNOME på Xorg.

Detta är en lista med kända föråldrade paket (läs mer i Avsnitt 4.8, ”Föråldrade paket” för en beskrivning).

Listan med föråldrade paket inkluderar:

Med nästa utgåva av Debian 11 (kodnamn bullseye) kommer några funktioner fasas ut. Användare behöver flytta till alternativ för att förhindra besvär vid uppgradering till 11.

Inklusive följande:

När apt full-upgrade är klar innebär detta att den ”formella” uppgraderingen är klar . För uppgraderingen till buster finns inga speciella åtgärder som måste genomföras före nästa omstart.

	Notera
	Dett avsnitt gäller inte om du valt att stanna kvar på sysvinit-core.

I och med skiftet till systemd som standardsystem för initialisering av systemet i Jessie och vidareutvecklingen i Stretch så behövs inte vissa SysV-relaterade paket längre. Dessa kan tas bort utan komplkationer med

apt purge initscripts sysv-rc insserv startpar

Debian 10 innehåller flera webbläsarmotorer som påverkas av en strid ström av säkerhetshål. Den stora mängden fel och den partiella bristen på stöd från utgivare i form av långsiktiga utvecklingsgrenar gör det mycket svårt att ha stöd för dessa webbläsare och motorer med bakåtporterade säkerhetslagningar. Dessutom gör biblioteksberoenden det extremt svårt att uppdatera dessa till nyare versioner. Webbläsare utvecklade på webkit, och khtml-motorerna^[6] ingår i buster men täcks inte av säkerhetsstödet. Dessa webbläsare ska inte användas tillsammans med webbplatser du inte litar på. Källkodspaketet webkit2gtk täcks dock av säkerhetsstödet.

För vanlig webbsurf rekommenderar vi Firefox eller Chromium. De kommer att hållas uppdaterade och byggs från aktuell ESR-utgåva för Debian stable. Samma strategi gäller Thunderbird.

Debians infrastruktur kan inte korrekt aktivera stöd för att bygga om paket som statiskt länkar delar av andra paket i en större skala. Före buster har detta inte varit ett besvär men i och med den ökande populäriteten för Go som systemmiljö betyder detta att Go-baserade paket inte kan inkluderas i det vanliga säkerhetsstödet innan infrastrukturen hr uppdaterats för att paketen ska kunna hanteras smart.

De uppdateringar som krävs kan bara levereras via vanliga punktutgåvor vilket kan vara för långsamt.

I och med glibc 2.26 behövs Linux version 3.2 eller senare. För att undvika att helt trasa sönder systemet kontrollerar förinstallationssteget för libc6 systemet. Om detta misslyckas kommer paketinstallationen att avbrytas vilket innebär att uppgraderingen lämnas ofärdig. Om kärnan som kör är äldre än 3.2 ska den uppdateras före distributionen uppgraderas.

su i buster för inte längre över miljöariablerna DISPLAY och XAUTHORITY. Om du behöver köra grafiska applikationer med su så måste dessa flaggor sättas explicit för att kunna komma åt din skärm. Läs me (på engelska) i felrapport #905409 för en längre diksussion om detta.

Vid uppdateringen från stretch till buster så justeras paketet glibc så att vissa lokalanpassningar uppdateras. Detta påverkar hur PostgreSQL sorterar in data i textindex. För att undvika alvarliga problem så behöver dessa index omläsas direkt efter uppgraderingen av paketet locales eller locales-all innan databasen tas i bruk igen.

Kommandoförslag:

sudo -u postgres reindexdb --all

Alternativt uppgradera databasen till PostgreSQL 11 genom kommandot pg_upgradecluster. (Detta använder pg_dump som standard vilket kommer resultera i omlästa indexet. Att använda -m upgrade eller pg_upgrade är inte rekommderat eftersom det innebär att den numera felaktiga sorteringen kommer användas..

Läs mer i PostgreSQL Wiki för mer information.

I stretch hade mutt lokala ändringar från https://neomutt.org applicerade på källkoden. I och med buster så kommer paketet som tillhandahåller /usr/bin/mutt helt och hållet att baseras på källkod från http://www.mutt.org och ett eget paket kallet neomutt tillhandahåller /usr/bin/neomutt.

Detta innebär att vissa funktioner som förr tillhandahölls av mutt inte längre finns tillgängliga. Om detta inte fungerar för dig kan du använda neomutt istället.

Utan ett pekdon är det inte möjligt att manipulera inställningar i Gnomes inställningsapplikation som tillhandahålls av gnome-control-center. Som en väg runt detta kan du navigera från sidomenyn till det huvudsakliga innehållet genom att trycka pil höger två gånger. För att komma tillbaka till sidomenyn är snabbaste lösningen att öppna en sökning med Ctrl+F och skriva något för att sedan avbryta sökningen med Esc. Nu kan pil uppåt och pil nedåt användas för att hoppa i sidomenyn. Det är inte möjligt att välja ett sökresultat med tangentbordet.

Users of the initial buster release images should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster had a very nasty bug (#928893) when used to change the LUKS password: it deleted the old password but failed to correctly set the new one, making all data on the disk inaccessible. This has been fixed in the first point release.

De användare som använder evolution som deras e-post-applikation och ansluter till en server som kör Exchange, Office365 eller Outlook tillsammans med insticket evolution-ews bör inte uppgradera till buster utan att ta en säkerhetskopia på sin data och hitta en alternativ lösning på förhand eftersom evolution-ews har tagits bort på grund av felrapport #926712. E-post-korgar, kalendrar, kotaktlistor och uppgifter kommer att tas bort och inte längre vara tillgängliga i Evolution.

The evolution-ews package has been reintroduced via buster-backports. Users upgrading from stretch to buster can enable buster-backports after the upgrade and then they will be able to reinstall evolution-ews.

När Debian installeras från live-avbildningen med hjälp av Calamares (Avsnitt 2.2.13, ”Nyheter från Debian Live”) och funktionen att kryptera hela disken används så kommer nyckeln för att låsa upp diskkrypteringen att sparas i initramfs som är läsbar av alla. Detta innebär att användare med tillgång till det lokala filsystemet kan läsa den privata nyckeln och på detta sätt få tillgång till filsystemet i framtiden.

Detta kan lösas genom att lägga till UMASK=0077 i /etc/initramfs-tools/conf.d/initramfs-permissions och sedan köra update-initramfs -u. Detta återskapar initramfs men ger inte alla och envar tillgång till att läsa den.

En korrigering för installeraren håller på att ta form (läs mer i felrapport #931373 (engelska)) och kommer att distribueras genom debian-security. Tills detta är löst bör användare av kryptering av hela disken använda ovanstående justering.

When using s3ql with Amazon S3 buckets, the configuration needs updating for a change in the URL. The new format is:

s3://<region>/<bucket>/<prefix>

The shipped configurations for /var/log/btmp and /var/log/wtmp have been split from the main configuration file (/etc/logrotate.conf) into separate standalone files (/etc/logrotate.d/btmp and /etc/logrotate.d/wtmp).

If you have modified /etc/logrotate.conf in this regard, make sure to re-adjust the two new files to your needs and drop any references to (b|w)tmp from the main file, since duplicate definitions can cause errors.