Hoofdstuk 2. Nieuwigheden in Debian 9

De officiële Debian-distributie wordt nu geleverd op 12 tot 14 binaire DVD's (afhankelijk van de architectuur) en 12 broncode-DVD's. Daarnaast is er een multi-architectuur-DVD met een deel van de uitgave voor de architecturen amd64 en i386 samen met de broncode. Debian is ook uitgebracht op images voor Blu-ray (BD) en dubbellagige Blu-ray (DLBD) voor de architecturen amd64 en i386 en ook voor de broncode. Vroeger werd Debian ook uitgegeven in de vorm van een groot aantal CD's voor elk van de architecturen, maar met de release van stretch zijn die weggelaten.

Bij de uitgave van stretch staat de versie van Debian van de GNU GCC 6 compiler standaard ingesteld op het compileren van “positie-onafhankelijke uitvoerbare bestanden” (position independent executables - PIE). Bijgevolg past de overgrote meerderheid van alle uitvoerbare bestanden nu “willekeurige geheugenadrestoewijzing” (address space layout randomization - ASLR) toe, hetgeen soelaas biedt voor een groot aantal types computerinbraken en een omschakeling is van een deterministisch model naar een probabilistisch model.

Debian stretch includes only version 6 of the GNU GCC compiler, which may impact users expecting version 4.x or 5.x to be available. See the GCC5 and GCC6 wiki pages for more information about the transition.

MariaDB is nu de standaard MySQL-variant in Debian en heeft versienummer 10.1. Met ingang van de release van stretch werd een nieuw mechanisme voor de overgang naar een andere standaardvariant geïntroduceerd. Het gebruikt metapakketten die gemaakt worden uit het broncodepakket mysql-defaults. Als u bijvoorbeeld het metapakket default-mysql-server installeert, zal daardoor ook mariadb-server-10.1 geïnstalleerd worden. Bij gebruikers bij wie mysql-server-5.5 of mysql-server-5.6 geïnstalleerd was, zullen die pakketten verwijderd worden en vervangen worden door het MariaDB-equivalent. Op dezelfde manier zal het installeren van default-mysql-client ook de installatie van mariadb-client-10.1 tot gevolg hebben.

Belangrijk

Merk op dat de indeling van de binaire databestanden van de databank niet neerwaarts compatibel is. Dus eens u opgewaardeerd heeft naar MariaDB 10.1 zult u niet meer terug kunnen overschakelen naar een eerdere versie van MariaDB of MySQL, tenzij u over een behoorlijke dump van de databank beschikt. Maak om die reden zeker met een geschikt gereedschap zoals mysqldump een reservekopie van alle belangrijke databanken vooraleer u de opwaardering uitvoert.

De pakketten virtual-mysql-* en default-mysql-* blijven bestaan. Debian blijft MySQL onderhouden in de distributie unstable. Raadpleeg de Wikipagina van het Debian MySQL-team voor actuele informatie over de mysql-gerelateerde software die in Debian aanwezig is.

Sinds de uitgave van jessie werd aan het programma voor pakketbeheer apt een aantal verbeteringen aangebracht. De meeste daarvan gelden ook voor aptitude. Hierna volgt een selectie van enkele in het oog springende elementen daaruit.

Inzake veiligheid verwerpt APT nu standaard zwakke checksums (bijv. SHA1) en het probeert het downloaden uit te voeren als een gewone gebruiker. Raadpleeg Paragraaf 5.3.2.3, “Nieuwe vereisten voor een APT-pakketbron” en Paragraaf 5.3.2.1, “APT haalt nu bestanden op onder een gebruikersnaam die geen privileges geniet (_apt)” voor meer informatie.

Programma's voor pakketbeheer die gebaseerd zijn op APT, kregen ook een aantal verbeteringen waardoor de vervelende waarschuwing “hash-som komt niet overeen” niet meer zal opduiken wanneer apt uitgevoerd wordt op het ogenblik dat de spiegelserver gesynchroniseerd wordt. De toepassingen maken daarvoor gebruik van de nieuwe by-hash-opmaak, waardoor het voor APT mogelijk is metadata-bestanden te downloaden op basis van de hashwaarde van hun inhoud.

Indien u gebruik maakt van pakketbronnen van derde partijen, is het mogelijk dat u nog steeds deze sporadisch voorkomende problemen ervaart als de leverancier niet voorziet in de by-hash-opmaak. Gelieve hen aan te bevelen om deze opmaakaanpassing door te voeren. Een erg korte technische beschrijving is te vinden op de wiki-pagina Repository format description (met een beschrijving van de pakketbronopmaak).

Iets wat wellicht vooral van belang is voor beheerders van spiegelservers: de versie van APT in stretch kan gebruik maken van DNS (SRV)-registers om een HTTP-backend te lokaliseren. Dit is handig omdat men eenvoudig een gewone DNS-naam kan opgeven en backends dan kan beheren via DNS in plaats van gebruik te maken van een omleidingsdienst (“redirector”). Ook de nieuwe Debian spiegelserver die beschreven wordt in Paragraaf 2.2.6, “Nieuwe spiegelserver deb.debian.org”, maakt van deze functionaliteit gebruik.

Debian biedt nu een nieuwe extra dienst aan, deb.debian.org. Hij maakt de inhoud van het hoofdarchief, het archief van beveiligingsbijwerkingen, de archieven voor specifieke architecturen en zelfs ook het nieuwe debug-archief (zie Paragraaf 2.2.8, “Een nieuw archief voor debug-symbolen”) toegankelijk via één enkele eenvoudig te onthouden computernaam.

Deze dienst is gebouwd op de nieuwe DNS-ondersteuning in APT, maar valt voor HTTPS-toegang of bij oudere versies van APT terug op het gewone omleidingsmechanisme. Meer informatie is te vinden op deb.debian.org.

Onze dank gaat uit naar Fastly en CloudFront van Amazon voor het sponsoren van de CDN-backends die achter deze dienst zitten.

De uitgave van stretch is de eerste versie van Debian die in het pakket gnupg de “moderne” tak van GnuPG opneemt. Zij brengt elliptische-kromme-cryptografie, betere standaardwaarden, een meer modulaire architectuur en verbeterde chipkaart-ondersteuning. Deze moderne tak biedt ook expliciet geen ondersteuning voor enkele oudere indelingen waarvan geweten is dat ze niet deugdelijk zijn (zoals PGPv3). Zie /usr/share/doc/gnupg/README.Debian voor meer informatie.

We zullen de “klassieke” tak van GnuPG blijven aanbieden als gnupg1 voor mensen die deze nodig hebben, maar die tak wordt nu als achterhaald beschouwd.

	Opmerking
	Deze paragraaf is hoofdzakelijk van belang voor ontwikkelaars of in het geval u een volledige doordruk van de stack (stack trace) wilt toevoegen aan een crash-rapport.

Vroeger bevatte het hoofdarchief van Debian ook pakketten met debug-symbolen voor bepaalde bibliotheken of programma's. Vanaf stretch zijn de meeste daarvan verplaatst naar een apart archief met debian-debug als archiefnaam. Dit archief bevat de pakketten met debug-symbolen voor het overgrote deel van de pakketten die door Debian aangeboden worden.

Indien u dergelijke debug-pakketten wilt ophalen, moet u aan de pakketbronnen voor APT het volgende toevoegen:

deb http://debug.mirrors.debian.org/debian-debug/ stretch-debug main

U kun ze ook, als een andere mogelijkheid, ophalen van snapshot.debian.org.

Eens u dat gedaan heeft, kunt u de debug-symbolen voor het betreffende pakket ophalen door het pakket pkkt-dbgsym te installeren. Houd er rekening mee dat het mogelijk is dat enkele pakketten nog steeds een pakket pkkt-dbg aanbieden in het hoofdarchief in plaats van het recentere dbgsym-model te volgen.

Het installatiesysteem en nieuw geïnstalleerde systemen hanteren een nieuw standaardnaamgevingsschema voor netwerkinterfaces ter vervanging van eth0, eth1, enz. De oude naamgevingsmethode had problemen met de netwerkkaartnummeringswedloop, waardoor het mogelijk was dat interfacenamen onverwacht wijzigden en de methode is ook incompatibel met een alleen-lezen-aankoppeling van het basisbestandssysteem. De nieuwe nummeringsmethode doet een beroep op meerdere informatiebronnen om een beter herhaalbaar resultaat te bekomen. Het maakt gebruik van de door de firmware/het BIOS aangereikte indexnummering en maakt nadien gebruik van de nummering van de PCI-kaartsleuven om namen te geven zoals ens0 of enp1s1 (ethernet) of wlp3s0 (wlan). USB-apparaten die op elk ogenblik aangekoppeld kunnen worden, krijgen een naam op basis van hun ethernet MAC-adres.

Deze wijziging geldt niet voor opgewaardeerde jessie-systemen. Daarop zal de naamgeving nog steeds afgedwongen worden via /etc/udev/rules.d/70-persistent-net.rules. Raadpleeg voor extra informatie /usr/share/doc/udev/README.Debian.gz of de documentatie van de toeleveraar.

Het team van Debian Med zorgde voor verschillende nieuwe pakketten en updates voor op de biowetenschappen en de geneeskunde gerichte software. Bovendien heeft het een focus behouden op de kwaliteit van de ter beschikking gestelde pakketten. In een GSoC-project en in een Outreachy-project leverden twee studenten geweldige inspanningen om ondersteuning voor Permanente Integratie te realiseren voor de pakketten die volgens de gegevens van het pakket popularity-contest het meest gebruikt worden. Tijdens de recentste werkbijeenkomst van Debian Med in Boekarest was ook het testen van pakketten een aandachtspunt.

Om de pakketten te installeren die door het Debian Med team onderhouden worden, moet u de metapakketen installeren die als naam med-* hebben. In Debian stretch hebben die versie 3.0.1. Het volledige gamma van biologische en medische software die in Debian aanwezig is, wordt vermeld op de webpagina's van Debian Med over hun in taken gegroepeerde software.

Met de stretch-versie van Xorg wordt het mogelijk om de Xorg-server als een normale gebruiker te laten functioneren in plaats van als root-gebruiker (systeembeheerder). Dit vermindert het risico op rechtenvermeerdering (privilege escalation) via bugs in de X-server. Opdat dit zou werken, moeten een aantal vereisten vervuld zijn:

Indien X als een gewone gebruiker uitgevoerd wordt, zal het logboekbestand van Xorg te vinden zijn in ~/.local/share/xorg/.