Після двох років розробки реліз (), доступний для десяти офіційно підтримуваних : Intel IA-32/x86 (i686), AMD64/x86-64, ARM EABI (armel), 64-bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) та IBM System z (s390x). Оновлення для Debian 10 будуть випущені протягом 5 років.
У репозиторії представлено 57703 бінарних пакетів, що приблизно на 6 тисяч більше, ніж було запропоновано в Debian 9. Порівняно з Debian 9 додано 13370 нових бінарних пакетів, видалено 7278 (13%) застарілих або покинутих пакетів, оновлено 35532 (62%) . Для 91.5% пакетів підтримка повторюваних збірок, що дозволяють підтвердити, що виконуваний файл зібрано саме із заявлених вихідних текстів і не містить сторонніх змін, підстановка яких, наприклад, може бути здійснена шляхом атаки на складальну інфраструктуру або закладки в компіляторі.
Для DVD-образи, завантажити які можна по , або . також неофіційний настановний образ nonfree, що включає проприєтарні прошивки. Для архітектур amd64 та i386 розроблені , доступні у варіантах з GNOME, KDE та Xfce, а також багатоархітектурний DVD, що поєднує пакети для платформи amd64 з додатковими пакетами для архітектури i386. Додано підтримку завантажуваних по мережі (netboot) образів для SD-карт та образу, що вміщується на 16 Гб USB Flash;
у Debian 10.0:
- підтримка UEFI Secure Boot, для забезпечення роботи якої задіяний завантажувач Shim, завірений цифровим підписом від компанії Microsoft (shim-signed), у поєднанні із завіренням ядра та завантажувача grub (grub-efi-amd64-signed) власним сертифікатом проекту (shim виступає як прошарок) для використання дистрибутивом своїх ключів). Пакети shim-signed та grub-efi-ARCH-signed включені до числа складальних залежностей для amd64, i386 та arm64. Завантажувач та grub, завірені робочим сертифікатом, включені до складу EFI-образів для amd64, i386 та arm64. Нагадаємо, що спочатку підтримка Secure Boot очікувалася у Debian 9, але її не встигли стабілізувати до релізу та відклали до наступного значного випуску дистрибутива;
- За умовчанням включена підтримка системи мандатного контролю доступу AppArmor, яка дозволяє контролювати повноваження процесів, визначаючи списки файлів з відповідними правами (на читання, запис, відображення в пам'ять та запуск, встановлення блокування на файл тощо) для кожної програми, а також контролювати доступ до мережі (наприклад, заборонити використання ICMP) та керувати POSIX capabilities. Основна відмінність AppArmor від SELinux полягає в тому, що SELinux оперує асоційованими з об'єктом мітками, а AppArmor визначає повноваження на основі файлового шляху, що помітно спрощує процес налаштування. В основному пакеті AppArmor поставляються профілі захисту лише для деяких додатків, а для інших слід використовувати пакет apparmor-profiles-extra або профілі з пакетів конкретних додатків;
- На зміну iptables, ip6tables, arptables та ebtables пакетний фільтр nftables, який тепер застосовується за умовчанням і примітний уніфікацією інтерфейсів фільтрації пакетів для IPv4, IPv6, ARP та мережних мостів. Nftables надає лише на рівні ядра загальний інтерфейс, який залежить від конкретного протоколу і надає базові функції вилучення даних з пакетів, виконання операцій із даними і управління потоком. Безпосередньо логіка фільтрації та специфічні для протоколів обробники компілюються в байткод у просторі користувача, після чого даний байткод завантажується в ядро за допомогою інтерфейсу Netlink і виконується у спеціальній віртуальній машині, що нагадує BPF (Berkeley Packet Filters);
За замовчуванням встановлюється пакет iptables-nft, який пропонує набір утиліт для забезпечення сумісності з iptables, що мають такий же синтаксис командного рядка, але транслюють отримані правила в байткод nf_tables, що виконується у віртуальній машині. Опціонально доступний для встановлення пакет iptables-legacy, Стара реалізація на основі x_tables. Виконувані файли iptables тепер встановлюються в /usr/sbin, а не /sbin (для сумісності створюються символічні посилання);
- Для APT реалізовано режим sandbox-ізоляції, що включається через опцію APT::Sandbox::Seccomp та забезпечує фільтрацію системних викликів за допомогою seccomp-BPF. Для більш тонкого налаштування білого та чорного списків системних викликів можна використовувати списки APT::Sandbox::Seccomp::Trap та APT::Sandbox::Seccomp::Allow;
- Ядро Linux оновлено до версії 4.19;
- Робочий стіл GNOME за умовчанням переведено на використання Wayland, а сеанс на базі X-сервера запропонований у вигляді опції (X-сервер, як і раніше, входить до числа пакетів, що входять до базової поставки). Оновлено графічний стек та користувацькі оточення: , , Cinnamon 3.8, LXDE 0.99.2, , , та Xfce 4.12. Офісні пакети LibreOffice оновлено до випуску , а Calligra до випуску . Оновлено Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
- До складу дистрибутива включено компілятор для мови Rust (постачається Rustc 1.34). Оновлено GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2;
- Оновлені серверні додатки, у тому числі Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9 (в ядрі;
- У cryptsetup перехід до формату шифрування дисків LUKS2 (раніше застосовувався LUKS1). LUKS2 відрізняється спрощеною системою управління ключами, можливістю використання секторів великого розміру (4096 замість 512, знижує навантаження при розшифровці), символьними ідентифікаторами розділів (label) та засобами резервування метаданих з можливістю їх автоматичного відновлення з копії у разі виявлення пошкодження. У процесі оновлення існуючі розділи LUKS1 автоматично будуть перетворені на формат, сумісний з LUKS2, але через обмеження розміру заголовка не всі нові можливості для них будуть доступні;
- У інсталятор додано можливість використання одночасно кількох консолей у процесі встановлення. Видалено підтримку ReiserFS. Для Btrfs додано підтримку стиснення ZSTD (libzstd). Додано підтримку пристроїв NVMe;
- У debootstrap за замовчуванням задіяна опція «-merged-usr», при якій всі файли та бібліотеки з кореневих директорій, що виконуються, переносяться в розділ /usr (каталоги /bin, /sbin і /lib* оформлені як символічні посилання на відповідні каталоги всередині /usr) . Зміна застосовується лише для нових установок, у процесі оновлення залишається стара розкладка каталогів;
- У пакеті unattended-upgrades, окрім автоматичної установки оновлень, пов'язаних з усуненням уразливостей, тепер також включено оновлення до проміжних випусків (Debian 10.1, 10.2 тощо);
- Компоненти системи друку оновлені до та cups-filters 1.21.6 з повноцінною підтримкою AirPrint, DNS-SD (Bonjour) та IPP Everywhere для виведення на друк без попереднього встановлення драйверів;
- Додано підтримку плат на базі процесорів Allwinner A64, таких як FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 Plus);
- Розширено кількість підтримуваних командою Debian Med метапакетів med-*, що дозволяють встановити , пов'язані з біологією та медициною;
- Забезпечено підтримку гостьових систем Xen у режимі PVH;
- В OpenSSL відключена підтримка протоколів TLS 1.0 і 1.1, як мінімальна підтримувана версія заявлена TLS 1.2;
- Видалено багато застарілих пакетів, що залишилися без супроводу, включаючи Qt 4 (залишений тільки Qt 5), phpmyadmin, ipsec-tools, racoon, ssmtp, ecryptfs-utils, mcelog, revelation. У Debian 11 буде припинено підтримку Python 2;
- Створено порт для 64-розрядної архітектури RISC-V, який не увійшов до числа офіційно підтримуваних у Debian 10. В даний час для RISC- близько 90% від загальної кількості пакетів;
- У Live-оточеннях почав застосовуватися модульний інсталятор, що розвивається незалежно. з інтерфейсом на базі Qt, який також застосовується для організації встановлення дистрибутивів Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva та KDE neon. У звичайних установках продовжує використовуватися debian-installer.
На додаток до раніше доступних сформовано Live-оточення з робочим столом LXQt та Live-оточення без графічного інтерфейсу, тільки з консольними утилітами, що становлять базову систему. Консольне Live-оточення може бути використане для дуже швидкої установки дистрибутива, так як на відміну від традиційних настановних образів, здійснюється копіювання вже готового зрізу каталогів, без розкриття окремих пакетів за допомогою dpkg.
Джерело: opennet.ru