Пасля двух гадоў распрацоўкі рэліз (), даступны для дзесяці афіцыйна падтрымліваемых : Intel IA-32/x86 (i686), AMD64 / x86-64, ARM EABI (armel), 64-bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) і IBM System z (s390x). Абнаўленні для Debian 10 будуць выпускацца на працягу 5 гадоў.
У рэпазітары прадстаўлена 57703 бінарных пакетаў, што прыкладна на 6 тысяч больш, чым было прапанавана ў Debian 9. У параўнанні з Debian 9 дададзена 13370 новых бінарных пакетаў, выдалена 7278 (13%) састарэлых або закінутых пакетаў, абноўлена 35532 (62%) . Для 91.5% пакетаў падтрымка паўтаральных зборак, якія дазваляюць пацвердзіць, што выкананы файл сабраны менавіта з заяўленых зыходных тэкстаў і не ўтрымоўвае старонніх змен, падстаноўка якіх, напрыклад, можа быць здзейснена шляхам нападу на зборачную інфраструктуру ці закладкі ў кампілятары.
Для DVD-вобразы, загрузіць якія можна па , або . Таксама неафіцыйная ўсталявальная выява nonfree, улучальны ў сябе прапрыетарныя прашыўкі. Для архітэктур amd64 і i386 распрацаваны , даступныя ў варыянтах з GNOME, KDE і Xfce, а таксама шматархітэктурны DVD, які спалучае пакеты для платформы amd64 з дадатковымі пакетамі для архітэктуры i386. Дададзена падтрымка загружаных па сетцы (netboot) выяў для SD-карт і выявы, які змяшчаецца на 16 Гб USB Flash;
у Debian 10.0:
- падтрымка UEFI Secure Boot, для забеспячэння працы якой задзейнічаны загрузнік Shim, завераны лічбавым подпісам ад кампаніі Microsoft (shim-signed), у спалучэнні з запэўненнем ядра і загрузніка grub (grub-efi-amd64-signed) уласным сертыфікатам праекту (shim выступае як праслойка для выкарыстання дыстрыбутывам уласных ключоў). Пакеты shim-signed і grub-efi-ARCH-signed уключаны ў лік зборачных залежнасцяў для amd64, i386 і arm64. Загрузнік і grub, завераныя працоўным сертыфікатам, уключаны ў склад EFI-вобразаў для amd64, i386 і arm64. Нагадаем, што першапачаткова падтрымка Secure Boot чакалася ў Debian 9, але яе не паспелі стабілізаваць да рэлізу і адклалі да наступнага значнага выпуску дыстрыбутыва;
- Уключаная па змаўчанні падтрымка сістэмы мандатнага кантролю доступу AppArmor, якая дазваляе кантраляваць паўнамоцтвы працэсаў, вызначаючы спісы файлаў з адпаведнымі правамі (на чытанне, запіс, адлюстраванне ў памяць і запуск, усталёўку блакавання на файл і да т.п.) для кожнага прыкладання, а таксама кантраляваць доступ да сеткі (напрыклад, забараніць выкарыстанне ICMP) і кіраваць POSIX capabilities. Асноўнае адрозненне AppArmor ад SELinux складаецца ў тым, што SELinux аперуе асацыяванымі з аб'ектам пазнакамі, а AppArmor вызначае паўнамоцтвы на падставе файлавага шляху, што прыкметна спрашчае працэс налады. У асноўным пакеце з AppArmor пастаўляюцца профілі абароны толькі для некаторых прыкладанняў, а для астатніх варта выкарыстоўваць пакет apparmor-profiles-extra ці профілі з пакетаў пэўных прыкладанняў;
- На змену iptables, ip6tables, arptables і ebtables пакетны фільтр nftables, які зараз прымяняецца па змаўчанні і адметны уніфікацыяй інтэрфейсаў фільтрацыі пакетаў для IPv4, IPv6, ARP і сеткавых мастоў. Nftables падае на ўзроўні ядра толькі агульны інтэрфейс, не які залежыць ад пэўнага пратаколу і які прадстаўляе базавыя функцыі вымання дадзеных з пакетаў, выкананні аперацый з дадзенымі і кіраванні струменем. Непасрэдна логіка фільтрацыі і спецыфічныя для пратаколаў апрацоўшчыкі кампілююцца ў байткод у прасторы карыстача, пасля чаго дадзены байткод загружаецца ў ядро пры дапамозе інтэрфейсу Netlink і выконваецца ў адмысловай віртуальнай машыне, якая нагадвае BPF (Berkeley Packet Filters);
Па змаўчанні ўсталёўваецца пакет iptables-nft, які прапануе набор утыліт для забеспячэння сумяшчальнасці з iptables, мелых такі ж сінтаксіс каманднага радка, але якія транслююць атрыманыя правілы ў байткод nf_tables, выкананы ў віртуальнай машыне. Апцыянальна даступны для ўсталёўкі пакет iptables-legacy, старую рэалізацыю на аснове x_tables. Выкананыя файлы iptables зараз усталёўваюцца ў /usr/sbin, а не ў /sbin (для сумяшчальнасці ствараюцца сімвалічныя спасылкі);
- Для APT рэалізаваны рэжым sandbox-ізаляцыі, які ўключаецца праз опцыю APT::Sandbox::Seccomp і які забяспечвае фільтраванне сістэмных выклікаў пры дапамозе seccomp-BPF. Для больш тонкай налады белага і чорнага спісаў сістэмных выклікаў можна выкарыстоўваць спісы APT::Sandbox::Seccomp::Trap і APT::Sandbox::Seccomp::Allow;
- Ядро Linux абноўлена да версіі 4.19;
- Працоўны стол GNOME па змаўчанні пераведзены на выкарыстанне Wayland, а сеанс на базе X-сервера прапанаваны ў выглядзе опцыі (X-сервер па-ранейшаму ўваходзіць у лік пакетаў, якія ўваходзяць у базавую пастаўку). Абноўлены графічны стэк і карыстацкія асяроддзі: , , Cinnamon 3.8, LXDE 0.99.2, , , і Xfce 4.12. Офісныя пакет LibreOffice абноўлены да выпуску , а Calligra да выпуску . Абноўлены Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
- У склад дыстрыбутыва ўключаны кампілятар для мовы Rust (пастаўляецца Rustc 1.34). Абноўлены GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2;
- Абноўлены серверныя прыкладанні, у тым ліку Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9 (у ядры забяспечаны
- У cryptsetup пераход на фармат шыфравання дыскаў LUKS2 (раней ужываўся LUKS1). LUKS2 адрозніваецца спрошчанай сістэмай кіравання ключамі, магчымасцю выкарыстання сектараў вялікага памеру (4096 замест 512, зніжае нагрузку пры расшыфроўцы), сімвальнымі ідэнтыфікатарамі раздзелаў (label) і сродкамі рэзервавання метададзеных з магчымасцю іх аўтаматычнага аднаўлення з копіі ў выпадку выяўлення пашкоджанні. У працэсе абнаўлення існуючыя раздзелы LUKS1 аўтаматычна будуць пераўтвораны ў фармат, сумяшчальны з LUKS2, але з-за абмежаванняў памеру загалоўка не ўсе новыя магчымасці для іх будуць даступныя;
- Ва ўсталёўнік дададзена магчымасць выкарыстання адначасова некалькіх кансоляў падчас усталёўкі. Выдалена падтрымка ReiserFS. Для Btrfs дададзена падтрымка сціску ZSTD (libzstd). Дададзена падтрымка прылад NVMe;
- У debootstrap па змаўчанні задзейнічана опцыя "-merged-usr", пры якой усе выкананыя файлы і бібліятэкі з каранёвых дырэкторый пераносяцца ў падзел /usr (каталогі /bin, /sbin і /lib* аформлены як сімвалічныя спасылкі на адпаведныя каталогі ўсярэдзіне /usr) . Змена ўжываецца толькі для новых усталёвак, падчас абнаўленняў пакідаецца старая раскладка каталогаў;
- У пакеце unattended-upgrades, акрамя аўтаматычнай усталёўкі абнаўленняў, злучаных з ухіленнем уразлівасцяў, зараз таксама па змаўчанні ўключана абнаўленне да прамежкавых выпускаў (Debian 10.1, 10.2 і да т.п.);
- Кампаненты сістэмы друку абноўлены да і cups-filters 1.21.6 з паўнавартаснай падтрымкай AirPrint, DNS-SD (Bonjour) і IPP Everywhere для вываду на друк без папярэдняй усталёўкі драйвераў;
- Дададзена падтрымка поплаткаў на базе працэсараў Allwinner A64, такіх як FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 Plus);
- Пашырана колькасць падтрымліваемых камандай Debian Med метапакетаў med-*, якія дазваляюць усталяваць , звязаныя з біялогіяй і медыцынай;
- Забяспечана падтрымка гасцявых сістэм Xen у рэжыме PVH;
- У OpenSSL адключаная падтрымка пратаколаў TLS 1.0 і 1.1, у якасці мінімальнай падтрымліваемай версіі заяўлена TLS 1.2;
- Выдалены шматлікія састарэлыя і пакінутыя без суправаджэння пакеты, уключаючы Qt 4 (пакінуты толькі Qt 5), phpmyadmin, ipsec-tools, racoon, ssmtp, ecryptfs-utils, mcelog, revelation. У Debian 11 будзе спынена падтрымка Python 2;
- Створаны порт для 64-разраднай архітэктуры RISC-V, які не ўвайшоў у лік афіцыйна падтрымліваемых у Debian 10. У цяперашні час для RISC- каля 90% ад агульнай колькасці пакетаў;
- У Live-акружэннях пачаў ужывацца які развіваецца незалежна модульны ўсталёўнік з інтэрфейсам на базе Qt, які таксама прымяняецца для арганізацыі ўстаноўкі дыстрыбутываў Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva і KDE neon. У звычайных усталявальных зборках працягвае выкарыстоўвацца debian-installer.
У дадатак да раней даступных сфарміравана Live-асяроддзе з працоўным сталом LXQt і Live-асяроддзе без графічнага інтэрфейсу, толькі з кансольнымі ўтылітамі, якія складаюць базавую сістэму. Кансольнае Live-асяроддзе можа быць скарыстана для вельмі хуткай усталёўкі дыстрыбутыва, бо ў адрозненне ад традыцыйных усталявальных выяў ажыццяўляецца капіяванне ўжо гатовага зрэзу каталогаў, без расчынення асобных пакетаў пры дапамозе dpkg.
Крыніца: opennet.ru