5. Problemy, które należy mieć na uwadze, a dotyczące wydania trixie
Czasami zmiany wprowadzone w nowym wydaniu mają skutki uboczne, którym nie można zapobiec w sensowny sposób, lub które odsłaniają inne błędy. Niniejszy rozdział dokumentuje znane problemy. Proszę zapoznać się również z erratą, dokumentacją odpowiednich pakietów, zgłoszeniami błędów i pozostałymi informacjami opisanymi w rozdziale Dodatkowe informacje.
5.1. Kwestie, które należy mieć na uwadze, przy aktualizacji do wydania trixie
Niniejszy rozdział dotyczy aktualizacji z wydania bookworm do trixie.
5.1.1. Ograniczone wsparcie dla i386
Od trixie, i386 nie jest już obsługiwana jako zwykła architektura: brak jest oficjalnego jądra oraz instalatora Debiana dla systemów i386. Dostępnych jest też mniej pakietów dla i386, ponieważ wiele projektów już jej nie obsługuje. Jedynym powodem pozostawienia architektury jest obsługa przestarzałego kodu np. za pomocą multiarch lub chroot na systemie 64-bitowym (amd64).
Architektura i386 jest obecnie przeznaczona tylko do użycia na procesorach 64-bitowych (amd64). Wymagany zestaw instrukcji obejmuje obsługę SSE2, zatem nie zadziała poprawnie na większości typów procesorów 32-bitowych, które były obsługiwane w Debianie 12.
Użytkownicy korzystający z systemów i386 nie powinni dokonywać aktualizacji do wydania trixie. Zamiast tego, Debian zaleca ponowną instalację korzystając z architektury amd64, tam gdzie to możliwe, lub zrezygnowanie z przestarzałego sprzętu. Technicznie możliwy jest również cross-grading, niewymagający ponownej instalacji, ale jest to ryzykowna alternatywa.
5.1.2. Usunięto architektury MIPS
Od wydania trixie, architektury mipsel i mips64el nie są już wspierane przez projekt Debian. Użytkownikom zaleca się przejście na inny sprzęt.
5.1.3. Katalog plików tymczasowych /tmp jest teraz przechowywany w tmpfs
Od wydania trixie, katalog /tmp/ będzie teraz domyślnie przechowywany w pamięci, jako system plików tmpfs(5). Aplikacje używające plików tymczasowych powinny być dzięki temu szybsze, lecz jeśli umieści się tam duże pliki, systemowi może zabraknąć pamięci.
W przypadku systemów aktualizowanych z wydania bookworm, nowe zachowanie będzie stosowane dopiero po ponownym uruchomieniu komputera. Pliki pozostawione w katalogu /tmp zostaną ukryte po zamontowaniu nowego systemu plików tmpfs, co spowoduje wypisanie ostrzeżeń w dzienniku systemowym lub syslogu. Dostęp do tych plików można uzyskać za pomocą montowania z podpięciem (zob. mount(1)): po wykonaniu mount --bind / /mnt przedmiotowy katalog będzie widoczny jako /mnt/tmp (po oczyszczeniu starych plików należy wykonać umount /mnt).
Domyślnie na /tmp przydzielane jest do 50% pamięci (jest to wartość maksymalna; pamięć jest używana tylko przy faktycznym tworzeniu plików w /tmp). Można ją zmienić uruchamiając systemctl edit tmp.mount jako root i ustawiając np.:
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
(zob. systemd.mount(5)).
Można przywrócić istnienie /tmp jako zwykłego katalogu, uruchamiając systemctl mask tmp.mount jako root i ponownie uruchamiając system.
Wartości domyślne nowego systemu plików można też przesłonić w /etc/fstab, zatem systemy, które już zdefiniowały osobną partycję /tmp nie zostaną dotknięte tą zmianą.
5.1.4. openssh-server nie odczytuje już ~/.pam_environment
Demon Secure Shell (SSH) dostarczany w pakiecie openssh-server, który pozwala na logowania z systemów zdalnych, nie odczytuje już domyślnie pliku użytkownika ~/.pam_environment; funkcja ta ma długą historię problemów z bezpieczeństwem i została uznana za przestarzałą w bieżących wersjach biblioteki Pluggable Authentication Modules (PAM). Jeśli korzystało się z tej funkcji, zamiast ustawiać zmienne w pliku ~/.pam_environment, należy je teraz ustawiać w swoich plikach inicjowania powłoki (np. ~/.bash_profile lub ~/.bashrc) albo korzystając z podobnego mechanizmu.
Nie wpłynie to na istniejące połączenia SSH, ale nowe połączenia mogą zachowywać się odmiennie po aktualizacji. Przy dokonywaniu aktualizacji zdalnej, przed jej rozpoczęciem zwykle dobrym pomysłem jest zapewnienie sobie jakiejś innej metody logowania do systemu; zob. Przygotowanie do odzyskiwania.
5.1.5. OpenSSH nie obsługuje już kluczy DSA
Klucze Digital Signature Algorithm (DSA), zdefiniowane w sposób określony w protokole Secure Shell (SSH), są nieodwracalnie słabe: są ograniczone do 160-bitowych kluczy prywatnych oraz skrótu SHA-1. Implementacja SSH zapewniana przez pakiety openssh-client i openssh-server wyłączyła domyślnie obsługę kluczy DSA w OpenSSH 7.0p1 z roku 2015, wydanego w Debianie 9 („stretch”), choć wciąż można ją było włączyć opcjami konfiguracyjnymi HostKeyAlgorithms i PubkeyAcceptedAlgorithms, odpowiednio dla kluczy stacji i użytkownika.
Jedynymi pozostałymi obecnie zastosowaniami kluczy DSA może być łączenie się z jakimiś bardzo starymi urządzeniami. We wszystkich innych zastosowaniach, pozostałe typy kluczy obsługiwane przez OpenSSH (RSA, ECDSA i Ed25519) są lepsze.
W OpenSSH 9.8p1 w wydaniu trixie, klucze DSA nie są już obsługiwane nawet z powyższymi opcjami konfiguracyjnymi. Jeśli jest się posiadaczem urządzenia, z którym można się połączyć tylko za pomocą DSA, należy użyć w tym celu polecenia ssh1 dostarczanego przez pakiet openssh-client-ssh1.
W mało prawdopodobnym scenariuszu, gdy korzysta się wciąż z kluczy DSA do połączenia z serwerem Debiana (w razie wątpliwości można to sprawdzić dodając opcję -v do wiersza polecenia, którym łączy się z danym serwerem i sprawdzając wiersz „Server accepts key:”), konieczne jest wygenerowanie kluczy zastępczych. Na przykład, aby wygenerować nowy klucz Ed25519 i włączyć logowanie do serwera za jego pomocą, należy uruchomić poniższe polecenie, zastępując username@server odpowiednimi nazwami użytkownika i stacji:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.1.6. Zastąpiono polecenia last, lastb i lastlog
Pakiet util-linux nie zapewnia już poleceń last lub lastb, a pakiet login nie zapewnia już polecenia lastlog. Polecenia te udostępniały informacje o poprzednich próbach zalogowania się, korzystając z /var/log/wtmp, /var/log/btmp, /var/run/utmp i /var/log/lastlog, jednak pliki te nie będą nadawały się do użycia po roku 2038, ponieważ nie zapewniają wystarczająco dużo miejsca na przechowanie czasu logowania (Problem roku 2038), a ich projekty macierzyste nie chcą zmieniać formatów plików. Większość użytkowników nie będzie potrzebowała zastępować tych poleceń innymi, natomiast pakiet util-linux zapewnia polecenie lslogins, które informuje o ostatnio używanych kontach.
Istnieją dwa bezpośrednie zamienniki: last można zastąpić przez wtmpdb z pakietu wtmpdb (konieczna jest też instalacja pakietu libpam-wtmpdb), a lastlog można zastąpić przez lastlog2 z pakietu lastlog2 (konieczna jest też instalacja pakietu libpam-lastlog2). Aby z nich skorzystać, konieczne jest zainstalowanie nowych pakietów po dokonaniu aktualizacji; więcej informacji w pliku NEWS.Debian util-linux. Polecenie lslogins --failed dostarcza podobnych informacji do lastb.
Jeśli nie zamierza się instalować wtmpdb, zalecamy usunięcie starych plików dziennika /var/log/wtmp*. Zainstalowanie wtmpdb zaktualizuje /var/log/wtmp, a stare pliki wtmp będzie można odczytać za pomocą wtmpdb import -f <cel>. Nie istnieje narzędzie do odczytania plików /var/log/lastlog* ani /var/log/btmp*: można je usunąć po aktualizacji.
5.1.7. Zaszyfrowane systemy plików wymagają pakietu systemd-cryptsetup
Obsługę automatycznego wykrywania i montowania zaszyfrowanych systemów plików przeniesiono do nowego pakietu systemd-cryptsetup. Jest to pakiet polecany przez systemd, więc powinien zostać zainstalowany automatycznie przy aktualizacji.
Jeśli korzysta się z zaszyfrowanych systemów plików, przed ponownym uruchomieniem systemu należy się upewnić, że pakiet systemd-cryptsetup został zainstalowany.
5.1.8. Zmieniły się domyślne ustawienia szyfrowania urządzeń dm-crypt w trybie plain
Domyślne ustawienia urządzeń dm-crypt utworzonych w trybie szyfrowania plain (zob. crypttab(5)) zmieniły się, w celu poprawy bezpieczeństwa. Spowoduje to problemy, jeśli nie zapisało się użytych ustawień w /etc/crypttab. Zalecanym sposobem konfiguracji urządzeń w trybie plain jest zapisanie opcji cipher, size oraz hash w /etc/crypttab; w przeciwnym przypadku cryptsetup użyje wartości domyślnych, a uległy one zmianie w stosunku do szyfru (cipher) i algorytmu mieszającego (hash) w wydaniu trixie, co w konsekwencji spowoduje, że takie urządzenia będą wyglądały jak zawierające losowe dane, do momentu prawidłowej konfiguracji.
Nie dotyczy to urządzeń LUKS, ponieważ LUKS zapisuje ustawienia na samym urządzeniu.
Aby prawidłowo skonfigurować urządzenia w trybie plain, zakładając, że utworzono je na podstawie domyślnych ustawień w wydaniu bookworm, należy dodać cipher=aes-cbc-essiv:sha256,size=256,hash=ripemd160 do pliku /etc/crypttab.
Aby uzyskać dostęp do takich urządzeń za pomocą cryptsetup w wierszu polecenia, można użyć opcji --cipher aes-cbc-essiv:sha256 --key-size 256 --hash ripemd160. Debian zaleca konfigurowanie stałych urządzeń poprzez LUKS lub, jeśli używa się trybu plain, korzystając z jawnego podania wszystkich wymaganych ustawień szyfrowania w pliku /etc/crypttab. Nowe wartości domyślne to cipher=aes-xts-plain64 i hash=sha256.
5.1.9. RabbitMQ nie obsługuje już zapytań HA
Zapytania o wysokiej dostępności (high-availability - HA) nie są już obsługiwane przez rabbitmq-server począwszy od wydania trixie. Aby utrzymaćkonfigurację HA, zapytania te należy przełączyć na „quorum queues”.
Jeśli korzysta się z wdrożenia OpenStack, należy przełączyć zapytania na quorum przed dokonaniem aktualizacji. Proszę zauważyć, że począwszy od wydania „Caracal” OpenStack w trixie, OpenStack obsługuje wyłącznie zapytania quorum.
5.1.10. Nie można dokonać bezpośredniej aktualizacji RabbitMQ z wydania bookworm
Nie istnieje bezpośrednia, łatwa ścieżka aktualizacji programu RabbitMQ z wydania bookworm do trixie. Więcej szczegółów w opisie błędu 1100165.
Zalecaną ścieżką aktualizacji jest całkowite usunięcie bazy danych rabbitmq i ponowne uruchomienie usługi (po aktualizacji do wydania trixie). Można to zrobić usuwając katalog /var/lib/rabbitmq/mnesia wraz z całą zawartością.
5.1.11. Aktualizacje do nowych głównych wydań MariaDB gwarantują działanie tylko po czystym wyłączeniu
MariaDB nie obsługuje odzyskiwania po wystąpieniu błędów poprzez różne główne wersje. Na przykład jeśli serwer MariaDB 10.11 doświadczył nagłego wyłączenia ze względu na utratę zasilania lub błąd oprogramowania, baza danych musi być uruchomiona ponownie za pomocą tych samych plików wykonywalnych MariaDB 10.11, dzięki czemu może dojść do poprawnego odzyskania po wystąpieniu błędów oraz uzyskania spójności plików danych oraz dzienników tj. przewinięcia lub cofnięcia przerwanych transakcji.
Jeśli spróbuje się dokonać odzyskania za pomocą MariaDB 11.8, korzystając z katalogu danych z załamanej bazy MariaDB 10.11, nowszy serwer MariaDB odmówi uruchomienia się.
Aby zapewnić, że serwer MariaDB jest wyłączony w uporządkowany sposób przed dokonaniem aktualizacji do nowej wersji głównej, należy zatrzymać usługę poleceniem
# service mariadb stop
po którym należy sprawdzić dzienniki serwera szukając Shutdown complete, aby potwierdzić pomyślne zakończenia opróżniania wszystkich danych i buforów na dysk.
Jeśli w ten sposób nie dokonano czystego wyłączenia, należy dokonać restartu, aby wyzwolić odzyskiwanie po załamaniu, odczekać, ponownie zatrzymać i zweryfikować, czy to drugie zatrzymanie było uporządkowane.
Dodatkowe informacje na temat sposobu tworzenia kopii zapasowych oraz inne istotne informacje dla administratorów systemów opisano w pliku /usr/share/doc/mariadb-server/README.Debian.gz.
5.1.12. Ping nie działa już z podniesionymi uprawnieniami
Domyślna wersja programu ping (zapewniana przez pakiet iputils-ping) nie jest już instalowana z dostępem do przywileju linuksowego CAP_NET_RAW, lecz w zamian korzysta z gniazd datagramowych ICMP_PROTO do komunikacji sieciowej. Dostęp do tych gniazd zależy od przynależności użytkownika do grupy uniksowej, korzystając z kontrolki systemowej net.ipv4.ping_group_range. W normalnych instalacjach pakiet linux-sysctl-defaults ustawi tę wartość na szeroko dozwalającą, umożliwiając użytkownikom nieuprzywilejowanym na korzystanie z pinga tak, jak się tego można spodziewać, jednak niektóre scenariusze aktualizacji mogą nie zainstalować automatycznie tego pakietu. Proszę sprawdzić plik /usr/lib/sysctl.d/50-default.conf oraz dokumentację jądra, aby dowiedzieć się więcej o zachowaniu się tej zmiennej.
5.1.13. Nazwy interfejsów sieciowych mogą się zmienić
Użytkownicy systemów nieposiadający przy dokonywaniu aktualizacji dostępu bezpośredniego lub niezależnego od głównej sieci (out-of-band) powinni zachować ostrożność, ponieważ znamy dwa przypadki, w których nazwy interfejsów sieciowych przypisane przez wydanie trixie mogą różnić się od tych z wydania bookworm. Skutkiem może być zerwanie łączności przez sieć, po ponownym uruchomieniu systemu kończącym aktualizację.
Trudno określić wcześniej, czy dany system jest podatny na ten problem, bez dokonania dokładnej analizy technicznej. Znane konfiguracje sprawiające problemy to:
Systemy korzystające z linuksowego sterownika NIC i40e, zob. błąd #1107187.
Systemy, których oprogramowanie układowe ujawnia obiekt tablicy ACPI
_SUN, który wcześniej był domyślnie ignorowany w wydaniu bookworm (systemd.net-naming-scheme v252), lecz jest teraz używany przez systemd w wersji v257 w wydaniu trixie. Zob. błąd #1092176.Poleceniem
$ udevadm test-builtin net_setup_linkmożna sprawdzić, czy sama zmiana wersji systemd doprowadziłaby do uzyskania odmiennej nazwy. Należy tego dokonać zaraz przed ponownym uruchomieniem systemu, finalizującym aktualizację. Na przykład:
# After apt full-upgrade, but before reboot
$ udevadm test-builtin net_setup_link /sys/class/net/enp1s0 2>/dev/null
ID_NET_DRIVER=igb
ID_NET_LINK_FILE=/usr/lib/systemd/network/99-default.link
ID_NET_NAME=ens1 #< Notice the final ID_NET_NAME name is not "enp1s0"!
Użytkownicy, którzy muszą posiadać stabilne nazwy przy aktualizacji, przed jej dokonaniem powinni utworzyć pliki systemd.link, aby „przypiąć” bieżącą nazwę.
5.1.14. Zmiany w konfiguracji Dovecot
Serwer poczty elektronicznej dovecot w wydaniu trixie korzysta z formatu konfiguracji, który jest niekompatybilny z poprzednimi wersjami. Szczegóły o zmianach w konfiguracji są dostępne na stronie docs.dovecot.org.
Aby uniknąć potencjalnie dłuższego przestoju, wysoce zalecane jest dostosowanie swej konfiguracji w środowisku testowym, przed aktualizacją produkcyjnego systemu pocztowego.
Proszę również zauważyć, że projekt macierzysty usunął pewne funkcje w wersji v2.4. W szczególności, zniknął replicator. Użytkownikom zależnym od tej funkcji, zaleca się wstrzymanie z aktualizacją do wydania trixie, do momentu znalezienia odpowiedniej alternatywy.
5.1.15. Istotne zmiany w pakietowaniu libvirt
Pakiet libvirt-daemon zapewniający API i zestaw narzędzi do zarządzania platformami zwirtualizowanymi został znacznie zmieniony w wydaniu trixie. Każdy backend przechowywania i sterownik obecnie jest dostarczany odrębnym pakietem binarnym, dając większą elastyczność.
Dochowano staranności, aby aktualizacje z wydania bookworm zachowały istniejący zestaw składników, lecz w niektórych przypadkach funkcjonalność może być tymczasowo utracona. Zalecamy dokładne przejrzenie listy instalowanych pakietów binarnych po aktualizacji, aby upewnić się, że wszystkie oczekiwane składniki są obecne; to też dobry moment na rozważenie usunięcia niepotrzebnych składowych.
Dodatkowo, niektóre pliki konfiguracyjne mogą zostać oznaczone jako „przestarzałe” po aktualizacji. Plik /usr/share/doc/libvirt-common/NEWS.Debian.gz zawiera dodatkowe informacje o sposobie weryfikacji, czy dany system jest dotknięty tym problemem i jak go rozwiązać.
5.1.16. Zmiany w pakietowaniu kontrolera domeny Samba: Active Directory
Funkcjonalność Active Directory Domain Controller (AD-DC) wydzielono z pakietu samba. Osoby korzystające z tej funkcji powinny zainstalować pakiet samba-ad-dc.
5.1.17. Samba: moduły VFS
Pakiet samba-vfs-modules został przeorganizowany. Większość modułów VFS jest teraz dołączonych w pakiecie samba. Jednak moduły do ceph i glusterfs wydzielono do pakietów samba-vfs-ceph i samba-vfs-glusterfs.
5.1.18. TLS OpenLDAP jest teraz zapewniany przez OpenSSL
Obsługę TLS w kliencie OpenLDAP libldap2 i serwerze slapd zapewnia teraz OpenSSL, zamiast GnuTLS. Wiąże się to ze zmianą dostępnych opcji konfiguracyjnych oraz ich zachowania.
Szczegóły na temat zmienionych opcji opisano w pliku /usr/share/doc/libldap2/NEWS.Debian.gz.
Jeśli nie poda się certyfikatów CA TLS, teraz automatycznie będzie ładowany domyślny magazyn systemowy. Jeśli nie chce się korzystać z domyślnych ośrodków certyfikacji, konieczne jest ręczne skonfigurowanie zaufanych CA.
Więcej informacji na temat konfiguracji klienta LDAP znajduje się w podręczniku systemowym ldap.conf.5. W przypadku serwera LDAP (slapd) można zapoznać się z plikiem /usr/share/doc/slapd/README.Debian.gz i podręcznikiem slapd-config.5.
5.1.19. bacula-director: Aktualizacja schematu bazy danych wymaga dużo czasu i miejsca na dysku
Przy aktualizacji do wydania trixie, schemat bazy danych Bacula ulegnie istotnej zmianie.
Aktualizacji bazy danych może potrwać wiele godzin lub nawet dni, w zależności od jej rozmiaru oraz wydajności serwera bazodanowego.
Aktualizacja tymczasowo użyje, w przybliżeniu, dwukrotność aktualnie użytej przestrzeni dysku na serwerze bazodanowym, a także dodatkową przestrzeń na zrzut kopii zapasowej bazy danych Bacula w /var/cache/dbconfig-common/backups.
Jeśli w trakcie aktualizacji zabraknie miejsca na dysku, baza danych może ulec uszkodzeniu, co uniemożliwi poprawne działanie danej instalacji Bacula.
5.1.20. dpkg: ostrzeżenie: nie można usunąć starego katalogu: …
Podczas aktualizacji, wobec wielu pakietów dpkg wypisze ostrzeżenia podobne do poniższych. Wynika to jedynie z ukończenia dokonania usrmerge, a ostrzeżenia te można bezpiecznie zignorować.
Unpacking firmware-misc-nonfree (20230625-1) over (20230515-3) ...
dpkg: warning: unable to delete old directory '/lib/firmware/wfx': Directory not empty
dpkg: warning: unable to delete old directory '/lib/firmware/ueagle-atm': Directory not empty
5.1.21. Pomijanie wydań nie jest obsługiwane
Podobnie jak w przypadku wszystkich wydań Debiana, aktualizacja musi być dokonana z poprzedniego wydania. Powinny być też zainstalowane wszystkie uaktualnienia w postaci wydań punktowych. Por. Rozpoczynanie od „czystego” Debiana.
Pomijanie wydań przy aktualizacji jest jednoznacznie nieobsługiwane.
W wydaniu trixie, finalizacja dokonania usrmerge wymaga ukończenia aktualizacji do wydania bookworm, przed rozpoczęciem aktualizacji do wydania trixie.
5.1.22. WirePlumber ma nowy system konfiguracji
WirePlumber ma nowy system konfiguracji. W konfiguracji domyślnej nie jest wymagane działanie; przy modyfikowanej konfiguracji proszę zapoznać się z plikiem /usr/share/doc/wireplumber/NEWS.Debian.gz.
5.1.23. Migracja strongSwan do nowego demona charon
Zestaw IKE/IPsec strongSwan migruje z przestarzałego demona charon-daemon (korzystającego z polecenia ipsec(8) i konfigurowanego w pliku /etc/ipsec.conf) na charon-systemd (zarządzanego narzędziami swanctl(8) i konfigurowanego w pliku /etc/swanctl/conf.d). Wersja trixie metapakietu strongswan zaciągnie nowe zależności, jednak istniejące instalacje nie będą dotknięte zmianą, dopóki pakiet charon-daemon będzie pozostawiony jako zainstalowany. Użytkownikom zaleca się migrację swojej instalacji do nowej konfiguracji, na podstawie strony o migracji projektu macierzystego.
5.1.24. Brak właściwości udev z sg3-utils
Ze względu na błąd 1109923 w pakiecie sg3-utils, baza danych „udev” nie otrzyma wszystkich właściwości urządzeń SCSI. Jeśli używana konfiguracja zależy od właściwości wprowadzanych przez pakiet sg3-utils-udev, należy dokonać migracji na inne rozwiązanie lub przygotować się na rozwiązanie problemów po ponownym uruchomieniu do zaktualizowanego wydania trixie.
5.1.25. Sprawy do zrobienia przed ponownym uruchomieniem
Po zakończeniu apt full-upgrade „formalna” aktualizacja jest zakończona. Przy aktualizacji do wydania trixie, nie są potrzebne żadne specjalne działania przed ponownym uruchomieniem.
5.2. Rzeczy, które nie ograniczają się do procesu aktualizacji
5.2.1. Katalogi /tmp i /var/tmp są teraz regularnie czyszczone
W nowych instalacjach, systemd-tmpfiles będzie teraz okresowo czyścił stare pliki w katalogach /tmp i /var/tmp podczas działania systemu. Zmiana ta powoduje, że Debian zachowuje się zgodnie z innymi dystrybucjami. Jako że istnieje niewielkie ryzyko utraty danych, zdecydowano, że będzie to zmiana typu „opt-in”: przy aktualizacji do wydania trixie, zostanie utworzony plik /etc/tmpfiles.d/tmp.conf, który przywraca stare zachowanie. Plik ten można usunąć, aby korzystać z nowego zachowania lub edytować, aby ustalić własne zasady. Pozostała część tego podrozdziału wyjaśnia nowe zachowanie i sposób dostosowania go.
Nowym zachowaniem jest automatyczne usuwanie plików w /tmp po 10 dniach od momentu ostatniego użycia (jak również po ponownym uruchomieniu komputera). Pliki w /var/tmp są usuwane po 30 dniach (ale nie są usuwane przy ponownym uruchomieniu).
Przed przejściem na nowe zachowanie domyślne, należy zaadoptować wszelkie lokalne programy przechowujące dane w /tmp lub /var/tmp przez dłuższy czas, aby korzystały z innych lokalizacji, takich jak ~/tmp/ albo nakazać systemd-tmpfiles pomijać usuwanie danych, tworząc plik local-tmp-files.conf w /etc/tmpfiles.d zawierający wiersze takie jak:
x /var/tmp/my-precious-file.pdf
x /tmp/foo
Proszę zapoznać się z podręcznikami systemowymi systemd-tmpfiles(8) i tmpfiles.d(5) aby dowiedzieć się więcej.
5.2.2. Komunikat systemd: System is tainted: unmerged-bin
Projekt macierzysty systemd, od wersji 256, uznaje za stosowne informować o posiadaniu przez system oddzielnych katalogów /usr/bin i /usr/sbin. Przy rozruchu systemd wypisuje następujący komunikat na ten temat: System is tainted: unmerged-bin (system jest skażony: niezłączone katalogi bin).
Zaleca się zignorowanie tego komunikatu. Ręczne łączenie opisywanych katalogów nie jest obsługiwane i doprowadzi do problemów przy kolejnych aktualizacjach. Więcej informacji w opisie błędu #1085370.
5.2.3. Ograniczenia we wsparciu bezpieczeństwa
Istnieje kilka pakietów, którym Debian nie może zapewnić minimalnego wsparcia bezpieczeństwa. Szczegółowo opisano je poniżej.
Informacja
Proszę zauważyć, że pakiet debian-security-support, pomaga śledzić status wsparcia bezpieczeństwa zainstalowanych pakietów.
5.2.3.1. Stan bezpieczeństwa przeglądarek internetowych i ich silników
Debian 13 zawiera kilka silników przeglądarek, które są narażone na wiele zagrożeń bezpieczeństwa. Wysoki poziom błędów związanych z bezpieczeństwem oraz częściowy brak długotrwałego wsparcia przez projekty macierzyste powoduje, że bardzo trudno jest wspierać te przeglądarki w postaci przepisywanych do starszych wersji poprawek bezpieczeństwa. Co więcej, zależności między bibliotekami powodują, że aktualizacja do nowszych wersji jest niezwykle trudna. Przeglądarki korzystające z pakietu źródłowego webkit2gtk (np. epiphany) są objęte wsparciem bezpieczeństwa, lecz aplikacje korzystające z qtwebkit (pakiet źródłowy qtwebkit-opensource-src) nie są.
Jako przeglądarkę ogólnego użytku zalecamy Firefox lub Chromium. Będą utrzymywane w aktualności, przez przebudowywanie ich wydań o przedłużonym wsparciu (ESR) do wydania stabilnego. Ta sama strategia będzie stosowana do klienta poczty Thunderbird.
Po tym, jak wydanie stanie się starym wydaniem stabilnym - oldstable, oficjalnie wspierane przeglądarki mogą nie otrzymywać uaktualnień przez standardowy okres dla wydania. Na przykład wsparcie bezpieczeństwa Chromium w oldstable będzie utrzymywane tylko przez 6 miesięcy, zamiast standardowych 12 miesięcy.
5.2.3.2. Pakiety korzystające z Go i Rust
Infrastruktura Debiana obecnie ma problemy z przebudowywaniem pakietów, które regularnie korzystają ze statycznego linkowania. Rozrost ekosystemów Go i Rust oznacza, że pakiety te otrzymają ograniczone wsparcie bezpieczeństwa, do momentu usprawnienia infrastruktury.
W większości przypadków, jeśli biblioteki rozwojowe Go lub Rust będą wymagały uaktualnienia, będą one wydawane tylko przy okazji standardowych wydań punktowych.
5.2.4. Problemy z maszynami wirtualnymi na 64-bitowych PowerPC little-endian (ppc64el)
Obecnie, QEMU zawsze stara się konfigurować maszyny wirtualne PowerPC w celu obsługi stron pamięci o rozmiarze 64 kiB. Nie zadziała to w przypadku maszyn wirtualnych, korzystających z przyspieszenia KVM, używających domyślnego pakietu jądra.
Jeśli goszczony system operacyjny może użyć rozmiaru strony o wielkości 4 kiB, powinno się ustawić własność maszyny
cap-hpt-max-page-size=4096. Na przykład:$ kvm -machine pseries,cap-hpt-max-page-size=4096 -m 4G -hda guest.img
Jeśli goszczony system operacyjny wymaga rozmiaru strony o wielkości 64 kiB, powinno się zainstalować pakiet linux-image-powerpc64le-64k; zob. rozdział Rozmiar strony 64-bitowego PowerPC little-endian (ppc64el).
5.3. Przestarzałe elementy systemu
5.3.1. Znane pakiety oznaczone jako przestarzałe
Poniższa lista zawiera znane i warte uwagi pakiety, które zostały uznane za przestarzałe (zob. wyjaśnienie w rozdziale Przestarzałe pakiety).
Lista przestarzałych pakietów obejmuje:
Pakiet libnss-gw-name został usunięty z wydania trixie. Deweloperzy z projektu macierzystego sugerują korzystanie w zamian z libnss-myhostname.
Pakiet pcregrep został usunięty z wydania trixie. Można go zastąpić poleceniem
grep -P(--perl-regexp) lubpcre2grep(z pakietu pcre2-utils).Pakiet request-tracker4 usunięto z wydania trixie. Jego zamiennikiem jest request-tracker5, który zawiera instrukcję nt. migracji danych: w celu migracji można zachować przestarzały pakiet request-tracker4 z wydania bookworm.
Pakiety git-daemon-run i git-daemon-sysvinit usunięto z wydania trixie ze względów bezpieczeństwa.
Pakiet nvidia-graphics-drivers-tesla-470 nie jest już wspierany przez projekt macierzysty i został usunięty z wydania trixie.
Pakiet deborphan usunięto z wydania trixie. Do usuwania niepotrzebnych pakietów należy stosować
apt autoremove, po wcześniejszym wykonaniuapt-mark minimize-manual. Przydatnym narzędziem może być też debfoster.
5.3.2. Przestarzałe składniki w wydaniu trixie
W następnym wydaniu 14 (nazwa kodowa: forky) niektóre funkcje zostaną porzucone. Proszę przejść na rozwiązania alternatywne, aby uniknąć problemów przy aktualizacji do Debiana 14.
Obejmuje to poniższe funkcje:
Pakiet sudo-ldap zostanie usunięty w wydaniu forky. Zespół sudo Debiana zdecydował o jego wycofaniu, ze względu na trudności w utrzymaniu oraz ograniczonym wykorzystaniu. Nowe i istniejące systemy powinny w zamian korzystać z libsss-sudo.
Aktualizacja Debiana z wydania trixie do forky bez ukończenia tej migracji może spowodować brak oczekiwanego podniesienia uprawnień.
Więcej szczegółów w opisie błędu 1033728 oraz w pliku NEWS pakietu sudo.
Funkcja sudo_logsrvd, wykorzystywana do rejestrowania wejścia/wyjścia sudo może być usunięta w Debianie forky, chyba że pojawi się chętny opiekun pakietu. Ta składowa ma ograniczone zastosowanie w kontekście Debiana, a jej utrzymywanie niepotrzebnie zwiększa złożoność prostego pakietu sudo.
Dyskusja na ten temat trwa w opisie błędu 1101451 oraz w pliku NEWS pakietu sudo.
Pakiet libnss-docker nie jest już dłużej rozwijany przez projekt macierzysty i wymaga wersji 1.21 API Dockera. Ta przestarzała wersja API jest wciąż obsługiwana przez Docker Engine v26 (dostarczany przez Debiana trixie), lecz zostanie usunięta w Docker Engine v27+ (będą dostarczane w Debianie forky). O ile rozwój w projekcie macierzystym nie zostanie wznowiony, pakiet zostanie usunięty w Debianie forky.
Pakiety openssh-client i openssh-server obecnie obsługują uwierzytelnianie i wymianę kluczy za pomocą GSS-API, co zwykle służy do uwierzytelnienia z usługami Kerberos. Powoduje to pewne problemy, specjalnie po stronie serwera, dodając nową płaszczyznę do ataków typu wstępnego uwierzytelnienia; dlatego pakiety OpenSSH z głównej sekcji Debiana porzucą tę obsługę w wydaniu forky.
Jeżeli korzysta się z wymiany kluczy lub uwierzytelniania GSS-API (proszę poszukać opcji zaczynających się od
GSSAPIw plikach konfiguracyjnych OpenSSH), to obecnie należy zainstalować pakiet openssh-client-gssapi (na klientach) lub openssh-server-gssapi (na serwerach). W wydaniu trixie są to puste pakiety, które zależą od, odpowiednio, openssh-client i openssh-server; natomiast w wydaniu forky zostaną zbudowane odrębnie.sbuild-debian-developer-setup został porzucony na rzecz sbuild+unshare
sbuild, narzędzie do budowania pakietów Debiana w minimalnym środowisku, zyskało znaczną aktualizację i powinno teraz działać od razu, bez konieczności modyfikacji. Z tego względu pakiet sbuild-debian-developer-setup nie jest już wymagany i został uznany za przestarzały. Można wypróbować nową wersję poleceniem:
$ sbuild --chroot-mode=unshare --dist=unstable hello
Pakiet fcitx został uznany za przestarzały na korzyść fcitx5
Infrastruktura metody wprowadzania danych fcitx, znana też jako fcitx4 lub fcitx 4.x, nie jest już dłużej utrzymywana przez projekt macierzysty. Z tego powodu wszystkie powiązane pakiety z metodami wprowadzania są uznane za przestarzałe. Pakiet fcitx oraz pakiety z nazwami zaczynającymi się od fcitx- zostaną usunięte w wydaniu forky Debiana.
Obecni użytkownicy fcitx są zachęcani do przejścia na fcitx5, korzystając z przewodnika migracji projektu macierzystego fcitx oraz strony Wiki Debiana.
Pakiet zarządzania maszyną wirtualną lxd nie jest aktualizowany i użytkownicy powinni przenieść się na incus.
Po tym, jak firma Canonical Ltd zmieniła licencję stosowaną przez LXD oraz wprowadziła nowe wymaganie akceptacji umowy CLA, jako odgałęzienie utrzymywane przez społeczność powstał projekt Incus (zob. błąd 1058592). Debian zaleca przejście z LXD na Incusa. Pakiet incus-extra zawiera narzędzia do migracji kontenerów i maszyn wirtualnych z LXD.
Zestaw isc-dhcp został porzucony przez projekt macierzysty.
Jeśli korzysta się z NetworkManager lub systemd-networkd, można bezpiecznie usunąć pakiet isc-dhcp-client, ponieważ oba menedżery dostarczają swoje własne implementacje. Jeśli korzysta się z pakietu ifupdown, zamiennik dostarcza pakiet dhcpcd-base. ISC jako zamiennik do serwerów DHCP zaleca pakiet Kea.
5.4. Znane, poważne błędy
Choć Debian jest wydawany dopiero gdy jest gotowy, nie oznacza to niestety, że nie występują znane błędy. Jako część procesu wydania, wszystkie błędy o statusie poważny lub wyższym są aktywnie śledzone przez Zespół ds. Wydań, dlatego przegląd tych błędów, które zostały oznaczone jako do zignorowania, w ostatniej części procesu wydawniczego trixie, można znaleźć w Systemie śledzenia błędów Debiana. Następujące błędy, które dotyczyły trixie w chwili wydania okazały się warte odnotowania w niniejszym dokumencie:
Numer błędu |
Pakiet (źródłowy lub binarny) |
Opis |
|---|---|---|
akonadi-backend-mysql |
serwer akonadi nie uruchamia się, nie mogąc połączyć się z bazą danych mysql |
|
flash-kernel |
dostępne jądra nie zawsze są aktualizowane w konfiguracji u-boot |