Nach zwei Jahren Entwicklung Release (), verfügbar für zehn offiziell unterstützte : Intel IA-32/x86 (i686), AMD64/x86-64, ARM EABI (armel), 64-Bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) und IBM System z (s390x). Updates für Debian 10 werden über einen Zeitraum von 5 Jahren bereitgestellt.
Das Repository bietet 57703 Binärpakete, das sind etwa 6000 mehr als in Debian 9. Im Vergleich zu Debian 9 wurden 13370 neue Binärpakete hinzugefügt, 7278 (13 %) veraltete oder aufgegebene Pakete entfernt und 35532 (62 %) Pakete aktualisiert. Für 91,5 % der Pakete gibt es Unterstützung für reproduzierbare Builds, die bestätigen, dass das ausführbare Programm genau aus den angegebenen Quelltexten erstellt wurde und keine unbefugten Änderungen enthält, die z. B. durch Angriffe auf die Build-Infrastruktur oder durch Hintertüren im Compiler eingeführt werden könnten.
Für Die DVD-Images können heruntergeladen werden über , oder . Zudem ein inoffizielles Installationsimage nonfree, das proprietäre Firmware enthält. Für die Architekturen amd64 und i386 wurden , verfügbar in den Varianten GNOME, KDE und Xfce, sowie einem multiarchitektur-DVD, das Pakete für die amd64-Plattform mit zusätzlichen Paketen für die i386-Architektur kombiniert. Die Unterstützung für netboot-fähige Images für SD-Karten sowie ein Image, das auf einen 16 GB USB-Stick passt, wurde hinzugefügt;
in Debian 10.0:
- Unterstützung für UEFI Secure Boot, bei dem der Bootloader Shim verwendet wird, der mit einer digitalen Signatur von Microsoft (shim-signed) zertifiziert ist, in Kombination mit der Zertifizierung des Kernels und des Bootloaders grub (grub-efi-amd64-signed) mit einem eigenen Zertifikat des Projekts (Shim fungiert als Schicht zur Nutzung der eigenen Schlüssel des Distributionsprojekts). Die Pakete shim-signed und grub-efi-ARCH-signed sind Teil der Build-Abhängigkeiten für amd64, i386 und arm64. Der Bootloader und grub, die mit einem Arbeitssicherheitszertifikat zertifiziert sind, sind Bestandteil der EFI-Images für amd64, i386 und arm64. Es sei daran erinnert, dass die Unterstützung für Secure Boot ursprünglich in Debian 9 erwartet wurde, jedoch nicht rechtzeitig stabilisiert werden konnte und auf die nächste bedeutende Veröffentlichung des Distributionsprojekts verschoben wurde;
- Standardmäßig ist die Unterstützung für das AppArmor-Zugriffssteuerungssystem aktiviert. Dieses System ermöglicht die Kontrolle der Berechtigungen von Prozessen, indem es Dateilisten mit entsprechenden Rechten (z. B. Lesen, Schreiben, Einfügen in den Speicher und Ausführen, Sperren von Dateien usw.) für jede Anwendung definiert. Zudem wird der Netzwerkzugang kontrolliert (z. B. das Verbot der Verwendung von ICMP) und das Management von POSIX-Fähigkeiten ermöglicht. Der Hauptunterschied zwischen AppArmor und SELinux besteht darin, dass SELinux mit objektassoziierten Labels arbeitet, während AppArmor Berechtigungen basierend auf dem Dateipfad definiert, was den Konfigurationsprozess erheblich vereinfacht. Im Basispaket von AppArmor sind Sicherheitsprofile nur für einige Anwendungen enthalten; für andere sollten entweder das Paket apparmor-profiles-extra oder Profile aus spezifischen Anwendungs-Paketen verwendet werden.
- Ersetzt iptables, ip6tables, arptables und ebtables. Nftables ist der standardmäßig verwendete Paketfilter und zeichnet sich durch die Vereinheitlichung der Filterinterfaces für IPv4, IPv6, ARP und Netzwerkbrücken aus. Nftables bietet lediglich ein allgemeines Interface auf Kernel-Ebene, das unabhängig von einem bestimmten Protokoll ist und grundlegende Funktionen zum Extrahieren von Daten aus Paketen, zur Durchführung von Datenoperationen und zur Verkehrsverwaltung bereitstellt. Die Filterlogik und protokollspezifische Handler werden in Bytecode im Benutzerspeicher kompiliert, danach wird dieser Bytecode über das Netlink-Interface in den Kernel geladen und in einer speziellen virtuellen Maschine ausgeführt, die der BPF (Berkeley Packet Filters) ähnelt.
Standardmäßig wird das Paket iptables-nft installiert, das eine Reihe von Dienstprogrammen für die Kompatibilität mit iptables anbietet, die denselben Befehlszeilen-Syntax verwenden, aber die empfangenen Regeln in den Bytecode nf_tables transpilieren, der in der virtuellen Maschine ausgeführt wird. Optional kann das Paket iptables-legacy installiert werden. Die alte Implementierung basierend auf x_tables. Die ausführbaren Dateien von iptables werden jetzt in /usr/sbin und nicht mehr in /sbin installiert (zur Kompatibilität werden symbolische Links erstellt);
- Für APT wurde ein Sandbox-Isolationsmodus implementiert, der über die Option APT::Sandbox::Seccomp aktiviert wird und die Filterung von Systemaufrufen mithilfe von seccomp-BPF ermöglicht. Für eine präzisere Anpassung der weißen und schwarzen Listen von Systemaufrufen können die Listen APT::Sandbox::Seccomp::Trap und APT::Sandbox::Seccomp::Allow verwendet werden;
- Der Linux-Kernel wurde auf Version 4.19 aktualisiert;
- Die GNOME-Desktopumgebung verwendet standardmäßig Wayland, und eine Sitzung basierend auf dem X-Server wird als Option angeboten (der X-Server ist nach wie vor Teil der Basisinstallation). Der Grafikstack und die Benutzerumgebungen wurden aktualisiert: , , Cinnamon 3.8, LXDE 0.99.2, , , und Xfce 4.12. Das Büro-Paket LibreOffice wurde auf die Version , und Calligra auf die Version . Aktualisiert wurden Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
- Der Distribution wurde ein Compiler für die Programmiersprache Rust hinzugefügt (liefert Rustc 1.34). Aktualisiert wurden GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2;
- Die Serveranwendungen wurden aktualisiert, darunter Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9 (im Kernel wird SMBv3 unterstützt);
- In cryptsetup wurde auf das Verschlüsselungsformat LUKS2 umgestellt (zuvor wurde LUKS1 verwendet). LUKS2 zeichnet sich durch ein vereinfachtes Schlüsselverwaltungssystem aus, ermöglicht die Verwendung von größeren Sektoren (4096 statt 512, was die Last bei der Entschlüsselung verringert), symbolischen Kennungen für Partitionen (Label) sowie Funktionen zur Sicherung von Metadaten mit der Möglichkeit der automatischen Wiederherstellung aus einer Kopie im Fall von Beschädigungen. Während des Updates werden bestehende LUKS1-Partitionen automatisch in ein mit LUKS2 kompatibles Format konvertiert, jedoch werden aufgrund der Einschränkungen der Kopfgröße nicht alle neuen Funktionen für sie verfügbar sein;
- Im Installationsprogramm wurde die Möglichkeit hinzugefügt, mehrere Konsolen gleichzeitig während der Installation zu verwenden. Die Unterstützung für ReiserFS wurde entfernt. Für Btrfs wurde die Unterstützung für ZSTD-Kompression (libzstd) hinzugefügt. Unterstützung für NVMe-Geräte wurde hinzugefügt;
- In debootstrap ist standardmäßig die Option „—merged-usr“ aktiviert, bei der alle ausführbaren Dateien und Bibliotheken aus den Root-Verzeichnissen in den Bereich /usr verschoben werden (die Verzeichnisse /bin, /sbin und /lib* sind als symbolische Links auf die entsprechenden Verzeichnisse innerhalb von /usr angelegt). Diese Änderung gilt nur für neue Installationen; bei einer Aktualisierung bleibt die alte Verzeichnisstruktur erhalten.
- Im Paket unattended-upgrades wird neben der automatischen Installation von Updates zur Behebung von Sicherheitsanfälligkeiten jetzt standardmäßig auch ein Upgrade auf Zwischenversionen (Debian 10.1, 10.2 usw.) durchgeführt.
- Die Komponenten des Drucksystems wurden auf und cups-filters 1.21.6 aktualisiert, mit vollständiger Unterstützung für AirPrint, DNS-SD (Bonjour) und IPP Everywhere zum Drucken ohne vorherige Installation von Treibern.
- Unterstützung für Boards auf Basis von Allwinner A64-Prozessoren hinzugefügt, wie FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 und Xunlong Orange Pi Win(Plus).
- Die Anzahl der von Debian Med unterstützten Metapakete med-* wurde erweitert, die es ermöglichen, , die mit Biologie und Medizin zusammenhängen, zu installieren.
- Die Unterstützung für Gastbetriebssysteme im Xen PVH-Modus wurde bereitgestellt.
- In OpenSSL wurde die Unterstützung für die Protokolle TLS 1.0 und 1.1 eingestellt, als minimal unterstützte Version wird TLS 1.2 angegeben;
- Viele veraltete und unbetreute Pakete wurden entfernt, darunter Qt 4 (nur Qt 5 bleibt erhalten), phpmyadmin, ipsec-tools, racoon, ssmtp, ecryptfs-utils, mcelog und revelation. In Debian 11 wird die Unterstützung für Python 2 eingestellt;
- Ein Port für die 64-Bit-Architektur RISC-V wurde geschaffen, der in Debian 10 nicht zu den offiziell unterstützten gehört. Derzeit wird für RISC- ungefähr 90% der Gesamtzahl der Pakete;
- In Live-Umgebungen wird ein unabhängig entwickelter modularer Installer mit einer Benutzeroberfläche auf Qt-Basis verwendet, der auch für die Installation der Distributionen Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva und KDE neon eingesetzt wird. In den regulären Installationsversionen wird weiterhin der debian-installer verwendet.
Zusätzlich zu den zuvor verfügbaren Umgebungen wurde eine Live-Umgebung mit der LXQt-Desktop-Oberfläche sowie eine Live-Umgebung ohne grafische Benutzeroberfläche, die nur Konsolen-Utilities mit einer grundlegenden Systemkonfiguration enthält, erstellt. Die Konsolen-Live-Umgebung kann für die extrem schnelle Installation des Distributionspakets verwendet werden, da im Gegensatz zu traditionellen Installationsabbildern bereits vorbereitete Verzeichnisschnitte kopiert werden, ohne dass einzelne Pakete mit dpkg entpackt werden müssen.
Quelle: opennet.ru
