第5章 stretch で注意すべき点

	注記
	この項は、カスタムカーネルを利用していて /usr が / とはマウントポイントが別になっているシステムのみに当てはまります。Debian で提供されているカーネルパッケージを利用している場合は、この問題の影響は受けません。

/ で見つかったツールのみを使った /usr のマウントはサポートされなくなりました。これは過去にはいくつか特定の設定下でのみ動作しており、現在では明示的に非サポートとなりました。

これは stretch では /usr が分割されたパーティションとなっているシステムは全て、initramfs の生成ツールを使って /usr をマウントする必要があることを意味します。stretch の initramfs 生成ツールは全てこの様に動作します。

Debian が提供するミラーは FTP 接続の提供を停止します。sources.list で ftp: プロトコルを使っている場合は、http: に移行して下さい。移行には以下の例を参考にしてください:

deb http://deb.debian.org/debian          stretch         main
deb http://deb.debian.org/debian-security stretch/updates main

# tor の場合 (apt-transport-tor が必要)
# deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch            main
# deb  tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates    main

上記の例は non-free 及び contrib を含んでいません。これらのコンポーネントを有効にする必要がある場合は、忘れずに含めて下さい。

詳細については、Shutting down public FTP services のアナウンスを参照して下さい。

以下は、よく知られていて特に時代遅れとなってしまったパッケージの一覧です (説明については 「利用されなくなったパッケージ」 参照）。

時代遅れとなったパッケージの一覧には以下が含まれます:

apt-get dist-upgrade が完了した時点で、「正規」のアップグレードは完了しています。stretch へのアップグレードについては、再起動の実行前に必要となる特別な作業はありません。

Debian stretch で提供される GNU GCC 6 コンパイラは、デフォルトですべての実行ファイルを position independent なものとしてコンパイルします。これはあらゆる種類の脆弱性に対する緩和を提供します。

残念なことに、(8.7 までの) Debian 8 での Linux カーネルは、position independent な実行ファイルとしてコンパイルされたプログラムのうちの幾つかがセグメンテーションフォルトのような、よくある問題を起こしてクラッシュする可能性がある問題がありました。この問題は 8.8 で提供される linux バージョン (3.16.43 以降) および Debian 9 でのカーネル (4.9 以降) で解決されています。

We recommend that you upgrade your kernel to a fixed version and then reboot before starting the upgrade to stretch. If you are running the kernel from Debian 8.8 or newer, you are not affected by this issue.

アップグレード中、影響を受けるバージョンのカーネルで稼働している場合、アップグレード直後にこの問題が直撃するのを避けるため、再起動を実行して stretch のカーネルにするのを強くお勧めします。

5.1.5.1. システム管理者および開発者向けの PIE での振る舞いの変更

	注記
	この章は主に開発者またはシステム管理者向けのものです。デスクトップユーザーはこの章の影響を受けないでしょう。

上記は、注意を払ったほうが良い変更ももたらします。

• file ツール (やその他) は、このようなバイナリを 「executable」 (実行ファイル) ではなく 「shared object」 (共有オブジェクト) として認識します。バイナリファイルに依存したフィルタ (例: スパムフィルタ) を使っている場合は、フィルタを更新する必要があるかもしれません。

• 実行ファイルにコンパイルされている静的ライブラリも、position independent コードとしてコンパイルする必要があります。リンカによる以下のエラーメッセージはこの兆候です:

  relocation ... against '[SYMBOL]' can not be used when making a shared object; recompile with -fPIC
  

  エラーメッセージが -fPIC だと言っていたとしても、-fPIE でリコンパイルすれば十分である点に注意して下さい (これは stretch の一部である GCC 6 パッケージでのデフォルトです)。

• 歴史的に、PIE (position independent executables) は幾つかのハードウェア上ではパフォーマンスの低下と切り離せないものでした。とりわけ Debian の i386 アーキテクチャ (32-bit インテルマシン) ではそうでした。とはいえ、GCC 5 および GCC 6 では、32 ビット Intel 上での PIE (position independent executables) のパフォーマンスが大幅に改善されたとしても、この最適化は全アーキテクチャには当てはまらないかもしれません。非常に限られた数のレジスタをもつマシンアーキテクチャをターゲットとしている場合は、コードのパフォーマンスを評価することを検討してみて下さい

関心と試験可能性の欠落により、Debian は Linux Standard Base (LSB) 互換パッケージの大半を削除しました。

Debian は、lsb-release および lsb-base 内の sysvinit init 関数のような、内部でも外部でも使われている選りすぐりのキーとなる 2, 3 の LSB ユーティリティを提供し続けます。さらに、Debian は Filesystem Hierarchy Standard (FHS) バージョン 2.3 に Debian ポリシーマニュアルに記述されている小さな変更を加えたもの をしっかりと守り続けています。

32 ビット PC サポート (Debian のアーキテクチャとしては i386 として知られています) は、素の i586 プロセッサーを含まなくなりました。新たなベースラインは i686 ですが、いくつかの i586 プロセッサー (例: 「AMD Geode」) はまだサポートされています。

サポートされている i586 プロセッサーは 「long NOP」 (NOPL) 命令 以外の i686 プロセッサーの全機能を持っています。以下のシェルスクリプトが判定に役立つでしょう (１個のプロセッサーだけがマシンにあると仮定しています):

if grep -q '^flags.*\bfpu\b.*\btsc\b.*\bcx8\b.*\bcmov\b' /proc/cpuinfo; then
	echo "OK (前 CPU が同じ型であると仮定)"
else
	echo "NOT OK: 必要な CPU 拡張命令がありません"
fi

あなたのマシンがこの要求に合致しない場合、Jessie のサポートサイクルが残っている間は Jessie のままにしておくと良いでしょう。詳細については、Defaulting to i686 for the Debian i386 architecture から始まるメールスレッドを参照して下さい。

Debian 9 は複数のブラウザエンジンを含んでおり、これらは一定の割合でセキュリティ脆弱性の影響を受けます。高い脆弱性率と一部開発元での長期間サポートブランチの欠落によって、セキュリティ修正をバックポートしてこれらのブラウザをサポートする事が難しくなっています。さらに、ライブラリへの内部依存性のため、開発元の新しいリリースバージョンへの更新を不可能にしています。そのようなものとしては、stretch に含まれている webkit・qtwebkit・khtml エンジンを使ったブラウザがありますが、これらは完全なセキュリティサポートはされません。一般的にこれらのブラウザを信用できないウェブサイトを閲覧するのに使うべきではありません。

通常、ウェブブラウザを利用するには、Firefox および Chromium をお勧めします。

Chromium は Webkit のコードベース上に構築されていますが、リーフパッケージ (他から依存されていないパッケージ) であり、安定版向けに最新の Chromium のリリースを再ビルドして更新し続けられる予定です。Firefox および Thunderbird についても、安定版向けに最新の ESR (延長サポート版) を再ビルドすることで更新を行う予定です。

Node.js プラットフォームは、大量のセキュリティ問題が発生した libv8-3.14 上に構成されていますが、現状ではプロジェクト内およびセキュリティチーム内には、これから発生するであろう問題に対処するのに必要な大量の時間を費やすのに十分な興味と意思を持った作業者が存在していません。

残念なことに、これは libv8-3.14, nodejs, そして node-* 関連パッケージのエコシステムは、インターネットから取得した無毒化していないデータのような信頼できないコンテンツと共には現状利用しないようにすべきだということです。

追記しておくと、これらのパッケージは stretch リリース期間中に一切のセキュリティ更新を受けることはありません。

OpenSSH 7 のリリースでは、標準で旧式の暗号と SSH1 プロトコルが無効にされました。マシンをアップグレードする際、SSH アクセスしか無い場合には注意を払って下さい。

さらに "UseDNS" 設定オプションのデフォルトが yes から no に変更されています。これは ssh アクセスをホストで制限するために authorized_keys で "from=" 機能を使っているユーザーが締め出されることになるかもしれず、アップグレードをリモートから行っている場合には特に面倒なことになります。

詳細については、OpenSSH のドキュメントを参照して下さい。

この章ではシステムに影響を与えるかもしれない、APTに加えられた互換性が無い変更について扱います。

5.3.2.3. APT リポジトリについての新たな必要事項

	注記
	この章は、サードパーティのリポジトリを有効にしている (あるいはしようとしている) か、APT リポジトリをメンテナンスする場合にのみに適用されます。

ダウンロードの安定性を改善し、ダウンロードされたコンテンツの安全性を担保するため、APT はリポジトリから以下の取得を必要とします:

• InRelease ファイルが取得可能になっている必要があります。

• 全てのメタデータは全項目について少なくとも SHA256 チェックサムを含んでいなければいけません。これは、InRelease ファイルの GPG 署名を含みます。

• InRelease ファイルの署名は、2048 ビット以上のサイズのキーで実施されている必要があります。

あなたが上記の事柄に対応していないサードパーティのリポジトリに依存している場合は、リポジトリをアップグレードするように彼らを急かして下さい。InRelease ファイルの詳細については Debian Wiki で参照できます。

	注記
	この項はあなたが Xorg の input 設定をいじっている、あるいは変更する必要がある場合のみに関連します。

jessie では、Xorg のデフォルト input ドライバはevdev ドライバでした。stretch では、デフォルトが libinput に変わっています。evdev ドライバに依存した Xorg の設定をしている場合、libinput ドライバに変更する、またはシステムを evdev ドライバを使うように再設定する必要があります。

以下は 「Emulate3Buttons」 機能を有効にする libinput での設定例です。

Section "InputClass"
        Identifier "mouse"
        MatchIsPointer "on"
        Driver "libinput"
        Option "MiddleEmulation" "on"
EndSection

これを /etc/X11/xorg.conf.d/41-middle-emulation.conf に挿入し、再起動 (または Xserver を再起動) すると、有効になっているはずです。

evdev ドライバは xserver-xorg-input-evdev でまだ利用可能になっています。

upstream のメンテナが不在のため、Upstart init システムは stretch から削除されました。システムがこのパッケージに依存している場合、Debian 9 の稼働期間内では更新されないことにご注意下さい。そして、Debian 10 (buster) からは upstart job はパッケージから削除されます。

systemd や OpenRC のような、サポートされている init システムへの移行を検討して下さい。

	注記
	この項は主に開発者、あるいは自家製 debian パッケージをビルドしている組織に向けたものです。

debhelper ツール群は ELF バイナリに対して dbgsym パッケージを標準で生成するようになりました。バイナリを開発・パッケージングする場合は、自分のツール環境がこれらの追加で自動生成されるパッケージをサポートしてるかをチェックして下さい。

reprepro を使っている場合、少なくともバージョン 4.17.0 へアップグレードするのが良いでしょう。aptly は、少なくともバージョン 1.0.0 が必要になりますが、残念ながらこれは Debian stretch では利用できません。

あなたのツール環境がこれに対してうまく対処できない場合、ビルドサービスの DEB_BUILD_OPTIONS に 「noautodbgsym」 を付け加えることで debhelper にこの機能を無効にするように指定できます。詳細は、dh_strip の man ページを参照して下さい。

openssl アプリケーションは、オプション引数を非オプション引数の前に置くことを期待します。例として、これは動作しなくなっています:

openssl dsaparam 2048 -out file

ですが、これは動作します:

openssl dsaparam -out file 2048

openssl enc コマンドは、(パスフレーズからキーを作るのに使う) デフォルトのダイジェストを MD5 から SHA256 に変更しました。ダイジェストは、古いファイルを新し目の OpenSSL で復号するのに必要になる場合に -md オプションで指定できます (あるいはその逆も)。

3DES・RC4 暗号は TLS/SSL 通信には利用できなくなりました。OpenSSL にリンクしているサーバーはこれらを提供できませんし、これらの暗号のみを提供しているサーバーに対してクライアントは接続できません。これは OpenSSL と Windows XP では、いかなる共通暗号も共有しないことを意味します。

libssl-dev パッケージが、openssl 1.1.0 へのコンパイル用ヘッダファイルを提供します。API が多数変更されており、これによってソフトウェアがコンパイルできなくなっている可能性があります。変更の概要 はこちらです。ソフトウェアを更新できない場合には、openssl 1.0.2 のヘッダを提供する libssl1.0-dev もあります。

Jessie の PostgreSQL PL/Perl 手続型言語パッケージは、Stretch での Perl バージョンと互換性がありません。postgresql-plperl-9.4 パッケージはアップデートの最中に削除され、サーバーサイド Perl プロシージャを機能不全にします。PostgreSQL 9.6 へのアップグレードは影響を受けることはなく、postgresql-plperl-9.6 パッケージがインストールされている場合には新しい PostgreSQL クラスタでプロシージャが動作します。確証が持てない場合は、Stretch にアップグレードする前に PostgreSQL 9.4 クラスタのバックアップを取得して下さい。

net-tools パッケージは、重要度 (priority) が重要 (important) から任意 (optional) に下げられたため、デフォルトでは新規インストールに含められなくなりました。ユーザーは、モダンな iproute2 ツールセットを代わりに使うのが推奨されます (これは既に過去何回かのリリースでの新規インストールの一部となっています)。まだ net-tools のプログラムの方を好んで使い続けたい場合は、次の様にして簡単にインストールできます

apt install net-tools

	警告
	net-tools が依存関係を満たすためだけにインストールされていた場合、net-tools はアップグレード中にアンインストールされるかもしれないことを心に留めておいてください。あなたが net-tools に頼っている場合は、アップグレード前に次のようにして手動でインストールされたパッケージだとしてマークしておくのを忘れないでください: apt-mark manual net-tools

以下は net-tools と iproute2 での同等コマンドの一覧です:

	注記
	これは ATA over ethernet (AoE) デバイスをマウントしているシステムにのみ適用されます。システムがネットワーク共有をマウントしていない場合、この項は読み飛ばしても大丈夫です。

ネットワーク削除設定が実施された際に整理が行われた為、利用されている AoE デバイスがシャットダウン中に期待通りにハンドルされなくなり、おそらくハングアップやデータの損失が起こります。この状況を緩和するには、そのようなデバイスを _netdev マウントオプションを使ってマウントすることが推奨されています。このオプションは AoE 越しにスワップが使えるようになった時点で利用可能になっています。

アップグレードの最中、以下のような警告を目にするかもしれません:

Unescaped left brace in regex is deprecated, passed through in regex; marked by <-- HERE in m/^(.*?)(\\)?\${ <-- HERE ([^{}]+)}(.*)$/ at /usr/share/perl5/Debconf/Question.pm line 72.
Unescaped left brace in regex is deprecated, passed through in regex; marked by <-- HERE in m/\${ <-- HERE ([^}]+)}/ at /usr/share/perl5/Debconf/Config.pm line 30.

これらは無害で perl-base が debconf パッケージより前にアップグレードされた場合に発生します。

	注記
	この項は、SELinux を使用しているシステムにのみ適用されます。SELinux はデフォルトでは有効になっていません。

stretch では、SELinux ポリシーの保存場所は /etc/selinux/<policy_name> から /var/lib/selinux/<policy_name> に移動されました。さらに、ポリシー格納の内部形式が変更されました。

Debian によって提供されているポリシー (例: selinux-policy-default パッケージから) は自動的に移行されます。しかし、システム固有のポリシーは手動で移行する必要があります。

semanage-utils パッケージが、この移行を行うスクリプト /usr/lib/selinux/semanage_migrate_store を提供しています。

以前のリリースで iscsitarget パッケージにパッケージングされていた iSCSI Enterprise Target (IET) は、最近のバージョンのカーネルでは動作しなくなっているのに加え、ここ数年プロジェクトでは開発の動きが無くなっているため、Debian では利用できなくなっています。

IET のユーザーは、Debian stretch で完全にサポートされている LIO スタック (LinuxIO) への移行が推奨されています。targetcli-fb パッケージが LIO iSCSI ターゲットの設定ユーティリティを提供しています。

LIO スタックは IET とは独立して開発されているため、設定は手動で移行が必要となります。