Po dwóch latach rozwoju wydanie (), dostępne dla dziesięciu oficjalnie wspieranych : Intel IA-32/x86 (i686), AMD64 / x86-64, ARM EABI (armel), 64-bitowy ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) i IBM System z (s390x). Aktualizacje dla Debiana 10 będą wydawane przez okres 5 lat.
Repozytorium zawiera 57703 6 pakietów binarnych, czyli o około 9 tysięcy więcej niż było w Debianie 9. W porównaniu z Debianem 13370 dodano 7278 13 nowych pakietów binarnych, usunięto 35532 62 (91.5%) przestarzałych lub porzuconych pakietów, XNUMX XNUMX (XNUMX) %) pakiety zostały zaktualizowane. Dla XNUMX% pakietów obsługa powtarzalnych kompilacji, co pozwala potwierdzić, że plik wykonywalny jest zbudowany dokładnie z zadeklarowanych kodów źródłowych i nie zawiera obcych zmian, których podstawienia można dokonać np. poprzez atak na infrastrukturę asemblera lub zakładki w kompilatorze .
dla Obrazy DVD, z których można pobrać , lub . Również Nieoficjalny, niewolny obraz instalacyjny zawierający zastrzeżone oprogramowanie sprzętowe. Zaprojektowany dla architektur amd64 i i386 , dostępny w wersjach GNOME, KDE i Xfce, a także wieloarchiczne DVD zawierające pakiety dla platformy amd64 z dodatkowymi pakietami dla architektury i386. Dodano obsługę obrazów pobieranych przez sieć (netboot) dla kart SD i obrazów mieszczących się w 16 GB pamięci USB Flash;
w Debianie 10.0:
- wsparcie dla UEFI Secure Boot, które wykorzystuje moduł ładujący Shim, certyfikowane podpisem cyfrowym firmy Microsoft (podpisany podkładką), w połączeniu z certyfikacją jądra grub i modułu ładującego rozruchu (grub-efi-amd64-signed) przez własny projekt certyfikat (podkładka działa jako warstwa, dzięki której dystrybucja może używać własnych kluczy). Pakiety z podpisem podkładki i podpisem grub-efi-ARCH są dołączone jako zależności kompilacji dla amd64, i386 i arm64. Program ładujący i grub, poświadczone działającym certyfikatem, są zawarte w obrazach EFI dla amd64, i386 i arm64. Przypomnijmy, że początkowo oczekiwano obsługi Secure Boot w Debianie 9, ale nie została ona ustabilizowana przed wydaniem i została przełożona do następnego głównego wydania dystrybucji;
- Domyślnie włączona jest obsługa obowiązkowego systemu kontroli dostępu AppArmor, który pozwala kontrolować uprawnienia procesów poprzez definiowanie list plików z odpowiednimi uprawnieniami (odczyt, zapis, mapowanie i uruchamianie pamięci, ustawianie blokady pliku itp.) dla każdego aplikacji, a także kontrolować dostęp do sieci (na przykład zabronić używania protokołu ICMP) i zarządzać możliwościami POSIX. Główną różnicą pomiędzy AppArmor i SELinux jest to, że SELinux działa na etykietach powiązanych z obiektem, natomiast AppArmor określa uprawnienia na podstawie ścieżki pliku, co znacznie upraszcza proces konfiguracji. Główny pakiet z AppArmor zapewnia profile ochrony tylko dla niektórych aplikacji, a dla pozostałych należy skorzystać z pakietu apparmor-profiles-extra lub profili z określonych pakietów aplikacji;
- Zastąpiono iptables, ip6tables, arptables i ebtables filtr pakietów nftables, który jest teraz domyślny i wyróżnia się ujednoliceniem interfejsów filtrowania pakietów dla IPv4, IPv6, ARP i mostów sieciowych. Nftables zapewnia jedynie ogólny, niezależny od protokołu interfejs na poziomie jądra, który zapewnia podstawowe funkcje wyodrębniania danych z pakietów, wykonywania operacji na danych i kontroli przepływu. Sama logika filtrowania i procedury obsługi specyficzne dla protokołu są kompilowane do kodu bajtowego w przestrzeni użytkownika, po czym ten kod bajtowy jest ładowany do jądra za pomocą interfejsu Netlink i wykonywany na specjalnej maszynie wirtualnej przypominającej BPF (Berkeley Packet Filters);
Domyślnie instalowany jest pakiet iptables-nft, który oferuje zestaw narzędzi zapewniających kompatybilność z iptables, posiadający tę samą składnię wiersza poleceń, ale tłumaczący wynikowe reguły na kod bajtowy nf_tables, wykonywany na maszynie wirtualnej. Pakiet iptables-legacy jest opcjonalnie dostępny do instalacji, stara implementacja oparta na x_tables. pliki wykonywalne iptables są teraz instalowane w /usr/sbin, a nie w /sbin (dowiązania symboliczne są tworzone w celu zapewnienia zgodności);
- W przypadku APT zaimplementowano tryb izolacji piaskownicy, włączany za pomocą opcji APT::Sandbox::Seccomp i zapewniający filtrowanie wywołań systemowych przy użyciu seccomp-BPF. Aby dostroić białą i czarną listę wywołań systemowych, możesz użyć list APT::Sandbox::Seccomp::Trap i APT::Sandbox::Seccomp::Allow;
- Jądro Linuksa zaktualizowane do wersji 4.19;
- Pulpit GNOME został domyślnie przełączony na Wayland, a sesja oparta na serwerze X jest oferowana jako opcja (serwer X jest nadal zawarty w pakiecie podstawowym). Zaktualizowany stos graficzny i środowiska użytkownika: , , Cynamon 3.8, LXDE 0.99.2, , i Xfce 4.12. Pakiet biurowy LibreOffice zaktualizowany do wersji i Calligra przed wydaniem . Zaktualizowano Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
- Dystrybucja zawiera kompilator dla języka Rust (w zestawie Rustc 1.34). Zaktualizowano GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2;
- Zaktualizowano aplikacje serwerowe, m.in. Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9 (obsługa SMBv3 jest zapewniona w jądrze);
- W konfiguracji krypt przejście na format szyfrowania dysku LUKS2 (wcześniej używany był LUKS1). LUKS2 wyróżnia uproszczony system zarządzania kluczami, możliwość wykorzystania dużych sektorów (4096 zamiast 512, zmniejsza obciążenie podczas deszyfrowania), symboliczne identyfikatory partycji (etykieta) oraz narzędzia do tworzenia kopii zapasowych metadanych z możliwością automatycznego przywracania ich z kopii w przypadku wykryte uszkodzenie. Proces aktualizacji automatycznie skonwertuje istniejące sekcje LUKS1 do formatu zgodnego z LUKS2, ale ze względu na ograniczenia rozmiaru nagłówka nie wszystkie nowe funkcje będą dla nich dostępne;
- Instalator dodał możliwość jednoczesnego korzystania z wielu konsol podczas procesu instalacji. Obsługa ReiserFS została usunięta. Dodano obsługę kompresji ZSTD (libzstd) dla Btrfs. Dodano obsługę urządzeń NVMe;
- W debootstrap domyślnie włączona jest opcja „--merged-usr”, w której wszystkie pliki wykonywalne i biblioteki z katalogów głównych są przenoszone na partycję /usr (katalogi /bin, /sbin i /lib* są zaprojektowane jako dowiązania symboliczne do odpowiednich katalogów wewnątrz /usr). Zmiana dotyczy tylko nowych instalacji, podczas aktualizacji zostaje zachowany stary układ katalogów;
- W pakiecie unattended-upgrades, oprócz automatycznego instalowania aktualizacji związanych z eliminowaniem luk, aktualizacja do wersji pośrednich (Debian 10.1, 10.2 itp.) jest teraz domyślnie włączona;
- Zaktualizowano komponenty systemu drukowania oraz filtry kubkowe 1.21.6 z pełną obsługą AirPrint, DNS-SD (Bonjour) i IPP Everywhere do drukowania bez konieczności wcześniejszej instalacji sterowników;
- Dodano obsługę płyt opartych na procesorach Allwinner A64, takich jak FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 i Xunlong Orange Pi Win (Plus);
- Liczba metapakietów med-* obsługiwanych przez zespół Debian Med została rozszerzona, umożliwiając instalację związane z biologią i medycyną;
- Zapewniona jest obsługa systemów gościnnych Xen w trybie PVH;
- OpenSSL nie obsługuje protokołów TLS 1.0 i 1.1; TLS 1.2 jest deklarowany jako minimalna obsługiwana wersja;
- Usunięto wiele przestarzałych i nieobsługiwanych pakietów, w tym Qt 4 (pozostało tylko Qt 5), phpmyadmin, ipsec-tools, racoon, ssmtp, ecryptfs-utils, mcelog, revelation. Debian 11 zakończy obsługę Pythona 2;
- Utworzono port dla 64-bitowej architektury RISC-V, która nie jest oficjalnie obsługiwana w Debianie 10. Obecnie dla RISC-V około 90% całkowitej liczby opakowań;
- W środowiskach Live zaczęto używać niezależnie opracowanego modułowego instalatora z interfejsem opartym na Qt, który służy również do organizacji instalacji dystrybucji neonowych Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva i KDE. Regularne kompilacje instalacyjne nadal korzystają z debian-installer.
Oprócz dostępnych wcześniej, powstało środowisko Live z pulpitem LXQt oraz środowisko Live bez interfejsu graficznego, tylko z narzędziami konsolowymi tworzącymi system bazowy. Konsolowe środowisko Live pozwala na bardzo szybką instalację dystrybucji, ponieważ w odróżnieniu od tradycyjnych obrazów instalacyjnych kopiowany jest gotowy fragment katalogów, bez otwierania poszczególnych pakietów za pomocą dpkg.
Źródło: opennet.ru