Κεφάλαιο 5. Ζητήματα που θα πρέπει να έχετε υπόψιν για την έκδοση bullseye

Η υποστήριξη για τις επιλογές προσάρτησης κατατμήσεων barrier και nobarrier για το σύστημα αρχείων XFS έχει αφαιρεθεί. Συνιστάται να ελέγξετε το αρχείο /etc/fstab για την παρουσία οποιασδήποτε από αυτές τις δυο λέξεις κλειδιά και αφαιρέστε τις. Η προσάρτηση των κατατμήσεων που χρησιμοποιούν αυτές τις επιλογές θα αποτύχει.

Για την έκδοση bullseye, η σουίτα πακέτων security ονομάζεται τώρα bullseye-security αντί codename/updates και οι χρήστες θα πρέπει να προσαρμόσουν κατάλληλα τα αρχείο των πηγών του APT κατά την αναβάθμιση.

Η γραμμή για την αρχειοθήκη security στις ρυθμίσεις του APT μπορεί να μοιάζει έτσι:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Αν οι ρυθμίσεις του APT περιλαμβάνουν επίσης pinning ή την επιλογή APT::Default-Release, είναι πιθανόν να απαιτήσουν προσαρμογές καθώς το κωδικό όνομα της αρχειοθήκης ασφαλείας δεν ταιριάζει πλέον το συνηθισμένο. Ένα παράδειγμα μιας λειτουργικής γραμμής APT::Default-Release για την έκδοση bullseye μοιάζε ως εξής:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

το οποίο αξιοποιεί το πλεονέκτημα του μη τεκμηριωμένου γνωρίσματος του APT που υποστηρίζει regular expressions (κάτω από το /).

Ο προεπιλεγμένος αλγόριθμος κατακερματισμού (hash) του συνθηματικού χρήστη για τους τοπικούς λογαριασμούς στο σύστημα έχει αλλάξει από SHA-512 σε yescrypt (δείτε τη σελίδα εγχειριδίου crypt(5)). Αυτό αναμένεται να προσφέρει βελτιωμένη ασφάλεια απέναντι στις επιθέσεις πρόβλεψης των συνθηματικών τύπου "λεξικού", σε όρους πολυπλοκότητας τόσο του χώρου όσο και του χρόνου της επίθεσης.

Για να επωφεληθείτε από αυτή τη βελτιωμένη ασφάλεια, αλλάξτε τα τοπικά συνθηματικά· για παράδειγμα, χρησιμοποιήστε την εντολή passwd.

Παλιά συνθηματικά θα συνεχίσουν να δουλεύουν χρησιμοποιώντας οποιοδήποτε hash συνθηματικού χρησιμοποιήθηκε για τη δημιουργία τους.

Ο αλγόριθμος yescrypt δεν υποστηρίζεται από το Debian 10 (buster). Ως αποτέλεσμα, αρχεία shadow password (/etc/shadow) δεν μπορούν να αντιγραφούν από ένα σύστημα bullseye σε ένα σύστημα buster. Αν αυτά τα αρχεία αντιγρφούν, κωδικοί που έχουν αλλάξει στο σύστημα bullseye δεν θα δουλέψουν στο σύστημα buster. Παρόμοια, hashes κωδικών δεν μπορούν να γίνουν cut&paste από ένα σύστημαbullseye σε ένα σύστημα buster.

Αν απαιτείται συμβατότητα για τους αλγορίθμους κατακερματισμού (hash) των συνθηματικών μεταξύ των εκδόσεων bullseye και buster, τροποποιείστε το /etc/pam.d/common-password. Βρείτε τη γραμμή που μοιάζει σαν αυτήν:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

και αντικαταστήστε το yescrypt με sha512.

Η υποστήριξη για τα NSS NIS και NIS+ έχει μετακινηθεί σε ξεχωριστά πακέτα με τα ονόματα libnss-nis και libnss-nisplus. Δυστυχώς, η glibc δεν μπορεί να εξαρτάται από αυτά τα πακέτα, οπότε προς το παρόν είναι απλά συνιστώμενα.

Σε συστήματα που χρησιμοποιούν NIS ή NIS+, συνιστάται λοιπόν να ελέγξετε αν αυτά τα πακέτα είναι σωστά εγκατεστημένα μετά την αναβάθμιση.

Ο αναλυτής (resolver) DNS unbound έχει αλλάξει τον τρόπο με τον οποίο χειρίζεται κομμάτια αρχείων ρυθμίσεων. Αν στηρίζεστε σε μια ντιρεκτίβα include: για να ενώσετε αρκετά κομμάτια σε ένα έγκυρο αρχείο ρυθμίσεων, θα πρέπει να διαβάσετε το αρχείο NEWS.

Οι παράμετροι του rsync --copy-devices και --noatime έχουν μετονομαστεί σε--write-devices και --open-noatime. Η παλιά μορφή τους δεν υποστηρίζεται πλέον· αν τις χρησιμοποιείτε θα πρέπει να δείτε το αρχείο NEWS. Διαδικασίες μεταφοράς αρχείων μεταξύ συστημάτων που τρέχουν διαφορετικές εκδόσεις του Debian ίσως απαιτούν την αναβάθμιση του rsync, στο σύστημα που τρέχει buster, σε μια έκδοση από το αποθετήριο backports.

Η διαχείριση των πρόσθετων για το vim που παρέχονται ιστορικά από το πακέτο vim-scripts, είναι τώρα μέρος τηςλειτουργικότητας του ίδιου του «πακέτου» και όχι από το πακέτο vim-addon-manager. Οι χρήστες του Vim θα πρέπει να προετοιμαστούν πριν την αναβάθμιση ακολουθώντας τις οδηγίες στο αρχείο NEWS.

Το OpenStack Victoria (που κυκλοφόρησε με την έκδοση bullseye) απαιτεί την έκδοση cgroup v1 για το έλεγχο QoS των συσκευών block. Μιας και η έκδοση bullseye αλλάζει περνά επίσης στην εξ ορισμού χρήση του cgroupv2 (δείτε Τμήμα 2.2.4, «Control groups v2»), το δέντρο sysfs στον κατάλογο /sys/fs/cgroup δεν θα περιλαμβάνει γνωρίσματα του cgroup v1 όπως τα /sys/fs/cgroup/blkio, και ως αποτέλεσμα η εντολή cgcreate -g blkio:foo θα αποτύχει. Για κόμβους του OpenStack που τρέχουν nova-compute ή cinder-volume, συνίσταται έντονα η προσθήκη των παραμέτρων systemd.unified_cgroup_hierarchy=false και systemd.legacy_systemd_cgroup_controller=false στη γραμμή εντολών του πυρήνα ώστε να παρακαμφθεί η προεπιλογή και να αποκατασταθεί η παλιά ιεραρχία του cgroup.

Following upstream's recommendations, OpenStack Victoria as released in bullseye switches the OpenStack API to use the new YAML format. As a result, most OpenStack services, including Nova, Glance, and Keystone, appear broken with all of the API policies written explicitly in the policy.json files. Therefore, packages now come with a folder /etc/PROJECT/policy.d containing a file 00_default_policy.yaml, with all of the policies commented out by default.

Για να αποφευχθεί η περίπτωση να παραμείνει ενεργό το παλιό αρχείο policy.json, τα πακέτα του Debian OpenStack μετονομάζουν τώρα το αρχείο αυτό σε disabled.policy.json.old. Σε μερικές περιπτώσεις που δεν μπορούσε να γίνει κάτι καλλίτερο έγκαιρα για την έκδοση, το αρχείο policy.json απλά διαγράφεται. Επομένως, πριν την αναβάθμιση, συνίσταται έντονα να κάνετε ένα αντίγραφο ασφαλείας των αρχείων policy.json των υλοποιήσεών σας.

Περισσότερες πληροφορίες είναι διαθέσιμες στη σελίδα τεκμηρίωση upstream.

Σε αντίθεση με τις συνηθισμένες αναβαθμίσεις στο sendmail, στη διάρκεια της αναβάθμισης από την έκδοση buster στην έκδοση bullseye η υπηρεσία sendmail θα σταματήσει, προκαλώντας μεγαλύτερο χρόνο διακοπής από το συνηθισμένο. Για γενικές συμβουλές σχετικά με τη μείωση του χρόνου διακοπής δείτε τη σελίδα Τμήμα 4.1.3, «Προετοιμαστείτε για χρόνο διακοπής των υπηρεσιών».

Μερικά πακέτα, περιλαμβανομένων των gvfs-fuse, kio-fuse, και sshfs έχουν αλλάξει στην έκδοση FUSE 3. Στη διάρκεια αναβαθμίσεων αυτό θα προκαλέσει την εγκατάσταση του πακέτου fuse3 και την αφαίρεση του πακέτου fuse .

Σε μερικές εξαιρετικές περιπτώσεις, πχ. όταν κάνετε την αναβάθμιση τρέχοντας απλά την εντολή apt-get dist-upgrade αντί των συνιστώμενων βημάτων από το κεφάλαιο Κεφάλαιο 4, Αναβαθμίσεις από την έκδοση 10 (buster), πακέτα που εξαρτώνται από το πακέτοfuse3 ίσως να μην αναβαθμιστούν στη διάρκεια της αναβάθμισης. Εκτελώντας ξανά τα βήματα που συζητιούνται στην ενότητα Τμήμα 4.4.5, «Αναβάθμιση του συστήματος» με το apt της έκδοσης bullseye ή αναβαθμίζοντας τα με το χέρι θα επιλύσει αυτό το πρόβλημα.

Ξεκινώντας με την έκδοση 2.2.27-1, η ανά χρήστη ρύθμιση της σουίτας GnuPG έχει μεταφερθεί πλήρως στο αρχείο ~/.gnupg/gpg.conf, και το αρχείο ~/.gnupg/options δεν χρησιμοποιείται πλέον. Παρακαλούμε μετονομάστε, αν είναι απαραίτητο, το αρχείο ή μεταφέρετε το περιεχόμενό του στην νέα τοποθεσία.

Από την έκδοση του πυρήμα του Linux 5.10, όλοι οι χρήστες επιτρέπεται εξ ορισμού να δημιουργούν user namespaces. Αυτό θα επιτρέψει σε προγράμματα όπως οι φυλλομετρητές ιστοσελίδων και διαχειριστές container να δημιουργούν πιο περιορισμένα περιβάλλοντα δοκιμών (sandbox) για μη έμπιστα ή λιγότερο έμπιστα κομμάτια κώδικα, χωρίς την ανάγκη να τα εκτελούν ως χρήστης root ή να χρησιμοποιούν ένα βοήθημαορισμού setuid-root.

Η προηγούμενη προεπιλογή για το Debian ήταν ο περιορισμός αυτού του γνωρίσματος σε διαδικασίες που εκτελούνται μόνο από τον χρήστη root, γιατί άφηνε περισσότερα προβλήματα ασφαλείας εκτεθειμένα στον πυρήνα. Όμως, καθώς η υλοποίηση αυτού του γνωρίσματος ωρίμασε, έχουμε τώρα την εμπιστοσύνη ότι ο κίνδυνος ενεργοποίησής του υπερκαλύπτεται από τα οφέλη που προσφέρει για την ασφάλεια.

Αν προτιμάτε να διατηρήσετε αυτό το γνώρισμα με περιορισμούς, ορίστε στο sysctl:

user.max_user_namespaces = 0
      

Σημειώστε ότι διάφορα γνωρίσματα σε περιβάλλοντα επιφάνειας εργασίας και container δεν θα δουλεύουν με αυτόν τον περιορισμό σε ισχύ, περιλαμβανομένων περιηγητών ιστοσελίδων, του WebKitGTK, του Flatpak και των μικρογραφιών (thumbnail) του GNOME.

Η επιλογή του sysctl kernel.unprivileged_userns_clone=0 που είναι συγκεκριμένα για το Debian, έχει ένα παρόμοιο αποτέλεσμα, αλλά έχει καταργηθεί.

Από την έκδοση του πυρήνα του Linux 5.10, το Debian απενεργοποιεί εξ ορισμού μη-προνομιούχες κλήσεις στην συνάρτηση bpf(). Ένας διαχειριστής μπορεί, όμως, ακόμα να αλλάξει αυτή την ρύθμιση αργότερα, αν αυτό απαιτείται, θέτοντας την τιμή 0 ή 1 στην παράμετρο kernel.unprivileged_bpf_disabled του sysctl.

Αμ προτιμάτε να διατηρήσετε τις μη προνομιούχες κλήσεις στο bpf(), ορίστε στο sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Για το υπόβαθρο της αλλαγής ως προεπιλογής για το Debian δείτε το σφάλμα bug 990411 για το σχετικό αίτημα.

Το πακέτο redmine δεν διατίθεται στην έκδοση bullseye, καθώς ήταν πολύ αργά για να μεταφερθεί από την παλιά έκδοση του πακέτου rails το οποίο είναι κοντά στην λήξη της upstream υποστήριξης (λαμβάνοντας διορθώσεις μόνο για εξαιρετικά σοβαρά προβλήματα ασφαλείας) στην έκδοση που βρίσκεται στην έκδοση bullseye. Οι Συντηρητές/τριες του Ruby Extrasπαρακολουθούν από κοντά την upstream και θα βγάλουν μια έκδοση μέσω του αποθετηρίου backports από τη στιγμή που θα κυκλοφορήσει και θα έχει λειτουργικά πακέτα. Αν δεν μπορείτε να περιμένετε για αυτό πριν την αναβάθμιση, μπορείτε να χρησιμοποιήσετε μια εικονική μηχανή (VM) ή ένα container που τρέχει την έκδοση buster ώστε να απομονώσετε αυτή την συγκεκριμένη εφαρμογή.

Παρακαλούμε θεωρ´ την έκδοση του Exim στην έκδοση bullseye ως μια μείζονα αναβάθμισή του. Εισάγει την έννοια των αλλοιωμένων (tainted) δεδομένων που διαβάζονται από μη έμπιστες πηγές, όπως πχ. ο αποστολέας ή παραλήπτης ενός μηνύματος. Αυτά τα αλλοιωμένα δεδομένα (πχ. $local_part ή $domain) δεν μπορούν να χρησιμοποιηθούν με άλλα στοιχεία όπως το όνομα ενός αρχείου ή καταλόγου ή το όνομα μιας εντολής.

Αυτό θα χαλάσει ρυθμίσεις που δεν θα έχουν επικαιροποιηθεί ανάλογα. Παλιά αρχεία ρυθμίσεων του Exim στο Debian επίσης δεν θα δουλεύουν χωρίς τροποποιήσεις· οι νέες ρυθμίσεις χρειάζεται να εγκατασταθούν με την συγχώνευση των τοπικών τροποποιήσεων.

Τυπικά μη λειτουργικά παραδείγματα περιλαμβάνουν:

Η βασική στρατηγική διαχείρισης αυτής της αλλαγής είναι να χρησιμοποιήσετε το αποτέλεσμα ενός lookup στην περαιτέρω επεξεργασία αντί της αρχικής (από μακριά παρεχόμενης) τιμής.

Για την διευκόλυνση της αναβάθμισης υπάρχει μια καινούρια κύρια επιλογή ρύθμισης για την προσωρινή υποβάθμιση σφαλμάτων αλλοίωσης σε προειδοποιήσεις, επιτρέποντας στην παλιά ρύθμιση να δουλεύει με την νεώτερη έκδοση του Exim. Για να χρησιμοποιήσετε αυτό το γνώρισμα προσθέστε

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

στις ρυθμίσεις του Exim (πχ. στο αρχείο /etc/exim4/exim4.conf.localmacros) πριν από την αναβάθμιση και ελέγξτε το αρχείο καταγραφής για προειδοποιήσεις σχετικά με tainting. Αυτό είναι μια προσωρινή εναλλακτική που είναι ήδη σημαδεμένη για αφαίρεση στην εισαγωγή.

Εξαιτίας αλλαγών στον πυρήνα του Linux, η διερεύνηση για συσκευές SCSI δεν είναι πλέον ντετερμινιστική. Αυτό θα μπορούσε να είναι πρόβλημα για εγκαταστάσεις που βασίζονται στη σειρά της διερεύνησης των δίσκων. Δυο πιθανές εναλλακτικές που χρησιμοποιούν συνδέσμους στον κατάλογο /dev/disk/by-path ή έναν κανόνα για το udev προτείνονται σε αυτή την δημοσίευση στη λίστα αλληλογραφίας.

Τα δικτυακά πρωτόκολλα των εκδόσεων 1 και 2 του πακέτου rdiff-backup είναι μη συμβατό. Αυτό σημαίνει ότι πρέπει να τρέχετε την ίδια έκδοση (ή 1 ή 2) του rdiff-backup τοπικά και απομακρυσμένα. Αφού η έκδοση buster έρχεται με την έκδοση 1.2.8 ενώ η έκδοση bullseye με την έκδοση 2.0.5, η αναβάθμιση μόνο του τοπικού ή μόνο το απομακρυσμένου συστήματος από την έκδοση buster στην έκδοση bullseye θα καταστρέψει τις εκτελέσεις του rdiff-backup μεταξύ των δύο.

Η έκδοση 2.0.5 του rdiff-backup είναι διαθέσιμη στο αποθετήριο buster-backports, δείτε backports. Αυτό δίνει την δυνατότητα στους χρήστες να αναβαθμίσουν πρώτα μόνο το πακέτο rdiff-backup στα συστήματα με buster, και μετά να αναβαθμίσουν ανεξάρτητα τα συστήματα στην έκδοσηbullseye όποτε αυτό είναι βολικό.

Το πακέτο intel-microcode που υπάρχει αυτή τη στιγμή στην έκδοση bullseye και το αποθετήριο buster-security (δείτε DSA-4934-1) είναι γνωστό ότι περιέχει δυο σημαντικά σφάλματα. Για μερικούς επεξεργαστές CoffeeLake αυτή η αναβάθμιση ενδέχεται να χαλάσει τις δικτυακές διεπαφές που χρησιμοποιούν το firmware-iwlwifi, και για μερικούς επεξεργαστές Skylake R0/D0 on systems που χρησιμοποιούν εξαιρετικά παλιό firmware/BIOS, το σύστημα ίσως "κρεμάσει" κατά την εκκίνηση.

If you held back the update from DSA-4934-1 due to either of these issues, or do not have the security archive enabled, be aware that upgrading to the intel-microcode package in bullseye may cause your system to hang on boot or break iwlwifi. In that case, you can recover by disabling microcode loading on boot; see the instructions in the DSA, which are also in the intel-microcode README.Debian.

Packages that depend on libgc1c2 in buster (e.g. guile-2.2-libs) may be held back during the first full upgrade run to bullseye. Doing a second upgrade normally solves the issue. The background of the issue can be found in bug #988963.

The fail2ban package can be configured to send out e-mail notifications. It does that using mail, which is provided by multiple packages in Debian. A security update (needed on systems that use mail from mailutils) just before the release of bullseye broke this functionality for systems that have mail provided by bsd-mailx. Users of fail2ban in combination with bsd-mailx who wish fail2ban to send out e-mail should either switch to a different provider for mail or manually unapply the upstream commit (which inserted the string "-E 'set escape'" in multiple places under /etc/fail2ban/action.d/).

Although existing Secure Shell (SSH) connections should continue to work through the upgrade as usual, due to unfortunate circumstances the period when new SSH connections cannot be established is longer than usual. If the upgrade is being carried out over an SSH connection which might be interrupted, it's recommended to upgrade openssh-server before upgrading the full system.

Όταν έχει τελειώσει η διαδικασία του apt full-upgrade, η «τυπική» αναβάθμιση είναι πλήρης. Για την αναβάθμιση στην έκδοση bullseye, δεν υπάρχουν άλλες απαραίτητες ειδικές ενέργειες πριν την πραγματοποίηση μιας επανεκκίνησης.

Υπάρχουν μερικά πακέτα για τα οποία το Debian δεν μπορεί να υποσχεθεί να παρέχει μια ελάχιστη έκδοση backport για λόγους ασφαλείας Αυτά τα πακέτα καλύπτονται στις ακόλουθες υποενότητες.

	Σημείωση
	Το πακέτο debian-security-support βοηθά στην ανίχνευση της κατάστασης της υποστήριξης της ασφάλειας των εγκατεστημένων πακέτων.

Without a pointing device, there is no direct way to change settings in the GNOME Settings app provided by gnome-control-center. As a work-around, you can navigate from the sidebar to the main content by pressing the Right Arrow twice. To get back to the sidebar, you can start a search with Ctrl+F, type something, then hit Esc to cancel the search. Now you can use the Up Arrow and Down Arrow to navigate the sidebar. It is not possible to select search results with the keyboard.

With the implementation of sulogin used since buster, booting with the rescue option always requires the root password. If one has not been set, this makes the rescue mode effectively unusable. However it is still possible to boot using the kernel parameter init=/sbin/sulogin --force

To configure systemd to do the equivalent of this whenever it boots into rescue mode (also known as single mode: see systemd(1)), run sudo systemctl edit rescue.service and create a file saying just:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

It might also (or instead) be useful to do this for the emergency.service unit, which is started automatically in the case of certain errors (see systemd.special(7)), or if emergency is added to the kernel command line (e.g. if the system can't be recovered by using the rescue mode).

Για το υπόβαθρο και μια συζήτηση για τις συνέπειες της ασφάλειας δείτε #802211.

Η ακόλουθη είναι μια λίστα γνωστών και σημαντικών παρωχημένων πακέτων (δείτε την ενότητα Τμήμα 4.8, «Παρωχημένα πακέτα» για μια περιγραφή).

Η λίστα των παρωχημένων πακέτων περιλαμβάνει:

Με την επόμενη έκδοση του Debian 12 (με το κωδικό όνομα bookworm) μερικά γνωρίσματα θα καταστούν παρωχημένα. Οι χρήστες θα χρειαστεί να μεταβούν σε άλλες αρχιτεκτονικές για την αποτροπή προβλημάτων κατά την αναβάθμιση στην έκδοση Debian 12.

Αυτό περιλαμβάνει τα ακόλουθα χαρακτηριστικά: