Kapitel 2. Was ist neu in Debian 9

Die offizielle Debian-Distribution wird jetzt auf 12 bis 14 Binär-DVDs (abhängig von der Architektur) bzw. auf 12 Quellcode-DVDs ausgeliefert. Zusätzlich gibt es eine multi-arch-DVD mit einer Teilmenge der Veröffentlichung für die amd64- und i386-Architekturen zusammen mit dem Quellcode. Debian wird auch als Blu-ray- (BD) und Dual Layer (doppellagige) Blu-ray- (DLBD) Images für die Architekturen amd64 und i386 sowie für den Quellcode veröffentlicht. Debian wurde früher auch für jede Architektur als sehr großer Satz von CDs veröffentlicht, aber mit der Freigabe von Stretch wurde dies fallengelassen.

Ab dem Stretch-Release ist das Kompilieren von „position independent executables“ (PIE, positionsunabhängige Binärdateien) neue Standardeinstellung des GNU GCC-6 Kompilers. Entsprechend unterstützt die überwältigende Mehrzeit aller ausführbaren Dateien jetzt Address space layout randomization (ASLR), was eine Reihe von Exploits zur Ausnutzung von Schwachstellen erheblich entschärft. Somit sind diese Schwachstellen jetzt weniger nachvollziehbar und reproduzierbar, sondern eher rein theoretischer Natur.

Debian Stretch enthält nur die Version 6 des GNU-GCC-Compilers, was für Leute, die die Version 4.x oder 5.x erwartet haben, Einschränkungen bedeuten kann. Nähere Informationen über diesen Versionsübergang finden Sie auf den GCC5- und GCC6- Wiki-Seiten.

MariaDB ist jetzt mit der Version 10.1 die Standard-MySQL-Variante in Debian. Die Stretch-Veröffentlichung führt einen neuen Mechanismus für die Umschaltung der Standard-Variante ein, bei der Metapakete aus dem Quellpaket mysql-defaults genutzt werden. So wird zum Beispiel durch die Installation des Metapakets default-mysql-server das Paket mariadb-server-10.1 installiert. Bei Nutzern, die mysql-server-5.5 oder mysql-server-5.6 installiert hatten, werden diese entfernt und durch die entsprechende MariaDB-Variante ersetzt. Ähnlich dazu wird durch die Installation von default-mysql-client das Paket mariadb-client-10.1 installiert.

Wichtig

Beachten Sie, dass die Datenbank-Binärdateiformate nicht abwärtskompatibel sind, so dass es nicht möglich ist, zu einer früheren Version von MariaDB oder MySQL zurückzukehren, wenn Sie einmal auf MariaDB 10.1 hochgerüstet haben (außer Sie haben einen vollständigen Dump der Datenbank). Machen Sie deshalb vor dem Upgrade Backups aller wichtigen Datenbanken mit einem passenden Werkzeug wie mysqldump.

Die Pakete virtual-mysql-* und default-mysql-* werden weiter bestehen bleiben. MySQL wird weiter in Debian betreut werden, und zwar im unstable-Zweig. Lesen Sie die Wiki-Seite des Debian-MySQL-Teams bezüglich aktueller Informationen über MySQL-zugehörige Software in Debian.

Der apt-Paketmanager hat seit der Veröffentlichung von Jessie eine Zahl von Verbesserungen erfahren. Die meisten davon gelten auch für aptitude. Hier einige Highlights:

Betreffend der Sicherheit verwirft APT jetzt standardmäßig schwächere Prüfsummen (z.B. SHA1) und versucht außerdem, Pakete als unprivilegierter Nutzer herunterzuladen. Lesen Sie dazu Abschnitt 5.3.2.3, „Neue Voraussetzungen für APT-Repositories“ und Abschnitt 5.3.2.1, „APT lädt jetzt Dateien als unpriviligierter Benutzer (_apt) herunter“.

Weitere Verbesserungen für APT-basierte Paketmanager beheben die nervige „hash sum mismatch“-Warnung, die früher auftauchte, wenn apt während einer Spiegel-Synchronisation ausgeführt wurde. Dies ist über das by-hash-Layout realisiert, das es APT ermöglicht, Dateien mit Metadaten über deren Inhalts-Hash herunterzuladen.

Falls Sie Paket-Repositories von Drittanbietern verwenden, könnten Sie trotzdem noch diese Probleme bemerken, wenn der Betreiber das by-hash-Layout nicht anbietet. Bitte empfehlen Sie solchen Betreibern von Paket-Repositories, das by-hash-Layout zu implementieren. Eine sehr kurze technische Beschreibung ist unter Repository format description im Debian Wiki zu finden.

Wahrscheinlich überwiegend für Spiegel-Administratoren interessant: APT in Stretch kann DNS-(SRV)-Records verwenden, um ein HTTP-Backend zu lokalisieren. Dies ist nützlich, um einen einfachen DNS-Namen bereitstellen zu können und dann Backends über DNS zu verwalten statt über einen „redirector“-Service. Diese Funktionalität wird auch von dem neuen, in Abschnitt 2.2.6, „Neuer deb.debian.org-Spiegel“ beschriebenen Debian Spiegel-Dienst verwendet.

Debian stellt jetzt einen neuen, zusätzlichen Dienst namens deb.debian.org bereit. Er bietet den Inhalt des main-Archivs, das Security-Archiv, Ports und sogar unser neues Debug-Archiv (siehe Abschnitt 2.2.8, „Neues Archiv für debug-Symbole“ unter einem einfach zu merkenden Hostnamen an.

Dieser Dienst beruht auf dem neuen DNS-Support in APT, enthält aber einen Fallback zu einer regulären Weiterleitung bei Verwendung von HTTPS oder für ältere APT-Versionen. Weitere Details finden Sie unter deb.debian.org.

Unser Dank für die CDN-Backends hinter diesem Service geht an Fastly und Amazon CloudFront.

Die Stretch-Veröffentlichung ist die erste Version von Debian, die den „modernen“ Zweig von GnuPG in dem gnupg-Paket enthält. Dieser enthält Kryptographie über elliptische Kurven, bessere Standardeinstellungen, eine modularere Architektur und verbesserte Smartcard-Unterstützung. Dieser moderne GnuPG-Zweig unterstützt explizit einige ältere, bekanntermaßen unsichere Formate wie PGPv3 nicht mehr. Lesen Sie /usr/share/doc/gnupg/README.Debian, wenn Sie weitere Informationen benötigen.

Wir werden den „classic“-Zweig von GnuPG noch weiter als gnupg1 anbieten für Leute, die diesen noch benötigen, allerdings wird diese Version jetzt als veraltet angesehen.

	Anmerkung
	Dieser Abschnitt ist überwiegend für Entwickler interessant oder wenn Sie einen vollständigen Stack-Trace zu einem Fehlerbericht hinzufügen wollen.

Früher enthielt das Main-Archiv Pakete mit Debug-Symbolen für ausgewählte Bibliotheken oder Programme. Seit Stretch wurden die meisten davon in ein separates Archiv namens debian-debug verschoben. Dieses Archiv enthält Pakete mit Debug-Symbolen für die Mehrheit aller von Debian bereitgestellten Pakete.

Falls Sie solche Debug-Pakete beziehen möchten, fügen Sie folgendes zu Ihren APT-Quellen hinzu:

deb http://debug.mirrors.debian.org/debian-debug/ stretch-debug main

Alternativ können Sie sie auch von snapshot.debian.org beziehen.

Einmal aktiviert, können Sie jetzt die Debug-Symbole für ein bestimmtes Paket herunterladen, indem Sie das Paket paketname-dbgsym installieren. Bitte beachten Sie, dass einzelne Pakete trotzdem noch ein pkg-dbg-Paket im Main-Archiv haben könnten statt des neuen dbgsym.

Der Installer und das neu installierte System nutzen eine neue Methode zur Festlegung der Namen von Netzwerkschnittstellen, die altbekannten Namen wie eth0, eth1 usw. werden nicht mehr verwendet. Die alte Methode hatte Probleme mit konkurrierenden Zugriffen bei der Namensvergabe, was dazu führen konnte, dass sich Namen von Netzwerkschnittstellen unerwartet änderten; desweiteren war sie inkompatibel mit der Vorgehensweise, das root-Dateisystem nur mit Leserechten (read-only) einzubinden. Das neue Verfahren zur Namensvergabe nutzt mehr Daten als Grundlage, um ein reproduzierbareres Ergebnis zu erzielen. Es verwendet die von Firmware bzw. BIOS bereitgestellten Index-Nummern und nutzt dann die Nummern der PCI-Steckplätze, um Schnittstellennamen wie ens0 oder enp1s1 (für Ethernet) oder wlp3s0 (für WLAN) festzulegen. USB-Geräte können zu jeder Zeit neu an das System angeschlossen werden und daher werden für sie Namen basierend auf deren Ethernet-MAC-Adressen verwendet.

Diese Änderung betrifft keine Systeme, die per Upgrade von Jessie auf Stretch hochgerüstet werden; die Namensvergabe wird dort weiter basierend auf Regeln in der Datei /etc/udev/rules.d/70-persistent-net.rules stattfinden. Weitere Informationen finden Sie in /usr/share/doc/udev/README.Debian.gz oder in der Upstream-Dokumentation.

Neben zahlreichen neuen Paketen und Aktualiserungen der Software für Wissenschaft und Medizin hat das Debian-Med-Team erneut den Fokus auf die Qualität der bereitgestellen Pakete gelegt. In einem GSoC- und einem Outreachy-Projekt haben zwei Studenten hart daran gearbeitet, Continuous-Integration-Support zu den Paketen mit den höchsten Popularity-Contest-Werten hinzuzufügen. Auch der letzte Debian-Med-Sprint in Bukarest konzentrierte sich auf das Testen verschiedener Pakete.

Zur Installation von durch das Debian-Med-Team betreuten Paketen installieren Sie die Metapakete namens med-*, die in Version 3.0.1 in Debian Stretch enthalten sind. Besuchen Sie gerne die Debian-Med-Seiten für eine vollständige Übersicht der biologischen und medizinischen Software in Debian.

In der Stretch-Version von Xorg ist es möglich, den Xorg-Server als regulärer Benutzer laufen zu lassen (statt wie sonst üblich als root). Dies reduziert das Risiko von Rechteausweitungen aufgrund von Programmfehlern im X-Server. Allerdings müssen einige Voraussetzungen erfülllt werden, damit dies funktioniert:

Wenn Xorg als regulärer Benutzer läuft, werden die Logdateien unter ~/.local/share/xorg/ verfügbar sein.