5. Kwesties waarvan u zich bewust moet zijn bij trixie

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Literatuurverwijzingen.

5.1. Opwaarderingsspecifieke zaken voor trixie

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van bookworm naar trixie.

5.1.1. openssh-server no longer reads ~/.pam_environment

The Secure Shell (SSH) daemon provided in the openssh-server package, which allows logins from remote systems, no longer reads the user's ~/.pam_environment file by default; this feature has a history of security problems and has been deprecated in current versions of the Pluggable Authentication Modules (PAM) library. If you used this feature, you should switch from setting variables in ~/.pam_environment to setting them in your shell initialization files (e.g. ~/.bash_profile or ~/.bashrc) or some other similar mechanism instead.

Existing SSH connections will not be affected, but new connections may behave differently after the upgrade. If you are upgrading remotely, it is normally a good idea to ensure that you have some other way to log into the system before starting the upgrade; see Tref voorbereidingen om een hersteloperatie te kunnen uitvoeren.

5.1.2. OpenSSH no longer supports DSA keys

Digital Signature Algorithm (DSA) keys, as specified in the Secure Shell (SSH) protocol, are inherently weak: they are limited to 160-bit private keys and the SHA-1 digest. The SSH implementation provided by the openssh-client and openssh-server packages has disabled support for DSA keys by default since OpenSSH 7.0p1 in 2015, released with Debian 9 ("stretch"), although it could still be enabled using the HostKeyAlgorithms and PubkeyAcceptedAlgorithms configuration options for host and user keys respectively.

The only remaining uses of DSA at this point should be connecting to some very old devices. For all other purposes, the other key types supported by OpenSSH (RSA, ECDSA, and Ed25519) are superior.

As of OpenSSH 9.8p1 in trixie, DSA keys are no longer supported even with the above configuration options. If you have a device that you can only connect to using DSA, then you can use the ssh1 command provided by the openssh-client-ssh1 package to do so.

In the unlikely event that you are still using DSA keys to connect to a Debian server (if you are unsure, you can check by adding the -v option to the ssh command line you use to connect to that server and looking for the "Server accepts key:" line), then you must generate replacement keys before upgrading. For example, to generate a new Ed25519 key and enable logins to a server using it, run this on the client, replacing username@server with the appropriate user and host names:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.2. Zaken die na de opwaardering en voor het herstarten van de computer moeten gebeuren

Wanneer apt full-upgrade beëindigd is, is de opwaardering "formeel" afgerond. Bij de opwaardering naar trixie zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.2.1. Items die niet beperkt zijn tot het opwaarderingsproces

5.2.2. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

Notitie

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.2.1. Beveiligingstoestand van webbrowsers en hun weergavemechanismen

Debian 13 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. toepassingen die gebruik maken van het broncodepakket webkit2gtk (bijv. epiphany) worden gedekt door de beveiligingsondersteuning, maar toepassingen die gebruik maken van qtwebkit (broncodepakket qtwebkit-opensource-src) worden niet gedekt.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

Zodra een release oldstable wordt, is het mogelijk dat officieel ondersteunde browsers gedurende de standaard dekkingsperiode geen updates meer ontvangen. Chromium krijgt bijvoorbeeld slechts 6 maanden beveiligingsondersteuning in oldstable in plaats van de gebruikelijke 12 maanden.

5.2.2.2. Op Go en Rust gebaseerde pakketten

De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. Met de groei van de Go- en Rust-ecosystemen betekent dit dat deze pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.

Als updates voor ontwikkelingsbibliotheken voor Go of Rust gerechtvaardigd zijn, zullen deze in de meeste gevallen enkel via reguliere tussenreleases gebeuren.

5.2.3. Python-interpreters als extern beheerd gemarkeerd

De door Debian geleverde python3-interpreterpakketten (python3.11 en pypy3) zijn nu gemarkeerd als extern beheerd, in navolging van PEP-668. De versie van python3-pip in Debian gedraagt zich hiernaar en zal weigeren pakketten handmatig te installeren op de python-interpreters van Debian, tenzij de optie --break-system-packages is opgegeven.

Als u een Python-toepassing (of versie) moet installeren die niet wordt verpakt in Debian, raden we u aan die te installeren met pipx (in het Debian-pakket pipx). pipx zal een omgeving opzetten die geïsoleerd is van andere toepassingen en Python-modules op het systeem, en de toepassing en zijn vereisten daarin installeren.

Als u een Python-bibliotheekmodule (of -versie) moet installeren die niet in Debian wordt verpakt, raden we u aan die waar mogelijk in een virtuele omgeving (virtualenv) te installeren. U kunt virtuele omgevingen (virtualenvs) maken met de Python stdlib-module venv (in het Debian-pakket python3-venv) of met het van derden afkomstige Python-hulpmiddel virtualenv (in het Debian-pakket virtualenv). Bijvoorbeeld, in plaats van het commando pip install --user blabla uit te voeren, voert u het volgende commando uit om de bibliotheek in een speciale virtuele omgeving te installeren: `` mkdir -p ~/.venvs && python3 -m venv ~/.venvs/blabla && ~/.venvs/blabla/bin/python -m pip install blabla``.

Zie /usr/share/doc/python3.11/README.venv voor meer details.

5.2.4. Beperkte ondersteuning voor hardwareversnelde videocodering/decodering in VLC

De VLC-videospeler ondersteunt hardwareversnelde videodecodering en -codering via VA-API en VDPAU. VLC's ondersteuning voor VA-API is echter nauw verbonden met de versie van FFmpeg. Omdat FFmpeg is opgewaardeerd naar de 5.x-tak, is de VA-API-ondersteuning van VLC uitgeschakeld. Gebruikers van GPU's met eigen VA-API-ondersteuning (bijv. de GPU's van Intel en AMD) kunnen een hoog CPU-gebruik ervaren tijdens het afspelen en coderen van video.

Gebruikers van GPU's met eigen VDPAU-ondersteuning (bijv. NVIDIA met niet-vrije stuurprogramma's) hebben geen last van dit probleem.

Ondersteuning voor VA-API en VDPAU kan worden nagegaan met vainfo en vdpauinfo (beide beschikbaar in een Debian-pakket met dezelfde naam).

5.2.5. systemd-resolved werd afgesplitst in een apart pakket

Het nieuwe pakket systemd-resolved wordt niet automatisch geïnstalleerd bij upgrades. Als u de systeemdienst systemd-resolved gebruikte, installeer dan het nieuwe pakket handmatig na de upgrade, en houd er rekening mee dat totdat het geïnstalleerd is, DNS-resolutie mogelijk niet meer werkt, omdat de dienst niet aanwezig zal zijn op het systeem. Door dit pakket te installeren krijgt systemd-resolved automatisch controle over /etc/resolv.conf. Voor meer informatie over systemd-resolved kunt u de officiële documentatie raadplegen. Merk op dat systemd-resolved niet de standaard DNS-resolver was, en nog steeds niet is, in Debian. Als u uw machine niet hebt geconfigureerd om systemd-resolved als DNS-resolver te gebruiken, is er geen actie nodig.

5.2.6. systemd-boot werd afgesplitst in een apart pakket

Het nieuwe pakket systemd-boot wordt niet automatisch geïnstalleerd bij upgrades. Als u systemd-boot gebruikte, installeer dit nieuwe pakket dan handmatig, en merk op dat totdat u dit doet, de oudere versie van systemd-boot zal worden gebruikt als bootloader. De installatie van dit pakket zal systemd-boot automatisch configureren als de bootloader van de machine. De standaard bootloader in Debian is nog steeds GRUB. Als u de machine niet hebt geconfigureerd om systemd-boot als bootloader te gebruiken, hoeft u niets te doen.

5.2.7. systemd-journal-remote maakt geen gebruik meer van GnuTLS

De facultatieve diensten systemd-journal-gatewayd en systemd-journal-remote worden nu gebouwd zonder ondersteuning voor GnuTLS, wat betekent dat de optie --trust door geen van beide programma's meer wordt aangeboden, en dat er een foutmelding verschijnt als deze wordt opgegeven.

5.2.8. Adduser voor bookworm is aanzienlijk gewijzigd

Er zijn verschillende wijzigingen aangebracht aan adduser. De meest opvallende verandering is dat --disabled-password en --disabled-login nu functioneel identiek zijn. Lees voor meer details /usr/share/doc/adduser/NEWS.Debian.gz.

5.2.9. Voorspelbare naamgeving voor Xen-netwerkinterfaces

De voorspelbare naamgevingslogica in systemd voor netwerkinterfaces is uitgebreid om stabiele namen te genereren uit Xen netfront apparaatinformatie. Dit betekent dat in plaats van het vroegere systeem van door de kernel toegewezen namen, interfaces nu stabiele namen hebben van de vorm enX#. Pas uw systeem aan voordat u opnieuw opstart na de upgrade. Meer informatie is te vinden op de wiki-pagina NetworkInterfaceNames.

5.2.10. Verandering in de wijze waarop dash de circumflex verwerkt

dash, dat standaard de systeemshell /bin/sh levert in Debian, is overgestapt op het behandelen van de circumflex (^) als een letterlijk letterteken, zoals altijd het beoogde POSIX-conforme gedrag was. Dit betekent dat in bookworm [^0-9] niet langer betekent "niet 0 tot 9" maar "0 tot 9 en ^".

5.2.11. netcat-openbsd ondersteunt abstracte sockets

Het hulpprogramma netcat voor het lezen en schrijven van gegevens over netwerkverbindingen ondersteunt unix.7.html#Abstract_sockets, en gebruikt ze standaard in sommige omstandigheden.

Standaard wodt netcat geleverd door netcat-traditional. Als netcat echter geleverd wordt door het pakket netcat-openbsd en u een AF_UNIX-socket gebruikt, dan is deze nieuwe standaard van toepassing. In dit geval zal de optie -U voor het commando nc nu een argument dat begint met een @, interpreteren als een vraag naar een abstracte socket in plaats van als een bestandsnaam in de huidige map die begint met een @. Dit kan beveiligingsimplicaties hebben omdat bestandssysteemtoegangsrechten niet langer kunnen worden gebruikt om de toegang tot een abstracte socket te controleren. U kunt een bestandsnaam blijven gebruiken die begint met een @ door de naam vooraf te laten gaan door ./ of door een absoluut pad op te geven.

5.3. Verouderde en achterhaalde zaken

5.3.1. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Verouderde pakketten voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket libnss-ldap werd verwijderd uit trixie. De functionaliteit ervan wordt nu opgenomen door libnss-ldapd en libnss-sss.

  • Het pakket libpam-ldap werd verwijderd uit trixie. Zijn vervanger is libpam-ldapd.

  • Het pakket fdflush werd verwijderd uit trixie. Gebruik ter vervanging ervan blockdev --flushbufs uit util-linux.

  • Het pakket libgdal-perl is verwijderd uit trixie, omdat de Perl-binding voor GDAL stroomopwaarts niet langer wordt ondersteund. Als u Perl-ondersteuning voor GDAL nodig hebt, kunt u migreren naar de FFI-interface die wordt geleverd door het pakket Geo::GDAL::FFI dat beschikbaar is op CPAN. U zult uw eigen binaire bestanden moeten bouwen, zoals uitgelegd op de wiki-pagina BookwormGdalPerl.

5.3.2. Verouderde componenten van trixie

Met de volgende uitgave van Debian 14 (codenaam forky) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 14.

Daaronder valt de volgende functionaliteit:

  • De ontwikkeling van de NSS-dienst gw_name is in 2015 gestopt. Het bijbehorende pakket libnss-gw-name wordt mogelijk verwijderd in toekomstige Debian releases. De bovenstroomse ontwikkelaar stelt voor om in plaats daarvan libnss-myhostname te gebruiken.

  • dmraid heeft sinds eind 2010 geen bovenstroomse activiteit meer gekend en werd in Debian in leven gehouden. bookworm zal de laatste release zijn die het uitbrengt, dus maak dienovereenkomstig uw planning als u dmraid gebruikt.

  • request-tracker4 is in deze release vervangen door request-tracker5 en zal in toekomstige releases worden verwijderd. Wij raden u aan de overstap van request-tracker4 naar request-tracker5 te plannen tijdens de levensduur van deze release.

  • The isc-dhcp suite has been deprecated by the ISC. The Debian Wiki has a list of alternative implementations, see the DHCP Client and DHCP Server pages for the latest. If you are using NetworkManager or systemd-networkd, you can safely remove the isc-dhcp-client package as they both ship their own implementation. If you are using the ifupdown package, you can experiment with udhcpc as a replacement. The ISC recommends the Kea package as a replacement for DHCP servers.

    Het beveiligingsteam zal het pakket isc-dhcp ondersteunen tijdens de levensduur van bookworm, maar het pakket zal waarschijnlijk niet meer ondersteund worden in de volgende stabiele release, zie bug #1035972 (isc-dhcp EOL'ed (afgedankt)) voor meer details.

5.4. Bekende ernstige bugs

Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van trixie, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen trixie op het moment van vrijgeven en zijn het vermelden waard in dit document:

Bugnummer

Pakket (broncode of binair)

Beschrijving

1032240

akonadi-backend-mysql

de akonadi-server start niet omdat deze geen verbinding kan maken met de mysql-database

1032177

faketime

faketime creëert geen nep-tijd (op i386)

918984

src:fuse3

provide upgrade path fuse -> fuse3 for bookworm

1016903

g++-12

tree-vectorize: verkeerde code op O2-niveau (-fno-tree-vectorize werkt)

1020284

git-daemon-run

wissen (purge) mislukt: deluser -f: Onbekende optie: f

919296

git-daemon-run

mislukt met 'waarschuwing: git-daemon: kan supervise/ok niet openen: bestand bestaat niet'

1034752

src:gluegen2

sluit niet-vrije headers in