5. Problemas a ter en conta con trixie

As veces os cambios introducidos nunha nova versión teñen efectos secundarios imposibles de prever ou amosan fallos en algures. Esta sección documenta os problemas que coñecemos. Consulte tamén a lista de erratas, a documentación do paquete axeitada, informes de fallo e outra información mencionada en Lecturas recomendadas.

5.1. Actualizar elementos específicos para trixie

Esta sección trata da actualización de bookworm a trixie.

5.1.1. openssh-server no longer reads ~/.pam_environment

The Secure Shell (SSH) daemon provided in the openssh-server package, which allows logins from remote systems, no longer reads the user's ~/.pam_environment file by default; this feature has a history of security problems and has been deprecated in current versions of the Pluggable Authentication Modules (PAM) library. If you used this feature, you should switch from setting variables in ~/.pam_environment to setting them in your shell initialization files (e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism instead.

Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Preparase para a recuperación.

5.1.2. OpenSSH no longer supports DSA keys

Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell (SSH) protocol, are inherently weak: they are limited to 160-bit private keys and the SHA-1 digest. The SSH implementation provided by the openssh-client and openssh-server packages has disabled support for DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9 ("stretch"), although it could still be enabled using the HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options for host and user keys respectively.

The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.

As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with the above configuration options. If you have a device that you can only connect to using DSA, then you can use the ssh1 command provided by the openssh-client-ssh1 package to do so.

In the unlikely event that you are still using DSA keys to connect to a Debian server (if you are unsure, you can check by adding the -v option to the ssh command line you use to connect to that server and looking for the "Server accepts key:" line), then you must generate replacement keys before upgrading. For example, to generate a new Ed25519 key and enable logins to a server using it, run this on the client, replacing username@server with the appropriate user and host names:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.2. Cousas que facer despois da actualización antes de reiniciar

Cando remate apt full-upgrade, a actualización "en sí" rematou. Para actualizar a trixie non é necesario facer máis cousas antes de reiniciar.

5.2.1. Cousas non exclusivas do proceso de actualización

5.2.2. Limitacións na asistencia técnica sobre seguridade

Hai algúns paquetes onde Debian non pode prometer manter unha modernización mínima por razóns de seguridade. Estes paquetes trátanse nas seguintes subseccións.

Note

O paquete debian-security-support axuda a manterse ao día sobre a asistencia técnica de seguridade dos paquetes.

5.2.2.1. O estado da seguridade dos navegadores de internet e os seus motores de renderizado

Debian 13 inclúe varios motores de navegador da rede que están afectados polo fluxo constante de vulnerabilidades de seguridade. A gran cantidade de vulnerabilidades, e a falta parcial de soporte técnico da fonte orixinal na forma de pólas de desenvolvemento a longo prazo, fan moi difícil manter a compatibilidade con estes navegadores e motores con arranxos de mantemento de seguridade. Ademais, as dependencias entre bibliotecas fan moi difícil actualizar a versións máis novas da fonte orixinal. As aplicacións que usen o paquete fonte webkit2gtk (como pode ser epiphany) teñen cobertura de seguridade, pero as aplicacións que usen qtwebkit (paquete fonte qtwebkit-opensource-src) non teñen.

Como navegador de uso diario recomendamos Firefox ou Chromium. Estes navegadores mantéñense ao día recompilando as versións ESR actuais para Debian estable. A mesma estratexia usarase para Thunderbird.

Despois de que unha versión pase a oldstable os navegadores con actualizacións oficiais non as recibirán fora do período de cobertura normal. Por exemplo, Chromium só recibirá 6 meses de actualizacións de seguridade en oldstable, en comparación cos 12 meses normais.

5.2.2.2. Paquetes baseados en Go e Rust

A infraestrutura de Debian inda ten problemas ao recompilar os tipos de paquetes que abusan do ligado estático. O crecemento do ecosistema de Go e Rust fai que os paquetes baseados neses ecosistemas terán unha asistencia técnica de seguridade limitada ata que a infraestrutura mellore o suficiente como para xestionalos sen problemas.

As actualizacións das bibliotecas de desenvolvemento de Go, se se precisaren, só poderían vir nas versións regulares principais.

5.2.3. Intérpretes de Python marcados coma xestionados externamente

Os paquetes de Debian que conteñen intérpretes de python3 (python3.11 e pypy3) serán marcados coma «xestionados externamente», segundo se indica no PEP-668. A versión de python3-pip dispoñible en Debian tamén fai isto, e non instalará manualmente paquetes nos intérpretes python de Debian, excepto se se pasa a opción --break-system-packages.

Recomendamos que instale calquera aplicación (ou versión) non empaquetada en Debian mediante pipx (do paquete pipx). pipx montará un ambiente illado doutras aplicacións e módulos Python do sistema, e usara ese ambiente para instalar a aplicación e as súas dependencias.

Recomendamos, se for posible, que instale calquera módulo e biblioteca (de calquera versión) non empaquetada en Debian nun "virtualenv". Os "virtualenv" pódense crear mediante o módulo venv, parte da "stdlib" de Python (no paquete python3-venv), ou coa ferramenta externa de Python virtualenv (no paquete virtualenv). Por exemplo, no canto de usar pip install --user foo poderíase executar `` mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo`` para instalar foo nun virtualenv propio.

Consulte /usr/share/doc/python3.11/README.venv para máis información.

5.2.4. Compatibilidade limitada para a codificación/descodificación de vídeo acelerada por hardware en VLC

O reprodutor de vídeo VLC é compatible coa codificación e descodificación de vídeo por hardware mediante VA-API e VDPAU. Porén a compatibilidade con VA-API está ligada á versión de FFmpeg. E como FFmpeg foi actualizado á rama 5.x a VA-API de VLC tívose que desactivar. Aqueles usuarios cuxas tarxetas gráficas teñan compatibilidade nativa con VA-API (por exemplo as tarxetas gráficas de Intel e AMD) pode que noten un pico de uso do procesador durante a reprodución e codificación de vídeo.

Aos usuarios de tarxetas gráficas con compatibilidade nativa con VDPAU (por exemplo, NVIDIA cos controladores non libres) non lles afectará este problema.

A compatibilidade con VA-API e VDPAU pódese comprobar con vainfo e vdpauinfo (en cadanseu paquete do mesmo nome).

5.2.5. systemd-resolved foi separado a un novo paquete

O novo paquete systemd-resolved xa non se instalará automaticamente ao actualizar. Se estaba a usar o servizo systemd-resolved terá que instalar o paquete manualmente tras actualizar, e lémbrese de que ate que se instale a resolución DNS pode que non funcione, ao non estar o servizo presente no sistema. Instalar este paquete daralle o control de /etc/resolv.conf a systemd-resolved automaticamente. Para máis información sobre systemd-resolved consulte a documentación oficial. Tamén teña en conta que systemd-resolved non era, nin é, o servizo de resolución DNS predeterminado de Debian. Se non está a usar systemd-resolved non precisa facer nada.

5.2.6. systemd-boot foi separado a un novo paquete

O novo paquete systemd-boot xa non se instalará automaticamente ao actualizar. Se estaba a usar systemd-boot terá que instalar o paquete manualmente, e ate que o faga usarase a versión anterior de systemd-boot para iniciar o sistema. Instalar este paquete tamén configurará systemd-boot coma o sistema de arranque da máquina. O sistema de arranque predeterminado en Debian segue a ser GRUB. Se non está a usar systemd-boot non precisa facer nada.

5.2.7. systemd-journal-remote xa non usará GnuTLS

Os servizos opcionais systemd-journal-gatewayd e systemd-journal-remote xa non se compilarán con GnuTLS, o que fai que xa non se use o parámetro --trust. Se se intenta usar saltará un fallo.

5.2.8. Moitas modificacións a adduser en bookworm

Realizáronse varios cambios en adduser. O máis prominente é que --disabled-password e --disabled-login xa son practicamente equivalentes. Para máis información consulte /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.9. Nomeamento previsible das interfaces de rede de Xen

A lóxica previsible de nomeamento que usa systemd para as interfaces de rede foi estendida para xerar nomes estables da información dos dispositivos do «netfront» de Xen. Isto fai que, a diferenza do antigo método de deixar que o núcleo escolla os nomes, agora as interfaces teñen nomes estables, da forma enX#. Lembre de adaptar o seu sistema antes de reiniciar tras a actualización. Para máis información consulte a páxina wiki NetworkInterfaceNames.

5.2.10. Cambios en como dash interpreta o acento circunflexo

dash, que é o intérprete de ordes /bin/sh por omisión en Debian, a partir de agora tomará o acento circunflexo (^) coma un carácter literal, como se indica na normativa POSIX. Isto implica que en bookworm [^0-9] non é "sen incluír do 0 ao 9", se non que agora significa "de 0 ao 9 e o ^".

5.2.11. netcat-openbsd é compatible con socket abstractos

A ferramenta netcat para ler e enviar datos a través da rede xa é compatible con unix.7.html#Abstract_sockets e xa os usa por omisión nalgúns casos.

Por omisión netcat está no paquete netcat-traditional. Pero se está a usar o netcat de netcat-openbsd cun socket AF_UNIX aplícase o novo predeterminado. Neste caso a opción -U de nc</command> interpretará como que pide un socket abstracto, no canto dun ficheiro normal, se o parámetro empeza por ``@. Isto pode representar un perigo por que xa non se poden usar os permisos do sistema de ficheiros para controlar o acceso ao socket abstracto. Para seguir usando un ficheiro que empece por @ meta antes un ./ ou especifique a ruta absoluta.

5.3. Obsolescencia e deprecación

5.3.1. Paquetes obsoletos importantes

Esta é unha lista dos paquetes obsoletos que se consideran importantes (véxase Paquetes obsoletos para a definición).

A lista de paquetes obsoletos inclúe:

  • O paquete libnss-ldap foi eliminado de trixie. As súas funcionalidades atoparanse nos paquetes libnss-ldapd e libnss-sss.

  • O paquete libpam-ldap foi eliminado de trixie. O sucesor de libpam-ldap é libpam-ldapd.

  • O paquete fdflush foi eliminado de trixie. No seu lugar use a orde blockdev --flushbufs do paquete util-linux.

  • Eliminouse o paquete libgdal-perl de trixie por que a interface de Perl para GDAL xa non recibe apoio dos seus autores. Se precisa da interface de Perl para GDAL pode migrar á interface FFI do paquete Geo::GDAL::FFI dispoñible en CPAN. Porén, terá que compilar os seus propios binarios, tal coma se indica na páxina wiki de BookwormGdalPerl.

5.3.2. Compoñentes deprecados para trixie

Na seguinte versión de Debian 14 (alcumada forky) quitáronse algunhas características. Os usuarios terán que migrar a outras alternativas para evitar problemas ao actualizaren a Debian 14.

Isto inclúe as seguintes características:

  • O desenvolvemento do servizo NSS gw_name rematou en 2015. Por mor diso pode que o paquete asociado, libnss-gw-name, sexa eliminado nunha versión de Debian futura. Os desenvolvedores orixinais suxiren como alternativa libnss-myhostname.

  • dmraid leva dende o 2010 sen recibir actualizacións dos autores orixinais, e en Debian só recibe actualizacións de mantemento. bookworm será a última versión que o conteña. Se estaba a usar dmraid empece a buscar alternativas.

  • request-tracker4 foi substituído por request-tracker5 para esta versión, e será eliminado en futuras versións. Recomendámoslle que migre de request-tracker4 a request-tracker5 mentres dure esta versión.

  • A suite isc-dhcp foi declarada deprecated polo ISC. Na wiki de Debian hai unha listaxe de alternativas. As páxinas cliente DHCP e servidor DHCP teñen listaxes actualizadas. Se usa NetworkManager ou systemd-networkd pode eliminar o paquete isc-dhcp-client sen problemas, ámbolos dous teñen a súa versión propia. Se está a usar o paquete ifupdown pode probar con udhcpc coma substituto. O ISC recomenda o paquete Kea coma alternativa para servidores DHCP.

    O equipo de seguridade seguirá mantendo o paquete isc-dhcp durante o ciclo de vida de bookworm, pero o paquete seguramente non estea dispoñible a partir da seguinte versión estable. Consulte o fallo #1035972 (fin da vida de isc-dhcp) para máis información.

5.4. Fallos graves coñecidos

Que Debian saque as novas versións cando estean listas non significa que non teña fallos coñecidos. Parte do proceso de edición consiste en que o Equipo de Edición (ou equipo «Release») seguir os fallos de gravidade seria («serious») ou superior. Pódese atopar no Sistema de Seguimento de Fallos de Debian un resumo dos fallos que foran clasificados para ser ignorados no remate do lanzamento de trixie. Os seguintes fallos suficientemente notables afectaban a trixie no momento de sacar esa versión:

Nº do fallo

Paquete (fonte ou binario)

Descrición

1032240

akonadi-backend-mysql

o servidor akonadi non se inicia por que non se pode conectar á base de datos mysql

1032177

faketime

faketime non falsifica a data (en i386)

918984

src:fuse3

provide upgrade path fuse -> fuse3 for bookworm

1016903

g++-12

tree-vectorize: Código incorrecto no nivel O2 (-fno-tree-vectorize funciona)

1020284

git-daemon-run

non se puido purgar: deluser -f: Opción descoñecida: f

919296

git-daemon-run

falla con "alerta: git-daemon: non se puido abrir "supervise/ok": o ficheiro non existe"

1034752

src:gluegen2

inclúe as cabeceiras non libres