ProHoster > Blog > Internetnachrichten > Debian 10 „Buster“-Veröffentlichung

Debian 10 „Buster“-Veröffentlichung

Nach zwei Jahren Entwicklungszeit fand statt freigeben Debian GNU / Linux 10.0 (Freundchen), verfügbar für zehn offiziell unterstützte Architekturen: Intel IA-32/x86 (i686), AMD64 / x86-64, ARM EABI (armel), 64-bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) und IBM System z (s390x). Updates für Debian 10 werden über einen Zeitraum von 5 Jahren veröffentlicht.

Das Repository enthält 57703 Binärpakete, das sind etwa 6 mehr als das, was in Debian 9 angeboten wurde. Im Vergleich zu Debian 9 wurden 13370 neue Binärpakete hinzugefügt, 7278 (13 %) veraltete oder aufgegebene Pakete wurden entfernt, 35532 (62 %-Pakete wurden aktualisiert. Für 91.5 % der Pakete zur Verfügung gestellt Unterstützung für wiederholbare Builds, mit denen Sie bestätigen können, dass die ausführbare Datei genau aus den deklarierten Quellcodes erstellt wurde und keine überflüssigen Änderungen enthält, deren Ersetzung beispielsweise durch Angriffe auf die Assembly-Infrastruktur oder Lesezeichen im Compiler erfolgen kann .

für загрузки vorhanden DVD-Bilder, die heruntergeladen werden können von HTTP, Jigdo oder BitTorrent. Auch gebildet Ein inoffizielles, nicht kostenloses Installationsimage, das proprietäre Firmware enthält. Entwickelt für AMD64- und i386-Architekturen LiveUSB, verfügbar in den Varianten GNOME, KDE und Xfce, sowie eine Multi-Arch-DVD, die Pakete für die amd64-Plattform mit zusätzlichen Paketen für die i386-Architektur kombiniert. Unterstützung für über das Netzwerk heruntergeladene Bilder (Netboot) für SD-Karten und Bilder, die auf 16 GB USB-Flash passen, hinzugefügt;

Taste Veränderungen in Debian 10.0:

  • Umgesetzt Unterstützung für UEFI Secure Boot, das den Shim-Bootloader verwendet, der mit einer digitalen Signatur von Microsoft zertifiziert ist (shim-signed), in Kombination mit der Zertifizierung des Grub-Kernels und des Bootloaders (grub-efi-amd64-signed) durch das Projekt selbst Zertifikat (Shim fungiert als Schicht für die Verteilung, um ihre eigenen Schlüssel zu verwenden). Die shim-signierten und grub-efi-ARCH-signierten Pakete sind als Build-Abhängigkeiten für amd64, i386 und arm64 enthalten. Der Bootloader und Grub, zertifiziert durch ein Arbeitszertifikat, sind in den EFI-Images für amd64, i386 und arm64 enthalten. Erinnern wir uns daran, dass die Unterstützung von Secure Boot ursprünglich in Debian 9 erwartet wurde, diese jedoch vor der Veröffentlichung nicht stabilisiert und auf die nächste Hauptversion der Distribution verschoben wurde;
  • Standardmäßig ist die Unterstützung für das obligatorische Zugriffskontrollsystem AppArmor aktiviert, mit dem Sie die Befugnisse von Prozessen steuern können, indem Sie Listen von Dateien mit entsprechenden Rechten (Lesen, Schreiben, Speicherzuordnung und -ausführung, Festlegen einer Dateisperre usw.) für jede Datei definieren Anwendung sowie die Kontrolle des Netzwerkzugriffs (z. B. die Verwendung von ICMP verbieten) und die Verwaltung der POSIX-Funktionen. Der Hauptunterschied zwischen AppArmor und SELinux besteht darin, dass SELinux mit Etiketten arbeitet, die einem Objekt zugeordnet sind, während AppArmor Berechtigungen basierend auf dem Dateipfad bestimmt, was den Konfigurationsprozess erheblich vereinfacht. Das Hauptpaket mit AppArmor bietet Schutzprofile nur für einige Anwendungen, für den Rest sollten Sie das Paket apparmor-profiles-extra oder Profile aus bestimmten Anwendungspaketen verwenden;
  • Ersetzt iptables, ip6tables, arptables und ebtables ist gekommen nftables-Paketfilter, der jetzt der Standard ist und sich durch die Vereinheitlichung von Paketfilterschnittstellen für IPv4, IPv6, ARP und Netzwerkbrücken auszeichnet. Nftables bietet lediglich eine generische, protokollunabhängige Schnittstelle auf Kernel-Ebene, die grundlegende Funktionen zum Extrahieren von Daten aus Paketen, zum Durchführen von Datenoperationen und zur Flusskontrolle bereitstellt. Die Filterlogik selbst und protokollspezifische Handler werden im Benutzerbereich in Bytecode kompiliert. Anschließend wird dieser Bytecode mithilfe der Netlink-Schnittstelle in den Kernel geladen und in einer speziellen virtuellen Maschine ausgeführt, die an BPF (Berkeley Packet Filters) erinnert.

    Standardmäßig ist das Paket iptables-nft installiert, das eine Reihe von Dienstprogrammen bietet, um die Kompatibilität mit iptables sicherzustellen. Es verfügt über dieselbe Befehlszeilensyntax, übersetzt die resultierenden Regeln jedoch in nf_tables-Bytecode, der in der virtuellen Maschine ausgeführt wird. Das Paket iptables-legacy steht optional zur Installation zur Verfügung, einschließlich alte Implementierung basierend auf x_tables. Ausführbare iptables-Dateien werden jetzt in /usr/sbin statt in /sbin installiert (aus Kompatibilitätsgründen werden symbolische Links erstellt).

  • Für APT ist ein Sandbox-Isolationsmodus implementiert, der über die Option APT::Sandbox::Seccomp aktiviert wird und die Filterung von Systemaufrufen mithilfe von seccomp-BPF ermöglicht. Zur Feinabstimmung der White- und Blacklists von Systemaufrufen können Sie die Listen APT::Sandbox::Seccomp::Trap und APT::Sandbox::Seccomp::Allow verwenden;
  • Linux-Kernel auf Version 4.19 aktualisiert;
  • Der GNOME-Desktop wurde standardmäßig auf Wayland umgestellt und eine X-Server-basierte Sitzung wird optional angeboten (X-Server ist weiterhin im Basispaket enthalten). Aktualisierter Grafikstapel und Benutzerumgebungen: GNOME 3.30, KDE-Plasma 5.14, Zimt 3.8, LXDE 0.99.2, LXQt 0.14, MATE 1.20und Xfce 4.12. Die Office-Suite LibreOffice wurde auf die Veröffentlichung aktualisiert 6.1, und Calligra vor der Veröffentlichung 3.1. Aktualisierte Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
  • Die Distribution enthält einen Compiler für die Rust-Sprache (Rustc 1.34 wird mitgeliefert). Aktualisierte GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2;
  • Serveranwendungen wurden aktualisiert, darunter Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9 (SMBv3-Unterstützung wird im Kernel bereitgestellt);
  • Im Cryptsetup umgesetzt Übergang zum LUKS2-Festplattenverschlüsselungsformat (zuvor wurde LUKS1 verwendet). LUKS2 zeichnet sich durch ein vereinfachtes Schlüsselverwaltungssystem, die Möglichkeit zur Verwendung großer Sektoren (4096 statt 512, reduziert die Belastung bei der Entschlüsselung), symbolische Partitionskennungen (Label) und Metadaten-Backup-Tools mit der Möglichkeit aus, diese bei Bedarf automatisch aus einer Kopie wiederherzustellen Schäden festgestellt werden. Beim Upgrade-Prozess werden vorhandene LUKS1-Abschnitte automatisch in ein LUKS2-kompatibles Format konvertiert. Aufgrund von Einschränkungen der Header-Größe stehen ihnen jedoch nicht alle neuen Funktionen zur Verfügung.
  • Das Installationsprogramm bietet die Möglichkeit, während des Installationsvorgangs mehrere Konsolen gleichzeitig zu verwenden. Die ReiserFS-Unterstützung wurde entfernt. Unterstützung für ZSTD-Komprimierung (libzstd) für Btrfs hinzugefügt. Unterstützung für NVMe-Geräte hinzugefügt;
  • In debootstrap ist die Option „--merged-usr“ standardmäßig aktiviert, bei der alle ausführbaren Dateien und Bibliotheken aus den Stammverzeichnissen in die /usr-Partition verschoben werden (die Verzeichnisse /bin, /sbin und /lib* sind als ausgelegt). symbolische Links zu den entsprechenden Verzeichnissen in /usr). Die Änderung gilt nur für Neuinstallationen; das alte Verzeichnislayout bleibt während des Update-Vorgangs erhalten;
  • Im Paket „unattended-upgrades“ ist neben der automatischen Installation von Updates zur Beseitigung von Schwachstellen nun auch das Upgrade auf Zwischenversionen (Debian 10.1, 10.2 usw.) standardmäßig aktiviert;
  • Drucksystemkomponenten wurden aktualisiert auf TASSEN 2.2.10 und cups-filters 1.21.6 mit voller Unterstützung für AirPrint, DNS-SD (Bonjour) und IPP Everywhere zum Drucken ohne vorherige Installation von Treibern;
  • Unterstützung für Boards hinzugefügt, die auf Allwinner A64-Prozessoren basieren, wie FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 und Xunlong Orange Pi Win (Plus);
  • Die Anzahl der vom Debian Med-Team unterstützten med-*-Metapakete wurde erweitert, sodass Sie sie installieren können Programmauswahlbezogen auf Biologie und Medizin;
  • Unterstützung für Xen-Gastsysteme im PVH-Modus wird bereitgestellt;
  • OpenSSL unterstützt die Protokolle TLS 1.0 und 1.1 nicht; TLS 1.2 wird als unterstützte Mindestversion deklariert;
  • Viele veraltete und nicht gewartete Pakete wurden entfernt, darunter Qt 4 (nur Qt 5 ist übrig), phpmyadmin, ipsec-tools, racoon, ssmtp, ecryptfs-utils, mcelog, revelation. Debian 11 beendet die Unterstützung für Python 2;
  • Für die 64-Bit-RISC-V-Architektur wurde ein Port erstellt, der in Debian 10 nicht offiziell unterstützt wird. Derzeit für RISC-Verfolgreich zusammengebaut etwa 90 % der Gesamtzahl der Pakete;
  • Ein unabhängig entwickeltes modulares Installationsprogramm wurde erstmals in Live-Umgebungen verwendet Calamares mit einer Qt-basierten Schnittstelle, die auch zur Organisation der Installation der Neon-Distributionen Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva und KDE verwendet wird. Reguläre Installations-Builds verwenden weiterhin den Debian-Installer.

    Zusätzlich zu den bisher verfügbaren Versionen wurden eine Live-Umgebung mit dem LXQt-Desktop und eine Live-Umgebung ohne grafische Oberfläche, nur mit Konsolendienstprogrammen, die das Basissystem bilden, erstellt. Mit der Konsolen-Live-Umgebung kann eine Distribution sehr schnell installiert werden, da im Gegensatz zu herkömmlichen Installationsimages ein vorgefertigter Verzeichnisausschnitt kopiert wird, ohne dass einzelne Pakete mit dpkg geöffnet werden müssen.

Source: opennet.ru

Kommentar hinzufügen